Festlegen der zu verwendenden Berechtigungsstufen und Gruppen (Office SharePoint Server)

  • Artikel

Inhalt dieses Artikels:

  • Überprüfen verfügbarer Standardgruppen

  • Überprüfen verfügbarer Berechtigungsstufen

  • Feststellen, ob zusätzliche Berechtigungsstufen oder Gruppen erforderlich sind

  • Arbeitsblatt

Die wichtigste Entscheidung zur Sicherheit Ihrer Website in Microsoft Office SharePoint Server 2007 und deren Inhalt besteht in der Kategorisierung Ihrer Benutzer und der ihnen zugewiesenen Berechtigungsstufen.

Es gibt mehrere SharePoint-Standardgruppen, mit deren Hilfe Sie Benutzer basierend auf den Aktionen, die diese durchführen müssen, kategorisieren können. Aber möglicherweise unterscheiden sich Ihre Anforderungen von diesen Vorgaben, oder Sie bilden Benutzergruppen nach anderen Gesichtpunkten. Gleiches gilt für Berechtigungsstufen. Auch hier stehen Ihnen Standardberechtigungsstufen zur Verfügung, die jedoch ebenfalls nicht zwingend mit den Aufgaben übereinstimmen, die Ihre Gruppen durchführen müssen.

In diesem Artikel werden die Standardgruppen und Standardberechtigungsstufen überprüft, und Sie entscheiden, ob Sie diese unverändert verwenden, anpassen oder andere Gruppen und Berechtigungsstufen erstellen.

Überprüfen verfügbarer Standardgruppen

Mit SharePoint-Gruppen werden keine einzelnen Benutzer, sondern Benutzergruppen verwaltet. SharePoint-Gruppen können sich aus vielen einzelnen Benutzern zusammensetzen, eine einzelne Windows-Sicherheitsgruppe enthalten oder eine Kombination aus beidem sein. SharePoint-Gruppen übertragen keine bestimmten Rechte auf die Website. Sie stellen lediglich eine Möglichkeit zum Zusammenfassen einer Gruppe von Benutzern dar. Abhängig von der Größe und Komplexität Ihrer Organisation oder Ihrer Website können Sie Benutzer in mehrere oder nur einige wenige Gruppen gliedern.

In der folgenden Tabelle werden die SharePoint-Standardgruppen aufgeführt, die für Websites in Microsoft Office SharePoint Server 2007 erstellt werden.

Name der Gruppe Standardberechtigungsstufe

Personen mit eingeschränkten Leserechten

Eingeschränkter Lesezugriff auf die Website (plus eingeschränkter Zugriff auf bestimmte Listen)

Formatressourcenleser

Lesezugriff auf den Masterseitenkatalog und eingeschränkter Lesezugriff auf die Formatbibliothek

Anzeigende Benutzer

Nur Anzeigen

Besucher von Home

Lesen

Mitglieder von Home

Teilnehmen

Benutzer für schnelles Bereitstellen

Teilnehmen an der Bibliothek "Elemente für schnelles Bereitstellen" (plus eingeschränkter Zugriff auf den Rest der Website)

Genehmigende Personen

Genehmigen (plus eingeschränkter Zugriff)

Designer

Entwerfen

Hierarchie-Manager

Hierarchie verwalten (plus eingeschränkter Zugriff)

Besitzer von Home

Vollzugriff

Hinweis

Die Berechtigungsstufe Beschränkter Zugriff wird verwendet, um Gruppen Zugriff auf eine bestimmte Liste oder Dokumentbibliothek oder ein bestimmtes Element oder Dokument zu gewähren, ohne dabei Zugriff auf die gesamte Website zu gewähren. Entfernen Sie diese Berechtigungsstufe nicht von den oben genannten Gruppen. Wenn diese Berechtigungsstufe entfernt wird, können die Gruppen möglicherweise nicht durch die Website navigieren, um zu bestimmten Elementen zu gelangen, mit denen sie interagieren müssen.

