Planen von Websiteberechtigungen (SharePoint Server 2010)
Gilt für: SharePoint Foundation 2010, SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
In diesem Artikel wird das Planen der Zugriffssteuerung auf den Ebenen der Websitesammlung, der Websites, der Unterwebsites und des Websiteinhalts (Liste oder Bibliothek, Ordner, Element oder Dokument) erläutert. Außerdem werden die Konzepte der Vererbung von Berechtigungen und abgestimmter Berechtigungen beschrieben.
Die Planung der Sicherheit des gesamten Servers oder der gesamten Serverfarm wird in diesem Artikel nicht behandelt. Weitere Informationen zum Planen anderer Aspekte der Sicherheit, z. B. von Authentifizierungsmethoden und Authentifizierungsmodi, finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Server 2010).
Inhalt dieses Artikels:
Informationen zu Websiteberechtigungen
Informationen zur Vererbung von Berechtigungen
Planen von Websiteberechtigungen
Planen der Vererbung von Berechtigungen
Einführung
Sie können den Zugriff auf Websites und Websiteinhalt steuern, indem Sie Benutzern oder Gruppen für eine spezifische Website oder bestimmtem Websiteinhalt auf den folgenden Ebenen innerhalb einer Websitesammlung Berechtigungen zuweisen:
Website
Bibliothek oder Liste
Ordner
Dokument oder Element
Vor der Entwicklung eines Plans für den Zugriff auf Websites und Inhalte sollten Sie die folgenden Fragen berücksichtigen:
Wie differenziert möchten Sie die Berechtigungen für die Website oder den Websiteinhalt steuern? Möchten Sie beispielsweise den Zugriff auf Websiteebene steuern, oder benötigen Sie restriktivere Sicherheitseinstellungen für bestimmte Listen, Ordner oder Elemente?
Wie möchten Sie die Benutzer mithilfe von SharePoint-Gruppen kategorisieren und verwalten? Gruppen verfügen erst dann über Berechtigungen, wenn ihnen eine Berechtigungsstufe für eine bestimmte Website oder für bestimmte Websiteinhalte zugewiesen wurde. Wenn Sie SharePoint-Gruppen Berechtigungsstufen auf Websitesammlungsebene zuweisen, erben standardmäßig alle Websites und Websiteinhalte diese Berechtigungsstufen.
Weitere Informationen zur Verwendung von Gruppen zum Verwalten von Berechtigungen finden Sie unter Auswählen der Sicherheitsgruppen (SharePoint Server 2010).
Informationen zu Websiteberechtigungen
Sie sollten die folgenden Konzepte verstehen, bevor Sie einen Berechtigungsplan entwerfen:
Berechtigungen Mit Berechtigungen wird einem Benutzer die Möglichkeit zum Durchführen spezifischer Aktionen erteilt. Beispielsweise ermöglicht die Berechtigung Elemente anzeigen einem Benutzer das Anzeigen der Elemente in einer Liste oder einem Ordner, aber nicht das Hinzufügen oder Entfernen von Elementen. Berechtigungen können einzelnen Benutzer auf Websiteebene oder Websiteinhaltsebene erteilt werden.
Informationen zu verfügbaren Berechtigungen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen (SharePoint Server 2010).
Abgestimmte Berechtigungen Abgestimmte Berechtigungen sind eindeutige Berechtigungen für sicherungsfähige Objekte, die sich auf einer unteren Ebene in einer Websitehierarchie befinden, z. B. Berechtigungen in einer Liste oder Bibliothek, einem Ordner oder Element bzw. Dokument. Abgestimmte Berechtigungen ermöglichen eine höhere Granularität und Anpassung von Benutzerberechtigungen in einer Websitesammlung.
Berechtigungsstufe: Berechtigungsstufen sind Auflistungen von Berechtigungen, die Benutzern das Ausführen eines Satzes verwandter Aufgaben ermöglichen. Beispielsweise beinhaltet die Berechtigungsstufe Lesen unter anderem die Berechtigungen Elemente anzeigen, Elemente öffnen, Seiten anzeigen und Versionen anzeigen, die alle zur Anzeige von Seiten, Dokumenten und Elementen in einer SharePoint-Website benötigt werden. Berechtigungen können in mehreren Berechtigungsstufen enthalten sein.
