Bestimmen der zu verwendenden Berechtigungsstufen und Gruppen (SharePoint Server 2010)

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel werden die Standardgruppen und -berechtigungsstufen beschrieben, und Sie können entscheiden, ob Sie diese unverändert verwenden, anpassen oder andere Gruppen und Berechtigungsstufen erstellen sollten.

Inhalt dieses Artikels:

• Überprüfen verfügbarer Standardgruppen

• Überprüfen verfügbarer Berechtigungsstufen

• Feststellen, ob zusätzliche Berechtigungsstufen oder Gruppen erforderlich sind

Die wichtigste Entscheidung hinsichtlich der Sicherheit der Website und der Websiteinhalte in Microsoft SharePoint Server 2010 bezieht sich auf die Kategorisierung der Benutzer und die ihnen zugewiesenen Berechtigungsstufen.

Überprüfen verfügbarer Standardgruppen

Mithilfe von SharePoint-Gruppen können Sie Benutzer in Gruppen anstatt einzeln verwalten. Diese Gruppen können viele einzelne Benutzer oder den Inhalt eines beliebigen Identitätssystems für Unternehmen enthalten, beispielsweise Active Directory-Domänendienste (Active Directory Domain Services, AD DS), LDAPv3-basierte Verzeichnisse, anwendungsspezifische Datenbanken und neue benutzerorientierte Identitätsmodelle, wie beispielsweise Live ID. SharePoint-Gruppen erteilen keine bestimmten Rechte für die Website; sie stellen eine Möglichkeit dar, eine Gruppe von Benutzern festzulegen. Sie können Benutzer abhängig von der Größe und Komplexität der Organisation oder Website in beliebig vielen Gruppen anordnen. SharePoint-Gruppen können nicht geschachtelt werden.

In der folgenden Tabelle werden die Standardgruppen aufgeführt, die für Teamwebsites in SharePoint Server 2010 erstellt werden.

Wenn Sie eine andere Websitevorlage als die Teamwebsitevorlage verwenden, wird eine andere Liste mit standardmäßigen SharePoint-Gruppen angezeigt. In der folgenden Tabelle werden beispielsweis die zusätzlichen Gruppen aufgeführt, die durch eine Veröffentlichungssitevorlage bereitgestellt werden.

Darüber hinaus stehen die folgenden besonderen Benutzer und Gruppen für Verwaltungsaufgaben zur Verfügung, für die höhere Berechtigungsstufen erforderlich sind:

• Websitesammlungsadministratoren: Sie können einen oder mehrere Benutzer als primäre und sekundäre Websitesammlungsadministratoren festlegen. Diese Benutzer werden in der Datenbank als Kontakt für die Websitesammlung eingetragen und haben Vollzugriff auf alle Websites innerhalb der Websitesammlung, können den gesamten Websiteinhalt überwachen und erhalten sämtliche administrativen Warnungen (beispielsweise zur Überprüfung, ob die Website noch verwendet wird). Websitesammlungsadministratoren werden beim Erstellen der Website festgelegt, Sie können sie jedoch bei Bedarf mithilfe der Website für die Zentraladministration oder der Seite Websiteeinstellungen der Websitesammlung ändern. AD DS-Gruppen und -Rollen können nicht als Websitesammlungsadministratoren hinzugefügt werden.

  Hinweis

  Websitesammlungsadministratoren verfügen über sämtliche Rechte für alle Websites innerhalb einer Websitesammlung. Sie können Websites hinzufügen oder löschen und die Einstellungen für jede Website innerhalb einer Websitesammlung ändern. Außerdem können sie den gesamten Inhalt dieser Websites anzeigen, hinzufügen, löschen oder ändern. Sie können Benutzer zu Websites hinzufügen oder aus diesen entfernen und Einladungen an diese Websites senden. Websitesammlungsbesitzer sind die einzigen Benutzer, die E-Mail-Benachrichtigungen für Ereignisse erhalten, beispielsweise für die ausstehende automatische Löschung inaktiver Websites. Websitesammlungsbesitzer erhalten außerdem standardmäßig Anforderungen für Zugriffsrechte von Benutzern, denen der Zugriff verweigert wurde.

• Farmadministratoren: Durch diese Gruppe wird gesteuert, welche Benutzer Server- und Serverfarmeinstellungen verwalten können. Farmadministratoren haben standardmäßig keinen Zugriff auf den Inhalt der Website. Die Gruppe Farmadministratoren wird nur in der Zentraladministration verwendet und ist für andere Websites nicht verfügbar.

