Planen der Sicherheitsrollen (Office SharePoint Server)
Inhalt dieses Artikels:
Verwaltung auf Farmebene
Verwaltung auf gemeinsamer Dienstebene
Verwaltung auf Websiteebene
Arbeitsblatt
Eines der neuen Features in Microsoft Office SharePoint Server 2007 ist das dreistufige Verwaltungsmodell, das die Konfigurations- und Verwaltungsaufgaben zentralisiert, eine Differenzierung der Verwaltungsrollen ermöglicht und das Delegieren der Verwaltung an geeignete Mitarbeiter in Ihrem Unternehmen gestattet. Dank der Verbesserungen am Verwaltungsmodell können IT-Unternehmen Verwaltungsaufgaben nun effizienter und effektiver ausführen. Mithilfe des Verwaltungsmodells und von SharePoint-Gruppen können Sie nun exakt die Berechtigungen erteilen, die zur Ausführung spezieller Aufgaben auf Basis bestimmter Rollen in Ihrem Unternehmen erforderlich sind. Damit sie das Verwaltungsmodell mit seinen drei Ebenen noch effizienter verwenden können, bestimmen viele Unternehmen spezielle Verwaltungsrollen innerhalb jeder Ebene. In diesem Artikel werden die Verwaltungsrollen erörtert, die Sie zur Verwaltung Ihrer Lösung verwenden können.
In der folgenden Liste werden die administrativen Ebenen beschrieben.
Ebene 1: Administratoren auf Farmebene Die Administratoren in dieser Ebene sind die hochrangigsten Administratoren und verfügen über Berechtigungen und Verantwortung auf Farmebene für die Server und Dienste in der Serverfarm. Die Mitglieder dieser Ebene können auf der Website für die SharePoint-Zentraladministration sämtliche Verwaltungsaufgaben für den Server oder die Serverfarm ausführen.
Ebene 2: Administratoren auf gemeinsamer Dienstebene Die Administratoren in dieser Ebene sind für die Verwaltung und die Zuweisung der Verwaltung für die gemeinsamen Dienste zuständig. In der folgenden Liste und Tabelle werden die Rollen innerhalb dieser Kategorie beschrieben:
Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste Dieser Administrator verfügt über die Berechtigungsstufe Vollzugriff auf der Verwaltungssite der gemeinsamen Dienste und über Berechtigungen zur Verwaltung aller gemeinsamen Dienste mit Ausnahme von Personen und Geschäftsdatenkatalog.
Hinweis
Nur das Konto, das bei Erstellung der Verwaltungssite der gemeinsamen Dienste als Websitesammlungsadministrator festgelegt ist, erhält automatisch Verwaltungsberechtigungen für die gemeinsamen Dienste Personen und Geschäftsdatenkatalog.
Administratoren für gemeinsame Dienste Sie werden vom Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste als Benutzer hinzugefügt und erhalten Berechtigungen für einen oder mehrere gemeinsame Dienste.
In der folgenden Tabelle werden die Sicherheitsrollen und Berechtigungen der zweiten Ebene beschrieben, die zur Verwaltung eines gemeinsamen Diensts erforderlich sind. Vollständige Beschreibungen der einzelnen Rollen finden Sie unter Verwaltung auf gemeinsamer Dienstebene in diesem Artikel.
Rollenname Mindestens erforderliche Berechtigung Beschreibung Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste
Mitgliedschaft in der Gruppe der Websitesammlungsadministratoren auf der Verwaltungssite der gemeinsamen Dienste
Das Benutzerkonto, das Microsoft Office SharePoint Server 2007 installiert hat, kann alle Einstellungen auf der Verwaltungssite der gemeinsamen Dienste verwalten. Benutzerkonten, die ihre Mitgliedschaft erst nach der Installation erhalten haben, können auf die folgenden Seiten nicht zugreifen, es sei denn, ihnen wurde der Zugriff auf diese Seiten speziell erteilt:
Benutzerprofile und Eigenschaften
Richtlinien der Profildienste
Einstellungen für Meine Website
Suchdienstadministrator
Leseberechtigung oder höhere Berechtigungsstufe auf der Verwaltungssite der gemeinsamen Dienste
Kann alle Sucheinstellungen im SSP verwalten.
Benutzerprofilmanager
Berechtigung Benutzerprofile verwalten für Profildienste
Kann Verbindungen importieren, Benutzerprofile verwalten und Einstellungen für Meine Website konfigurieren.
Verwalter von Benutzergruppen
Verwalten der Benutzergruppenberechtigungen für Profildienste
Kann die Benutzergruppeneinstellungen im SSP verwalten.
Geschäftsdatenkatalogmanager
Berechtigungen Bearbeiten oder Bearbeiten und Ausführen für den Geschäftsdatenkatalog
Kann Anwendungsdefinitionen in den Geschäftsdatenkatalog importieren, Entitäten und Eigenschaften für die Verwendung auf SharePoint-Websites und in Listen auswählen sowie optional Methoden für Entitätsinstanzen ausführen.
Berechtigungsmanager für den Geschäftsdatenkatalog
Berechtigung Berechtigungen festlegen für den Geschäftsdatenkatalog
Kann Berechtigungen für den Geschäftsdatenkatalog verwalten.
Berechtigungsmanager für Profildienste
Berechtigung Berechtigungen verwalten für Profildienste
Kann Berechtigungen für Profildienste verwalten.
Excel Services-Administrator
Leseberechtigung oder höhere Berechtigungsstufe auf der Verwaltungssite der gemeinsamen Dienste
Kann alle Excel Services-Einstellungen im SSP verwalten.
Verwendungsberichtmanager
Berechtigung Verwendungsanalysen verwalten für Profildienste
Kann alle Verwendungsberichteinstellungen im SSP verwalten.
Ebene 3: Websitesammlungsadministratoren Websitesammlungsadministratoren verfügen über die Berechtigungsstufe Vollzugriff für ihre Websitesammlungen.
Weitere Informationen zum Verwaltungsmodell und seinen drei Ebenen finden Sie unter Neuigkeiten für IT-Experten in Office SharePoint Server 2007.