Berechtigungsstufen sind auf Websitesammlungsebene definiert und können von jedem Benutzer bzw. jeder Gruppe angepasst werden, dessen bzw. deren Berechtigungsstufe die Berechtigung Berechtigungen verwalten beinhaltet. Weitere Informationen zum Anpassen von Berechtigungsstufen finden Sie unter Konfigurieren benutzerdefinierter Berechtigungen (SharePoint Server 2010).
Die Standardberechtigungsstufen lauten Eingeschränkter Zugriff, Lesen, Mitwirken, Entwerfen und Vollzugriff. Informationen zu Standardberechtigungsstufen und Berechtigungen, die auf jeder Stufe eingeschlossen sind, finden Sie unter Benutzerberechtigungen und Berechtigungsstufen (SharePoint Server 2010).
SharePoint-Gruppe Eine SharePoint-Gruppe ist eine Gruppe von Benutzern, die auf Websitesammlungsebene für eine einfache Verwaltung von Berechtigungen definiert sind. Jede SharePoint-Gruppe wird einer Standardberechtigungsstufe zugewiesen. Die Standardgruppen in SharePoint sind z. B. Besitzer, Besucher und Mitglieder, sie besitzen die entsprechenden Standardberechtigungsstufen Vollzugriff, Lesen und Teilnehmen. Ein Benutzer mit der Berechtigung Vollzugriff kann benutzerdefinierte Gruppen erstellen.
Benutzer: Ein Benutzer kann eine Person mit einem Benutzerkonto eines beliebigen Authentifizierungsanbieters sein, der von der Webanwendung unterstützt wird. Es wird empfohlen, Berechtigungen nicht Benutzern, sondern Gruppen zuzuweisen, obwohl Sie einzelnen Benutzern direkt Berechtigungen für eine Website oder für bestimmte Inhalte erteilen können. Da die Verwaltung individueller Benutzerkonten nicht effizient ist, sollten Sie Berechtigungen nur in Ausnahmefällen einzelnen Benutzern zuweisen.
Sicherungsfähiges Objekt: Ein sicherungsfähiges Objekt ist eine Website, Liste oder Bibliothek oder ein Ordner, Dokument oder Element, für die bzw. das Benutzern oder Gruppen Berechtigungsstufen zugewiesen werden können. Standardmäßig erben alle Listen und Bibliotheken innerhalb einer Website die Berechtigungen der Website. Sie können Berechtigungen auf Listen-, Ordner- und Elementebene verwenden, um zu steuern, welche Benutzer den Websiteinhalt anzeigen oder damit interagieren können. Sie müssen zunächst die Berechtigungsvererbung unterbrechen, bevor Sie Berechtigungen für dieses sicherungsfähige Objekt ändern oder erteilen können. Sie können die Vererbung von Berechtigungen von der übergeordneten Liste oder Website jederzeit wieder fortsetzen.
Sie können einem Benutzer oder einer Gruppe Berechtigungen für ein bestimmtes sicherungsfähiges Objekt zuweisen. Einzelne Benutzer oder Gruppen können für unterschiedliche sicherungsfähige Objekte über unterschiedliche Berechtigungen verfügen. In der folgenden Abbildung sind die Beziehungen zwischen Berechtigungen, Benutzern und Gruppen sowie sicherungsfähigen Objekten dargestellt.
.gif "Spezifische Berechtigungsstufen")
Informationen zur Vererbung von Berechtigungen
Berechtigungen für sicherungsfähige Objekte innerhalb einer Website werden standardmäßig vom übergeordneten Objekt geerbt. Sie können die Vererbung unterbrechen und abgestimmte Berechtigungen (eindeutigen Berechtigungen auf Listen-, Bibliotheks-, Ordner-, Element- oder Dokumentebene) verwenden, um genauer zu steuern, welche Aktionen Benutzer auf der Website ausführen können. Weitere Informationen zu den bewährten Methoden für die Verwendung abgestimmter Berechtigungen finden Sie unter Bewährte Methoden für die Verwendung abgestimmter Berechtigungen.
