Planen von Websiteberechtigungen (SharePoint Foundation 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Dieser Artikel hilft Ihnen beim Planen der Zugriffssteuerung auf den Ebenen der Websitesammlung, der Website, der Unterwebsite und der Websiteinhalte (Liste oder Bibliothek, Ordner, Element oder Dokument). Außerdem werden in diesem Artikel die Vererbung von Berechtigungen sowie abgestimmte Berechtigungen erläutert.

Die Planung der Sicherheit des gesamten Servers oder der gesamten Serverfarm wird in diesem Artikel nicht behandelt. Weitere Informationen zum Planen anderer Sicherheitsaspekte wie Authentifizierungsmethoden und Authentifizierungsmodi finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Foundation 2010).

Inhalt dieses Artikels:

  • Informationen zu Websiteberechtigungen

  • Informationen zur Vererbung von Berechtigungen

  • Planen von Websiteberechtigungen

  • Planen der Vererbung von Berechtigungen

Einführung

Sie können den Zugriff auf Websites und Websiteinhalte steuern, indem Sie auf den folgenden Ebenen innerhalb einer Websitesammlung Benutzern oder Gruppen Berechtigungen für eine bestimmte Website oder bestimmte Websiteinhalte zuweisen:

  • Website

  • Bibliothek oder Liste

  • Ordner

  • Dokument oder Element

Vor dem Entwickeln des Plans für den Zugriff auf Websites und Inhalte sollten Sie folgende Fragen berücksichtigen:

  • Mit welcher Differenziertheit sollen Berechtigungen für die Website oder deren Inhalt gesteuert werden? Beispielsweise können Sie den Zugriff auf der Websiteebene steuern, oder möglicherweise benötigen Sie restriktivere Sicherheitseinstellungen für eine bestimmte Liste, einen bestimmten Ordner oder ein bestimmtes Element.

  • Wie möchten Sie Ihre Benutzer unter Verwendung von SharePoint-Gruppen kategorisieren und verwalten? Gruppen besitzen keine Berechtigungen, bis ihnen eine Berechtigungsstufe für eine bestimmte Website oder für einen bestimmten Websiteinhalt zugewiesen wird. Beim Zuweisen von Berechtigungsstufen zu SharePoint-Gruppen auf der Websitesammlungsebene erben standardmäßig alle Websites und Websiteinhalte diese Berechtigungsstufen.

Weitere Informationen zur Verwendung von Gruppen zum Verwalten von Berechtigungen finden Sie unter Auswählen der Sicherheitsgruppen (SharePoint Foundation 2010).

Informationen zu Websiteberechtigungen

Sie sollten mit den folgenden Konzepten vertraut sein, bevor Sie Ihren Berechtigungsplan entwerfen:

  • Berechtigungen   Berechtigungen gestatten es einem Benutzer, bestimmte Aktionen auszuführen. Beispiel: Mithilfe der Berechtigung Elemente anzeigen kann der Benutzer Elemente in einer Liste oder einem Ordner anzeigen, jedoch keine Elemente hinzufügen oder entfernen. Berechtigungen können einzelnen Benutzern auf Website- oder auf Websiteinhaltsebene gewährt werden.

    Informationen zu verfügbaren Berechtigungen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen (SharePoint Foundation 2010).

  • Abgestimmte Berechtigungen   Abgestimmte Berechtigungen sind eindeutige Berechtigungen für zu sichernde Objekte, die sich auf einer niedrigeren Ebene der Websitehierarchie befinden, beispielsweise Berechtigungen für eine Liste oder Bibliothek, einen Ordner oder ein Element oder ein Dokument. Abgestimmte Berechtigungen ermöglichen eine feinere Abstimmung und Anpassung von Benutzerberechtigungen in einer Websitesammlung.