In Microsoft Office SharePoint Server 2007 können Verwaltungsrollen flexibel zugeordnet werden. In einem zentralisierten Verwaltungsmodell können Sie einer oder mehreren Personen in Ihrem Unternehmen mehrere Rollen zuordnen, während Sie in einem verteilten Verwaltungsmodell bestimmte Rollen an andere Personen in Ihrem Unternehmen delegieren können.
Verwaltung auf Farmebene
Die Verwaltung auf Farmebene wird normalerweise von den folgenden Rollen ausgeführt:
Farmadministratoren
SSO-Administratoren (einschließlich Enterpriseanwendungsdefinition-Administratoren)
Administratoren auf Serverebene
Farmadministratoren
Farmadministratoren verfügen über die Berechtigungen für alle Server in der Serverfarm und sind für diese zuständig. Die SharePoint-Gruppe Farmadministratoren tritt an die Stelle der SharePoint-Gruppe der Administratoren, die in Windows SharePoint Services, Version 2.0, verwendet wurde. Mitglieder der Gruppe Farmadministratoren müssen nicht der Gruppe der Administratoren für jeden Server hinzugefügt werden. Farmadministratoren sind Mitglied der Gruppen WSS_WPG und WSS_RESTRICTED_WPG auf den Computern, auf denen die Zentraladministration gehostet wird, und sie verfügen über die Berechtigungsstufe Vollzugriff für alle Server in der Umgebung. Standardmäßig sind Mitglieder der Gruppe der Administratoren Mitglieder der SharePoint-Gruppe Farmadministratoren.
Mitglieder der Gruppe Farmadministratoren verfügen über umfassende Möglichkeiten zum Verwalten der Zentraladministrationswebsite, sind jedoch in der Ausführung einiger Aktionen eingeschränkt (d. h. beim Erstellen von IIS-Websites (Internet Information Services, Internetinformationsdienste)), beim Erstellen oder Löschen von SharePoint-Webanwendungen, beim Aktualisieren von Kontokennwörtern oder Windows-Diensten). Dies ist auf bestimmte Einschränkungen in IIS und Microsoft .NET Framework zurückzuführen. Mitglieder der Gruppe Farmadministratoren haben standardmäßig keinen administrativen Zugriff auf einzelne Websites oder deren Inhalt. Allerdings können sie die Steuerung einer bestimmten Websitesammlung übernehmen, um den Inhalt anzuzeigen. Wenn z. B. ein Websitesammlungsadministrator die Organisation verlässt und ein neuer Administrator hinzugefügt werden muss, können Farmadministratoren sich selbst als Websitesammlungsadministratoren hinzufügen. Diese Aktion wird in den Überwachungsprotokollen erfasst. Es hat sich bewährt, die Berechtigungen von Farmadministratoren für die Websitesammlung zu entfernen, nachdem die erforderliche Aktivität auf Websiteebene abgeschlossen ist. Die Gruppe Farmadministratoren wird nur in der Zentraladministration verwendet und ist für Websites nicht verfügbar.
Hinweis
Obwohl jeder Benutzer mit der Berechtigungsstufe Vollzugriff auf der Zentraladministrationswebsite die SSP-Webanwendung von der Zentraladministrationswebsite löschen kann, wird davon dringend abgeraten, da der SSP danach nicht mehr funktionsfähig ist. Wenn die Webanwendung gelöscht wird, besteht die einzige Lösung darin, den SSP aus einer aktuellen Sicherungskopie wiederherzustellen. Weitere Informationen zum Wiederherstellen aus einer Sicherungskopie finden Sie unter Sichern und Wiederherstellen einer gesamten Farm (Office SharePoint Server 2007).
Hinweis
Wählen Sie sorgfältig aus, wem Sie die Mitgliedschaft in der Administratorgruppe auf dem lokalen Datenbankservercomputer gewähren und wem Sie die Mitgliedschaft in festen Datenbankrollen und festen Serverrollen in Microsoft SQL Server gewähren. Der Grund ist, dass diese Gruppe und diese Rollen über die Berechtigungsstufe Vollzugriff für die Konfigurationsdatenbank für SharePoint-Produkte und -Technologien verfügen.
In der folgenden Tabelle werden Aufgaben aufgeführt, die Mitglieder der Gruppe Farmadministratoren ausführen können.
| SharePoint-Gruppe | Rolle standardmäßig vorhanden? | Zulässig | Nicht zulässig |
|---|---|---|---|
Farmadministratoren |
Ja |
Ausführen von Verwaltungsaufgaben in der Zentraladministration Übernehmen des Besitzes jeder Inhaltswebsite |
Verwalten einzelner Websites oder Websiteinhalte, ohne Besitzer zu werden Verwalten von Meine Websites Zugreifen auf die Verwaltungssite der gemeinsamen Dienste Erstellen oder Löschen von SharePoint-Webanwendungen Aktualisieren von Konten oder Kennwörtern vorhandener Webanwendungen und NT-Dienste Bereitstellen von Lösungen, die eine Aktualisierung des globalen Assemblycaches (GAC) erfordern Wiederherstellen aus Sicherungen |
Weitere Informationen zur Gruppe Farmadministratoren finden Sie unter Auswählen von Administratoren und Besitzern für die Verwaltungshierarchie (Office SharePoint Server).
SSO-Administratoren
SSO-Administratoren (Single sign-on, einmaliges Anmelden) können SSO-Konten einrichten, konfigurieren und verwalten, Verschlüsselungsschlüssel sichern sowie den Verschlüsselungsschlüssel erstellen und ändern. Aus Sicherheitsgründen müssen sich SSO-Administratoren lokal beim Server für den Verschlüsselungsschlüssel anmelden, um SSO einzurichten, zu konfigurieren und zu verwalten und werden daran gehindert, die SSO-Servereinstellungen remote zu verwalten. Das SSO-Administratorkonto kann auch den Verschlüsselungsschlüssel sichern.