Beim Unterbrechen der Vererbung von Berechtigungen werden die Gruppen, Benutzer und Berechtigungsstufen des übergeordneten Objekts in das untergeordnete Objekt kopiert, und die Vererbung wird unterbrochen. Wenn die Vererbung von Berechtigungen unterbrochen ist, sind die Berechtigungen explizit, und Änderungen am übergeordneten Objekt haben auf das untergeordnete Objekt keine Auswirkung. Wenn Sie geerbte Berechtigungen wiederherstellen, erbt das untergeordnete Objekt wieder die Benutzer, Gruppen und Berechtigungsstufen des übergeordneten Objekts, und Sie verlieren alle Benutzer, Gruppen und Berechtigungsstufen, die eindeutig für das untergeordnete Objekt galten.
Zur einfacheren Verwaltung sollten Sie die Vererbung von Berechtigungen verwenden, wenn dies möglich ist.
Tipp
Wenn Sie die Vererbung von Berechtigungen unterbrechen und abgestimmte Berechtigungen verwenden, sollten Sie Gruppen verwenden, um zu vermeiden, dass einzelne Benutzer nachverfolgt werden müssen. Da sich die Teamzugehörigkeit der Benutzer und die Zuständigkeiten häufig ändern, kann das Nachverfolgen dieser Änderungen und das Aktualisieren der Berechtigungen für eindeutige gesicherte Objekte Zeit raubend und fehleranfällig sein.
Planen von Websiteberechtigungen
Sie müssen beim Erstellen von Berechtigungen ein ausgewogenes Verhältnis von einfacher Verwaltung und Leistung sowie der Steuerung des Zugriffs auf einzelne Elemente finden. Wenn Sie zahlreiche abgestimmte Berechtigungen verwenden, werden Sie viel Zeit mit der Verwaltung von Berechtigungen verbringen, und Benutzer werden beim Zugriff auf Websiteinhalte ein schlechteres Leistungsverhalten erleben.
Verwenden Sie beim Planen von Websiteberechtigungen die folgenden Richtlinien:
Halten Sie sich an das Prinzip der geringsten Rechte: Benutzer sollten nur über die Berechtigungsstufen oder einzelnen Berechtigungen verfügen, die sie zum Ausführen der ihnen zugewiesenen Aufgaben benötigen.
Verwenden Sie Standardgruppen (beispielsweise Mitglieder, Besucher und Besitzer), und steuern Sie die Berechtigungen auf Websiteebene.
Weisen Sie die meisten Benutzer den Gruppen Mitglieder oder Besucher zu. Standardmäßig können Benutzer in der Gruppe Mitglieder an der Website mitwirken, indem sie Elemente oder Dokumente hinzufügen oder entfernen. Sie können jedoch nicht die Struktur, die Einstellungen oder das Aussehen der Website ändern. Die Gruppe Besucher verfügt nur über Lesezugriff auf die Website, das heißt, die Mitglieder können Seiten und Elemente anzeigen und Elemente und Dokumente öffnen, aber sie können keine Seiten, Elemente oder Dokumente entfernen.
Begrenzen Sie die Anzahl der Personen in der Gruppe Besitzer. In dieser Gruppe sollten sich nur Benutzer befinden, die Sie hinsichtlich Änderungen an der Struktur, den Einstellungen oder dem Aussehen der Website für vertrauenswürdig halten.
Verwenden Sie Berechtigungsstufen, anstatt einzelne Berechtigungen zuzuweisen.
Hinweis
-
Wenn Sie die Aktionen, die von Benutzern ausgeführt werden können, genauer steuern möchten, können Sie weitere SharePoint-Gruppen und Berechtigungsstufen erstellen. Wenn Sie beispielsweise nicht möchten, dass die Berechtigungsstufe Lesen für eine bestimmte Unterwebsite die Berechtigung Benachrichtigungen erstellen beinhaltet, unterbrechen Sie die Vererbung, und passen Sie die Berechtigungsstufe Lesen für diese Unterwebsite an.
