Bestimmen von Berechtigungsstufen und Gruppen in SharePoint Server

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Eine SharePoint-Gruppe ist eine Gruppe von Benutzern, die zusammen verwaltet werden können. Eine Berechtigungsstufe ist eine Kombination von Berechtigungen, die einer bestimmten Gruppe oder einem bestimmten zu schützenden Objekt zugewiesen werden kann. SharePoint-Gruppen und -Berechtigungsstufen werden auf Websitesammlungsebene definiert und standardmäßig vom übergeordneten Objekt geerbt. In diesem Artikel werden die Standardgruppen und -berechtigungsstufen beschrieben, und Sie erhalten Entscheidungshilfen dazu, ob Sie diese unverändert verwenden, anpassen oder andere Gruppen und Berechtigungsstufen erstellen sollten.

Die wichtigste Entscheidung zur Website- und Inhaltssicherheit in SharePoint Server besteht darin, wie Sie Ihre Benutzer gruppieren und welche Berechtigungsstufen zugewiesen werden sollen.

Erfahren Sie mehr über SharePoint-Standardgruppen in Microsoft 365.

Überblick: Verfügbare Berechtigungsstufen

SharePoint groups enable you to manage sets of users instead of individual users. Diese Gruppen können viele einzelne Benutzer enthalten, oder sie können den Inhalt eines beliebigen Unternehmensidentitätssystems enthalten, einschließlich Active Directory Domain Services (AD DS), LDAPv3-basierten Verzeichnissen, anwendungsspezifischen Datenbanken und neuen benutzerorientierten Identitätsmodellen wie Windows Live ID. SharePoint groups do not confer specific rights to the site; they are a way to designate a set of users. You can organize yours users into any number of groups, depending on the size and complexity of your organization or Web site. SharePoint groups cannot be nested.

In der folgenden Tabelle werden Standardgruppen angezeigt, die für Teamwebsites in SharePoint Server erstellt werden. Jeder Standardgruppe wird eine standardmäßige Berechtigungsstufe zugewiesen.

Name der Gruppe Standardberechtigungsstufe Beschreibung
Besucher
Lesen
Verwenden Sie diese Gruppe, um Personen Lesezugriff auf die SharePoint-Website zu erteilen.
Mitglieder
Bearbeiten
Verwenden Sie diese Gruppe, um Personen Bearbeitungsberechtigung für die SharePoint-Website zu erteilen.
Besitzer
Vollzugriff
Verwenden Sie diese Gruppe, um Personen Vollzugriff auf die SharePoint-Website zu erteilen.
Anzeigende Benutzer
Nur Anzeigen
Verwenden Sie diese Gruppe, um Personen nur Anzeigeberechtigung für die SharePoint-Website zu erteilen.

Wenn Sie eine andere Websitevorlage als die Teamwebsitevorlage verwenden, wird eine andere Liste mit standardmäßigen SharePoint-Gruppen angezeigt. Die folgende Tabelle zeigt beispielsweise die anderen Gruppen, die von einer Veröffentlichungswebsitevorlage bereitgestellt werden.

Name der Gruppe Standardberechtigungsstufe Beschreibung
Personen mit eingeschränkten Leserechten
Eingeschränkter Lesezugriff für die Website (plus Eingeschränkter Zugriff auf bestimmte Listen)
Mitglieder dieser Gruppe können Seiten und Dokumente anzeigen, aber keine zurückliegenden Versionen und keine Informationen zu Benutzerrechten einsehen.
Formatressourcenleser
Lesen für den Gestaltungsvorlagenkatalog und Eingeschränkter Lesezugriff für die Formatbibliothek
Mitglieder dieser Gruppe haben Lesezugriff auf den Gestaltungsvorlagenkatalog und Eingeschränkten Lesezugriff auf die Formatbibliothek. Standardmäßig sind alle authentifizierten Benutzer Mitglied dieser Gruppe.
Designer
Entwerfen, Eingeschränkter Zugriff
Mitglieder dieser Gruppe können das Layout von Websiteseiten mithilfe des Browsers oder sharePoint Designer 2013 anzeigen, hinzufügen, aktualisieren, löschen, genehmigen und anpassen.
Genehmigende Personen
Genehmigen plus Eingeschränkter Zugriff
Mitglieder dieser Gruppe können Seiten, Listenelemente und Dokumente bearbeiten und genehmigen.
Hierarchie-Manager
Hierarchie verwalten plus Eingeschränkter Zugriff
Mitglieder dieser Gruppe können Websites, Listen, Listenelemente und Dokumente erstellen.