Darüber hinaus stehen die folgenden besonderen Benutzer und Gruppen für Verwaltungsaufgaben zur Verfügung, für die höhere Berechtigungsstufen erforderlich sind:

  • Websitesammlungsadministratoren   Sie können einen oder mehrere Benutzer als primäre und sekundäre Websitesammlungsadministratoren bestimmen. Diese Benutzer werden in der Datenbank als Kontakt für die Websitesammlung eingetragen und haben Vollzugriff auf alle Websites innerhalb der Websitesammlung, können den gesamten Websiteinhalt überwachen und erhalten sämtliche administrativen Warnungen (z. B. zur Überprüfung, ob die Website noch verwendet wird). Im Allgemeinen werden Websitesammlungsadministratoren beim Erstellen der Website bestimmt. Sie können diese bei Bedarf jedoch mithilfe der Website für die Zentraladministration oder der Seite Websiteeinstellungen ändern.

  • **Farmadministratoren   **Bestimmt, welche Benutzer Server- und Serverfarmeinstellungen verwalten können. Mit der Gruppe Farmadministratoren ist es nicht mehr erforderlich, der Gruppe Administratoren für den Server oder der Gruppe SharePoint-Administratoren, die in Windows SharePoint Services Version 2.0 verwendet wurde, Benutzer hinzuzufügen. Farmadministratoren haben standardmäßig keinen Zugriff auf den Inhalt der Website. Um Inhalte anzeigen zu können, müssen sie den Besitz für die Website übernehmen. Hierzu müssen sie sich selbst als Websitesammlungsadministratoren hinzufügen. Diese Aktion wird in die Überwachungsprotokolle eingetragen. Die Gruppe Farmadministratoren wird nur in der Zentraladministration verwendet und ist für andere Websites nicht verfügbar.

  • **Administratoren   **Mitglieder der Gruppe Administratoren auf dem lokalen Server können alle Farmadministratoraktionen sowie die folgenden Aktionen durchführen:

    • Installieren von neuen Produkten und Anwendungen

    • Bereitstellen von Webparts und neuen Features für den globalen Assemblycache

    • Erstellen von neuen Webanwendungen und neuen IIS-Websites

    • Starten von Diensten

    Wie bei der Gruppe Farmadministratoren haben Mitglieder der Gruppe Administratoren auf dem lokalen Server standardmäßig keinen Zugriff auf Websiteinhalt.

Nachdem Sie die erforderlichen Gruppen festgelegt haben, legen Sie die Berechtigungsstufen fest, die Sie den einzelnen Gruppen auf der Website zuweisen.

Arbeitsblattaktion

Verwenden Sie das Dokument Arbeitsblatt "Benutzerdefinierte Berechtigungsstufen und Gruppen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x407) (in englischer Sprache), um die Gruppen zu notieren, die erstellt werden müssen.

Überprüfen verfügbarer Berechtigungsstufen

Ob eine bestimmte Website angezeigt, geändert oder verwaltet werden darf, wird durch die Berechtigungsstufe bestimmt, die Sie einem Benutzer oder einer Gruppe zuweisen. Mit dieser Berechtigungsstufe werden alle Berechtigungen für die Website sowie für alle Unterwebsites, Listen, Dokumentbibliotheken, Ordner und Elemente oder Dokumente bestimmt, die die Berechtigungen der Website erben. Ohne die entsprechenden Berechtigungsstufen können die Benutzer ihre Aufgaben möglicherweise nicht durchführen, oder sie können möglicherweise Aufgaben durchführen, für die sie nicht vorgesehen sind.

Die folgenden Berechtigungsstufen sind standardmäßig verfügbar:

  • **Beschränkter Zugriff   **Beinhaltet Berechtigungen, mit denen Benutzer bestimmte Listen, Dokumentbibliotheken, Listenelemente, Ordner oder Dokumente anzeigen können.

  • **Lesen   **Umfasst Berechtigungen, mit denen Benutzer Elemente auf den Seiten der Website anzeigen können.

