Auswählen der Sicherheitsgruppen (SharePoint Foundation 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel werden die Sicherheits- und Verteilergruppen beschrieben, die in Active Directory-Domänendienste (AD°DS) enthalten sind. Außerdem enthält dieser Artikel Empfehlungen für die Verwendung dieser Gruppen zum Organisieren der Benutzer Ihrer SharePoint-Websites.

Inhalt dieses Artikels:

  • Entscheiden, ob Sicherheitsgruppen hinzugefügt werden sollen

  • Bestimmen der Sicherheitsgruppen für das Gewähren des Zugriffs auf Websites

  • Entscheiden, ob allen authentifizierten Benutzern der Zugriff gewährt werden soll

  • Entscheiden über die Gewährung des Zugriffs für anonyme Benutzer

Einführung

Die Verwaltung der Benutzer von SharePoint-Websites wird vereinfacht, wenn Sie Berechtigungsstufen nicht einzelnen Benutzern, sondern Gruppen zuweisen. Eine SharePoint-Gruppe ist eine Gruppe einzelner Benutzer, die auch Active Directory-Gruppen enthalten kann. In Active Directory-Domänendiensten (AD DS) werden Benutzer in der Regel mithilfe der folgenden Gruppen organisiert:

  • Verteilergruppe   Eine Gruppe, die ausschließlich für die Verteilung von E-Mails verwendet wird und für die keine Sicherheit aktiviert ist. Verteilergruppen können nicht in besitzerverwalteten Zugriffssteuerungslisten (Discretionary Access Control List, DACL) aufgelistet sein, die zum Definieren von Berechtigungen für Ressourcen und Objekte verwendet werden.

  • Sicherheitsgruppe   Eine Gruppe, die in DACLs aufgelistet sein kann. Eine Sicherheitsgruppe kann auch als E-Mail-Entität verwendet werden.

Mithilfe von Sicherheitsgruppen können Sie Berechtigungen für Ihre Website steuern, indem Sie den SharePoint-Gruppen die Sicherheitsgruppen hinzufügen und den SharePoint-Gruppen Berechtigungen zuweisen. Verteilergruppen können SharePoint-Gruppen nicht hinzugefügt werden. Sie können jedoch eine Verteilergruppe erweitern und die einzelnen Mitglieder einer SharePoint-Gruppe hinzufügen. Wenn Sie auf diese Weise vorgehen, müssen Sie die SharePoint-Gruppe manuell mit der Verteilergruppe synchronisieren. Wenn Sie Sicherheitsgruppen verwenden, müssen die einzelnen Benutzer in der SharePoint-Anwendung nicht verwaltet werden. Da anstelle der einzelnen Mitglieder der Gruppe die Sicherheitsgruppe eingebunden wurde, werden die Benutzer von AD DS verwaltet.

Hinweis

Zur Erleichterung der Sicherheitsverwaltung werden die folgenden Verfahren bei der Verwaltung von Active Directory-Gruppen nicht empfohlen.

  • Zuweisen von Berechtigungsstufen direkt zu Active Directory-Gruppen

  • Hinzufügen von Sicherheitsgruppen, die verschachtelte Sicherheitsgruppen, Kontakte oder Verteilungslisten enthalten

Entscheiden, ob Sicherheitsgruppen hinzugefügt werden sollen

Das Hinzufügen von Sicherheitsgruppen zu SharePoint-Gruppen ermöglicht die zentralisierte Verwaltung von Gruppen und Sicherheit. Die Sicherheitsgruppe ist der einzige Ort, an dem Sie einzelne Benutzer verwalten. Nachdem Sie einer SharePoint-Gruppe eine Sicherheitsgruppe hinzugefügt haben, brauchen Sie Sicherheitsgruppenmitglieder nicht mehr in dieser SharePoint-Gruppe zu verwalten. Wenn ein Benutzer aus der Sicherheitsgruppe entfernt wird, wird der Benutzer automatisch aus der SharePoint-Gruppe entfernt.

Die Verwendung von Sicherheitsgruppen in SharePoint-Websites ermöglicht jedoch keine vollständige Übersicht über Vorgänge. Wenn beispielsweise einer SharePoint-Gruppe für eine bestimmte Website eine Sicherheitsgruppe hinzugefügt wird, wird die Website nicht unter Meine Websites des Benutzers angezeigt. In der Benutzerinformationsliste werden einzelne Benutzer erst angezeigt, nachdem sie einen Beitrag zu der Website geleistet haben. Darüber hinaus kann durch Sicherheitsgruppen mit tief verschachtelten Strukturen auf einzelne SharePoint-Websites möglicherweise nicht mehr zugegriffen werden.

In Anbetracht der vorgenannten Vorteile und Nachteile ergeben sich die folgenden Empfehlungen:

  • Verwenden Sie für Intranetwebsites, auf die durch Ihre Benutzer im großen Umfang zugegriffen wird, Sicherheitsgruppen, da Sie sich keine Gedanken über einzelne Benutzer zu machen brauchen, die auf die Startseite der Intranetwebsite zugreifen.

  • Fügen Sie für Websites für die Zusammenarbeit, auf die von einer kleinen Gruppe von Benutzern zugegriffen wird, die Benutzer direkt den SharePoint-Gruppen hinzu. In diesem Fall ist es wichtiger zu wissen, wer ein Mitglied ist, damit die Gruppenmitglieder untereinander die E-Mail-Adressen kennen und wissen, wie sie sich kontaktieren können.