In der folgenden Tabelle wird die SSO-Administratorrolle beschrieben.
| SharePoint-Gruppe | Rolle standardmäßig vorhanden? | Zulässig | Nicht zulässig |
|---|---|---|---|
SSO-Administratoren |
Nein. Der SSO-Dienst muss aktiviert werden, damit die Verwaltung möglich ist, und dann muss die SharePoint-Gruppe erstellt werden. |
Konfigurieren und Verwalten des SSO-Diensts in Microsoft Office SharePoint Server 2007, einschließlich Verwalten des Verschlüsselungsschlüssels Erstellen, Ändern oder Löschen der Enterpriseanwendungsdefinitionen in Microsoft Office SharePoint Server 2007 SSO-Tickets einlösen. In Szenarien, in denen Anmeldeinformationen einen zwischengeschalteten Dienst (wie Microsoft BizTalk Server) passieren müssen, bevor sie zur Enterpriseanwendungsdefinition gelangen, wird diese Gruppe verwendet, um Zwischendienstberechtigungen zum Einlösen von SSO-Tickets zu erteilen. |
Verwalten einzelner Websites oder Websiteinhalte Verwalten von Meine Websites Verwenden der Verwaltungssite der gemeinsamen Dienste Verwenden der Zentraladministration |
Weitere Informationen zu SSO finden Sie unter Planen des einmaligen Anmeldens.
Enterpriseanwendungsdefinition-Administratoren
In einer SSO-Umgebung werden die externen Back-End-Datenquellen und -Systeme als Enterpriseanwendungen bezeichnet. Nachdem die SSO-Umgebung konfiguriert wurde, können Sie Enterpriseanwendungsdefinitionen erstellen. Enterpriseanwendungsdefinition-Administratoren führen die folgenden Aufgaben aus:
Erstellen, Löschen und Verwalten von Enterpriseanwendungsdefinitionen
Aktualisieren von Konten und Anmeldeinformationen, die für den Zugriff auf Enterpriseanwendungen verwendet werden
Enterpriseanwendungsdefinition-Administratoren können Anwendungsdefinitionen remote verwalten. Weitere Informationen zur Enterpriseanwendungsdefinitionen finden Sie im Abschnitt" Enterpriseanwendungsdefinitionen" unter Planen des einmaligen Anmeldens.
In der folgenden Tabelle wird die Rolle des Enterpriseanwendungsdefinition-Administrators beschrieben.
| SharePoint-Gruppe | Rolle standardmäßig vorhanden? | Zulässig | Nicht zulässig |
|---|---|---|---|
Enterpriseanwendungsdefinition-Administratoren |
Nein. Der SSO-Dienst muss aktiviert werden, damit die Verwaltung möglich ist. Das Konto muss ein globales Gruppenkonto oder ein einzelnes Benutzerkonto sein. Dieses Konto darf keine lokale Domänengruppe oder Verteilerliste sein. |
Erstellen, Verwalten und Löschen von Enterpriseanwendungsdefinitionen Aktualisieren von Enterpriseanwendungskonten und -Anmeldeinformationen |
Verwalten einzelner Websites oder Websiteinhalte Hinweis Kann die Website nur verwalten, wenn explizit Leseberechtigungen erteilt wurden. Leseberechtigungen werden standardmäßig nicht erteilt. Verwalten von Meine Websites Zugreifen auf die Verwaltungssite der gemeinsamen Dienste Zugreifen auf die Zentraladministration |
Administrator auf Serverebene
Die Mitglieder der Gruppe Administratoren auf dem lokalen Servercomputer werden automatisch der SharePoint-Gruppe Farmadministratoren hinzugefügt und können alle Farmadministratoraktionen ausführen. Die Gruppe Administratoren ist eine Windows-Gruppe, keine SharePoint-Gruppe, aber die Gruppe Administratoren führt auf dem lokalen Computer bestimmte Vewaltungsaufgaben in Microsoft Office SharePoint Server 2007 aus. Wie Farmadministratoren haben Mitglieder der Gruppe Administratoren auf dem lokalen Computer standardmäßig keinen Verwaltungszugriff auf Websiteinhalte. Sie können jedoch ggf. Kontrolle über bestimmte Websitesammlungen erlangen. Zum Übernehmen der Kontrolle können Sie sich mithilfe der Seite Websitesammlungsadministratoren in der Zentraladministration selbst als Websitesammlungsadministratoren hinzufügen.
In der folgenden Tabelle wird die Administratorrolle auf Serverebene beschrieben.
| Gruppe | Rolle standardmäßig vorhanden? | Zulässig | Nicht zulässig |
|---|---|---|---|
Administratoren |
Ja. Standardmäßig vorhandene Windows-Gruppe; keine SharePoint-Gruppe. |
Installieren von Produkten Erstellen neuer Webanwendungen und neuer IIS-Websites (Internet Information Services, Internetinformationsdienste) Starten von Diensten Bereitstellen von Webparts und neuen Features für den globalen Assemblycache Ausführen aller Aufgaben auf Farmebene in der Zentraladministration (sofern sich die Zentraladministrationssite auf dem lokalen Computer befindet) Ausführen des Befehlszeilentools Stsadm Hinweis Um das Befehlszeilentool Stsadm ausführen zu können, müssen Sie Administrator auf Serverebene sein. Je nach tatsächlich ausgeführtem Befehl benötigen Sie auch weitere Berechtigungen. Wenn Sie z. B. den Befehl stsadm.exe –o deleteweb ausführen, muss das Konto über Schreibzugriff auf die Inhaltsdatenbank verfügen, in der sich die Webanwendung befindet. |
Verwalten einzelner Websites oder Websiteinhalte Verwalten von Meine Websites Verwalten von Datenbanken |
Verwaltung auf gemeinsamer Dienstebene
Eines der neuen Features des Verwaltungsmodells in Microsoft Office SharePoint Server 2007 besteht darin, dass Unternehmen nun Benutzern die Verwaltung von einem oder mehreren gemeinsamen Diensten zuordnen können. Bei großen Unternehmen kann das Zuordnen der Verwaltung von Vorteil sein. In einem solchen Fall weist der Websitesammlungsadministrator die Verwaltungsaufgaben für die Verwaltungssite der gemeinsamen Dienste einem oder mehreren Administratoren für gemeinsame Dienste zu. Bei kleinen Unternehmen ist eine Delegierung der Dienste möglicherweise nicht praktikabel. Ein einzelner Administrator würde alle gemeinsamen Dienste verwalten.
