Planen der Authentifizierung in Excel Services (SharePoint Server 2010)

  • Artikel

 

Gilt für: Excel Services (SharePoint 2010), SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Inhalt dieses Artikels:

  • Informationen zur Sicherheit von Excel Services

  • Planen der Benutzerauthentifizierung

  • Planen der Kommunikation zwischen Servern

  • Planen der Authentifizierung von externen Daten

Informationen zur Sicherheit von Excel Services

Neben den Sicherheitsanforderungen für die Bereitstellung von Microsoft SharePoint 2010-Produkte müssen Sie die Sicherheitsüberlegungen für eine Bereitstellung mit Excel Services-Anwendung überprüfen. Microsoft SharePoint Foundation 2010 stellt die Plattform für SharePoint Server 2010 bereit.

Die Funktionalität von Excel Services-Anwendung in Kombination mit SharePoint Server 2010 stellt die primäre Möglichkeit zum Steuern, Schützen und Verwalten des Zugriffs auf Excel-Arbeitsmappen im Unternehmen dar. Die Excel Services-Anwendung ist ein Anwendungsserver auf Unternehmensebene, der für Leistung, Skalierbarkeit und Sicherheit entwickelt wurde. Eine Bereitstellung von Excel Services-Anwendung ermöglicht die reduzierte Übertragung von Arbeitsmappen (und Interaktivität mit Arbeitsmappen), und Sie können Arbeitsmappenkomponenten problemlos wiederverwenden, z. B. Diagramme und PivotTable-Berichte, die in Business Intelligence-Dashboards gerendert werden können.

Mit der Excel Services-Anwendung können Sie Berechnungen durch serverseitige Excel-Arbeitsblätter für benutzerdefinierte Anwendungen verwenden, und Benutzer haben die Möglichkeit, Arbeitsmappen zu sperren und private Daten und geistiges Eigentum zu sichern. Dadurch wird sichergestellt, dass Daten in Arbeitsmappen besser geschützt sind, während Benutzer, die Arbeitsmappen auf einem Server verwenden, die Aktualisierung der Daten und die Neuberechnungsfunktion der Excel Services-Anwendung uneingeschränkt verwenden können.

Sicherheit ist eine wichtige Komponente für diese Szenarien zum Rendern von Daten. Beim Planen einer Umgebung, die die Sicherheit von auf einem Server gerenderten Arbeitsmappen sicherstellt, müssen viele Faktoren berücksichtigt werden. Sie müssen die Verwaltung der Sicherheit von Arbeitsmappen und der Sicherheit des Servers planen. Die Excel Services-Anwendung bietet einen hohen Grad an präziser Steuerung für die Verarbeitung und Anzeige von Excel-Arbeitsmappen. Sie können steuern, wie Arbeitsmappen auf dem Server geöffnet werden, und welche Funktionen für jede Arbeitsmappe aktiviert sind.

Dieser Artikel enthält eine Übersicht über die Sicherheits- und Authentifizierungseinstellungen für die Excel Services-Anwendung und verwandte Komponenten, die Sie beim Planen einer Bereitstellung berücksichtigen müssen. Darüber hinaus enthält dieser Artikel Anleitungen zur Verwendung der Excel Services-Anwendung zum Schützen und Verwalten des Zugriffs auf Arbeitsmappen auf dem Server.

Das Sicherheitsmodell für die Excel Services-Anwendung basiert auf dem Konzept, dass für die Sicherstellung von Datenintegrität und -qualität ein Administrator gemeinsame Ressourcen und den Benutzerzugriff auf geistiges Eigentum eines Unternehmens, das in Arbeitsmappen enthalten ist, zentral verwalten können muss. Dafür können Sie mit der Excel Services-Anwendung Folgendes angeben:

  • Vertrauenswürdige Speicherorte Dies sind SharePoint-Dokumentbibliotheken, UNC-Pfade oder HTTP-Websites, die explizit vertrauenswürdig sein müssen, bevor von Dienste für Excel-Berechnungen darauf zugegriffen werden kann. Mit Dienste für Excel-Berechnungen werden nur Arbeitsmappen geöffnet, die an vertrauenswürdigen Speicherorten gespeichert sind.