Bestimmen der Sicherheitsgruppen für das Gewähren des Zugriffs auf Websites

In jedem Unternehmen werden Sicherheitsgruppen individuell festgelegt. Zur Vereinfachung der Berechtigungsverwaltung sollten die Sicherheitsgruppen wie folgt festgelegt werden:

  • Groß und stabil genug, sodass den SharePoint-Websites nicht ständig weitere Sicherheitsgruppen hinzugefügt werden müssen.

  • Klein genug, dass die entsprechenden Berechtigungen zugewiesen werden können.

Die Sicherheitsgruppe "Alle Benutzer in Gebäude 2" ist möglicherweise nicht klein genug, dass Berechtigungen zugewiesen werden können, es sei denn, allen Benutzern in Gebäude 2 wurde dieselbe Position zugeordnet, beispielsweise Kreditorenkonten-Manager. Dies ist jedoch selten der Fall, daher sollten Sie einen kleineren, spezifischeren Benutzerkreis aussuchen, beispielsweise "Kreditorenkonten".

Entscheiden über die Gewährung des Zugriffs für alle authentifizierten Benutzer

Wenn alle Benutzer in der Domäne in der Lage sein sollen, Inhalte anzuzeigen, empfiehlt es sich, allen authentifizierten Benutzern (der Windows-Sicherheitsgruppe Domänenbenutzer) den Zugriff zu gewähren. Diese spezielle Gruppe gestattet allen Mitgliedern der Domäne den Zugriff auf eine Website (auf der zugelassenen Berechtigungsstufe), ohne dass dazu der anonyme Zugriff aktiviert werden muss.

Entscheiden über die Gewährung des Zugriffs für anonyme Benutzer

Sie können den anonymen Zugriff aktivieren, sodass alle Benutzer Seiten anonym anzeigen können. Auf den meisten Websites im Internet kann eine Website anonym angezeigt werden, möglicherweise ist jedoch eine Authentifizierung erforderlich, wenn Benutzer die Website bearbeiten oder einen Artikel auf einer kommerziellen Website kaufen möchten. Der anonyme Zugriff ist standardmäßig deaktiviert und muss auf der Webanwendungsebene beim Erstellen der Webanwendung erteilt werden.

Wenn der anonyme Zugriff für die Webanwendung zulässig ist, können Websiteadministratoren entscheiden, ob der anonyme Zugriff auf eine Website oder auf die Inhalte dieser Website zulässig sein soll.

Der anonyme Zugriff basiert auf dem anonymen Benutzerkonto auf dem Webserver. Dieses Konto wird von den Microsoft Internetinformationsdiensten (Internet Information Services, IIS) und nicht von Ihrer SharePoint-Website erstellt und verwaltet. Standardmäßig lautet das anonyme Benutzerkonto in IIS "IUSR". Wenn Sie den anonymen Zugriff aktivieren, gewähren Sie damit tatsächlich diesem Konto den Zugriff auf die SharePoint-Website. Durch das Gewähren des Zugriffs auf eine Website bzw. auf Listen und Bibliotheken wird dem anonymen Benutzerkonto die Berechtigung Elemente anzeigen erteilt. Selbst mit der Berechtigung Elemente anzeigen gelten jedoch Einschränkungen bezüglich der Aktionen, die von anonymen Benutzern ausgeführt werden können. Anonymen Benutzern sind folgende Aktionen nicht gestattet:

  • Öffnen von Websites zum Bearbeiten in Microsoft Office SharePoint Designer

  • Anzeigen der Website in der Netzwerkumgebung

  • Hochladen oder Bearbeiten in Dokumentbibliotheken, einschließlich von Wiki-Bibliotheken.

    Wichtig

    Aktivieren Sie den anonymen Zugriff nicht, wenn Sie die Sicherheit von Websites, Listen und Bibliotheken erhöhen möchten. Durch das Gewähren des anonymen Zugriffs können Benutzer Beiträge zu Listen, Diskussionen und Umfragen beisteuern, wodurch möglicherweise Speicherplatz auf dem Server belegt wird und andere Ressourcen beeinträchtigt werden. Zudem können anonyme Benutzer Websites bestimmte Informationen entnehmen, u. a. E-Mail-Adressen von Benutzern sowie Inhalte, die in Listen, Bibliotheken und Diskussionen veröffentlicht wurden.

Berechtigungsrichtlinien ermöglichen die zentrale Konfiguration und Verwaltung von Berechtigungssätzen, die nur für eine Teilmenge der Benutzer oder Gruppen in einer Webanwendung gelten. Sie können Berechtigungsrichtlinien für anonyme Benutzer verwalten, indem Sie den anonymen Zugriff für eine Webanwendung aktivieren oder deaktivieren. Wenn Sie den anonymen Zugriff für eine Webanwendung aktivieren, können Websiteadministratoren den anonymen Zugriff auf der Websitesammlungs-, Website- oder Elementebene erteilen oder verweigern. Falls der anonyme Zugriff für eine Webanwendung deaktiviert ist, können anonyme Benutzer auf keine Websites in dieser Webanwendung zugreifen.

  • Keine   Keine Richtlinie. Dies ist die Standardoption. Es werden keine zusätzlichen Berechtigungseinschränkungen oder -erweiterungen auf anonyme Websitebenutzer angewendet.

  • Schreiben verweigern   Anonyme Benutzer können keine Inhalte verfassen, selbst wenn der Websiteadministrator versucht, einem anonymen Benutzerkonto diese Berechtigung ausdrücklich zuzuweisen.

  • Alle verweigern   Anonyme Benutzer verfügen über keinen Zugriff, selbst wenn der Websiteadministrator versucht, anonymen Benutzerkonten den Zugriff auf die Websites zu gewähren.

Weitere Informationen zu Berechtigungsrichtlinien finden Sie unter Verwalten von Berechtigungsrichtlinien für eine Webanwendung (SharePoint Foundation 2010).