  • Berechtigungsstufe   Berechtigungsstufen sind Sammlungen von Berechtigungen, die Benutzern die Ausführung bestimmter Aufgaben gestatten. Die Berechtigungsstufe Lesen beinhaltet z. B. die Berechtigungen Elemente anzeigen, Elemente öffnen, Seiten anzeigen und Versionen anzeigen (und andere), die erforderlich sind, um Seiten, Dokumente und Elemente einer SharePoint-Website zu lesen. Einzelne Berechtigungen können in mehreren Berechtigungsstufen enthalten sein.

    Berechtigungsstufen werden auf der Ebene der Websitesammlung definiert und können von jedem Benutzer bzw. jeder Gruppe angepasst werden, dessen bzw. deren Berechtigungsstufe die Berechtigung Berechtigungen verwalten beinhaltet. Weitere Informationen zum Anpassen von Berechtigungen finden Sie unter Konfigurieren von benutzerdefinierten Berechtigungen (SharePoint Foundation 2010).

    Die Standardberechtigungsstufen lauten Eingeschränkter Zugriff, Lesen, Mitwirken, Entwerfen und Vollzugriff. Weitere Informationen zu Berechtigungsstufen und den in jeder Stufe enthaltenen Berechtigungen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen (SharePoint Foundation 2010).

  • SharePoint-Gruppe   Eine SharePoint-Gruppe ist eine Gruppe von Benutzern, die zur einfachen Verwaltung von Berechtigungen auf der Ebene der Websitesammlung definiert wird. Jeder SharePoint-Gruppe ist eine Standardberechtigungsstufe zugewiesen. Die SharePoint-Standardgruppen sind beispielsweise Besitzer, Besucher und Mitglied, diese besitzen die Standardberechtigungen Vollzugriff, Lesen und Mitwirken. Jeder mit der Berechtigung Vollzugriff kann benutzerdefinierte Gruppen erstellen.

  • Benutzer   Ein Benutzer kann eine Person mit einem Benutzerkonto von einem beliebigen von der Webanwendung unterstützten Authentifizierungsanbieter sein. Es wird empfohlen, Berechtigungen nicht Benutzern, sondern Gruppen zuzuweisen, obwohl Sie einzelnen Benutzern direkt Berechtigungen für eine Website oder bestimmte Websiteinhalte erteilen können. Da die Verwaltung individueller Benutzerkonten nicht effizient ist, sollten Sie Berechtigungen nur in Ausnahmefällen einzelnen Benutzern zuweisen.

  • Sicherungsfähiges Objekt   Bei einem sicherungsfähigen Objekt handelt es sich um eine Website, eine Liste, eine Bibliothek, einen Ordner, ein Dokument oder ein Element, für die/den/das Benutzern oder Gruppen Berechtigungsstufen zugewiesen werden können. Standardmäßig erben alle Listen und Bibliotheken innerhalb einer Website die Berechtigungen der Website. Mit Berechtigungen auf Listen-, Ordner- und Elementebene können Sie zusätzlich steuern, welche Benutzer Websiteinhalt anzeigen oder damit interagieren können. Sie müssen zunächst die Berechtigungsvererbung deaktivieren, bevor Sie Berechtigungen für ein sicherungsfähiges Objekt ändern oder zuweisen können. Sie können die Berechtigungsverarbeitung jederzeit über die übergeordnete Liste oder Website wieder aktivieren.

Sie können einem Benutzer oder einer Gruppe Berechtigungen für ein bestimmtes sicherungsfähiges Objekt zuweisen. Einzelne Benutzer oder Gruppen können unterschiedliche Berechtigungen für unterschiedliche sicherungsfähige Objekte besitzen. Im folgenden Diagramm werden die Beziehungen zwischen Berechtigungen, Benutzern und Gruppen und sicherungsfähigen Objekten veranschaulicht.