Die Verwaltung auf gemeinsamer Dienstebene umfasst die folgenden Rollen:
Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste
Administrator für gemeinsame Dienste
Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste
Der Websitesammlungsadministrator verfügt über die Berechtigungsstufe Vollzugriff für die Verwaltungssite der gemeinsamen Dienste. Zur Installation von Microsoft Office SharePoint Server 2007 und zum Erstellen eines SSP ist ein Farmadministratorkonto erforderlich. Standardmäßig ist das Farmadministratorkonto, das den SSP erstellt hat, der Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste und verfügt über die Fähigkeit zum Verwalten von Berechtigungen für die gemeinsame Dienste Personen und Geschäftsdatenkatalog.
- In der folgenden Tabelle wird die Rolle Websitesammlungsadministrator beschrieben.
| Administratorrolle | Wie wird die Rolle hinzugefügt? | Zulässig | Nicht zulässig |
|---|---|---|---|
Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste |
Das Benutzerkonto Farmadministrator, das den SSP erstellt hat, wird automatisch zum Websitesammlungsadministrator und kann alle Einstellungen auf der Verwaltungssite der gemeinsamen Dienste verwalten. |
Verwenden der Verwaltungssite der gemeinsamen Dienste mit der Berechtigungsstufe Vollzugriff Konfigurieren des Verwendungsberichts Hinzufügen von Benutzern zur Standardgruppe Leser für Websites, die Meine Websites und Profile umfassen Erstellen persönlicher Websites Verwalten von Websites und Benutzerprofilen Konfigurieren von Berechtigungen für bestimmte Dienste oder Zuordnen der Verwaltung gemeinsamer Dienste zu anderen Benutzern |
Verwalten einzelner Websites oder Websiteinhalte Zusätzliche Benutzerkonten, denen die Mitgliedschaft erst nach der Installation gewährt wurde, können auf die folgenden Seiten nur zugreifen, wenn ihnen der Zugriff speziell erteilt wurde:
|
| Arbeitsblattaktion |
|---|
Geben Sie im Dokument Arbeitsblatt "Administratoren und Besitzer" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x407) in die Spalte für den SSP oder den Dienstnamen Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste ein, und listen Sie dann die Benutzer oder Konten auf, die dieser Rolle zugeordnet werden sollen. |
Administrator für gemeinsame Dienste
Sie können einem Benutzer die Verwaltung für einen gemeinsamen Dienst zuordnen. Zu diesem Zweck fügt der Websitesammlungsadministrator für die Verwaltungsseite der gemeinsamen Dienste Benutzer hinzu. Jeder Benutzer, der auf der Verwaltungsseite der gemeinsamen Dienste zur Gruppe Besucherhinzugefügt wird, verfügt über Leseberechtigungen und kann die Einstellungen für Suchen, Excel Services, Benutzerprofile und Eigenschaften, Richtlinien der Profildienste und Meine Website verwalten. Darüber hinaus kann ein Benutzer, der der Verwaltungsseite der gemeinsamen Dienste als Administrator für gemeinsame Dienste hinzugefügt wurde, über die Verknüpfung Berechtigungen für Personalisierungsdienste die Berechtigung zum Verwalten des gemeinsamen Diensts Personen erteilen oder über die Verknüpfung Berechtigungen für Geschäftsdatenkatalog die Berechtigung zu Verwaltung des gemeinsamen Diensts Geschäftsdatenkatalog erteilen. Daher sollten Sie bei der Auswahl der Benutzer, die Sie der Verwaltungssite der gemeinsamen Dienste hinzufügen, sorgfältig entscheiden.
Wichtig
Zum Verwalten eines gemeinsamen Diensts muss ein Benutzer zuerst vom Websitesammlungsadministrator der Verwaltungssite der gemeinsamen Dienste hinzugefügt werden. Nachdem der Benutzer der Verwaltungssite der gemeinsamen Dienste hinzugefügt wurde, erhält er automatisch Berechtigungen zum Verwalten Einstellungen für Excel Services, Suchen, Benutzerprofile und Eigenschaften, Richtlinien der Profildienste und Meine Website. Zusätzlichen Berechtigungen zum Verwalten der gemeinsamen Dienste Personen oder Geschäftsdatenkatalog werden einzelnen Benutzern auf den Seiten Berechtigungen verwalten für die entsprechenden Dienste erteilt.
In den folgenden Abschnitten werden die verschiedenen Administrator- und Managerrollen für gemeinsame Dienste beschrieben.
Suchdienstadministrator
Suchdienstadministratoren verwalten die verschiedenen Aspekte des Suchsystems, die die Verwendung der Suche auf den Websites grundlegend unterstützen. Zu diesen Aspekten gehören das Crawlen des Inhalts zur Erstellung eines Index und das Erstellen gemeinsamer Suchbereiche, die den Benutzern das Suchen über Teilmengen von Inhalten hinweg ermöglichen. Suchdienstadministratoren befassen sich mit der Struktur des Inhalts einer Website – d. h., Sie möchten es den Benutzern erleichtern, den Inhalt einer Website zu durchsuchen, dazu beizutragen und damit zu arbeiten.
Wichtig
Standardmäßig ist jeder Benutzer, der zumindest über Leseberechtigungen für die Verwaltungssite der gemeinsamen Dienste verfügt, dazu berechtigt, die Einstellungen für Suchen, Verwendungsberichte durchsuchen, Excel Services, Benutzerprofile und Eigenschaften, Richtlinien der Profildienste und Meine Website zu verwalten.