  • **Teilnehmen   **Umfasst Berechtigungen, mit denen Benutzer Elemente auf den Seiten der Website oder in Listen und Dokumentbibliotheken hinzufügen oder ändern können.

  • **Entwerfen   **Umfasst Berechtigungen, mit denen Benutzer das Layout von Websiteseiten mit dem Browser oder mithilfe von Microsoft Office SharePoint Designer 2007 ändern können.

  • Genehmigen Umfasst Berechtigungen zum Bearbeiten und Genehmigen von Seiten, Listenelementen und Dokumenten.

  • Hierarchie verwalten Umfasst Berechtigungen für Websites und zum Bearbeiten von Seiten, Listenelementen und Dokumenten.

  • Eingeschränkter Lesezugriff Umfasst Berechtigungen zum Anzeigen von Seiten und Dokumenten, aber nicht von zurückliegenden Versionen oder Informationen zu Benutzerrechten.

  • **Vollzugriff   **Beinhaltet alle Berechtigungen.

Weitere Informationen zu Berechtigungen, die in den Standardberechtigungsstufen enthalten sind, finden Sie unter User permissions and permission levels.

Feststellen, ob zusätzliche Berechtigungsstufen oder Gruppen erforderlich sind

Die Standardgruppen und -berechtigungsstufen stellen einen allgemeinen Rahmen für Berechtigungen bereit und sind damit für eine Vielzahl von Organisationsarten und Rollen innerhalb dieser Organisationen geeignet. Es kann jedoch sein, dass sie Ihre Benutzerstruktur oder die Vielzahl der Aufgaben, die die Benutzer auf den Websites ausführen, nicht genau abbilden. Wenn die Standardgruppen und -berechtigungsstufen für Ihre Organisation nicht geeignet sind, können Sie benutzerdefinierte Gruppen erstellen, die in bestimmten Berechtigungsstufen enthaltenen Berechtigungen ändern oder benutzerdefinierte Berechtigungsstufen erstellen.

Benötigen Sie benutzerdefinierte Gruppen?

Die Entscheidung, benutzerdefinierte Gruppen zu erstellen, ist recht unkompliziert und hat kaum Auswirkungen auf die Sicherheit der Website. Im Prinzip sollten Sie benutzerdefinierte Gruppen erstellen und anstelle der Standardgruppen verwenden, wenn eine der folgenden Aussagen zutrifft:

  • Sie haben mehr (oder weniger) Benutzerrollen in Ihrem Unternehmen als in den Standardgruppen. Wenn Sie beispielsweise zusätzlich zu den genehmigenden Personen, Designern und Hierarchie-Managern eine Gruppe von Personen haben, deren Aufgabe im Veröffentlichen von Inhalt auf der Website besteht, können Sie eine Gruppe Veröffentlicher erstellen.

  • In Ihrer Organisation gibt es eingeführte Namen für bestimmte Rollen, die auf den Websites ganz andere Aufgaben durchführen. Wenn Sie beispielsweise eine öffentliche Website für den Vertrieb der Produkte Ihrer Organisation erstellen, möchten Sie möglicherweise eine Gruppe mit dem Namen Kunden erstellen und anstelle der Gruppen Besucher oder Anzeigende Benutzer verwenden.

  • Sie möchten eine 1:1-Beziehung zwischen Windows-Sicherheitsgruppen und den SharePoint-Gruppen beibehalten. (In Ihrer Organisation gibt es beispielsweise eine Sicherheitsgruppe für Websitemanager, und Sie möchten diesen Namen als Gruppennamen verwenden, um die Gruppe beim Verwalten der Website leicht erkennen zu können.)

  • Sie möchten lieber andere Gruppennamen verwenden.

Benötigen Sie benutzerdefinierte Berechtigungsstufen?