Spezifische Berechtigungsstufen

Informationen zur Vererbung von Berechtigungen

Berechtigungen für sicherungsfähige Objekten innerhalb einer Website werden standardmäßig von dem übergeordneten Objekt geerbt. Sie können die Vererbung deaktivieren und abgestimmte Berechtigungen verwenden – eindeutige Berechtigungen auf der Ebene der Liste oder Bibliothek, des Ordners oder Elements oder des Dokuments – um die Aktionen, die Benutzer auf der Website ausführen können, besser steuern zu können. Weitere Informationen zu bewährten Methoden für die Verwendung von abgestimmten Berechtigungen finden Sie unter Bewährte Methoden für die Verwendung abgestimmter Berechtigungen.

Wenn die Vererbung von Berechtigungen beendet wird, werden Gruppen, Benutzer und Berechtigungsstufen vom übergeordneten Objekt zu dem untergeordneten Objekt kopiert und die Vererbung dann deaktiviert. Wenn die Berechtigungsvererbung deaktiviert ist, sind alle Berechtigungen explizit, und alle Änderungen an dem übergeordneten Objekt wirken sich nicht auf das untergeordnete Objekt aus. Wenn vererbte Berechtigungen wiederhergestellt werden, erbt das untergeordnete Objekt seine Benutzer, Gruppen und Berechtigungsstufen wieder von dem übergeordneten Objekt, und alle bisher eindeutigen Benutzer, Gruppen oder Berechtigungsstufen des untergeordneten Objekts gehen verloren.

Verwenden Sie zur Erleichterung der Verwaltung nach Möglichkeit die Berechtigungsvererbung.

Tipp

Wenn Sie die Vererbung deaktivieren und die abgestimmte Berechtigungen verwenden, sollten Sie Gruppen verwenden, um zu vermeiden, dass Sie einzelne Benutzer nachverfolgen müssen. Beispielsweise können Personen regelmäßig in Teams aufgenommen werden, aus Teams ausscheiden und ihre Verantwortlichkeiten ändern. Das Nachverfolgen dieser Änderungen und das Aktualisieren der Berechtigungen für einzeln gesicherte Objekte wäre deshalb zeitaufwändig und fehleranfällig.

Planen von Websiteberechtigungen

Sie müssen beim Erstellen von Berechtigungen ein ausgewogenes Verhältnis von einfacher Verwaltung und Leistung sowie der Steuerung des Zugriffs auf einzelne Elemente finden. Wenn Sie zahlreiche abgestimmte Berechtigungen verwenden, werden Sie viel Zeit mit der Verwaltung von Berechtigungen verbringen, und Benutzer werden beim Zugriff auf Websiteinhalte ein schlechteres Leistungsverhalten feststellen.

Verwenden Sie beim Planen von Websiteberechtigungen die folgenden Richtlinien:

  1. Befolgen Sie das Prinzip der geringsten Rechte: Den Benutzern sollten nur die Berechtigungsstufen oder Berechtigungen erteilt werden, die sie für die zugewiesenen Aufgaben benötigen.

  2. Verwenden Sie Standardgruppen (z. B. Mitglieder, Besucher und Besitzer), und legen Sie Berechtigungen auf der Ebene der Website fest.

    • Weisen Sie die meisten Benutzer den Gruppen Mitglieder oder Besucher zu. Standardmäßig können Benutzer in der Gruppe Mitglieder eigene Beiträge zu einer Website beisteuern, indem sie Elemente oder Dokumente hinzufügen oder entfernen. Sie können jedoch die Struktur, Websiteeinstellungen oder das Aussehen der Website nicht ändern. Die Gruppe Besucher hat schreibgeschützten Zugriff auf die Website. Die Mitglieder dieser Gruppe können Seiten und Elemente sehen sowie Elemente und Dokumente öffnen, aber keine Seiten, Elemente oder Dokumente hinzufügen oder entfernen.

    • Begrenzen Sie die Anzahl der Benutzer in der Gruppe Besitzer auf die Benutzer, die die Struktur, die Einstellungen oder das Aussehen der Website ändern dürfen.