Hinweis

Entfernen Sie nicht alle authentifizierten Benutzer aus der Gruppe Formatressourcenleser, da Gestaltungsvorlagenkatalog und Formatvorlagenbibliothek für alle Websites in der Websitesammlung freigegeben sind und für alle Benutzer aller Websites zugänglich sein müssen. Wenn Sie alle authentifizierten Benutzer aus der Gruppe entfernen, kann jeder Benutzer mit dieser Berechtigungsstufe auf einer Unterwebsite die Website nicht rendern. SharePoint fügt benutzer von Unterwebsites dieser Gruppe nicht bei Bedarf automatisch hinzu oder entfernt sie aus dieser Gruppe.

Tipp

Mit der Berechtigungsstufe Eingeschränkter Zugriff wird Gruppen Zugriff auf eine bestimmte Liste, Bibliothek, einen bestimmten Ordner, ein bestimmtes Dokument oder Element erteilt, ohne dass sie Zugriff auf die gesamte Website erhalten. Entfernen Sie diese Berechtigungsstufe nicht aus den oben aufgelisteten Gruppen. Andernfalls können die Gruppen möglicherweise nicht mehr durch die Website navigieren, um zu den betreffenden Elementen zu gelangen, mit denen sie interagieren müssen.

Machen Sie die meisten Benutzer zu Mitgliedern der Gruppen Besucher oder Mitglieder. Standardmäßig können Benutzer in der Gruppe Mitglieder zur Website beitragen, indem sie Elemente oder Dokumente hinzufügen oder entfernen, aber die Struktur, die Websiteeinstellungen oder das Erscheinungsbild der Website nicht ändern. Die Gruppe Besucher hat schreibgeschützten Zugriff auf die Website, was bedeutet, dass sie Seiten und Elemente sowie offene Elemente und Dokumente sehen können, aber keine Seiten, Elemente oder Dokumente hinzufügen oder entfernen können.

Wenn die genauen Benutzergruppen in Ihrer Organisation sich nicht auf die vorhandenen Standardgruppen abbilden lassen, können Sie benutzerdefinierte Gruppen erstellen.

Neben den obigen SharePoint-Gruppen sind auch Administratorgruppen für Verwaltungsaufgaben verfügbar, die höhere Berechtigungsstufen erfordern. Dies sind Windows-Administratoren, SharePoint-Farmadministratoren und Websitesammlungsadministratoren.

Weitere Informationen finden Sie unter Auswählen von Administratoren und Besitzern für die Verwaltungshierarchie in SharePoint 2013.

Überblick: Verfügbare Berechtigungsstufen

Ob eine Website angezeigt, geändert oder verwaltet werden darf, wird durch die Berechtigungsstufe bestimmt, die Sie einem Benutzer oder einer Gruppe zuweisen. Diese Berechtigungsstufe steuert alle Berechtigungen für die Website und die untergeordneten Objekte, die die Berechtigungen für die Website erben. Ohne die entsprechenden Berechtigungsstufen können die Benutzer ihre Aufgaben möglicherweise nicht ausführen oder sie sind in der Lage, Aufgaben auszuführen, zu denen sie nicht befugt sein sollten.

Die folgenden Berechtigungsstufen sind standardmäßig verfügbar:

  • Nur anzeigen Enthält Berechtigungen, mit denen Benutzer Seiten, Listenelemente und Dokumente anzeigen können.