  • Vertrauenswürdige Datenanbieter Dies sind externe Datenbanken, die in Dienste für Excel-Berechnungen für die Verarbeitung von Datenverbindungen in Arbeitsmappen explizit als vertrauenswürdig konfiguriert werden. Mit Dienste für Excel-Berechnungen wird nur dann versucht, eine Datenverbindung zu verarbeiten, wenn es sich um eine Verbindung mit einem vertrauenswürdigen Datenanbieter handelt.

  • Vertrauenswürdige Datenverbindungsbibliotheken Dies sind SharePoint-Dokumentbibliotheken mit ODC-Dateien (Office Data Connection). Die ODC-Dateien dienen der zentralen Verwaltung von Verbindungen mit externen Datenquellen. Anstelle von eingebetteten Verbindungen mit externen Datenquellen kann Dienste für Excel-Berechnungen so konfiguriert werden, dass die Verwendung von ODC-Dateien für alle Datenverbindungen erforderlich ist. Die ODC-Dateien sind in Datenverbindungsbibliotheken gespeichert, und diesen muss explizit vertraut werden, bevor der Zugriff auf Arbeitsmappen in Dienste für Excel-Berechnungen gestattet wird.

    Standardmäßig ist ein domänenübergreifender Zugriff auf Arbeitsmappen und Datenverbindungen nicht zulässig. Damit Webparts, Webseiten oder Webdienste domänenübergreifend auf Arbeitsmappen an vertrauenswürdigen Speicherorten (sowie Datenverbindungen in vertrauenswürdigen Datenverbindungsbibliotheken) zugreifen können, führen Sie die Windows PowerShell-Cmdlets aus, wie in den Beispielen in Verwalten von Excel Services mithilfe von Windows PowerShell gezeigt.

    Die anfordernden Webseiten und die Arbeitsmappen oder Datenverbindungen müssen sich in derselben Farm befinden.

    Hinweis

    Wenn Sie eine Arbeitsmappe in Dienste für Excel-Berechnungen öffnen, wird auf dem Anwendungsserver mit Dienste für Excel-Berechnungen eine temporäre Datei im Ordner %TEMP% gespeichert.

Planen der Benutzerauthentifizierung

Excel-Arbeitsmappen, die von Dienste für Excel-Berechnungen geöffnet werden, sollten in der SharePoint Server 2010-Inhaltsdatenbank gespeichert werden, da von SharePoint Foundation 2010 eine Zugriffssteuerungsliste (Access Control List, ACL) für diese Dateien verwaltet wird. In Dienste für Excel-Berechnungen können auch Arbeitsmappen von UNC-Pfaden und HTTP-Websites geöffnet werden, es wird jedoch die Verwendung der SharePoint Server 2010-Inhaltsdatenbank für die Speicherung von Arbeitsmappen empfohlen.

Die Authentifizierung für den Benutzerzugriff auf eine SharePoint-Portalwebsite erfolgt mithilfe von SharePoint Foundation 2010. Standardmäßig wird von SharePoint Foundation 2010 die integrierte Windows-Authentifizierung verwendet.

Zusätzlich zu den aufgeführten Authentifizierungsmethoden unterstützt die Excel Services-Anwendung außerdem die generische formularbasierte Authentifizierung. Allerdings wird die Konfiguration von SharePoint Foundation 2010 für die Verwendung der generischen formularbasierten Authentifizierung in diesem Artikel nicht behandelt.

Planen der Kommunikation zwischen Servern

Standardmäßig wird in SharePoint Server 2010 die anspruchsbasierte Authentifizierung verwendet. Es handelt sich hierbei um einen Microsoft- und Industriestandard mit umfassender Unterstützung. Mit der anspruchsbasierten Authentifizierung kann die Sicherheit und Authentifizierung beim Bereitstellen von Farmen, Office-Geschäftsanwendungen und SharePoint-Diensten in verschiedenen Umgebungen verbessert werden. In der Excel Services-Anwendung wird die anspruchsbasierte Authentifizierung für alle Bereitstellungsszenarien verwendet, ob in einer einzelnen Serverinstallation oder in einer Farmumgebung. Zudem ist die Authentifizierung und Autorisierung von Benutzern auf alle Inhalte und Ressourcen in SharePoint Server 2010 mit der anspruchsbasierten Authentifizierung wesentlich sicherer.