-
Microsoft SharePoint Foundation 2010 und SharePoint Server 2010 verwenden Berechtigungen überprüfen, um die Berechtigungen eines Benutzers oder einer Gruppe für alle Ressourcen innerhalb einer Websitesammlung zu bestimmen. Sie können jetzt die dem Benutzer direkt zugewiesenen Berechtigungen sowie die Berechtigungen finden, die Gruppen zugewiesen wurden, in denen der Benutzer Mitglied ist, indem Sie die Berechtigungen für eine bestimmte Website oder bestimmten Websiteinhalt überprüfen.
Planen der Vererbung von Berechtigungen
Berechtigungen lassen sich leichter verwalten, wenn eine klare Hierarchie der Berechtigungen und geerbten Berechtigungen besteht. Die Verwaltung wird schwieriger, wenn auf einige Listen innerhalb einer Website abgestimmte Berechtigungen angewendet werden und einige Websites über Unterwebsites mit eigenen Berechtigungen und über einige Unterwebsites mit geerbten Berechtigungen verfügen. Sie sollten Websites und Unterwebsites bzw. Listen und Bibliotheken wenn möglich so anordnen, dass die meisten Berechtigungen gemeinsam genutzt werden. Platzieren Sie vertrauliche Daten in getrennten Listen, Bibliotheken oder Unterwebsites.
Es ist beispielsweise viel einfacher, eine Website zu verwalten, bei der Berechtigungen wie in der folgenden Tabelle beschrieben vererbt werden.
| Sicherungsfähiges Objekt | Beschreibung | Eigene oder vererbte Berechtigungen |
|---|---|---|
WebsiteA |
Homepage der Gruppe |
Eigen |
WebsiteA/UnterwebsiteA |
Vertrauliche Gruppe |
Eigen |
WebsiteA/UnterwebsiteA/ListeA |
Vertrauliche Daten |
Eigen |
WebsiteA/UnterwebsiteA/BibliothekA |
Vertrauliche Dokumente |
Eigen |
WebsiteA/UnterwebsiteB |
Gruppe nutzt Projektinformationen gemeinsam |
Vererbt |
WebsiteA/UnterwebsiteB/ListeB |
Nicht vertrauliche Daten |
Vererbt |
WebsiteA/UnterwebsiteB/BibliothekB |
Nicht vertrauliche Dokumente |
Vererbt |
Es ist jedoch nicht so einfach, eine Website zu verwalten, bei der Berechtigungen wie in der folgenden Tabelle beschrieben vererbt werden.
| Sicherungsfähiges Objekt | Beschreibung | Eigene oder vererbte Berechtigungen |
|---|---|---|
WebsiteA |
Homepage der Gruppe |
Eigen |
WebsiteA/UnterwebsiteA |
Vertrauliche Gruppe |
Eigen |
WebsiteA/UnterwebsiteA/ListeA |
Nicht vertrauliche Daten |
Eigene Berechtigungen, jedoch gleiche Berechtigungen wie WebsiteA |
WebsiteA/UnterwebsiteA/BibliothekA |
Nicht vertrauliche Dokumente, jedoch mit einem oder zwei vertraulichen Dokumenten |
Vererbte Berechtigungen, mit eigenen Berechtigungen auf der Dokumentebene |
WebsiteA/UnterwebsiteB |
Gruppe nutzt Projektinformationen gemeinsam |
Vererbt |
WebsiteA/UnterwebsiteB/ListeB |
Nicht vertrauliche Daten, jedoch mit einem oder zwei vertraulichen Elementen |
Vererbte Berechtigungen, mit eigenen Berechtigungen auf der Elementebene |
WebsiteA/UnterwebsiteB/BibliothekB |
Nicht vertrauliche Dokumente, jedoch mit einem speziellen Ordner mit vertraulichen Dokumenten |
Vererbte Berechtigungen, mit eigenen Berechtigungen auf der Ordner- und Dokumentebene |