Planen der Verwaltung mit geringsten Berechtigungen in SharePoint Server

  • Artikel

 

**Gilt für:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2018-03-05

Zusammenfassung: Informationen dazu, wie Sie anhand der Verwaltung mit den geringsten Rechten eine SharePoint 2013- und SharePoint 2016Farm konfigurieren und verwalten und die Sicherheit verbessern.

Bei der Verwaltung mit den geringsten Rechten werden Benutzern die minimal erforderlichen Berechtigungen zugewiesen, die sie zur Durchführung autorisierter Aufgaben benötigen. Das Ziel der Verwaltung mit den geringsten Rechten ist, eine sichere Kontrolle einer Umgebung zu konfigurieren und zu verwalten. Dementsprechend werden jedem Konto, unter dem ein Dienst ausgeführt wird, nur die absolut erforderlichen Ressourcen gewährt.

Wir empfehlen, SharePoint Server mit der Verwaltung mit den geringsten Rechten bereitzustellen, auch wenn die Implementierung der Verwaltung mit den geringsten Rechten zu erhöhten Betriebskosten führen kann, da zur Aufrechterhaltung dieser Verwaltungsebene zusätzliche Ressourcen erforderlich sein können. Außerdem kann es die Fähigkeit zur Behebung von Sicherheitsproblemen verkomplizieren.

Inhalt dieses Artikels:

  • Einführung

  • Umgebung mit den geringsten Rechten für Konten und Dienste

Einführung

Organisationen implementieren die Verwaltung mit den geringsten Rechten, um die Sicherheit über die herkömmlichen Empfehlungen hinaus zu erhöhen. Aufgrund der mit den zur Aufrechterhaltung der Verwaltung mit den geringsten Rechten verbundenen Ressourcenkosten benötigt nur ein geringer Anteil von Organisationen diese erhöhte Sicherheitsebene. Einige Bereitstellungen, die möglicherweise diesen erhöhten Sicherheitsgrad benötigen, sind staatliche Behörden, Sicherheitsunternehmen und Finanzdienstleistungsinstitute. Die Implementierung einer Umgebung mit den geringsten Rechten sollte nicht mit bewährten Vorgehensweisen verwechselt werden. In einer Umgebung mit den geringsten Rechten implementieren Administratoren bewährte Vorgehensweisen zusammen mit zusätzlichen erhöhten Sicherheitsmaßnahmen.

Umgebung mit den geringsten Rechten für Konten und Dienste

Um eine Verwaltung mit den geringsten Rechten zu planen, müssen Sie zahlreiche Konten, Rollen und Dienste berücksichtigen. Einige beziehen sich auf SQL Server und andere auf SharePoint Server. Wenn Administratoren zusätzlichen Konten und Dienste sperren, steigen die täglichen Betriebskosten voraussichtlich an.

SQL Server-Rollen

In einer SharePoint Server-Umgebung wurden möglicherweise zahlreichen Konten die folgenden zwei SQL Server-Rollen auf Serverebene gewährt. In einer Umgebung SharePoint Server mit den geringsten Rechten empfehlen wir, diese Rechte nur dem Konto zu gewähren, unter dem der Microsoft SharePoint Foundation-Workflowtimerdienst ausgeführt wird. Normalerweise wird der Workflowtimerdienst unter dem Serverfarmkonto ausgeführt. Für den täglichen Betrieb empfehlen wir, die folgenden beiden SQL Server-Rollen auf Serverebene von allen Konten zu entfernen, die für die SharePoint-Verwaltung verwenden werden:

  • Dbcreator: Mitglieder der festen Serverrolle "dbcreator" können jede Datenbank erstellen, verändern, entfernen und wiederherstellen.

  • Securityadmin: Mitglieder der festen Serverrolle "securityadmin" verwalten Anmeldungen und deren Eigenschaften. Sie können Berechtigungen auf Serverebene GEWÄHREN, VERWEIGERN und ZURÜCKRUFEN. Sie können auch Berechtigungen auf Datenbankebene GEWÄHREN, VERWEIGERN und ZURÜCKRUFEN, wenn Sie Zugriff auf eine Datenbank haben. Darüber hinaus können sie Kennwörter für SQL Server-Anmeldungen zurücksetzen.

