Bestimmen von Berechtigungsstufen und Gruppen (SharePoint Foundation)

  • Artikel

 

Gilt für: SharePoint Foundation 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel werden die Standardgruppen und -berechtigungsstufen beschrieben, und er hilft Ihnen zu bestimmen, ob diese verwendet oder angepasst werden sollten oder ob neue Gruppen und Berechtigungsstufen hinzugefügt werden sollten, um die Sicherheit zu erhöhen.

Inhalt dieses Artikels:

  • Überprüfen verfügbarer Standardgruppen

  • Überprüfen verfügbarer Berechtigungsstufen

  • Feststellen, ob zusätzliche Berechtigungsstufen oder Gruppen erforderlich sind

Die wichtigste Entscheidung im Hinblick auf die Sicherheit von Website und Inhalten in Microsoft SharePoint Foundation 2010 ist die Entscheidung, wie Benutzer kategorisiert und welche Berechtigungsstufen ihnen zugewiesen werden sollen.

Es gibt mehrere SharePoint-Standardgruppen, mit deren Hilfe Sie Benutzer basierend auf den Aktionen, die diese durchführen müssen, kategorisieren können. Aber möglicherweise unterscheiden sich Ihre Anforderungen von diesen Vorgaben, oder Sie bilden Benutzergruppen nach anderen Gesichtpunkten. Gleiches gilt für Berechtigungsstufen. Auch hier stehen Ihnen Standardberechtigungsstufen zur Verfügung, die jedoch ebenfalls nicht zwingend mit den Aufgaben übereinstimmen, die Ihre Gruppen durchführen müssen.

In diesem Artikel werden die Standardgruppen und Standardberechtigungsstufen überprüft, und Sie entscheiden, ob Sie diese unverändert verwenden, anpassen oder andere Gruppen und Berechtigungsstufen erstellen.

Überprüfen verfügbarer Standardgruppen

Mit SharePoint-Gruppen werden keine einzelnen Benutzer, sondern Benutzergruppen verwaltet. SharePoint-Gruppen können sich aus vielen einzelnen Benutzern zusammensetzen, eine einzelne Windows-Sicherheitsgruppe enthalten oder eine Kombination aus beidem sein. SharePoint-Gruppen übertragen keine bestimmten Rechte auf die Website. Sie stellen lediglich eine Möglichkeit zum Zusammenfassen einer Gruppe von Benutzern dar. Abhängig von der Größe und Komplexität Ihrer Organisation oder Ihrer Website können Sie Benutzer in eine Reihe von Gruppen gliedern.

Die folgende Tabelle enthält die Standardgruppen, die in SharePoint Foundation 2010 für Websites erstellt werden.

Name der Gruppe Standardberechtigungsstufe

Besucher von <Websitename>

Lesen

Mitglieder von <Websitename>

Teilnehmen

Besitzer von <Websitename>

Vollzugriff

Darüber hinaus stehen die folgenden besonderen Benutzer und Gruppen für Verwaltungsaufgaben zur Verfügung, für die höhere Berechtigungsstufen erforderlich sind:

  • Websitesammlungsadministratoren   Sie können einen oder mehrere Benutzer als primäre und sekundäre Websitesammlungsadministratoren bestimmen. Diese Benutzer werden in der Datenbank als Kontakt für die Websitesammlung eingetragen und haben Vollzugriff auf alle Websites innerhalb der Websitesammlung, können den gesamten Websiteinhalt überwachen und erhalten sämtliche administrativen Warnungen (z. B. zur Überprüfung, ob die Website noch verwendet wird). Im Allgemeinen werden Websitesammlungsadministratoren beim Erstellen der Website bestimmt. Sie können diese bei Bedarf jedoch mithilfe der Website für die Zentraladministration oder der Seite Websiteeinstellungen ändern.

  • **Farmadministratoren   **Bestimmt, welche Benutzer Server- und Serverfarmeinstellungen verwalten können. Mit der Gruppe Farmadministratoren ist es nicht mehr erforderlich, der Gruppe Administratoren für den Server Benutzer hinzuzufügen. Farmadministratoren haben standardmäßig keinen Zugriff auf den Inhalt der Website. Um Inhalte anzeigen zu können, müssen sie den Besitz für die Website übernehmen. Hierzu müssen sie sich selbst als Websitesammlungsadministratoren hinzufügen. Diese Aktion wird in die Überwachungsprotokolle eingetragen. Die Gruppe Farmadministratoren wird nur in der Zentraladministration verwendet und ist für andere Websites nicht verfügbar.