Planen der Authentifizierung von externen Daten

Arbeitsmappen können eingebettete direkte Datenverbindungen und Links zu Datenverbindungsdateien enthalten, die in Datenverbindungsbibliotheken gespeichert sind. Beim Aktualisieren kann die eingebettete direkte Datenverbindung zum Abfragen der Datenquelle oder der Link für die Datenverbindungsbibliothek zum Abfragen der ODC-Datei verwendet werden, je nach Konfiguration der Excel Services-Anwendung. Die ODC-Datei enthält Datenverbindungsinformationen und muss in einer Datenverbindungsbibliothek gespeichert werden.

Wählen Sie zum Konfigurieren der Excel Services-Anwendung für die Verarbeitung von Verbindungen zu externen Datenquellen in der Webanwendung für die SharePoint-Zentraladministration auf der Seite Excel Services Vertrauenswürdigen Dateispeicherort hinzufügen eine Einstellung im Abschnitt Externe Daten aus.

Weitere Informationen zum Konfigurieren von Verwaltungseinstellungen für Excel Services-Anwendung finden Sie unter VERALTET Verwalten der Authentifizierung in Excel Services (SharePoint Server 2010).

Farmbereitstellungen mit integrierten Verbindungen verwenden nun die anspruchsbasierte Authentifizierung in SharePoint Server 2010. Wenn von Dienste für Excel-Berechnungen Verbindungsinformationen abgerufen werden, werden Anmeldeinformationen auf Gespeichert (aus der Secure Store Service-Datenbank abzurufen), Integriert oder auf Keine festgelegt. Für alle Datenverbindungen mit integrierten Anmeldeinformationen wird nun die anspruchsbasierte Authentifizierung für Bereitstellungen verwendet, die auf mehreren Servern dezentral skaliert werden. Auch in einer eigenständigen Bereitstellung wird standardmäßig die anspruchsbasierte Authentifizierung verwendet.

Stellen Sie sich die Datenverbindung einer Arbeitsmappe vor, die auf einem Dienste für Excel-Berechnungen-Anwendungsserver geöffnet wird, auf dem gespeicherte Anmeldeinformationen verwendet werden. Von Dienste für Excel-Berechnungen müssen gültige Anmeldeinformationen von einer Secure Store Service-Authentifizierungsdatenbank abgerufen werden. Anschließend werden die Anmeldeinformationen zum Authentifizieren mit einer Datenquelle verwendet, bevor die Datenverbindung eingerichtet werden kann.

In Excel Services-Anwendung werden drei Datenauthentifizierungsmethoden unterstützt: Integrierte Windows-Authentifizierung, Secure Store Service-Authentifizierung und keine Authentifizierung.

Integrierte Windows-Authentifizierung

Das Kerberos-Protokoll ist die empfohlene Sicherheitskonfiguration für die integrierte Windows-Authentifizierung. Da von SharePoint Server 2010 die anspruchsbasierte Authentifizierung verwendet wird, wird in allen Szenarien mit der Excel Services-Anwendung ebenfalls die anspruchsbasierte Authentifizierung verwendet. Die integrierte Windows-Authentifizierung wird nun ausschließlich für IIS-Authentifizierungseinstellungen in SharePoint Server 2010 verwendet. Weitere Informationen zum Konfigurieren der eingeschränkten Kerberos-Delegierung für Excel Services-Anwendung finden Sie im Microsoft Download Center unter Konfigurieren der Kerberos-Authentifizierung für Microsoft SharePoint 2010-Produkte.

Secure Store Service-Authentifizierung

Bei Verwendung der Secure Store Service-Authentifizierung können Benutzer auf mehrere Systemressourcen ohne ein- oder mehrmalige Authentifizierung der Anmeldeinformationen zugreifen. In SharePoint Server 2010 wird die Secure Store Service-Authentifizierung implementiert, indem ein Windows-Dienst und eine Datenbank mit sicheren Anmeldeinformationen eingeschlossen werden. Wenn Sie die austauschbare Secure Store Service-Funktionalität verwenden, die von der Excel Services-Anwendung unterstützt wird, können Sie einen eigenen Secure Store Service-Anbieter implementieren. SharePoint Server 2010 enthält einen Secure Store Service-Anbieter, der mit der Excel Services-Anwendung verwendet werden kann.

Jeder Secure Store Service-Anbieter, den Sie mit der Excel Services-Anwendung implementieren, sollte Anmeldeinformationen zusammen mit einem Anmeldeinformationstyp senden, entweder mit Windows-Anmeldeinformationen oder mit anderen Anmeldeinformationen. Die Excel Services-Anwendung verwendet die Secure Store Service-Datenbank, um Anmeldeinformationen zur Verbindungsauthentifizierung abzurufen.

