Auswählen der zu verwendenden Sicherheitsgruppen (Windows SharePoint Services)

Inhalt dieses Artikels:

• Bestimmen der Windows-Sicherheitsgruppen und -konten für das Gewähren des Zugriffs auf Websites

• Entscheiden über den Zugriff für alle authentifizierten Benutzer

• Entscheiden über die Gewährung des Zugriffs für anonyme Benutzer

• Arbeitsblatt

Zum Optimieren der Benutzerverwaltung empfiehlt es sich, dass Sie Berechtigungen für Websites nicht einzelnen Benutzern, sondern Gruppen zuweisen. Im Verzeichnisdienst von Microsoft Active Directory werden Benutzer häufig in den folgenden zwei Typen von Gruppen organisiert:

• Verteilergruppe   Eine Gruppe, die ausschließlich für die Verteilung von E-Mails verwendet wird und für die keine Sicherheit aktiviert ist. Verteilergruppen können nicht in freigegebenen Zugriffssteuerungslisten (Discretionary Access Control List, DACL) aufgelistet sein, in denen Berechtigungen für Ressourcen und Objekte definiert werden.

• Sicherheitsgruppe   Eine Gruppe, die in freigegebenen Zugriffssteuerungslisten (Discretionary Access Control List, DACL) aufgelistet sein kann, in denen Berechtigungen für Ressourcen und Objekte definiert werden. Eine Sicherheitsgruppe kann auch als E-Mail-Entität verwendet werden.

Mithilfe von Sicherheitsgruppen können Sie Berechtigungen für Ihre Website steuern, indem Sie die Sicherheitsgruppe direkt hinzufügen und der gesamten Gruppe Berechtigungen zuweisen. Für Verteilergruppen ist dies nicht möglich. Sie können jedoch eine Verteilerliste erweitern und die einzelnen Benutzer einer SharePoint-Gruppe hinzufügen. Wenn Sie auf diese Weise vorgehen, müssen Sie die laufende Synchronisierung der SharePoint-Gruppe mit der Verteilergruppe sicherstellen. Wenn Sie Sicherheitsgruppen verwenden, müssen die einzelnen Benutzer in der SharePoint-Anwendung nicht verwaltet werden. Da anstelle der einzelnen Mitglieder der Gruppe die Sicherheitsgruppe selbst eingebunden wurde, werden die Benutzer von Active Directory verwaltet.

Bestimmen der Windows-Sicherheitsgruppen und -konten für das Gewähren des Zugriffs auf Websites

In jeder Organisation werden Windows-Sicherheitsgruppen individuell festgelegt. Für eine optimale Berechtigungsverwaltung sollten die Sicherheitsgruppen wie folgt festgelegt werden:

• Groß und stabil genug, sodass den SharePoint-Websites nicht ständig weitere Gruppen hinzugefügt werden müssen.

• Klein genug, dass die entsprechenden Berechtigungen zugewiesen werden können.

Die Sicherheitsgruppe "Alle Benutzer in Gebäude 2" ist möglicherweise nicht klein genug, dass Berechtigungen zugewiesen werden können, es sei denn, allen Benutzern in Gebäude 2 wurde dieselbe Position zugeordnet, beispielsweise Kreditorenkonten-Manager. Dies ist jedoch selten der Fall, daher sollten Sie einen kleineren Benutzerkreis aussuchen, beispielsweise "Kreditorenkonten" oder eine andere kleinere Gruppe von spezialisierten Benutzern.

Entscheiden über den Zugriff für alle authentifizierten Benutzer

Wenn alle Benutzer in der Domäne in der Lage sein sollen, Inhalte anzuzeigen, empfiehlt es sich, allen authentifizierten Benutzern (der Windows-Sicherheitsgruppe Domänenbenutzer) den Zugriff zu gewähren. Diese spezielle Gruppe erteilt allen Mitgliedern der Domäne den Zugriff auf eine Website (auf der ausgewählten Berechtigungsstufe), ohne dass dazu der anonyme Zugriff aktiviert werden muss.