  • **Administratoren   **Mitglieder der Gruppe Administratoren auf dem lokalen Server können alle Farmadministratoraktionen sowie die folgenden Aktionen ausführen:

    • Installieren von neuen Produkten und Anwendungen.

    • Bereitstellen von Webparts und neuen Features für den globalen Assemblycache.

    • Erstellen von neuen Webanwendungen und neuen IIS-Websites.

    • Starten von Diensten.

    Wie bei der Gruppe Farmadministratoren haben Mitglieder der Gruppe Administratoren auf dem lokalen Server standardmäßig keinen Zugriff auf den Websiteinhalt.

Nachdem Sie die erforderlichen Gruppen bestimmt haben, legen Sie die Berechtigungsstufen fest, die Sie den einzelnen Gruppen auf der Website zuweisen.

Überprüfen verfügbarer Berechtigungsstufen

Ob eine bestimmte Website angezeigt, geändert oder verwaltet werden darf, wird durch die Berechtigungsstufe bestimmt, die Sie einem Benutzer oder einer Gruppe zuweisen. Mit dieser Berechtigungsstufe werden alle Berechtigungen für die Website sowie für alle Unterwebsites, Listen, Dokumentbibliotheken, Ordner und Elemente oder Dokumente bestimmt, die die Berechtigungen der Website erben. Ohne die entsprechenden Berechtigungsstufen können die Benutzer ihre Aufgaben möglicherweise nicht ausführen, oder sie können möglicherweise Aufgaben ausführen, für die sie nicht vorgesehen sind.

Die folgenden Berechtigungsstufen sind standardmäßig verfügbar:

  • **Eingeschränkter Zugriff   **Beinhaltet Berechtigungen, mit denen Benutzer bestimmte Listen, Dokumentbibliotheken, Listenelemente, Ordner oder Dokumente anzeigen können.

  • **Lesen   **Beinhaltet Berechtigungen, mit denen Benutzer Elemente auf den Seiten der Website anzeigen können.

  • **Teilnehmen   **Beinhaltet Berechtigungen, mit denen Benutzer Elemente auf den Seiten der Website oder in Listen und Dokumentbibliotheken hinzufügen oder ändern können.

  • **Entwerfen   **Beinhaltet Berechtigungen, mit denen Benutzer das Layout von Websiteseiten mit dem Browser oder mithilfe von Microsoft Office SharePoint Designer 2007 ändern können.

  • **Vollzugriff   **Beinhaltet alle Berechtigungen.

Feststellen, ob zusätzliche Berechtigungsstufen oder Gruppen erforderlich sind

Die Standardgruppen und -berechtigungsstufen stellen einen allgemeinen Rahmen für Berechtigungen bereit und sind damit für viele unterschiedliche Organisationsarten und Rollen innerhalb dieser Organisationen geeignet. Es kann jedoch sein, dass sie Ihre Benutzerstruktur oder die vielen unterschiedlichen Aufgaben, die die Benutzer auf den Websites ausführen, nicht genau abbilden. Wenn die Standardgruppen und -berechtigungsstufen für Ihre Organisation nicht geeignet sind, können Sie benutzerdefinierte Gruppen erstellen, die in bestimmten Berechtigungsstufen enthaltenen Berechtigungen ändern oder benutzerdefinierte Berechtigungsstufen erstellen.

Benötigen Sie benutzerdefinierte Gruppen?

Die Entscheidung, benutzerdefinierte Gruppen zu erstellen, ist recht unkompliziert und hat kaum Auswirkungen auf die Sicherheit der Website. Im Prinzip sollten Sie benutzerdefinierte Gruppen erstellen und anstelle der Standardgruppen verwenden, wenn eine der folgenden Aussagen zutrifft:

  • In Ihrer Organisation gibt es mehr (oder weniger) Benutzerrollen als in den Standardgruppen vorgesehen. Wenn es in Ihrem Unternehmen beispielsweise neben der Gruppe Designer auch eine Gruppe von Personen gibt, die Inhalte auf der Website veröffentlichen, möchten Sie möglicherweise eine Gruppe mit dem Namen Herausgeber erstellen.

