Auswählen der zu verwendenden Sicherheitsgruppen (Office SharePoint Server)

  • Artikel

Inhalt dieses Artikels:

  • Bestimmen der Windows-Sicherheitsgruppen und -konten für das Gewähren des Zugriffs auf Websites

  • Entscheiden über den Zugriff für alle authentifizierten Benutzer

  • Entscheiden über die Gewährung des Zugriffs für anonyme Benutzer

  • Arbeitsblatt

Zum Optimieren der Benutzerverwaltung empfiehlt es sich, dass Sie Berechtigungen für Websites nicht einzelnen Benutzern, sondern Gruppen zuweisen. Im Verzeichnisdienst von Microsoft Active Directory werden Benutzer häufig in den folgenden zwei Typen von Gruppen organisiert:

  • Verteilergruppe   Eine Gruppe, die ausschließlich für die Verteilung von E-Mails verwendet wird und für die keine Sicherheit aktiviert ist. Verteilergruppen können nicht in freigegebenen Zugriffssteuerungslisten (Discretionary Access Control List, DACL) aufgelistet sein, in denen Berechtigungen für Ressourcen und Objekte definiert werden.

  • Sicherheitsgruppe   Eine Gruppe, die in freigegebenen Zugriffssteuerungslisten (Discretionary Access Control List, DACL) aufgelistet sein kann, in denen Berechtigungen für Ressourcen und Objekte definiert werden. Eine Sicherheitsgruppe kann auch als E-Mail-Entität verwendet werden.

Mithilfe von Sicherheitsgruppen können Sie Berechtigungen für Ihre Website steuern, indem Sie die Sicherheitsgruppe direkt hinzufügen und der gesamten Gruppe Berechtigungen zuweisen. Für Verteilergruppen ist dies nicht möglich. Sie können jedoch eine Verteilerliste erweitern und die einzelnen Benutzer einer SharePoint-Gruppe hinzufügen. Wenn Sie auf diese Weise vorgehen, müssen Sie die laufende Synchronisierung der SharePoint-Gruppe mit der Verteilergruppe sicherstellen. Wenn Sie Sicherheitsgruppen verwenden, müssen die einzelnen Benutzer in der SharePoint-Anwendung nicht verwaltet werden. Da anstelle der einzelnen Mitglieder der Gruppe die Sicherheitsgruppe selbst eingebunden wurde, werden die Benutzer von Active Directory verwaltet.

Bestimmen der Windows-Sicherheitsgruppen und -konten für das Gewähren des Zugriffs auf Websites

In jeder Organisation werden Windows-Sicherheitsgruppen individuell festgelegt. Für eine optimale Berechtigungsverwaltung sollten die Sicherheitsgruppen wie folgt festgelegt werden:

  • Groß und stabil genug, sodass den SharePoint-Websites nicht ständig weitere Gruppen hinzugefügt werden müssen.

  • Klein genug, dass die entsprechenden Berechtigungen zugewiesen werden können.

Die Sicherheitsgruppe "Alle Benutzer in Gebäude 2" ist möglicherweise nicht klein genug, dass Berechtigungen zugewiesen werden können, es sei denn, allen Benutzern in Gebäude 2 wurde dieselbe Position zugeordnet, beispielsweise Kreditorenkonten-Manager. Dies ist jedoch selten der Fall, daher sollten Sie einen kleineren Benutzerkreis aussuchen, beispielsweise "Kreditorenkonten" oder eine andere kleinere Gruppe von spezialisierten Benutzern.

Entscheiden über den Zugriff für alle authentifizierten Benutzer

Wenn alle Benutzer in der Domäne in der Lage sein sollen, Inhalte anzuzeigen, empfiehlt es sich, allen authentifizierten Benutzern (der Windows-Sicherheitsgruppe Domänenbenutzer) den Zugriff zu gewähren. Diese spezielle Gruppe erteilt allen Mitgliedern der Domäne den Zugriff auf eine Website (auf der ausgewählten Berechtigungsstufe), ohne dass dazu der anonyme Zugriff aktiviert werden muss.

