Verwalten von Berechtigungsrichtlinien für eine Webanwendung (SharePoint Server 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2011-12-19

Eine Webanwendung besteht aus einer IIS-Website (Internetinformationsdienste), die als logischer Container für die von Ihnen erstellten Websitesammlungen dient. Bevor Sie eine Websitesammlung erstellen können, müssen Sie zunächst eine Webanwendung erstellen.

Eine Webanwendung kann bis zu 500.000 Websitesammlungen enthalten. Die Verwaltung von Berechtigungen für so viele Websitesammlungen kann sich als schwierig und fehleranfällig erweisen, insbesondere wenn bestimmte Benutzer oder Gruppen andere als die für die gesamte Webanwendung geltenden Berechtigungen benötigen.

Berechtigungsrichtlinien ermöglichen die zentrale Konfiguration und Verwaltung von Berechtigungssätzen, die nur für eine Teilmenge der Benutzer oder Gruppen in einer Webanwendung gelten. Weitere Informationen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen (SharePoint Server 2010).

Der Unterschied zwischen dem Angeben von Benutzerberechtigungen für eine Webanwendung und dem Erstellen einer Berechtigungsrichtlinie für eine Webanwendung besteht bei den Benutzern und Gruppen, für die die Berechtigungen gelten, sowie beim Bereich, für den die Berechtigungen gelten. Außerdem gibt es einen Unterschied bei den Berechtigungslisten, in denen einzelne Berechtigungen ausgewählt werden.

  • Berechtigungen für eine Webanwendung sind umfassende Einstellungen, die für alle Benutzer und Gruppen für alle Websitesammlungen innerhalb einer Webanwendung gelten. Die Berechtigungsliste enthält nur eine einzige Spalte, und alle Berechtigungen sind standardmäßig aktiviert. Sie müssen bestimmte Berechtigungen einzeln deaktivieren.

    Weitere Informationen finden Sie unter Verwalten von Berechtigungen für eine Webanwendung (SharePoint Server 2010).

  • Eine Richtlinienstufe für Berechtigungen für eine Webanwendung enthält Berechtigungen, mit denen eine Teilmenge der Benutzer oder Gruppen Websitesammlungen auf eine bestimmte Art und Weise verwenden kann. Beispielsweise können Sie eine Richtlinienstufe für Berechtigungen für Benutzer einer Websitesammlung erstellen, die Elemente in einer Liste hinzufügen, bearbeiten oder löschen, eine Liste öffnen sowie Elemente, Listen und Seiten anzeigen dürfen. Dieselben Benutzer sollten Sie aber am Erstellen oder Löschen von Listen hindern, wofür die Berechtigung Listen verwalten erforderlich wäre.

    Die Berechtigungsliste enthält die Spalten Alle erteilen und Alles verweigern. Im Rahmen einer Richtlinienstufe für Berechtigungen können Sie entweder alle Berechtigungen erteilen oder verweigern. Darüber hinaus können Sie einzelne Berechtigungen erteilen oder verweigern. Standardmäßig sind keine Berechtigungen aktiviert. Falls eine einzelne Berechtigung weder erteilt noch verweigert wird, kann sie im Ermessen des Websitesammlungsadministrators oder Websiteadministrators festgelegt werden.

Warnung

Eine Berechtigungsrichtlinie unterscheidet sich von einer Informationsverwaltungsrichtlinie. Eine Berechtigungsrichtlinie ermöglicht die zentrale Verwaltung von Berechtigungen für eine Webanwendung. Informationsverwaltungsrichtlinien ermöglichen die Steuerung der Personen, die auf Informationen zugreifen können, der zulässigen Aktionen mit diesen Informationen und der Beibehaltungsdauer für diese Informationen. Eine Berechtigungsrichtlinie unterscheidet sich auch von einer Gruppenrichtlinie, die eine Infrastruktur für die zentrale Konfigurationsverwaltung eines Betriebssystems und der Anwendungen, die unter einem Betriebssystem ausgeführt werden, bereitstellt.

Inhalt dieses Artikels:

  1. Verwalten einer Benutzerberechtigungsrichtlinie

  2. Verwalten einer Berechtigungsrichtlinie für anonyme Benutzer

  3. Verwalten der Richtlinienstufen für Berechtigungen

Verwalten einer Benutzerberechtigungsrichtlinie

Sie können Benutzer einer Berechtigungsrichtlinie hinzufügen, die Richtlinieneinstellungen bearbeiten und Benutzer aus einer Berechtigungsrichtlinie löschen. Die folgenden Einstellungen können angegeben oder geändert werden:

  • Zone: Wenn eine Website mehrere Zonen aufweist, können Sie die Zone auswählen, für die die Berechtigungsrichtlinie gelten soll. Der Standardwert entspricht allen Zonen und kann nur für Windows-Benutzer angegeben werden. Weitere Informationen finden Sie unter Erweitern einer Webanwendung (SharePoint Server 2010).