In der folgenden Tabelle werden die Aufgaben beschrieben, die ein Suchdienstadministrator ausführen kann.
| Administratorrolle | Wie wird die Rolle hinzugefügt? | Zulässig | Nicht zulässig |
|---|---|---|---|
Suchdienstadministrator |
Der Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste fügt dieser einen Benutzer hinzu. |
Erstellen und Verwalten von Inhaltsquellen und Crawlzeitplänen Verwalten von Dateitypen Erstellen und Verwalten des Standardkontos für den Inhaltszugriff Erstellen von Servernamenzuordnungen Aktivieren oder Deaktivieren suchbasierter Warnungen Erstellen und Verwalten von Suchbereichen Angeben autorisierender Webseiten Verwalten von Metadateneigenschaften |
Zugreifen auf die Zentraladministrationssite |
| Arbeitsblattaktion |
|---|
Geben Sie im Arbeitsblatt für Administratoren und Besitzer (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x407) in die Spalte für den SSP oder den Dienstnamen Suchdienstadministrator ein, und listen Sie dann die Benutzer oder Konten auf, die dieser Rolle zugeordnet werden sollen. |
Benutzerprofilmanager
Profildienste ist der gemeinsame Dienst für Personen- und Personalisierungsfeatures. Profildienste stellt Verbindungen mit Datenbanken her, die Informationen über Personen aus verschiedenen Quellen enthalten, und integriert diese Informationen in Benutzerprofile, die die Grundlage für leistungsstarke Personalisierungsfeatures bilden. Benutzerprofil-Manager importieren mithilfe des Geschäftsdatenkatalogs Informationen über Benutzer aus Verzeichnisdiensten wie Active Directory-Verzeichnisdienst und LDAP (Lightweight Directory Access Protocol) und aus Branchenanwendungen wie SAP.
Die Inhalte können an die einzelnen Benutzer im Unternehmen angepasst werden, während die Administratoren Richtlinien für den Datenschutz festlegen können. In der folgenden Tabelle wird die Rolle des Benutzerprofil-Managers beschrieben.
| Administratorrolle | Wie wird die Rolle hinzugefügt? | Zulässig | Nicht zulässig |
|---|---|---|---|
Benutzerprofilmanager |
Der Websitesammlungsadministrator gewährt einem Benutzer Zugriff auf die Verwaltungssite der gemeinsamen Dienste, und dann erteilt der Benutzerprofil-Manager dem Benutzer auf der Seite Berechtigungen verwalten: Rechte für gemeinsame Dienste die Berechtigung Benutzerprofile verwalten. Diese Seite wird durch Klicken auf die Verknüpfung Berechtigungen für Personalisierungsdienste geöffnet. |
Konfigurieren und Verwalten von Benutzerprofilen Anzeigen und Bearbeiten von Benutzerprofileigenschaften Anpassen und Konfigurieren von Einstellungen und Berechtigungen für Meine Websites Konfigurieren der Richtlinien der Profildienste Verwalten von Personalisierungslinks, vertrauenswürdigen Hostlinks für Meine Websites und Links aus Office-Clientanwendungen Zugreifen auf die Suchdienst- und Excel Services-Seiten, obwohl diese Aufgaben nicht dieser Rolle zugeordnet sind |
Zugreifen auf die Zentraladministrationssite Verwalten von Benutzergruppen, es sei denn, die Berechtigung Benutzergruppen verwalten wurde vom Berechtigungsmanager für Profildienste speziell erteilt Verwalten von Berechtigungen, es sei denn, die Berechtigung Berechtigungen verwalten wurde vom Berechtigungsmanager für Profildienste speziell erteilt Verwalten des Verwendungsberichts, es sei denn, die Berechtigung Verwendungsanalysen verwalten wurde speziell erteilt |
.
Verwalter von Benutzergruppen
In Microsoft Office SharePoint Server 2007 können Sie anhand von Daten aus Benutzerprofilen mithilfe von Regeln Zielgruppen erstellen. Diese Regeln können mithilfe von Benutzerprofileigenschaften wie Abteilung oder Verantwortlichkeiten, relationale Informationen wie Berichtshierarchie oder Benutzermitgliedschaft in einer Verteilerliste oder Sicherheitsgruppe definiert werden. In der folgenden Tabelle wird die Rolle des Zielgruppen-Managers beschrieben.
| Administratorrolle | Wie wird die Rolle hinzugefügt? | Zulässig | Nicht zulässig |
|---|---|---|---|
Verwalter von Benutzergruppen |
Der Berechtigungs-Manager für Profildienste erteilt einem Benutzer auf der Seite Berechtigungen verwalten: Rechte für gemeinsame Dienste die Berechtigung Benutzergruppen verwalten. Diese Seite wird durch Klicken auf die Verknüpfung Berechtigungen für Personalisierungsdienste geöffnet. |
Erstellen, Kompilieren und Verwalten von Benutzergruppen und Benutzergruppenregeln Anzeigen der Mitgliedschaft von Benutzergruppen Verwalten von Personalisierungslinks, vertrauenswürdigen Hostlinks für Meine Websites und Links aus Office-Clientanwendungen Zugreifen auf Suchdienst- und Excel Services-Verwaltungsseiten |
Verwalten von Benutzerprofilen oder Meine Websites, es sei denn, die Berechtigung Benutzerprofile verwalten wurde speziell erteilt Verwalten des Geschäftsdatenkatalogs, es sei denn, die Berechtigungen für den Geschäftsdatenkatalog wurden speziell erteilt Verwalten von Berechtigungen, es sei denn, die Berechtigung Berechtigungen verwalten wurde speziell erteilt Verwalten des Verwendungsberichts, es sei denn, die Berechtigung Verwendungsanalysen verwalten wurde speziell erteilt Zugreifen auf die Zentraladministrationsseite |
Weitere Informationen zum Konfigurieren der Personalisierungseinstellungen und Berechtigungen finden Sie unter Konfigurieren von Personalisierungsberechtigungen.
| Arbeitsblattaktion |
|---|
Geben Sie im Arbeitsblatt für Administratoren und Besitzer (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x407) in die Spalte für den SSP oder den Dienstnamen entweder Benutzerprofil-Manager oder Zielgruppen-Manager ein, und listen Sie dann die Benutzer oder Konten auf, die dieser Rolle zugeordnet werden sollen. |
Geschäftsdatenkatalogmanager
Der Geschäftsdatenkatalog-Manager ist für das Registrieren von Branchenanwendungen und ausgewählten Geschäftsdatentypen und -eigenschaften dieser Anwendungen verantwortlich. Der Geschäftsdatenkatalog wird über die Verwaltungssite der gemeinsamen Dienste für jeden SSP verwaltet. Für jede Branchenanwendung, die von den Webanwendungen und Websitesammlungen eines SSP verwendet wird, müssen Sie zuerst die Branchenanwendung sowie die Geschäftsdatentypen und -eigenschaften registrieren, die Sie durch Importieren einer Anwendungsdefinition für die Anwendung für die Benutzer verfügbar machen möchten.