    SicherheitshinweisSecurity
    Die Fähigkeit, Zugriff auf das Datenbankmodul zu gewähren und Benutzerberechtigungen zu konfigurieren, erlaubt dem Sicherheitsadministrator, die meisten Serverberechtigungen zuzuweisen. Sie sollten die Rolle "securityadmin" genauso behandeln wie die Rolle "sysadmin".

Zusätzliche Informationen zu SQL Server-Rollen auf Serverebene finden Sie unter Rollen auf Serverebene.

Wenn Sie eine oder mehrere dieser SQL Server-Rollen entfernen, werden auf der Zentraladministration-Website möglicherweise Meldungen angezeigt, dass ein "unerwarteter Fehler" aufgetreten ist. Darüber hinaus wird in der ULS-Protokolldatei (Unified Logging Service, vereinheitlichter Protokollierungsdienst) möglicherweise die folgende Meldung angezeigt:

System.Data.SqlClient.SqlException… <operation type> permission denied in database <database>.  Table <table>

Zusätzlich zu einer Fehlermeldung, die möglicherweise angezeigt wird, können Sie möglicherweise eine oder alle der folgenden Aufgaben nicht durchführen:

  • Wiederherstellen einer Sicherung einer Farm, da Sie nicht in eine Datenbank schreiben können

  • Bereitstellen einer Dienstinstanz oder Webanwendung

  • Konfigurieren verwalteter Konten

  • Ändern verwalteter Konten für Webanwendungen

  • Durchführen von Aktionen für Datenbanken, verwaltete Konten oder Dienste, welche die Zentraladministration-Website erfordern

In bestimmten Situationen sollten Datenbankadministratoren (DBAs) unabhängig von SharePoint Server-Administratoren arbeiten und alle Datenbanken erstellen und verwalten. Dies ist für IT-Umgebungen typisch, in denen Sicherheitsanforderungen und Unternehmensrichtlinien eine Trennung von Administratorrollen erfordern. Der Farmadministrator liefert dem DBA SharePoint Server-Datenbankanforderungen. Dieser erstellt dann die erforderlichen Datenbanken und legt die Anmeldungen an, die für die Farm erforderlich sind.

Der DBA hat standardmäßig Vollzugriff auf die SQL Server-Instanz, benötigt allerdings zusätzliche Berechtigungen für den Zugriff auf SharePoint Server. DBAs verwenden i. d. R. Windows PowerShell 3.0, wenn sie SharePoint-Datenbanken hinzufügen, erstellen, entfernen und umbenennen, sodass sie Mitglied der folgenden Konten sein müssen:

  • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

  • Feste Datenbankrolle Db_owner auf allen Datenbanken in der SharePoint-Farm.

  • Administratorengruppe auf dem Computer, auf dem sie die PowerShell-Cmdlets ausführen.

Darüber hinaus muss der DBA möglicherweise ein Mitglied der Rolle SharePoint_Shell_Access sein, um auf die SharePoint-Inhaltsdatenbank zuzugreifen. In manchen Fällen sollte der DBA das Setupbenutzerkonto der Rolle db_owner hinzufügen.

SharePoint Server-Rollen und -Dienste

Allgemein gilt, dass Sie die Fähigkeit zur Erstellung neuer Datenbanken von SharePoint Server-Dienstkonten entfernen sollten. Außer dem Konto, unter dem der Timerdienst ausgeführt wird (was normalerweise das Farmkonto ist), sollte kein SharePoint Server-Dienstkonto die Rolle "sysadmin" für die SQL Server-Instanz besitzen. Außerdem sollte kein SharePoint Server-Dienstkonto lokaler Administrator auf dem Server sein, auf dem SQL Server ausgeführt wird.

Weitere Informationen zu SharePoint Server-Konten finden Sie unter Kontoberechtigungen und Sicherheitseinstellungen in SharePoint Server 2016.

Informationen zu Kontoinformationen in SharePoint Server 2013 finden Sie unter Kontoberechtigungen und Sicherheitseinstellungen in SharePoint 2013.