Die Secure Store Service-Authentifizierung in SharePoint Server 2010 unterstützt einzelne Zuordnungen und Gruppenzuordnungen. Secure Store Service verwaltet einen Satz von Anmeldeinformationen für die Anwendungsidentitäten von Ressourcen, die in der Secure Store Service-Datenbank von SharePoint Server 2010 gespeichert sind. Für einzelne Zuordnungen überprüft eine Sicherheitsebene die Benutzeranmeldeinformationen gegen mehrere einzelne Auflistungen auf eine Anwendungsidentität, die in der Secure Store Service-Datenbank gespeichert ist. Einzelne Zuordnungen sind hilfreich, wenn Sie Protokollierungsinformationen zu individuellem Benutzerzugriff auf gemeinsame Ressourcen benötigen.

Für Gruppenzuordnungen überprüft eine Sicherheitsebene die Gruppenanmeldeinformationen für mehrere Domänenbenutzer gegen einen einzigen Satz von Anmeldeinformationen für eine Ressource, die durch eine in der Secure Store Service-Datenbank gespeicherte Anwendungsidentität identifiziert ist. Dies funktioniert auch bei der formularbasierten Authentifizierung oder bei anderen von Ihnen verwendeten Anspruchsanbietern. Gruppenzuordnungen sind einfacher zu verwalten als einzelne Zuordnungen, und die Leistung ist besser.

Zum Aktivieren der Secure Store Service-Funktionalität für SharePoint Server 2010 erstellen Sie auf der Website für die SharePoint-Zentraladministration einen neuen Secure Store Service. Weitere Informationen finden Sie unter Verwenden von Excel Services mit Secure Store (SharePoint Server 2010).

Keine

Wenn Sie Keine als Authentifizierungsmethode für die Bereitstellung der Excel Services-Anwendung angeben, versucht die Excel Services-Anwendung, eingehende Verbindungszeichenfolgen für die Verbindung zu der in der Zeichenfolge angegebenen Datenbank zu verwenden. Je nach Datenbankanbieter kann die Datenbank die Verbindungszeichenfolge für die Authentifizierung des Benutzers verwenden.

Excel Services-Anwendung analysiert keine Verbindungszeichenfolgen, um die Authentifizierungsmethode zu bestimmen. Die Verbindungszeichenfolgen werden an den Datenbankanbieter übergeben. Verbindungszeichenfolgen können angeben, dass die integrierte Windows-Authentifizierung erforderlich ist. Verbindungszeichenfolgen können auch einen speziellen Benutzernamen und ein Kennwort enthalten. In beiden Fällen erfordert die Excel Services-Anwendung den Identitätswechsel auf ein unbeaufsichtigtes Dienstkonto, wenn Sie Keine als Authentifizierungsmethode angeben.

Wenn der Datenbankanbieter bestimmt, dass die Verbindungszeichenfolge die integrierte Windows-Authentifizierung angibt und die Datenbank den Zugriff autorisiert, wird die Verbindung mithilfe des Sicherheitskontexts des unbeaufsichtigten Kontos hergestellt. Wenn die Verbindungszeichenfolge einen Benutzernamen und ein Kennwort enthält und die Datenbank den Zugriff autorisiert, wird die Verbindung mithilfe des Sicherheitskontexts für das Konto des autorisierten Benutzers hergestellt.

Unbeaufsichtigtes Dienstkonto

Das unbeaufsichtigte Dienstkonto ist ein Konto mit erhöhten Berechtigungen, das verschlüsselt und sicher ist. Vom Secure Store Service (SSS) werden die Anmeldeinformationen des unbeaufsichtigten Kontos gespeichert, sodass Dienste für Excel-Berechnungen bei der Herstellung einer Datenverbindung, für die SSS-Anmeldeinformationen aus einer nicht Windows-basierten Umgebung oder Keine als Authentifizierungsmethode verwendet werden, die Identität wechseln kann. Wenn kein unbeaufsichtigtes Dienstkonto konfiguriert ist, tritt bei der Datenverbindung bei Verwendung von SSS für Nicht-Windows-Umgebungen oder von Keine als Authentifizierungsmethode ein Fehler auf.