In der folgenden Tabelle werden Aufgaben beschrieben, die ein Geschäftsdatenkatalogmanager ausführen kann.
| Administratorrolle | Wie wird die Rolle hinzugefügt? | Zulässig | Nicht zulässig |
|---|---|---|---|
Geschäftsdatenkatalogmanager |
Der Berechtigungs-Manager für den Geschäftsdatenkatalog erteilt einem Benutzer auf der Seite Berechtigungen verwalten für den Geschäftsdatenkatalog die Berechtigung Bearbeiten oder die Berechtigung Bearbeiten und ausführen. |
Importieren von Anwendungsdefinitionen in den Geschäftsdatenkatalog für Branchenanwendungen Konfigurieren von Geschäftsdatentypen (Entitäten) und Eigenschaften für jede Anwendung Ausführen von Methoden für Entitätsinstanzen mit der Berechtigung Ausführen Anzeigen von Anwendungen und Entitäten sowie Erstellen der Profilseitenvorlage und benutzerdefinierter geschäftlicher Aktionen Die Suche nach Inhaltsquellen für Geschäftsdaten verwalten; Personalisierungsverknüpfungen, vertrauenswürdige Hostverknüpfungen für Meine Website und Verknüpfungen aus Office-Clientanwendungen verwalten, obwohl diese Aufgaben nicht dieser Rolle zugeordnet sind Zugreifen auf die Excel Services-Seiten, obwohl diese Aufgaben nicht dieser Rolle zugeordnet sind |
Berechtigungen für den Geschäftsdatenkatalog verwalten, es sei denn, die Berechtigung Berechtigungen festlegen wurde vom Berechtigungs-Manager für den Geschäftsdatenkatalog speziell erteilt Geschäftsdatenlisten, Webparts und Websites anpassen, es sei denn, der Benutzer ist auch ein Websitesammlungsadministrator oder Websitebesitzer und die Berechtigung Auswählen in Clients wurde vom Berechtigungs-Manager für den Geschäftsdatenkatalog speziell erteilt Verwalten des Verwendungsberichts, es sei denn, die Berechtigung Verwendungsanalysen verwalten wurde speziell erteilt Zugreifen auf andere gemeinsame Dienste mit Ausnahme von Excel Services und Suchen Zugreifen auf die Zentraladministrationssite |
Weitere Informationen zu Business Intelligence-Features finden Sie unter Konfigurieren von Business Intelligence-Features.
| Arbeitsblattaktion |
|---|
Geben Sie im Dokument Arbeitsblatt "Administratoren und Besitzer" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x407) in die Spalte für den SSP oder den Dienstnamen Geschäftsdatenkatalog-Manager ein, und listen Sie dann die Benutzer oder Konten auf, die dieser Rolle zugeordnet werden sollen. |
Berechtigungsmanager für den Geschäftsdatenkatalog
Der Berechtigungs-Manager für den Geschäftsdatenkatalog ist für die Verwaltung der Berechtigungen für alle Geschäftsdatenkatalog-Einstellungen verantwortlich. Damit ein Benutzer den gemeinsamen Dienst Geschäftsdatenkatalog verwenden kann, muss auf der Seite Berechtigungen ändern: Geschäftsdatenkatalog die Option Berechtigungen festlegen ausgewählt sein. In der folgende Tabelle werden die Aufgaben beschrieben, die ein Geschäftsdatenkatalog-Manager ausführen kann.
| Administratorrolle | Wie wird die Rolle hinzugefügt? | Zulässig | Nicht zulässig |
|---|---|---|---|
Berechtigungsmanager für den Geschäftsdatenkatalog |
Der standardmäßige Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste, dem während der Installation die Berechtigung Berechtigungen festlegen erteilt wurde, gewährt auf der Seite Berechtigungen ändern: Geschäftsdatenkatalog einem anderen Benutzer die Berechtigung Berechtigungen festlegen. Diese Seite wird durch Klicken auf die Verknüpfung Berechtigungen für Personalisierungsdienste geöffnet. Diese Seite ist durch Klicken auf die Verknüpfung Berechtigungen für Geschäftsdatenkatalog verfügbar. |
Konfigurieren des Geschäftsdatenkatalogs Verwalten von Personalisierungslinks, vertrauenswürdigen Hostlinks für Meine Websites und Verknüpfungen aus Office-Clientanwendungen, obwohl diese Aufgaben nicht dieser Rolle zugeordnet sind Zugreifen auf die Suchdienst- und Excel Services-Seiten, obwohl diese Aufgaben nicht dieser Rolle zugeordnet sind |
Zugreifen auf die Zentraladministrationssite Verwalten von Berechtigungen für Profildienste Verwalten von Benutzerprofilen oder Meine Websites, es sei denn, die Berechtigung Benutzerprofile verwalten wurde speziell erteilt Verwalten von Benutzergruppen, es sei denn, die Berechtigung Benutzergruppen verwalten wurde vom Websitesammlungsadministrator speziell erteilt Verwalten von Verwendungsberichten, es sei denn, die Berechtigung Verwendungsanalysen verwalten wurde speziell erteilt |
| Arbeitsblattaktion |
|---|
Geben Sie im Arbeitsblatt für Administratoren und Besitzer (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x407) in die Spalte für den SSP oder den Dienstnamen Berechtigungs-Manager für den Geschäftsdatenkatalog ein, und listen Sie dann die Benutzer oder Konten auf, die dieser Rolle zugeordnet werden sollen. |
Berechtigungsmanager für Profildienste
Der Berechtigungs-Manager für Profildienste ist für die Verwaltung der Berechtigungen für die Profildienste verantwortlich. Der Manager verwendet die Verknüpfung Berechtigungen für Personalisierungsdienste auf der Verwaltungssite der gemeinsamen Dienste zum Festlegen von Berechtigungen. In der folgenden Tabelle werden die Aufgaben beschrieben, die ein Berechtigungs-Manager für Profildienste ausführen kann.