Entscheiden über die Gewährung des Zugriffs für anonyme Benutzer

Sie können den anonymen Zugriff aktivieren, sodass alle Benutzer Seiten anonym anzeigen können. Auf den meisten Websites im Internet kann die Website anonym angezeigt werden, möglicherweise ist jedoch eine Authentifizierung erforderlich, wenn Benutzer die Website bearbeiten oder einen Artikel auf einer kommerziellen Website kaufen möchten. Der anonyme Zugriff muss auf der Webanwendungsebene beim Erstellen der Webanwendung erteilt werden. Wenn der anonyme Zugriff für die Webanwendung zulässig ist, können Websiteadministratoren über Folgendes entscheiden:

• Gewähren des anonymen Zugriffs auf eine Website

• Gewähren des anonymen Zugriffs ausschließlich auf Listen und Bibliotheken

• Vollständiges Sperren des anonymen Zugriffs auf eine Website

Der anonyme Zugriff stützt sich auf das anonyme Benutzerkonto auf dem Webserver. Dieses Konto wird von Microsoft Internetinformationsdienste (Internet Information Services, IIS) und nicht von der SharePoint-Website erstellt und verwaltet. Das anonyme Benutzerkonto ist in IIS standardmäßig IUSR_ Computername. Wenn Sie den anonymen Zugriff aktivieren, gewähren Sie damit tatsächlich diesem Konto den Zugriff auf die SharePoint-Website. Durch das Gewähren des Zugriffs auf eine Website bzw. auf Listen und Bibliotheken wird dem anonymen Benutzerkonto die Berechtigung Elemente anzeigen erteilt. Selbst mit der Berechtigung Elemente anzeigen gelten jedoch Einschränkungen bezüglich der Aktionen, die von anonymen Benutzern ausgeführt werden können. Anonymen Benutzern sind folgende Aktionen nicht gestattet:

• Verwenden des Microsoft Office SharePoint Designer-Remoteprozeduraufrufs. Anders gesagt, anonyme Benutzer können nicht auf Websites zugreifen, um diese in Office SharePoint Designer zu bearbeiten. Darüber hinaus können sie DAV (das Webordnerprotokoll in Windows) nicht verwenden, d. h., sie können die Website nicht in der Netzwerkumgebung anzeigen.

• Hochladen oder Bearbeiten in Dokumentbibliotheken, einschließlich von Wiki-Bibliotheken.

  Wichtig

  Aktivieren Sie den anonymen Zugriff nicht, wenn Sie die Sicherheit von Websites, Listen und Bibliotheken erhöhen möchten. Durch das Gewähren des anonymen Zugriffs können Benutzer Beiträge zu Listen, Diskussionen und Umfragen beisteuern und möglicherweise Speicherplatz auf dem Server und andere Ressourcen belegen. Zudem können anonyme Benutzer Websites bestimmte Informationen entnehmen, u. a. E-Mail-Adressen von Benutzern sowie Inhalte, die in Listen, Bibliotheken und Diskussionen veröffentlicht wurden.

Sie können außerdem Berechtigungsrichtlinien für anonyme Benutzer für verschiedene Zonen (Internet, Extranet, Intranet, Andere) festlegen, wenn eine Webanwendung Dienste für Inhalte in diesen Zonen erbringt. Die Richtlinien werden in der folgenden Liste beschrieben:

• Keine   Keine Richtlinie. Dies ist die Standardoption. Es werden keine zusätzlichen Berechtigungseinschränkungen oder -erweiterungen auf anonyme Websitebenutzer angewendet.

• Lesen   Anonyme Benutzer verfügen über Lesezugriff auf Inhalte, es sei denn, der anonyme Zugriff wird vom Websiteadministrator deaktiviert.

• Schreiben verweigern   Anonyme Benutzer können keine Inhalte verfassen, selbst wenn der Websiteadministrator versucht, einem anonymen Benutzerkonto diese Berechtigung ausdrücklich zuzuweisen.

• Alle verweigern   Anonyme Benutzer verfügen über keinen Zugriff, selbst wenn der Websiteadministrator versucht, anonymen Benutzerkonten den Zugriff auf die Websites zu gewähren.

Arbeitsblatt

Listen Sie auf dem folgenden Arbeitsblatt die benötigten Sicherheitsgruppen sowie die Berechtigungsstufen auf, über die die Gruppen auf den einzelnen Ebenen der Websitehierarchie verfügen sollen.

• Site and content security worksheet (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73136&clcid=0x407) (Arbeitsblatt zur Sicherheit von Websites und Inhalten)

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

• Sicherheit für Windows SharePoint Services 3.0 (in englischer Sprache)

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services (in englischer Sprache).