  • Berechtigungen: Sie können die Berechtigungen Vollzugriff, Alles lesen, Schreiben verweigern und Alles verweigern oder aber eine benutzerdefinierte Berechtigungsstufe angeben.

  • System: Mit dieser Einstellung kann von SharePoint SHAREPOINT\System für systembezogene Aktivitäten angezeigt werden, und zwar unabhängig von den Windows-Benutzerkonten, die für den Hostinganwendungspool angegeben wurden, und vom SharePoint-Farmdienstkonto. Sie sollten diese Einstellung angeben, um die Weitergabe unnötiger Informationen an Endbenutzer und potenzielle Hacker zu verhindern, die mehr über die SharePoint-Bereitstellung im Unternehmen herausfinden möchten.

Hinzufügen von Benutzern zu einer Berechtigungsrichtlinie

Sie sollten Benutzer einer Berechtigungsrichtlinie hinzufügen, um sicherzustellen, dass alle Benutzer mit dem gleichen Berechtigungssatz auf Inhalte zugreifen.

So fügen Sie Benutzer einer Berechtigungsrichtlinie hinzu

  1. Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:

    • Sie müssen auf dem Computer, auf dem die Website für die SharePoint-Zentraladministration ausgeführt wird, Mitglied der Gruppe Farmadministratoren sein.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

  3. Klicken Sie, um die Zeile für die Webanwendung hervorzuheben, deren Berechtigungsrichtlinie Sie verwalten möchten.

  4. Klicken Sie in der Gruppe Richtlinie des Menübands auf Benutzerrichtlinie.

  5. Aktivieren Sie im Dialogfeld Richtlinie für Webanwendung das Kontrollkästchen neben dem Benutzer oder der Gruppe, den bzw. die Sie verwalten möchten, und klicken Sie dann auf Benutzer hinzufügen.

  6. Klicken Sie im Dialogfeld Benutzer hinzufügen in der Liste Zone auf die Zone, für die die Berechtigungsrichtlinie gelten soll.

  7. Geben Sie im Abschnitt Benutzer auswählen die Benutzernamen, Gruppennamen oder E-Mail-Adressen ein, die Sie der Berechtigungsrichtlinie hinzufügen möchten. Sie können auch auf das betreffende Symbol klicken, um einen Namen zu überprüfen oder nach Namen zu suchen.

  8. Wählen Sie im Abschnitt Berechtigungen auswählen die gewünschten Berechtigungen für die Benutzer aus.

  9. Aktivieren Sie im Abschnitt Systemeinstellungen auswählen das Kontrollkästchen Konto fungiert als System, wenn Sie angeben möchten, ob ein Benutzerkonto als SHAREPOINT\System anstelle der tatsächlichen Konten angezeigt werden soll, mit denen bestimmte Aufgaben in der SharePoint-Umgebung ausgeführt werden.

  10. Klicken Sie auf Fertig stellen.

Bearbeiten einer Benutzerberechtigungsrichtlinie

Sie können eine Benutzerberechtigungsrichtlinie bearbeiten, um die Berechtigungsstufe zu ändern oder anzugeben, ob ein Benutzerkonto als SHAREPOINT\System anstelle der tatsächlichen Konten angezeigt werden soll, mit denen bestimmte Aufgaben in der SharePoint-Umgebung ausgeführt werden.

So bearbeiten Sie eine Benutzerberechtigungsrichtlinie

  1. Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:

    • Sie müssen auf dem Computer, auf dem die Website für die SharePoint-Zentraladministration ausgeführt wird, Mitglied der Gruppe Farmadministratoren sein.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

  3. Klicken Sie, um die Zeile für die Webanwendung hervorzuheben, deren Berechtigungsrichtlinie Sie bearbeiten möchten.

  4. Klicken Sie in der Gruppe Richtlinie des Menübands auf Benutzerrichtlinie.

  5. Aktivieren Sie im Dialogfeld Richtlinie für Webanwendung das Kontrollkästchen neben dem Benutzer oder der Gruppe, den bzw. die Sie verwalten möchten, und klicken Sie dann auf Berechtigungen der ausgewählten Benutzer bearbeiten.

  6. Wählen Sie auf der Seite Benutzer bearbeiten im Abschnitt Richtlinienstufen für Berechtigungen die gewünschten Berechtigungen für die Benutzer aus.

  7. Aktivieren Sie im Abschnitt Systemeinstellungen auswählen das Kontrollkästchen Konto fungiert als System, wenn Sie angeben möchten, ob ein Benutzerkonto als SHAREPOINT\System anstelle der tatsächlichen Konten angezeigt werden soll, mit denen bestimmte Aufgaben in der SharePoint-Umgebung ausgeführt werden.