Die Entscheidung, Berechtigungsstufen anzupassen, ist nicht ganz so einfach wie die Entscheidung, SharePoint-Gruppen anzupassen. Wenn Sie die einer bestimmten Berechtigungsstufe zugewiesenen Berechtigungen anpassen, müssen Sie diese Änderung nachverfolgen, überprüfen, ob sie sich tatsächlich für alle betroffenen Gruppen und Websites eignet, und sicherstellen, dass sich die Änderung nicht negativ auf die Sicherheit oder die Serverkapazität bzw. -leistung auswirkt.

Wenn Sie beispielsweise die Sicherheitsstufe Teilnehmen so anpassen, dass sie zusätzlich die Berechtigung Unterwebsites erstellen umfasst, die normalerweise Teil der Berechtigungsstufe Vollzugriff ist, hat dies Auswirkungen auf die Sicherheit, da Mitglieder der Gruppe Beteiligte Personen Unterwebsites erstellen und besitzen und möglicherweise böswillige Benutzer in ihre Unterwebsites einladen oder unangemessenen Inhalt veröffentlichen können. In einem anderen Fall kann die Kapazität beeinträchtigt werden, wenn Sie zum Beispiel die Berechtigungsstufe Lesen so anpassen, dass die Berechtigung Erstellen von Warnungen enthalten ist, die normalerweise Teil der Berechtigungsstufe Teilnehmen ist. Somit können alle Mitglieder der Gruppe Besucher von Home Warnungen erstellen, wodurch Ihre Server überlastet werden könnten.

Wenn eine der folgenden Aussagen zutrifft, sollten Sie die Standardberechtigungsstufen anpassen:

  • Eine Standardberechtigungsstufe enthält alle Berechtigungen, es fehlt jedoch eine, die Ihre Benutzer für ihre Arbeit benötigen, und Sie möchten diese Berechtigung hinzufügen.

  • Eine Standardberechtigungsstufe beinhaltet eine Berechtigung, die Ihre Benutzer nicht benötigen.

    Hinweis

    Sie sollten die Standardberechtigungsstufen nicht ändern, wenn es in Ihrer Organisation bei einer bestimmten Berechtigung Bedenken hinsichtlich der Sicherheit oder andere Bedenken gibt und gewünscht ist, dass die fragliche Berechtigung, die in einer oder mehreren Berechtigungsstufen enthalten ist, für die betreffenden Benutzer nicht mehr verfügbar ist. In diesem Fall sollten Sie diese Berechtigung für alle Webanwendungen in der Serverfarm deaktivieren, statt alle Berechtigungsstufen zu ändern. Um Berechtigungen für eine Webanwendung zu verwalten, klicken Sie in der Zentraladministration auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit auf Benutzerberechtigungen für Webanwendung.

Wenn Sie an einer bestimmten Berechtigungsstufe mehrere Änderungen vornehmen müssen, ist es besser, eine benutzerdefinierte Berechtigungsstufe zu erstellen, die alle erforderlichen Berechtigungen enthält.

Sie sollten zusätzliche Berechtigungsstufen erstellen, wenn eine der folgenden Aussagen zutrifft:

  • Sie möchten mehrere Berechtigungen aus einer bestimmten Berechtigungsstufe ausschließen.

  • Sie möchten eigene Berechtigungen für eine neue Berechtigungsstufe definieren.

Um eine Berechtigungsstufe zu erstellen, können Sie eine vorhandene Berechtigungsstufe kopieren und entsprechend ändern, oder Sie können eine Berechtigungsstufe erstellen und die gewünschten Berechtigungen hinzufügen.

Hinweis

Einige Berechtigungen sind von anderen abhängig. Wenn Sie eine Berechtigung löschen, von der eine andere abhängt, wird die andere Berechtigung ebenfalls gelöscht.

Arbeitsblattaktion

Verwenden Sie das Dokument Arbeitsblatt "Benutzerdefinierte Berechtigungsstufen und Gruppen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x407) (in englischer Sprache), um die Berechtigungsstufen zu notieren, die Sie anpassen oder erstellen möchten.

Arbeitsblatt

Verwenden Sie das folgende Arbeitsblatt, um zu verwendende Berechtigungsstufen und Gruppen festzulegen:

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007.