  • Eingeschränkter Zugriff Enthält Berechtigungen, mit denen Benutzer bestimmte Listen, Dokumentbibliotheken, Listenelemente, Ordner oder Dokumente anzeigen können, ohne Zugriff auf alle Elemente einer Website zu gewähren. You cannot edit this permission level directly.

    Hinweis

    Wenn diese Berechtigungsstufe entfernt wird, können Gruppenmitglieder möglicherweise nicht auf der Website navigieren, um auf Elemente zuzugreifen, obwohl sie über die richtigen Berechtigungen für ein Element der Website verfügen.

  • Lesen Enthält Berechtigungen, mit denen Benutzer Elemente auf den Websiteseiten anzeigen können.

  • Bearbeiten Enthält Berechtigungen, die Benutzern das Hinzufügen, Bearbeiten und Löschen von Listen ermöglichen; kann Listenelemente und Dokumente anzeigen, hinzufügen, aktualisieren und löschen.

  • Beitragen Enthält Berechtigungen, mit denen Benutzer Elemente auf den Websiteseiten oder in Listen und Dokumentbibliotheken hinzufügen oder ändern können.

  • Design Enthält Berechtigungen, die Benutzern das Anzeigen, Hinzufügen, Aktualisieren, Löschen, Genehmigen und Anpassen des Layouts von Websiteseiten mithilfe des Browsers oder SharePoint Designer 2013 ermöglichen.

  • Vollzugriff Schließt alle Berechtigungen ein.

Weitere Informationen zu den Berechtigungen, die in den Standardberechtigungsstufen enthalten sind, finden Sie unter Benutzerberechtigungen und Berechtigungsstufen in SharePoint 2013).

Die folgenden zusätzlichen Berechtigungsstufen werden standardmäßig mit der Veröffentlichungsvorlage bereitgestellt:

  • Genehmigen Enthält Berechtigungen zum Bearbeiten und Genehmigen von Seiten, Listenelementen und Dokumenten.

  • Hierarchie verwalten Umfasst Berechtigungen für Websites und Bearbeiten von Seiten, Listenelementen und Dokumenten.

  • Eingeschränkter Lesezugriff Umfasst Berechtigungen zum Anzeigen von Seiten und Dokumenten, aber keine Verlaufsversionen oder Berechtigungsinformationen.

Feststellen, ob benutzerdefinierte Berechtigungsstufen oder Gruppen benötigt werden

Die Standardgruppen und -berechtigungsstufen stellen einen allgemeinen Rahmen für Berechtigungen bereit und decken damit viele verschiedene Organisationsarten und Rollen innerhalb dieser Organisationen ab. Es kann jedoch sein, dass sie Ihre Benutzerstruktur oder die Vielzahl der Aufgaben, die die Benutzer auf den Websites ausführen, nicht genau abbilden. Wenn die Standardgruppen und -berechtigungsstufen für Ihre Organisation nicht geeignet sind, können Sie benutzerdefinierte Gruppen erstellen, die in einzelnen Berechtigungsstufen enthaltenen Berechtigungen ändern oder benutzerdefinierte Berechtigungsstufen erstellen.

Benötigen Sie benutzerdefinierte Gruppen?

Die Entscheidung für die Erstellung benutzerdefinierter Gruppen ist recht unkompliziert und hat kaum Auswirkungen auf die Sicherheit der Website. Erstellen Sie benutzerdefinierte Gruppen, anstatt die Standardgruppen zu verwenden, wenn eine der folgenden Situationen zutrifft:

  • You have more (or fewer) user roles within your organization than are obvious in the default groups. For example, if in addition to Approvers, Designers, and Hierarchy Managers, you have a set of people who are tasked with publishing content to the site, you might want to create a Publishers group.

  • Es gibt bekannte Namen für eindeutige Rollen innerhalb Ihrer Organisation, die verschiedene Aufgaben auf den Websites ausführen. Wenn Sie beispielsweise eine öffentliche Website für den Vertrieb der Produkte Ihrer Organisation erstellen, möchten Sie möglicherweise eine Gruppe mit dem Namen Kunden erstellen und anstelle der Gruppen Besucher oder Anzeigende Benutzer verwenden.

