Sperren von Office SharePoint Server-Websites
Durch die Aktivierung des Sperrmodus in einer Microsoft Office SharePoint Server 2007-Website können Sie die Berechtigungen für anonyme Benutzer einschränken. Weitere Informationen zum Sperrmodus in Microsoft Office SharePoint Server 2007 finden Sie im Abschnitt "Verwenden des Sperrmodus" in Planen der Sicherheit für eine Umgebung mit externem anonymem Zugriff (Office SharePoint Server).
Selbst wenn der Sperrmodus aktiviert ist, können anonyme Benutzer jedoch weiterhin auf bestimmte Office SharePoint Server-Anwendungs-URLs zugreifen, beispielsweise Seiten im Verzeichnis _layouts und Webdienste, die im Verzeichnis _vti_bin verfügbar gemacht wurden. In diesem Thema wird erläutert, wie die Datei Web.config bearbeitet wird, um den Zugriff auf diese zusätzlichen Ressourcen einzuschränken.
Hinweis
Zur Erhöhung der Sicherheit in Ihrer Office SharePoint Server-Website sollten Sie den Sperrmodus aktivieren und die Datei Web.config wie in diesem Thema beschrieben bearbeiten.
Zulassen und Verweigern des Zugriffs mithilfe der Datei "Web.config"
Sie können den Zugriff auf Webressourcen durch Hinzufügen von location-Elementen zur Datei Web.config zulassen oder verweigern. Beispielsweise können Sie ein location-Element hinzufügen, um anonymen Benutzern den Zugriff auf das Verzeichnis _layouts zu verweigern. Anschließend können Sie ein weiteres location-Element hinzufügen, um anonymen Benutzern explizit den Zugriff auf die Seite _layouts/login.aspx zu gewähren. Das zweite location-Element setzt das erste location-Element außer Kraft und erstellt eine Ausnahme für die Verweigerung des Zugriffs auf die Anmeldeseite.
Weitere Informationen zum location-Element finden Sie im Abschnitt "Verwenden des Sperrmodus" unter Planen der Sicherheit für eine Umgebung mit externem anonymem Zugriff (Office SharePoint Server).
Hinweis
Die direkte Bearbeitung der Datei Web.config wird nicht empfohlen. Wenn Sie die Datei Web.config direkt bearbeiten, besteht die Möglichkeit, dass die Änderungen außer Kraft gesetzt werden, wenn Sie Ihre Office SharePoint Server-Installation aktualisieren, oder dass die geänderte Datei Web.config nicht auf alle Front-End-Webserver in Ihrer Farm kopiert werden. Sie sollten stattdessen eine spezielle XML-Datei erstellen und diese im Verzeichnis \Config speichern. Während eines Upgrades suchen Windows SharePoint Services 3.0 und Microsoft Office SharePoint Server 2007 nach Dateien in diesem Verzeichnis und wenden die in den Dateien festgelegten Änderungen auf die Datei Web.config an, somit bleiben alle vorgenommenen Änderungen erhalten. Weitere Informationen zur Erhaltung von Änderungen in der Datei Web.config in Windows SharePoint Services 3.0 und Microsoft Office SharePoint Server 2007 finden Sie unter Gewusst wie: Hinzufügen benutzerdefinierter Konfigurationseinstellungen zur Erweiterung einer Webanwendung (https://go.microsoft.com/fwlink/?linkid=157096&clcid=0x407).
Auf welche Seiten sollten anonyme Benutzer Zugriff erhalten?
Damit sich anonyme Benutzer auf dem Server authentifizieren können, müssen Sie sicherstellen, dass diese Zugriff auf die folgenden Seiten erhalten:
_layouts/login.aspx
_layouts/accessdenied.aspx
_layouts/error.aspx
Wenn Sie anonymen Benutzern den Zugriff auf eine dieser Seiten verweigern, funktioniert Office SharePoint Server nicht mehr ordnungsgemäß.