Die folgende Liste enthält Informationen zum Sperren anderer SharePoint Server-Rollen und -Dienste:

  • SharePoint_Shell_Access role

    Wenn Sie diese SQL Server-Rolle entfernen, entziehen Sie die Fähigkeit zum Schreiben von Einträgen in die Konfigurations- und Inhaltsdatenbank sowie die Fähigkeit zur Durchführung von Aufgaben mithilfe von Microsoft PowerShell. Zusätzliche Informationen zu dieser Rolle finden Sie unter Add-SPShellAdmin.

  • SharePoint Timer service (SPTimerV4)

    Wir empfehlen, die Standardberechtigungen nicht einzuschränken, die dem Konto gewährt werden, unter dem dieser Dienst ausgeführt wird, und dieses Konto niemals zu deaktivieren. Verwenden Sie stattdessen ein sicheres Benutzerkonto, dessen Kennwort nicht allgemein bekannt ist, und halten Sie den Dienst nicht an. Dieser Dienst wird standardmäßig installiert, wenn Sie SharePoint Server installieren, und verwaltet Informationen zum Konfigurationscache. Wenn Sie den Diensttyp auf "deaktiviert" festlegen, tritt möglicherweise das folgende Verhalten auf:

    • Timerjobs werden nicht ausgeführt

    • Integritätsanalyseregeln werden nicht ausgeführt

    • Verwaltung und Farmkonfiguration sind veraltet

  • SharePoint Administration service (SPAdminV4)

    Dieser Dienst führt automatisierte Änderungen durch, die eine lokale Administratorberechtigung auf dem Server erfordern. Wenn der Dienst nicht ausgeführt wird, müssen Sie administrative Änderungen auf Serverebene manuell verarbeiten. Wir empfehlen, die Standardberechtigungen nicht einzuschränken, die dem Konto gewährt werden, unter dem dieser Dienst ausgeführt wird, und dieses Konto niemals zu deaktivieren. Verwenden Sie stattdessen ein sicheres Benutzerkonto, dessen Kennwort nicht allgemein bekannt ist, und halten Sie den Dienst nicht an. Wenn Sie den Diensttyp auf "deaktiviert" festlegen, tritt möglicherweise das folgende Verhalten auf:

    • Administrative Timerjobs werden nicht ausgeführt

    • Webkonfigurationsdateien werden nicht aktualisiert

    • Sicherheit und lokale Gruppen werden nicht aktualisiert

    • Registrierungswerte und -schlüssel werden nicht geschrieben

    • Dienste können möglicherweise nicht gestartet oder erneut gestartet werden

    • Die Bereitstellung von Diensten kann möglicherweise nicht abgeschlossen werden

  • SPUserCodeV4 Service

    Dieser Dienst erlaubt einem Websitesammlungsadministrator, Sandkostenlösungen in den Lösungskatalog hochzuladen. Wenn Sie keine Sandkastenlösungen verwenden, können Sie den Dienst deaktivieren.

  • Claims To Windows Token service (C2WTS)

    Dieser Dienst ist standardmäßig deaktiviert. Der C2WTS-Dienst kann für eine Bereitstellung mit Excel Services, PerformancePoint-Servern oder gemeinsame SharePoint-Dienste erforderlich sein, die zwischen SharePoint-Sicherheitstoken und Windows-basierten Identitäten übersetzen müssen. Sie verwenden diesen Dienst z. B., wenn Sie eingeschränkte Kerberos-Delegierung für den Zugriff auf externe Datenquellen konfigurieren. Weitere Informationen zu C2WTS finden Sie unter Planen der Kerberos-Authentifizierung in SharePoint Server.

Bei den folgenden Features treten unter bestimmten Umständen möglicherweise zusätzliche Symptome auf:

  • Backup and restore

    Wenn Sie Datenbankberechtigungen entfernt haben, kann eine Sicherung möglicherweise nicht wiederhergestellt werden.