• Administratoren: Mitglieder der Gruppe Administratoren auf dem lokalen Server können alle Farmadministratoraktionen sowie die folgenden Aktionen ausführen:

  • Installieren von neuen Produkten und Anwendungen

  • Bereitstellen von Webparts und neuen Features für den globalen Assemblycache

  • Erstellen von neuen Webanwendungen und neuen IIS-Websites

  • Starten von Diensten

  Wie bei der Gruppe Farmadministratoren haben Mitglieder der Gruppe Administratoren auf dem lokalen Server standardmäßig keinen Zugriff auf den Websiteinhalt.

Nachdem Sie die erforderlichen Gruppen bestimmt haben, legen Sie die Berechtigungsstufen fest, die den einzelnen Gruppen auf der Website zugewiesen werden sollen.

Überprüfen verfügbarer Berechtigungsstufen

Ob eine Website angezeigt, geändert oder verwaltet werden darf, wird durch die Berechtigungsstufe bestimmt, die Sie einem Benutzer oder einer Gruppe zuweisen. Durch diese Berechtigungsstufe werden alle Berechtigungen für die Website sowie für alle Unterwebsites, Listen, Dokumentbibliotheken, Ordner und Elemente oder Dokumente gesteuert, die die Berechtigungen der Website erben. Ohne die entsprechenden Berechtigungsstufen können die Benutzer ihre Aufgaben möglicherweise nicht ausführen, oder sie können möglicherweise Aufgaben ausführen, für die sie nicht vorgesehen sind.

Die folgenden Berechtigungsstufen sind standardmäßig verfügbar:

• Eingeschränkter Zugriff: Beinhaltet Berechtigungen, mit denen Benutzer bestimmte Listen, Dokumentbibliotheken, Listenelemente, Ordner oder Dokumente anzeigen können, ohne auf alle Elemente einer Website zugreifen zu können. Sie können diese Berechtigungsstufe nicht direkt bearbeiten.

  Hinweis

  Wenn diese Berechtigungsstufe entfernt wird, können Gruppenmitglieder möglicherweise nicht auf der Website navigieren, um auf Elemente zuzugreifen, obwohl sie über die richtigen Berechtigungen für ein Element der Website verfügen.

• Lesen: Beinhaltet Berechtigungen, mit denen Benutzer Elemente auf den Seiten der Website anzeigen können.

• Mitwirken: Beinhaltet Berechtigungen, mit denen Benutzer Elemente auf den Seiten der Website oder in Listen und Dokumentbibliotheken hinzufügen oder ändern können.

• Entwerfen: Beinhaltet Berechtigungen, mit denen Benutzer das Layout von Websiteseiten mit dem Browser oder mithilfe von Microsoft SharePoint Designer 2010 ändern können.

• **Vollzugriff   **Beinhaltet alle Berechtigungen.

Die folgenden zusätzlichen Berechtigungsstufen werden standardmäßig mit der Veröffentlichungsvorlage bereitgestellt:

• Nur anzeigen: Beinhaltet Berechtigungen, mit denen Benutzer Seiten, Listenelemente und Dokumente anzeigen können.

• Genehmigen: Beinhaltet Berechtigungen zum Bearbeiten und Genehmigen von Seiten, Listenelementen und Dokumenten.

• Hierarchie verwalten: Beinhaltet Berechtigungen für Websites und zum Bearbeiten von Seiten, Listenelementen und Dokumenten.

• Eingeschränkter Lesezugriff: Beinhaltet Berechtigungen zum Anzeigen von Seiten und Dokumenten, aber nicht von zurückliegenden Versionen oder Informationen zu Benutzerrechten.

Feststellen, ob zusätzliche Berechtigungsstufen oder Gruppen erforderlich sind

Die Standardgruppen und -berechtigungsstufen stellen einen allgemeinen Rahmen für Berechtigungen bereit und sind damit für viele verschiedene Organisationsarten und Rollen innerhalb dieser Organisationen geeignet. Es kann jedoch sein, dass sie Ihre Benutzerstruktur oder die Vielzahl der Aufgaben, die die Benutzer auf den Websites ausführen, nicht genau abbilden. Wenn die Standardgruppen und -berechtigungsstufen für die Organisation nicht geeignet sind, können Sie benutzerdefinierte Gruppen erstellen, die in bestimmten Berechtigungsstufen enthaltenen Berechtigungen ändern oder benutzerdefinierte Berechtigungsstufen erstellen.

Benötigen Sie benutzerdefinierte Gruppen?

