Behandeln von allgemeinen Problemen mit abgestimmten Berechtigungen für SharePoint Server

  • Artikel

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Nach Implementierung abgestimmter Berechtigungen können in einer SharePoint-Umgebung Sicherheits- oder Leistungsprobleme auftreten. Lesen Sie die folgenden Informationen, mit denen Probleme behoben werden können, die mit abgestimmten Berechtigungen verknüpft sind.

Die folgenden Probleme können Ihnen helfen, die Auswirkungen von Leistungsproblemen zu reduzieren, die mit dem umfassenden Einsatz von abgestimmten Berechtigungen verknüpft sind. Jedes der folgenden Probleme befasst sich mit den an der Sicherheit, Objekthierarchie oder benutzerdefiniertem Code vorgenommenen Änderungen, die zu mit abgestimmten Berechtigungen verknüpften Leistungsproblemen führen. Jedes Problem beginnt mit der folgenden Beispielumgebung, in der ein einzelnes Webobjekt mehrere Dokumentbibliotheken enthält, wobei jede über zahlreiche untergeordnete Objekte mit eigenen Berechtigungen verfügt.

Zeigt eine einzelne Website mit mehreren Dokumentbibliotheken, von denen jede eine große Anzahl von untergeordneten Elementen mit eindeutigen Berechtigungen enthält.

Problem 1: Entfernen von abgestimmten Berechtigungen Verwenden der Sicherheitsdurchsetzung nur auf Webebene

Wenn Sie die Umgebung neu strukturieren, damit abgestimmte Berechtigungen nicht mehr erforderlich sind, können Sie einen Umgebungsbereinigungsprozess implementieren und dann die Anzahl der Bereichelemente zur langfristigen Verbesserung der Skalierbarkeit der Umgebung anpassen. In den folgenden Empfehlungen sind die am Umgebungsbereinigungsprozess und der Architektursicherheit vorzunehmenden Änderungen beschrieben, mit denen diese Lösung erzielt wird.

Bereinigen der Umgebungssicherheit

Wenn ein Benutzer aus dem Bereich auf Webebene entfernt wird, muss das interne Objektmodell den Benutzer aus jedem Bereich unterhalb der Webebene entfernen. Das Entfernen einzelner Benutzer zum Bereinigen vorhandener Berechtigungen ist ein zeitaufwändiger Prozess. Entfernen Sie stattdessen zuerst jeden eindeutigen Bereich auf Elementebene, damit das Element berechtigungen vom übergeordneten Objekt erbt. Dies dauert weniger Zeit als der Versuch, Benutzer zuerst zu entfernen, da nur auf einen einzelnen Bereich für das Element reagiert werden muss.

Wichtig

Wenn das aktuelle Webobjekt nicht auf der Stammebene der Websitesammlung vorhanden ist und das Webobjekt die Berechtigungen von seinem übergeordneten Webobjekt erbt, werden alle darunter liegenden eindeutigen Bereiche entfernt, gleichzeitig werden alle Mitgliedschaften mit eingeschränktem Zugriff in einem einzelnen SQL Server-Roundtrip überschrieben.

Zeigt eine Berechtigungsbereinigung durch Entfernen eines Benutzers aus dem Webebenenbereich. Anschließend muss das interne OM den Benutzer aus jedem Bereich unterhalb der Webebene entfernen.

Wenn alle Elementebenenbereiche entfernt wurden, können einzelne Bereichmitgliedschaften im Webebenenbereich durch eine oder mehrere Gruppenmitgliedschaften ersetzt werden, damit ein Zugriff möglich ist.

Zeigt, wie einzelne Gruppenmitgliedschaften im Webebenenbereich durch eine oder mehrere Gruppenmitgliedschaften ersetzt werden, damit nach dem Entfernen aller Elementebenenbereiche ein Zugriff möglich ist.

Umstrukturieren der Umgebungssicherheitsarchitektur

Nach Entfernen vorhandener abgestimmter Berechtigungen und Bereiche sollte die Verwaltung eines eigenen Bereichs nur auf Webebene ein langfristiges Architekturziel darstellen. Das folgende Diagramm veranschaulicht, wie die Architektur strukturiert werden kann, damit nur der Webebenenbereich übrig bleibt. Die Hauptanforderung an die Architektur liegt darin, dass sich auf der gleichen Hierarchieebene in Dokumentbibliotheken nicht zu viele Elemente befinden, da die Zeit zur Verarbeitung von Elementen in Ansichten erhöht wird.

Lösung:

Die maximale Anzahl der Elemente oder Ordner auf einer beliebigen Hierarchieebene sollte in etwa bei 2.000 Elementen liegen.

Zeigt, wie die Architektur eines Webebenenbereichs gegliedert sein sollte.

Wenn zusätzliche Änderungen an der Architektur erforderlich sind, sollten Sie dokumentbibliotheken in verschiedene Websites oder Websitesammlungen verschieben. Die Anzahl der Dokumentbibliotheken kann auch geändert werden, um geschäftsbezogene Anforderungen und Skalierungsempfehlungen, die auf der Taxonomie oder Zielgruppe der gespeicherten Inhalte basieren, besser zu unterstützen.

Problem 2: Verwenden abgestimmter Berechtigungen durch hierarchische Strukturänderungen

Um die Umgebung so umzustrukturieren, dass abgestimmte Berechtigungen weiterhin verwendet werden, ohne dass zu viele Aktualisierungen oder Größenanpassungen des Webbereichs erforderlich sind, müssen Sie ggf. unterschiedlich geschützte Dokumentbibliotheken in unterschiedliche Webelemente verschieben.