Wenn Sie benutzerdefinierte Lösungen bereitgestellt haben, für die anonyme Benutzer auf weitere Seiten im Verzeichnis _layouts oder auf zusätzliche Dienste im Verzeichnis _vti_bin zugreifen müssen, gewährend Sie anonymen Benutzern explizit auch den Zugriff auf diese Ressourcen.
Beispiele
Die ersten beiden Beispiele in diesem Abschnitt veranschaulichen mögliche Strategien für die Einschränkung des anonymen Zugriffs. Zu Erleichterung des Lesens wird in beiden Beispielen der XML-Code wiedergegeben, wie er in der Datei Web.config erscheint. Im dritten Beispiel wird veranschaulicht, wie XML-Elemente der Datei Web.config in Windows SharePoint Services und Office SharePoint Server ordnungsgemäß hinzugefügt werden.
Wichtig
Fügen Sie die XML-Anweisungen aus den ersten beiden Beispielen nicht direkt der Datei Web.config hinzu. Erstellen Sie stattdessen eine dem dritten Beispiel entsprechende Datei, und speichern Sie diese im Verzeichnis \Config, wie unter Gewusst wie: Hinzufügen benutzerdefinierter Konfigurationseinstellungen zur Erweiterung einer Webanwendung (https://go.microsoft.com/fwlink/?linkid=157096&clcid=0x407) erläutert.
Beispiel 1: Verweigern des Zugriffs auf alles, Zulassen des selektiven Zugriffs auf bestimmte Ressourcen
Das folgende XML-Fragment verweigert anonymen Benutzern zunächst den Zugriff auf alle Seiten in den Verzeichnissen _layouts und _vti_bin und gestattet diesen anschließend den Zugriff auf vier bestimmte Seiten im Verzeichnis _layouts. Das Fragezeichen (?) steht für anonyme Benutzer. Diese Einschränkungen gelten nicht für authentifizierte Benutzer.
<configuration>
<location path="_layouts">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_vti_bin">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/login.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/error.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/accessdenied.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
</configuration>
Beispiel 2: Verweigern des Zugriffs auf bestimmte Ressourcen
Das folgende XML-Fragment verweigert anonymen Benutzern den Zugriff auf _layouts/error.aspx und _layouts/SearchResults.aspx. Der Zugriff auf andere Seiten im Verzeichnis _layouts wird vom Status des Sperrmodus der Website gesteuert. Das Fragezeichen (?) steht für anonyme Benutzer. Diese Einschränkungen gelten nicht für authentifizierte Benutzer.
<configuration>
<location path="_layouts/error.aspx">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/SearchResults.aspx">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<configuration>
Beispiel 3: Das empfohlene Verfahren zur Implementierung von Beispiel 1
Sie folgenden XML-Anweisungen veranschaulichen, wie die XML-Anweisungen aus Beispiel 1 der Datei Web.config so hinzugefügt werden, dass die Ergänzungen erhalten bleiben, wenn Windows SharePoint Services oder Office SharePoint Server aktualisiert wird, wie in Gewusst wie: Hinzufügen benutzerdefinierter Konfigurationseinstellungen zur Erweiterung einer Webanwendung (https://go.microsoft.com/fwlink/?linkid=157096&clcid=0x407) erläutert.
<?xml version="1.0" encoding="utf-8" ?>
<actions>
<add path="configuration">
<location path="_layouts">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_vti_bin">
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/login.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/error.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
<location path="_layouts/accessdenied.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>
</add>
</actions>
Nach der Erstellung einer Datei, die XML-Anweisungen wie die in Beispiel 3 enthält, speichern Sie die Datei im Verzeichnis \Config mit einem Namen im Format webconfig. <Name>.xml. Um diese Änderungen auf die Farm anzuwenden, führen Sie die Stsadm-Operation copyappobincontent auf jedem Front-End-Webserver aus. Weitere Informationen finden Sie unter Copyappbincontent: Stsadm-Vorgang (Office SharePoint Server).
Siehe auch
Konzepte
Planen der Sicherheit für eine Umgebung mit externem anonymem Zugriff (Office SharePoint Server)