  8. Klicken Sie auf Speichern.

Löschen von Benutzern aus einer Berechtigungsrichtlinie

Sie können Benutzer aus einer Berechtigungsrichtlinie löschen, wenn sie nicht mehr Mitglieder der Gruppe oder Organisation sind, für die die Richtlinie gilt. Beispielsweise sollte das Benutzerkonto eines Mitarbeiters, der das Unternehmen verlässt, aus allen Berechtigungsrichtlinien entfernt werden.

So löschen Sie Benutzer aus einer Berechtigungsrichtlinie

  1. Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:

    • Sie müssen auf dem Computer, auf dem die Website für die SharePoint-Zentraladministration ausgeführt wird, Mitglied der Gruppe Farmadministratoren sein.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

  3. Klicken Sie, um die Zeile für die Webanwendung hervorzuheben, deren Berechtigungsrichtlinie Sie verwalten möchten.

  4. Klicken Sie in der Gruppe Richtlinie des Menübands auf Benutzerrichtlinie.

  5. Aktivieren Sie im Dialogfeld Richtlinie für Webanwendung das Kontrollkästchen neben dem Benutzer oder der Gruppe, den bzw. die Sie verwalten möchten. Klicken Sie auf Ausgewählte Benutzer löschen, und klicken Sie dann auf OK.

Verwalten einer Berechtigungsrichtlinie für anonyme Benutzer

Für eine Webanwendung kann der anonyme Zugriff aktiviert bzw. deaktiviert werden. Wenn Sie den anonymen Zugriff für eine Webanwendung aktivieren, können Websiteadministratoren den anonymen Zugriff auf der Websitesammlungs-, Website- oder Elementebene erteilen oder verweigern. Falls der anonyme Zugriff für eine Webanwendung deaktiviert ist, können anonyme Benutzer auf keine Websites in dieser Webanwendung zugreifen.

Die folgenden Berechtigungsrichtlinien können für anonyme Benutzer angegeben werden:

  1. Keine: Es wird keine Richtlinie angegeben. Mit dieser Einstellung erhalten anonyme Benutzer die gleichen Standardberechtigungen, die für NT AUTHORITY\Authenticated Users und Alle authentifizierten Benutzer verfügbar sind.

  2. Schreiben verweigern : Mit dieser Einstellung können anonyme Benutzer alle Inhalte in den Websitesammlungen einer Webanwendung lesen. Anschließend können Sie den Lesezugriff nach Websitesammlung, Website oder Element einschränken.

  3. Alles verweigern: Anonyme Benutzer haben keinerlei Zugriff auf die Webanwendung.

So verwalten Sie eine Berechtigungsrichtlinie für anonyme Benutzer

  1. Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:

    • Sie müssen auf dem Computer, auf dem die Website für die SharePoint-Zentraladministration ausgeführt wird, Mitglied der Gruppe Farmadministratoren sein.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

  3. Klicken Sie, um die Zeile für die Webanwendung hervorzuheben, deren Berechtigungsrichtlinie Sie verwalten möchten.

  4. Klicken Sie in der Gruppe Richtlinie des Menübands auf Richtlinie für anonymen Zugriff.

  5. Klicken Sie im Dialogfeld Einschränkungen für anonymen Zugriff in der Liste Zone auf die Zone, für die die Richtlinie gelten soll.

  6. Wählen Sie im Abschnitt Berechtigungen die gewünschte Berechtigungsrichtlinie für anonyme Benutzer aus, und klicken Sie dann auf Speichern.

Verwalten der Richtlinienstufen für Berechtigungen

Richtlinienstufen für Berechtigungen enthalten Berechtigungen, die für bestimmte Benutzer oder Gruppen gelten. Sie können eine Kombination aus Listen-, Website- oder persönlichen Berechtigungen angeben. Darüber hinaus können Sie auch eine der folgenden Berechtigungsstufen für Websitesammlungen angeben:

  • Websitesammlungsadministrator: Hat die Berechtigung Vollzugriff auf die gesamte Websitesammlung und kann alle Aktionen für alle Objekte ausführen.

  • Websitesammlungsauditor: Hat die Berechtigung Alles lesen für die gesamte Websitesammlung und die zugehörigen Daten, wie z. B. Berechtigungen und Konfigurationsinformationen.

Wenn Sie eine oder beide dieser Berechtigungsstufen angeben, können Sie keine einzelnen Berechtigungen angeben.

Hinzufügen einer Richtlinienstufe für Berechtigungen

Sie können eine Richtlinienstufe für Berechtigungen erstellen, um einen Berechtigungssatz für eine bestimmte Gruppe oder Organisation anzupassen.