  • Sie möchten eine 1:1-Beziehung zwischen Windows-Sicherheitsgruppen und den SharePoint-Gruppen beibehalten. Ein Beispiel: In Ihrer Organisation gibt es eine Sicherheitsgruppe Websitemanager, und Sie möchten diesen Namen als SharePoint-Gruppennamen verwenden, um die Gruppe beim Verwalten der Website leicht erkennen zu können.

  • Sie möchten lieber andere Gruppennamen verwenden.

Benötigen Sie benutzerdefinierte Berechtigungsstufen?

Die Entscheidung, Berechtigungsstufen anzupassen, ist weniger einfach als die Entscheidung, SharePoint-Gruppen anzupassen. Wenn Sie die Berechtigungen anpassen, die einer Berechtigungsstufe zugewiesen sind, müssen Sie diese Änderung nachverfolgen, überprüfen, ob sie für alle Gruppen und Websites funktioniert, die von der Änderung betroffen sind, und sicherstellen, dass sich die Änderung nicht negativ auf Ihre Sicherheit oder Serverkapazität oder -leistung auswirkt.

Wenn Sie beispielsweise die Berechtigungsstufe Mitwirken so anpassen, dass sie die Berechtigung Unterwebsites erstellen beinhaltet, die normalerweise Teil der Berechtigungsstufe Vollzugriff ist, können Mitglieder der Gruppe Mitwirkende Unterwebsites erstellen und besitzen und möglicherweise böswillige Benutzer in die Unterwebsites einladen oder unangemessene Inhalte bereitstellen. Wenn Sie die Berechtigungsstufe Lesen so anpassen, dass sie die Berechtigung Verwendungsdaten anzeigen beinhaltet, die normalerweise Teil der Berechtigungsstufe Vollzugriff ist, können alle Mitglieder der Gruppe Besucher Verwendungsdaten sehen, was zu Leistungsproblemen führen kann.

Passen Sie die Standardberechtigungsstufen an, wenn eine der folgenden Situationen zutrifft:

  • Eine Standardberechtigungsstufe enthält alle Berechtigungen, es fehlt jedoch eine, die die Benutzer für ihre Arbeit benötigen, und Sie möchten diese Berechtigung hinzufügen.

  • Eine Standardberechtigungsstufe beinhaltet eine Berechtigung, die die Benutzer nicht benötigen.

    Hinweis

    Passen Sie die Standardberechtigungsstufen nicht an, wenn Ihre Organisation Sicherheits- oder andere Bedenken hinsichtlich einer bestimmten Berechtigung hat, die Teil der Berechtigungsstufe ist. Wenn Sie diese Berechtigung für alle Benutzer, die der Berechtigungsstufe oder -ebenen zugewiesen sind, die diese Berechtigung enthalten, nicht verfügbar machen möchten, deaktivieren Sie die Berechtigung für alle Webanwendungen in Ihrer Serverfarm, anstatt alle Berechtigungsstufen zu ändern, um Berechtigungen für eine Webanwendung zu verwalten, lesen Sie Verwalten von Berechtigungen für eine Webanwendung in SharePoint Server.

Wenn Sie an einer Berechtigungsstufe mehrere Änderungen vornehmen müssen, erstellen Sie eine benutzerdefinierte Berechtigungsstufe, die alle erforderlichen Berechtigungen enthält.

Möglicherweise möchten Sie weitere Berechtigungsstufen erstellen, wenn eine der folgenden Bedingungen zutrifft:

  • Sie möchten mehrere Berechtigungen aus einer bestimmten Berechtigungsstufe ausschließen.

  • Sie möchten eigene Berechtigungen für eine neue Berechtigungsstufe definieren.

Zum Erstellen einer Berechtigungsstufe können Sie eine Berechtigungsstufe anlegen und dann die Berechtigungen auswählen, die Sie einschließen möchten.

Hinweis

Einige Berechtigungen sind von anderen abhängig. Wenn Sie eine Berechtigung löschen, von der eine andere abhängt, wird die andere Berechtigung ebenfalls gelöscht.