| Administratorrolle | Wie wird die Rolle hinzugefügt? | Zulässig | Nicht zulässig |
|---|---|---|---|
Berechtigungsmanager für Profildienste |
Der standardmäßige Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste, dem während der Installation die Berechtigung Berechtigungen verwalten erteilt wurde, gewährt auf der Seite Berechtigungen ändern: Geschäftsdatenkatalog einem anderen Benutzer die Berechtigung Berechtigungen verwalten. Diese Seite wird durch Klicken auf die Verknüpfung Berechtigungen für Personalisierungsdienste geöffnet. Diese Seite ist durch Klicken auf die Verknüpfung Berechtigungen für Personalisierungsdienste verfügbar. |
Konfigurieren von Berechtigungen für Personalisierungsdienste Personalisierungsverknüpfungen, vertrauenswürdige Hostverknüpfungen für Meine Websites und Verknüpfungen aus Office-Clientanwendungen verwalten, auch wenn diese Aufgaben von jedem Benutzer ausgeführt werden können, der Zugriff auf die Verwaltungssite der gemeinsamen Dienste hat Zugreifen auf die Suchdienst- und Excel Services-Seiten, obwohl diese Aufgaben nicht dieser Rolle zugeordnet sind |
Verwalten von Berechtigungen für den Geschäftsdatenkatalog Verwalten von Benutzerprofilen oder Meine Websites, es sei denn, die Berechtigung Benutzerprofile verwalten wurde speziell erteilt Verwalten von Benutzergruppen, es sei denn, die Berechtigung Benutzergruppen verwalten wurde vom Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste speziell erteilt Verwalten des Verwendungsberichts, es sei denn, die Berechtigung Verwendungsanalysen verwalten wurde speziell erteilt Verwalten des Geschäftsdatenkatalogs, es sei denn, die Berechtigungen für den Geschäftsdatenkatalog wurden speziell erteilt Zugreifen auf die Zentraladministrationssite |
| Arbeitsblattaktion |
|---|
Geben Sie im Arbeitsblatt für Administratoren und Besitzer (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x407) in die Spalte für den SSP oder den Dienstnamen Berechtigungs-Manager für Profildienste ein, und listen Sie dann die Benutzer oder Konten auf, die dieser Rolle zugeordnet werden sollen. |
Excel Services-Administrator
Excel Services ermöglicht es den Benutzern, serverseitige Arbeitsmappenberechnungen zu nutzen, und bietet Administratoren die Fähigkeit zum Steuern des Zugriffs auf Arbeitsmappen sowie zum Schützen von privaten Daten und geistigem Eigentum. Dadurch wird sichergestellt, dass die Daten in Ihren Arbeitsmappen geschützt sind, während die Benutzer von den Vorteilen der Funktionen für die Datenaktualisierung und -neuberechnung profitieren können.
In der folgenden Tabelle werden die Aufgaben beschrieben, die ein Excel Services-Administrator ausführen kann.
| Administratorrolle | Wie wird die Rolle hinzugefügt? | Zulässig | Nicht zulässig |
|---|---|---|---|
Excel Services-Administrator |
Der Websitesammlungsadministrator für die Verwaltungssite der gemeinsamen Dienste muss dieser einen Benutzer hinzufügen. |
Hinzufügen von Informationen zu vertrauenswürdigen Dateispeicherorten Hinzufügen vertrauenswürdiger Datenprovider Hinzufügen vertrauenswürdiger Datenverbindungsbibliotheken Hinzufügen benutzerdefinierter Funktionsassemblys Ändern von Excel Services-Einstellungen Zugreifen auf andere Verwaltungsseiten – z. B. die Seite Anwendungen für den Geschäftsdatenkatalog |
Zugreifen auf die Zentraladministrationssite Starten und Verwalten des SSO-Diensts Starten oder Beenden von Diensten für Excel-Berechnungen oder von anderen Diensten Ausführen von Verwaltungsvorgängen mit dem Befehlszeilentool Stsadm |
Weitere Informationen zu Excel Services finden Sie unter Planen der Sicherheit von Excel Services.
| Arbeitsblattaktion |
|---|
Geben Sie im Dokument "Arbeitsblatt für Administratoren und Besitzer" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x407) in die Spalte für den SSP oder den Dienstnamen die Zeichenfolge Excel Services-Administrator ein, und listen Sie dann die Benutzer oder Konten auf, die dieser Rolle zugewiesen werden sollen. |
Verwendungsberichtmanager
Verwendungsbericht ist ein Dienst, der Websitesammlungsadministratoren, Websitebesitzern und Administratoren gemeinsamer Dienste das Überwachen von Statistiken zur Verwendung ihrer Websites ermöglicht. Verwendungsbericht umfasst auch Verwendungsberichte zu Suchabfragen, die von den Suchdienstadministratoren und Websitesammlungsadministratoren angezeigt werden können. Das folgende Verfahren zeigt den dreistufigen Vorgang zur Konfiguration des Verwendungsberichts.
Konfigurieren des Verwendungsberichts
Ein Farmadministrator aktiviert die Windows SharePoint Services-Verwendungsprotokollierung für die Farm, in der die Webanwendung mit dem SSP gehostet wird.
Der Verwendungsberichtmanager aktiviert und konfiguriert den Dienst Verwendungsbericht.
Websitesammlungsadministratoren können das Berichtfeature auswählen, um Verwendungsberichte für ihre Websitesammlungen zu aktivieren.