So fügen Sie eine Richtlinienstufe für Berechtigungen hinzu

  1. Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:

    • Sie müssen auf dem Computer, auf dem die Website für die SharePoint-Zentraladministration ausgeführt wird, Mitglied der Gruppe Farmadministratoren sein.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

  3. Klicken Sie, um die Zeile für die Webanwendung hervorzuheben, deren Berechtigungsrichtlinie Sie verwalten möchten.

  4. Klicken Sie in der Gruppe Richtlinie des Menübands auf Berechtigungsrichtlinie.

  5. Klicken Sie im Dialogfeld Richtlinienstufen für Berechtigungen verwalten auf Richtlinienstufe für Berechtigungen hinzufügen.

  6. Geben Sie im Dialogfeld Richtlinienstufe für Berechtigungen hinzufügen im Abschnitt Name und Beschreibung den Namen und die Beschreibung für die Richtlinie ein, die Sie erstellen möchten.

  7. Wählen Sie im Abschnitt Berechtigungen der Websitesammlung die Berechtigungen der Websitesammlung für diese Richtlinie aus.

  8. Wählen Sie im Abschnitt Berechtigungen die Berechtigungen aus, die für diese Berechtigungsstufe erteilt oder verweigert werden sollen.

    • Aktivieren Sie das Kontrollkästchen Alle erteilen, um alle verfügbaren Berechtigungen in diese Richtlinie einzubeziehen.

    • Aktivieren Sie das Kontrollkästchen Alles verweigern, um alle verfügbaren Berechtigungen in dieser Richtlinie zu verweigern.

    • Aktivieren Sie das Kontrollkästchen Erteilen oder Verweigern, um einzelne Listen-, Website- und persönliche Berechtigungen in diese Berechtigung ein- oder auszuschließen.

      Klicken Sie nicht auf Erteilen oder Verweigern, wenn Websitesammlungs- oder Websitebesitzer nicht in der Lage sein sollen, diese Berechtigung zu konfigurieren.

  9. Klicken Sie auf Speichern.

Bearbeiten einer Richtlinienstufe für Berechtigungen

Sie können eine Richtlinienstufe für Berechtigungen bearbeiten, um in Abhängigkeit von den Anforderungen des Benutzers oder der Gruppe, der bzw. die die Richtlinienstufe für Berechtigungen verwendet, einzelne Berechtigungen hinzuzufügen oder zu entfernen.

So bearbeiten Sie eine Richtlinienstufe für Berechtigungen

  1. Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:

    • Sie müssen auf dem Computer, auf dem die Website für die SharePoint-Zentraladministration ausgeführt wird, Mitglied der Gruppe Farmadministratoren sein.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

  3. Klicken Sie, um die Zeile für die Webanwendung hervorzuheben, deren Berechtigungsrichtlinie Sie verwalten möchten.

  4. Klicken Sie in der Gruppe Richtlinie des Menübands auf Berechtigungsrichtlinie.

  5. Klicken Sie im Dialogfeld Richtlinienstufen für Berechtigungen verwalten auf den Link für die Richtlinienstufe für Berechtigungen, die Sie bearbeiten möchten.

  6. Bearbeiten Sie die Einstellungen auf der Seite Richtlinienstufe für Berechtigungen bearbeiten, und klicken Sie dann auf Speichern.

Löschen einer Richtlinienstufe für Berechtigungen

Sie sollten eine Richtlinienstufe für Berechtigungen löschen, falls sie von der Gruppe oder Organisation, für die Sie die Richtlinienstufe für Berechtigungen erstellt haben, nicht mehr benötigt wird. Es empfiehlt sich, alle vorhandenen Richtlinienstufen für Berechtigungen zu überprüfen und sicherzustellen, dass sie noch erforderlich sind.

So löschen Sie eine Richtlinienstufe für Berechtigungen

  1. Stellen Sie sicher, dass Sie über die folgenden Administratorrechte verfügen:

    • Sie müssen auf dem Computer, auf dem die Website für die SharePoint-Zentraladministration ausgeführt wird, Mitglied der Gruppe Farmadministratoren sein.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

  3. Klicken Sie, um die Zeile für die Webanwendung hervorzuheben, deren Berechtigungsrichtlinie Sie verwalten möchten.

  4. Klicken Sie in der Gruppe Richtlinie des Menübands auf Berechtigungsrichtlinie.

  5. Aktivieren Sie im Dialogfeld Richtlinienstufen für Berechtigungen verwalten das Kontrollkästchen einer Richtlinienstufe für Berechtigungen, klicken Sie auf Ausgewählte Richtlinienstufen für Berechtigungen löschen, und klicken Sie dann auf OK.