Die Entscheidung für die Erstellung benutzerdefinierter Gruppen ist recht unkompliziert und hat kaum Auswirkungen auf die Sicherheit der Website. Sie sollten benutzerdefinierte Gruppen erstellen und anstelle der Standardgruppen verwenden, wenn eine der folgenden Situationen vorliegt:

• Sie haben mehr (oder weniger) Benutzerrollen in Ihrem Unternehmen als in den Standardgruppen. Wenn Sie beispielsweise zusätzlich zu den genehmigenden Personen, Designern und Hierarchie-Managern eine Gruppe von Personen haben, deren Aufgabe im Veröffentlichen von Inhalt auf der Website besteht, können Sie eine Gruppe Veröffentlicher erstellen.

• In Ihrer Organisation gibt es eingeführte Namen für bestimmte Rollen, die auf den Websites ganz andere Aufgaben durchführen. Wenn Sie beispielsweise eine öffentliche Website für den Vertrieb der Produkte Ihrer Organisation erstellen, möchten Sie möglicherweise eine Gruppe mit dem Namen Kunden erstellen und anstelle der Gruppen Besucher oder Anzeigende Benutzer verwenden.

• Sie möchten eine 1:1-Beziehung zwischen Windows-Sicherheitsgruppen und den SharePoint-Gruppen beibehalten. In der Organisation gibt es beispielsweise eine Sicherheitsgruppe Websitemanager, und Sie möchten diesen Namen als SharePoint-Gruppennamen verwenden, um die Gruppe beim Verwalten der Website leicht erkennen zu können.

• Sie möchten lieber andere Gruppennamen verwenden.

Benötigen Sie benutzerdefinierte Berechtigungsstufen?

Die Entscheidung für die Anpassung von Berechtigungsstufen ist nicht ganz so einfach wie die Entscheidung für die Anpassung von SharePoint-Gruppen. Wenn Sie die einer Berechtigungsstufe zugewiesenen Berechtigungen anpassen, müssen Sie diese Änderung nachverfolgen, überprüfen, ob sie sich tatsächlich für alle betroffenen Gruppen und Websites eignet, und sicherstellen, dass sich die Änderung nicht negativ auf die Sicherheit oder die Serverkapazität bzw. -leistung auswirkt.

Wenn Sie beispielsweise die Berechtigungsstufe Mitwirken so anpassen, dass sie die Berechtigung Unterwebsites erstellen beinhaltet, die normalerweise Teil der Berechtigungsstufe Vollzugriff ist, können Mitglieder der Gruppe Mitwirkende Unterwebsites erstellen und besitzen und möglicherweise böswillige Benutzer in die Unterwebsites einladen oder unangemessene Inhalte bereitstellen. Wenn Sie die Berechtigungsstufe Lesen so anpassen, dass sie die Berechtigung Verwendungsdaten anzeigen beinhaltet, die normalerweise Teil der Berechtigungsstufe Vollzugriff ist, können alle Mitglieder der Gruppe Besucher Verwendungsdaten sehen, was zu Leistungsproblemen führen kann.

Wenn eine der folgenden Situationen vorliegt, sollten Sie die Standardberechtigungsstufen anpassen:

• Eine Standardberechtigungsstufe enthält alle Berechtigungen, es fehlt jedoch eine, die Ihre Benutzer für ihre Arbeit benötigen, und Sie möchten diese Berechtigung hinzufügen.

• Eine Standardberechtigungsstufe beinhaltet eine Berechtigung, die Ihre Benutzer nicht benötigen.

  Wichtig

  Sie sollten die Standardberechtigungsstufen nicht ändern, wenn es in der Organisation bei einer bestimmten Berechtigung, die Teil der Berechtigungsstufe ist, Bedenken hinsichtlich der Sicherheit oder andere Bedenken gibt. Wenn die fragliche Berechtigung, die in einer oder mehreren Berechtigungsstufen enthalten ist, für die betreffenden Benutzer nicht mehr verfügbar sein soll, deaktivieren Sie diese Berechtigung für alle Webanwendungen in der Serverfarm, anstatt alle Berechtigungsstufen zu ändern.

Wenn Sie an einer Berechtigungsstufe mehrere Änderungen vornehmen müssen, erstellen Sie eine benutzerdefinierte Berechtigungsstufe, die alle erforderlichen Berechtigungen enthält.

Sie sollten zusätzliche Berechtigungsstufen erstellen, wenn eine der folgenden Situationen vorliegt:

• Sie möchten mehrere Berechtigungen aus einer bestimmten Berechtigungsstufe ausschließen.

• Sie möchten eigene Berechtigungen für eine neue Berechtigungsstufe definieren.

Um eine Berechtigungsstufe zu erstellen, können Sie eine vorhandene Berechtigungsstufe kopieren und entsprechend ändern, oder Sie können eine Berechtigungsstufe erstellen und die gewünschten Berechtigungen hinzufügen.