Umstrukturieren der Umgebungshierarchie

Im folgenden Diagramm wurde die physische Architektur geändert, sodass sich jede Dokumentbibliothek in einem Webelement mit eigenen Berechtigungen befindet. Wenn eigene Berechtigungen auf Elementebene beibehalten werden müssen, wird empfohlen, die kumulative Anzahl von Sicherheitsprinzipalen mit gewährtem Zugriff auf etwa 2.000 einzuschränken, obwohl dies kein fester Grenzwert ist. Aus diesem Grund darf die effektive Mitgliedschaft jedes Webobjekts, das alle Mitglieder mit eingeschränktem Zugriff enthält, nicht mehr als 2.000 Benutzer betragen. Dadurch wird verhindert, dass Webebenenbereiche zu groß werden.

Zeigt eine Dokumentbibliothek, die sich in einem Web mit eindeutigen Berechtigungen befindet. Pro Web sollten nicht mehr als 2.000 Benutzer Mitglied sein.

Die Anzahl der untergeordneten Objekte mit eigenem Bereich stellt kein erhebliches Problem dar und kann auf eine große Anzahl skaliert werden. Die Anzahl von Prinzipalen, die den Bereichen weiter oben in der Bereichhierarchie bis zum ersten Webobjekt mit eigenen Berechtigungen als eingeschränkter Zugriff hinzugefügt werden, stellt jedoch eine Einschränkung dar.

Obwohl dies zwar kein ausdrückliches mit eigenen Berechtigungen verknüpftes Problem ist, muss bei der Ordnerstruktur sichergestellt werden, dass keine Hierarchieebene der Dokumentbibliothek je 2.000 Elemente überschreitet. Mit diesem Grenzwert kann eine gute Leistung der von Benutzern angeforderten Ansichten gewährleistet werden.

Problem 3: Verwenden abgestimmter Berechtigungen durch Bereichstrukturänderungen

Um die Umgebung so neu zu gestalten, dass sie weiterhin differenzierte Berechtigungen verwendet, ohne jedoch zu viele Aktualisierungen oder Größenanpassungen eines einzelnen Webbereichs zu verursachen, sollten Sie einen anderen Prozess zum Sichern von Elementen verwenden. Dies gilt hauptsächlich, wenn die Ursache für die große Anzahl eindeutiger Bereiche ein automatisierter Prozess war, z. B. ein Ereignishandler oder Workflow, der die Objektberechtigungen dynamisch geändert hat. In diesem Fall wird empfohlen, eine Codeänderung an dem Prozess vorzunehmen, bei dem die eindeutigen Sicherheitsbereiche erstellt wurden.

Überarbeiten von Code für dynamische Sicherheitsänderungen

In der folgenden Abbildung wurde die Bereicharchitektur geändert, sodass diese Bereichmitgliedschaft keine Neuberechnung der Zugriffssteuerungsliste für die übergeordnete Dokumentbibliothek und das Webobjekt verursacht. Wie bereits erwähnt, darf die effektive Mitgliedschaft des Webobjekts, in dem alle Mitglieder mit eingeschränktem Zugriff enthalten sind, nicht mehr als 2.000 betragen, damit der Webebenenbereich nicht zu groß wird. In diesem Fall wird der Bereich nicht zu groß ausfallen, wenn eine neue SharePoint-Gruppe implementiert wird, in der alle Mitglieder mit eingeschränkten Zugriffsberechtigungen enthalten sind. Beim Hinzufügen von Benutzern zu eigenen Bereichen unter der Webebene mit der SharePoint Server SPRoleAssignmentCollection.AddToCurrentScopeOnly -Methode können sie auch mit zusätzlichem Code zu der neuen Gruppe hinzugefügt werden, für die eingeschränkte Zugriffsberechtigungen auf der Web- und Dokumentbibliothekebene festgelegt wurden.

Zeigt eine Bereichsmitgliedschaft, die nicht dazu führt, dass die Zugriffssteuerungsliste für die übergeordnete Dokumentbibliothek und das Web neu berechnet werden muss.

Lösung:

Wenn eigene Berechtigungen auf Elementebene beibehalten werden müssen, muss die kumulative Anzahl von Sicherheitsprinzipalen mit gewährtem Zugriff auf etwa 2.000 eingeschränkt werden, obwohl dies kein fester Grenzwert ist. Wenn die Anzahl der Sicherheitsprinzipale erhöht wird, nimmt die Neuberechnung der binären Zugriffssteuerungsliste mehr Zeit in Anspruch. Wenn die Mitgliedschaft eines Bereichs geändert wird, muss die binäre Zugriffssteuerungsliste neu berechnet werden. Beim Hinzufügen von Benutzern in einem eigenen Bereich des untergeordneten Elements werden die übergeordneten Bereiche mit den neuen Mitgliedern mit eingeschränktem Zugriff aktualisiert, auch wenn dies letztendlich zu keinen Änderungen an der Mitgliedschaft des übergeordneten Bereichs führt. In diesem Fall muss die binäre Zugriffssteuerungsliste für die übergeordneten Bereiche auch neu berechnet werden.

Wie in der vorherigen Lösung, stellt die Anzahl der untergeordneten Objekte mit eigenem Bereich kein erhebliches Problem dar und kann auf eine große Anzahl skaliert werden. Die Anzahl von Prinzipalen, die den Bereichen weiter oben in der Bereichhierarchie bis zum ersten Webobjekt mit eigenen Berechtigungen als eingeschränkter Zugriff hinzugefügt werden, stellt eine Einschränkung dar.

Siehe auch

Weitere Ressourcen

Bewährte Methoden für die Verwendung abgestimmter Berechtigungen in SharePoint Server