  3. Verwenden Sie Berechtigungsstufen, anstatt einzelne Berechtigungen zuzuordnen.

Hinweis

  1. Wenn Sie die Aktionen, die von Benutzern ausgeführt werden können, genauer festlegen möchten, können Sie weitere SharePoint-Gruppen und Berechtigungsstufen erstellen. Wenn z. B. die Berechtigung Benachrichtigungen erstellen nicht in der Berechtigungsstufe Lesen für eine bestimmte Unterwebsite enthalten sein soll, unterbrechen Sie die Vererbung, und passen Sie die Berechtigungsstufe Lesen für diese Unterwebsite an.

  2. Microsoft SharePoint Foundation 2010 und SharePoint Server 2010 verwenden Berechtigungen überprüfen, um die Berechtigungen eines Benutzers oder einer Gruppe für alle Ressourcen innerhalb einer Websitesammlung zu ermitteln. Sie können jetzt sowohl die dem Benutzer direkt zugewiesenen Berechtigungen finden, als auch die Berechtigungen, die einer beliebigen Gruppe zugewiesenen sind, von der der Benutzer ein Mitglied ist, indem die Berechtigungen einer bestimmten Website oder von Websiteinhalten überprüft werden.

Planen der Vererbung von Berechtigungen

Berechtigungen lassen sich wesentlich einfacher verwalten, wenn eine klare Hierarchie von Berechtigungen und vererbten Berechtigungen besteht. Die Verwaltung wird schwieriger, wenn auf einige Listen innerhalb einer Website abgestimmte Berechtigungen angewendet werden, und wenn einige Websites über Unterwebsites mit eigenen Berechtigungen und über einige Unterwebsites mit vererbten Berechtigungen verfügen.

Es ist beispielsweise viel einfacher, eine Website zu verwalten, bei der Berechtigungen wie in der folgenden Tabelle beschrieben vererbt werden.

Sicherungsfähiges Objekt Beschreibung Eigene oder vererbte Berechtigungen

WebsiteA

Homepage der Gruppe

Eigen

WebsiteA/UnterwebsiteA

Vertrauliche Gruppe

Eigen

WebsiteA/UnterwebsiteA/ListeA

Vertrauliche Daten

Eigen

WebsiteA/UnterwebsiteA/BibliothekA

Vertrauliche Dokumente

Eigen

WebsiteA/UnterwebsiteB

Gruppe nutzt Projektinformationen gemeinsam

Vererbt

WebsiteA/UnterwebsiteB/ListeB

Nicht vertrauliche Daten

Vererbt

WebsiteA/UnterwebsiteB/BibliothekB

Nicht vertrauliche Dokumente

Vererbt

Es ist jedoch nicht so einfach, eine Website zu verwalten, bei der Berechtigungen wie in der folgenden Tabelle beschrieben vererbt werden.

Sicherungsfähiges Objekt Beschreibung Eigene oder vererbte Berechtigungen

WebsiteA

Homepage der Gruppe

Eigen

WebsiteA/UnterwebsiteA

Vertrauliche Gruppe

Eigen

WebsiteA/UnterwebsiteA/ListeA

Nicht vertrauliche Daten

Eigene Berechtigungen, jedoch einige Berechtigungen wie WebsiteA

WebsiteA/UnterwebsiteA/BibliothekA

Nicht vertrauliche Dokumente, jedoch mit einem oder zwei vertraulichen Dokumenten

Vererbte Berechtigungen, mit eigenen Berechtigungen auf der Dokumentebene

WebsiteA/UnterwebsiteB

Gruppe nutzt Projektinformationen gemeinsam

Vererbt

WebsiteA/UnterwebsiteB/ListeB

Nicht vertrauliche Daten, jedoch mit einem oder zwei vertraulichen Elementen

Vererbte Berechtigungen, mit eigenen Berechtigungen auf der Elementebene

WebsiteA/UnterwebsiteB/BibliothekB

Nicht vertrauliche Dokumente, jedoch mit einem speziellen Ordner mit vertraulichen Dokumenten

Vererbte Berechtigungen, mit eigenen Berechtigungen auf der Ordner- und Dokumentebene