  • In Ihrer Organisation gibt es eingeführte Namen für bestimmte Rollen, die auf den Websites ganz andere Aufgaben durchführen. Wenn Sie beispielsweise eine öffentliche Website für den Vertrieb der Produkte Ihrer Organisation erstellen, möchten Sie möglicherweise eine Gruppe mit dem Namen Kunden erstellen und anstelle der Gruppen Besucher oder Anzeigende Benutzer verwenden.

  • Sie möchten eine 1:1-Beziehung zwischen Windows-Sicherheitsgruppen und den SharePoint-Gruppen beibehalten. (In Ihrer Organisation gibt es beispielsweise eine Sicherheitsgruppe für Websitemanager, und Sie möchten diesen Namen als Gruppennamen verwenden, um die Gruppe beim Verwalten der Website leicht erkennen zu können.)

  • Sie möchten lieber andere Gruppennamen verwenden.

Benötigen Sie benutzerdefinierte Berechtigungsstufen?

Die Entscheidung, Berechtigungsstufen anzupassen, ist nicht ganz so einfach wie die Entscheidung, SharePoint-Gruppen anzupassen. Wenn Sie die einer Berechtigungsstufe zugewiesenen Berechtigungen anpassen, müssen Sie diese Änderung nachverfolgen, überprüfen, ob sie sich tatsächlich für alle betroffenen Gruppen und Websites eignet, und sicherstellen, dass sich die Änderung nicht negativ auf die Sicherheit oder die Serverkapazität bzw. -leistung auswirkt.

Beispiel im Hinblick auf die Sicherheit: Wenn Sie die Berechtigungsstufe Teilnehmen so anpassen, dass diese die Berechtigung Unterwebsites erstellen enthält, die eigentlich der Berechtigungsstufe Vollzugriff angehört, können Teilnehmer Unterwebsites erstellen und besitzen, potenziell böswillige Benutzer auf ihre Unterwebsites einladen oder nicht genehmigte Inhalte bereitstellen. Beispiel im Hinblick auf die Kapazität: Wenn Sie die Berechtigung Lesen so ändern, dass diese die Berechtigung Benachrichtigungen erstellen enthält, die eigentlich der Berechtigungsstufe Teilnehmen angehört, können alle Mitglieder der Gruppe Besucher Benachrichtigungen erstellen, wodurch die Server möglicherweise überlastet werden.

Wenn eine der folgenden Aussagen zutrifft, sollten Sie die Standardberechtigungsstufen anpassen:

  • Eine Standardberechtigungsstufe enthält alle Berechtigungen, es fehlt jedoch eine, die Ihre Benutzer für ihre Arbeit benötigen, und Sie möchten diese Berechtigung hinzufügen.

  • Eine Standardberechtigungsstufe beinhaltet eine Berechtigung, die Ihre Benutzer nicht benötigen.

    Hinweis

    Sie sollten die Standardberechtigungsstufen nicht ändern, wenn es in Ihrer Organisation bei einer bestimmten Berechtigung Bedenken hinsichtlich der Sicherheit oder andere Bedenken gibt und gewünscht ist, dass die fragliche Berechtigung, die in einer oder mehreren Berechtigungsstufen enthalten ist, für die betreffenden Benutzer nicht mehr verfügbar ist. In diesem Fall sollten Sie diese Berechtigung für alle Webanwendungen in der Serverfarm deaktivieren, statt alle Berechtigungsstufen zu ändern.

Wenn Sie an einer bestimmten Berechtigungsstufe mehrere Änderungen vornehmen müssen, ist es besser, eine benutzerdefinierte Berechtigungsstufe zu erstellen, die alle erforderlichen Berechtigungen enthält.

Sie sollten zusätzliche Berechtigungsstufen erstellen, wenn eine der folgenden Aussagen zutrifft:

  • Sie möchten mehrere Berechtigungen aus einer bestimmten Berechtigungsstufe ausschließen.

  • Sie möchten eigene Berechtigungen für eine neue Berechtigungsstufe definieren.

Um eine Berechtigungsstufe zu erstellen, können Sie eine vorhandene Berechtigungsstufe kopieren und entsprechend ändern, oder Sie können eine Berechtigungsstufe erstellen und die gewünschten Berechtigungen hinzufügen.

Hinweis

Einige Berechtigungen sind von anderen abhängig. Wenn Sie eine Berechtigung löschen, von der eine andere abhängt, wird die andere Berechtigung ebenfalls gelöscht.