In der folgende Tabelle werden Aufgaben beschrieben, die ein Verwendungsberichtmanager ausführen kann.
| Administratorrolle | Wie wird die Rolle hinzugefügt? | Zulässig | Nicht zulässig |
|---|---|---|---|
Verwendungsberichtmanager |
Der Berechtigungsmanager für Profildienste erteilt einem Benutzer die Berechtigung Verwendungsanalysen verwalten. |
Aktivieren Sie den Dienst Verwendungsbericht über die Verwaltungssite der gemeinsamen Dienste. Das Anzeigen oder Bearbeiten der Verwendung einer Website oder Websitesammlung ist eine Aufgabe, die dem Websitebesitzer oder Websitesammlungsadministrator gestattet wird. Sie kann jedoch erst gestattet werden, nachdem der Verwendungsbericht-Manager den Verwendungsbericht aktiviert hat. Aktivieren der Suchabfrageprotokollierung |
Zugreifen auf andere gemeinsame Dienste mit Ausnahme der Dienste, die für alle Benutzer mit Lesezugriff für die Verwaltungssite der gemeinsamen Dienste verfügbar sind Zugreifen auf die Zentraladministrationssite |
Weitere Informationen zum Dienst Verwendungsbericht finden Sie unter Konfigurieren des Verwendungsberichts.
| Arbeitsblattaktion |
|---|
Geben Sie im Dokument "Arbeitsblatt für Administratoren und Besitzer" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x407) in die Spalte für den SSP oder den Dienstnamen die Zeichenfolge Verwendungsberichtmanager ein, und listen Sie dann die Benutzer oder Konten auf, die dieser Rolle zugewiesen werden sollen. |
Verwaltung auf Websiteebene
Die Verwaltung auf Websiteebene umfasst die folgenden Rollen:
Websitesammlungsadministratoren
Websitebesitzer
Websitesammlungsadministratoren
Websitesammlungsadministratoren verfügen über die Berechtigungsstufe Vollzugriff für alle Websites und Inhalte in einer Websitesammlung. Von der Websitesammlungsebene aus verwalten die Websitesammlungsadministratoren die Einstellungen (z. B. Websitesammlungsfeatures, Überwachungseinstellungen für Websitesammlungen und Websitesammlungsrichtlinien) für die oberste Website auf der Seite Websiteeinstellungen. Wenn Sie eine Websitesammlung erstellen, können Sie die primären und sekundären Websitesammlungsadministratoren angeben. Ein Websitesammlungsadministrator ist ein Benutzer mit einer Kennzeichnung in der Inhaltsdatenbank, die angibt, dass dieser sämtliche Aufgaben in einer Websitesammlung, einschließlich aller Aufgaben für bestimmte Websites mit einer Websitesammlung, ausführen kann. Diese Kennzeichnung kann auf der Seite Websitesammlungsadministratoren in der Zentraladministration, auf der Seite Websiteeinstellungen auf einer übergeordneten Website oder durch Ausführung des Websitebesitzervorgangs mithilfe des Stsadm-Befehlszeilentools geändert werden. Im Allgemeinen werden die Websitesammlungsadministratoren beim Erstellen der Website angegeben. Sie können diese jedoch nach Bedarf in der Zentraladministration oder auf den Seiten mit den Websiteeinstellungen ändern.
In der folgenden Tabelle wird die Rolle Websitesammlungsadministrator beschrieben.
| SharePoint-Gruppe | Rolle standardmäßig vorhanden? | Zulässig | Nicht zulässig |
|---|---|---|---|
Websitesammlungsadministrator |
Ja |
Ausführen aller Verwaltungsaufgaben für Websites in der Websitesammlung |
Zugreifen auf die Zentraladministrationssite |
Websitebesitzer
Websitebenutzer sind Benutzer, denen die Berechtigungsstufe Vollzugriff für die Website explizit erteilt wurde, und zwar entweder direkt oder dadurch, dass sie Mitglied einer SharePoint-Gruppe sind, z. B. der Gruppe der Besitzer, die über die Berechtigungsstufe Vollzugriff für die Website verfügt. Websitebesitzer können nur Aufgaben für die Website, nicht für die gesamte Websitesammlung ausführen.
Hinweis
Der Benutzer, der die Website erstellt, wird automatisch der Gruppe der Besitzer für die Website hinzugefügt.
In der folgenden Tabelle werden die Aufgaben beschrieben, die Websitebesitzer ausführen können.
| SharePoint-Gruppe | Rolle standardmäßig vorhanden? | Zulässig | Nicht zulässig |
|---|---|---|---|
Besitzer von <Websitename> |
Ja |
Nur Verwalten der Website, nicht der gesamten Websitesammlung Ausführen von Verwaltungsaufgaben für Dokumente, Listen und Bibliotheken |
Zugreifen auf die Zentraladministrationssite Zugreifen auf die Verwaltungssite der gemeinsamen Dienste Ausführen von Verwaltungsaufgaben für die Websitesammlung, z. B. Wiederherstellen von Elementen aus dem endgültigen Papierkorb und Verwalten der Websitehierarchie |
Weitere Informationen zur Verwaltung auf Websiteebene finden Sie unter Auswählen von Administratoren und Besitzern für die Verwaltungshierarchie (Office SharePoint Server).
Arbeitsblatt
Verwenden Sie folgendes Arbeitsblatt, um Sicherheitsrollen einzuplanen:
- "Arbeitsblatt für Administratoren und Besitzer" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73126&clcid=0x407)
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007.
Siehe auch
Konzepte
Starten des Diensts für einmaliges Anmelden
Konfigurieren von einmaligem Anmelden (Office SharePoint Server)
Festlegen der zu verwendenden Berechtigungsstufen und Gruppen (Office SharePoint Server)
Planen von Anbietern für gemeinsame Dienste
Planen von Personen und Benutzerprofilen
Planen personalisierter Inhalte und Websites
Planen von Geschäftsdatenverbindungen mit dem Geschäftsdatenkatalog
Konfigurieren des Zugriffs auf Geschäftsdaten
Konfigurieren von Excel Services