  • Upgrade

    Der Upgradeprozess beginnt korrekt, schlägt aber dann fehl, wenn Sie nicht die entsprechenden Datenbankberechtigungen besitzen. Wenn sich Ihre Organisation bereits in einer Umgebung mit den geringsten Rechten befindet, können Sie das Problem umgehen, indem Sie zum Abschließen des Upgrades zu einer Best-Practices-Umgebung wechseln und dann zu einer Umgebung mit den geringsten Rechten zurückwechseln.

  • Update

    Beim Schema der Konfigurationsdatenbank ist es möglich, ein Softwareupdate auf eine Farm anzuwenden, bei der Inhaltsdatenbank und den Diensten allerdings nicht.

Weitere Aspekte, die bei einer Umgebung mit den geringsten Rechten berücksichtigt werden sollten

Zusätzlich zu den vorherigen Überlegungen müssen Sie möglicherweise mehr Vorgänge berücksichtigen. Die folgende Liste ist unvollständig. Verwenden Sie die Elemente selektiv nach eigenem Ermessen:

  • Setup user account: Dieses Konto wird zur Einrichtung sämtlicher Server in einer Farm verwendet. Das Konto muss ein Mitglied der Administratorengruppe auf jedem Server in der SharePoint Server-Farm sein. Weitere Informationen zu diesem Konto finden Sie unter Erstmalige Bereitstellung von Administrator- und Dienstkonten in SharePoint Server.

  • Synchronization account: Bei SharePoint Server Server wird dieses Konto zur Verbindung mit dem Verzeichnisdienst verwendet. Wir empfehlen, die Standardberechtigungen nicht einzuschränken, die dem Konto gewährt werden, unter dem dieser Dienst ausgeführt wird, und dieses Konto niemals zu deaktivieren. Verwenden Sie stattdessen ein sicheres Benutzerkonto, dessen Kennwort nicht allgemein bekannt ist, und halten Sie den Dienst nicht an. Dieses Konto erfordert außerdem die Berechtigung "Verzeichnisänderungen replizieren" für AD DS, sodass das Konto AD DS-Objekte lesen und ermitteln kann, die in der Domäne geändert wurden. Die Berechtigung "Verzeichnisänderungen replizieren" ermöglicht einem Konto nicht, AD DS-Objekte zu erstellen, zu ändern oder zu löschen.

  • My Site host application pool account: Dies ist das Konto, unter dem der Meine Website-Anwendungspool ausgeführt wird. Um dieses Konto zu konfigurieren, müssen Sie ein Mitglied der Farmadministratorengruppe sein. Sie können Berechtigungen für dieses Konto einschränken.

  • Built-in user group: Wenn Sie die integrierte Benutzersicherheitsgruppe entfernen oder die Berechtigungen ändern, kann dies unerwartete Folgen haben. Wir empfehlen, die Berechtigungen für keine der integrierten Konten oder Gruppen einzuschränken.

  • Group permissions: Die SharePoint-Gruppe WSS_ADMIN_WPG besitzt standardmäßig Lese- und Schreibzugriff auf lokale Ressourcen. Die folgenden WSS_ADMIN_WPG-Dateisystemspeicherorte, %WINDIR%\System32\drivers\etc\Hosts und %WINDIR%\Tasks sind erforderlich, damit SharePoint Server ordnungsgemäß funktioniert. Wenn andere Dienste oder Anwendungen auf dem Server ausgeführt werden, sollten Sie prüfen, wie diese auf die Ordnerpfade für Aufgaben oder Hosts zugreifen. Weitere Informationen zu Kontoeinstellungen für SharePoint Server finden Sie unter Kontoberechtigungen und Sicherheitseinstellungen in SharePoint Server 2016.

    Informationen zu Kontoinformationen in SharePoint Server 2013 finden Sie unter Kontoberechtigungen und Sicherheitseinstellungen in SharePoint 2013.

  • Change permission of a service: Die Änderung einer Berechtigung eines Dienstes kann unerwartete Folgen haben. Wenn z. B. der folgende Registrierungsschlüssel "HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters" den Wert 0 aufweist, würde der Benutzercodehost-Dienst deaktiviert, was dazu führen würde, dass Sandkastenlösungen nicht mehr funktionieren.

See also

Konfiguration mit den geringsten Rechten für Workflow Manager mit SharePoint 2013