Entscheiden über die Gewährung des Zugriffs für anonyme Benutzer

Sie können den anonymen Zugriff aktivieren, sodass alle Benutzer Seiten anonym anzeigen können. Auf den meisten Websites im Internet kann die Website anonym angezeigt werden, möglicherweise ist jedoch eine Authentifizierung erforderlich, wenn Benutzer die Website bearbeiten oder einen Artikel auf einer kommerziellen Website kaufen möchten. Der anonyme Zugriff muss auf der Webanwendungsebene beim Erstellen der Webanwendung erteilt werden. Wenn der anonyme Zugriff für die Webanwendung zulässig ist, können Websiteadministratoren über Folgendes entscheiden:

  • Gewähren des anonymen Zugriffs auf eine Website

  • Gewähren des anonymen Zugriffs ausschließlich auf Listen und Bibliotheken

  • Vollständiges Sperren des anonymen Zugriffs auf eine Website

Der anonyme Zugriff basiert auf dem anonymen Benutzerkonto auf dem Webserver. Dieses Konto wird von den Internetinformationsdiensten von Microsoft (Internet Information Services, IIS) und nicht von Ihrer SharePoint-Website erstellt und verwaltet. Standardmäßig lautet das anonyme Benutzerkonto in IIS "IUSR_ Computername". Wenn Sie den anonymen Zugriff zulassen, ermöglichen Sie dem Konto den Zugriff auf die SharePoint-Website. Wenn der Zugriff auf eine Website oder auf Listen und Bibliotheken zugelassen wird, wird dem anonymen Benutzerkonto die Berechtigung Elemente anzeigen erteilt. Selbst für die Berechtigung Elemente anzeigen gibt es jedoch Einschränken dazu, welche Aktionen von anonymen Benutzern ausgeführt werden können. Folgende Aktionen können von anonymen Benutzern nicht ausgeführt werden:

  • Verwenden des Microsoft Office SharePoint Designer-Remoteprozeduraufrufs. Anders gesagt, anonyme Benutzer können nicht auf Websites zugreifen, um diese in Office SharePoint Designer zu bearbeiten. Darüber hinaus können sie DAV (das Webordnerprotokoll in Windows) nicht verwenden, d. h., sie können die Website nicht in der Netzwerkumgebung anzeigen.

  • Hochladen oder Bearbeiten in Dokumentbibliotheken, einschließlich von Wiki-Bibliotheken.

    Wichtig

    Aktivieren Sie den anonymen Zugriff nicht, wenn Sie die Sicherheit von Websites, Listen und Bibliotheken erhöhen möchten. Durch das Gewähren des anonymen Zugriffs können Benutzer Beiträge zu Listen, Diskussionen und Umfragen beisteuern und möglicherweise Speicherplatz auf dem Server und andere Ressourcen belegen. Zudem können anonyme Benutzer Websites bestimmte Informationen entnehmen, u. a. E-Mail-Adressen von Benutzern sowie Inhalte, die in Listen, Bibliotheken und Diskussionen veröffentlicht wurden.

Sie können auch Berechtigungsrichtlinien für anonyme Benutzer für unterschiedliche Zonen festlegen (Internet, Extranet, Intranet, Andere), wenn die Inhalte in diesen unterschiedlichen Zonen durch dieselbe Webanwendung bedient werden. Die Richtlinien werden in der folgenden Liste beschrieben.

  • Keine   Keine Richtlinie. Dies ist die Standardoption. Es werden keine zusätzlichen Berechtigungseinschränkungen oder -erweiterungen auf anonyme Websitebenutzer angewendet.

  • Lesen   Anonyme Benutzer verfügen über Lesezugriff auf Inhalte, es sei denn, der anonyme Zugriff wird vom Websiteadministrator deaktiviert.

  • Schreiben verweigern   Anonyme Benutzer können keine Inhalte verfassen, selbst wenn der Websiteadministrator versucht, einem anonymen Benutzerkonto diese Berechtigung ausdrücklich zuzuweisen.

  • Alle verweigern   Anonyme Benutzer verfügen über keinen Zugriff, selbst wenn der Websiteadministrator versucht, anonymen Benutzerkonten den Zugriff auf die Websites zu gewähren.

Arbeitsblatt

Listen Sie im Dokument "Arbeitsblatt zur Website- und Inhaltssicherheit" (https://go.microsoft.com/fwlink/?linkid=73135&clcid=0x407) die Sicherheitsgruppen auf, die Sie verwenden möchten, und die Berechtigungsstufen, die für die Sicherheitsgruppen auf den einzelnen Ebenen Ihrer Websitehierarchie erforderlich sind.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007.