Durch den Identitätswechsel des unbeaufsichtigten Kontos werden die SharePoint Server 2010-Datenbanken und alle anderen Datenquellen, auf die die Excel Services-Anwendung direkt zugreifen kann, vor nicht autorisierten Verbindungen von Clientcomputern geschützt, die Dienste für Excel-Berechnungen zum Öffnen externer Datenverbindungen verwenden. Wenn die Identität eines unbeaufsichtigten Dienstkontos angenommen wird, können die Anmeldeinformationen eines Dienste für Excel-Berechnungen-Anwendungsthreads nicht für den Zugriff auf andere Datenbanken verwendet werden. Darüber hinaus werden beim Identitätswechsel für ein unbeaufsichtigtes Dienstkonto externe Datenabfragen im Sicherheitskontext eines Kontos mit niedrigen Berechtigungen ausgeführt und nicht im Sicherheitskontext eines Dienste für Excel-Berechnungen-Anwendungsthreads, der höhere Berechtigungen besitzt.

Sie können das unbeaufsichtigte Dienstkonto als Domänenkonto oder als lokales Computerkonto konfigurieren. Wenn das unbeaufsichtigte Dienstkonto als lokales Computerkonto konfiguriert wird, stellen Sie sicher, dass die Konfiguration auf jedem Anwendungsserver mit Dienste für Excel-Berechnungen identisch ist. Die Anmeldeinformationen für das unbeaufsichtigte Konto werden in der Verbindung und in jeder Arbeitsmappensitzung zwischengespeichert. Jedes Mal, wenn eine Arbeitsmappe mit einer Datenverbindung geladen wird, die das unbeaufsichtigte Konto verwendet, und wenn die Anmeldeinformationen nicht bereits für diese Verbindung zwischengespeichert wurden, wird das unbeaufsichtigte Konto von Secure Store Service abgerufen und verwendet. Mit anderen Worten, die Anmeldeinformationen für das unbeaufsichtigte Konto können nicht global zwischengespeichert werden, sondern werden stattdessen bei Bedarf aus Secure Store Service für jede Sitzung oder Datenverbindung abgerufen. Schränken Sie die Berechtigungen des unbeaufsichtigten Dienstkontos auf die Anmeldung beim Netzwerk ein. Stellen Sie sicher, dass das unbeaufsichtigte Dienstkonto keinen Zugriff auf Datenquellen oder SharePoint Server 2010-Datenbanken hat. Weitere Informationen finden Sie unter Verwenden von Excel Services mit Secure Store (SharePoint Server 2010).

Sicherheitseinstellungen

Zum Konfigurieren von Verwaltungseinstellungen für die Excel Services-Anwendung, einschließlich Sicherheitseinstellungen, öffnen Sie die Webanwendung für die SharePoint-Zentraladministration und dann die Seite Excel Services-Einstellungen. Weitere Informationen finden Sie unter VERALTET Verwalten der Authentifizierung in Excel Services (SharePoint Server 2010).

Auf der Seite Excel Services-Einstellungen werden Konfigurationseinstellungen für Folgendes bereitgestellt:

  • Sicherheit   Authentifizierung der Excel Services-Anwendung, Kommunikation und Webdiensteinstellungen.

  • Lastenausgleich   Lastenausgleich bei Sitzungen der Excel Services-Anwendung in Dienste für Excel-Berechnungen-Prozessen.

  • Sitzungsverwaltung   Verhalten von Dienste für Excel-Berechnungen-Sitzungen.

  • Arbeitsspeichernutzung   Zuweisung von Arbeitsspeicher in Dienste für Excel-Berechnungen.

  • Arbeitsmappencache   Einstellungen in Bezug auf das Zwischenspeichern von Arbeitsmappendateien auf Datenträgern und im Arbeitsspeicher.

  • Externe Daten   Behandlung von externen Datenverbindungen in Dienste für Excel-Berechnungen.

Sie können die Seite Excel Services-Einstellungen auch verwenden, um die Optionen für die Dateizugriffsmethode und die Verbindungsverschlüsselung zu konfigurieren, die sich direkt auf die Sicherheit der Bereitstellung auswirken.

Dateizugriffsmethode

Wählen Sie auf der Seite Excel Services-Anwendung-Einstellungen im Abschnitt Sicherheit unter Dateizugriffsmethode die Option Identitätswechsel oder Prozesskonto aus.

  • Identitätswechsel Dies ermöglicht die Ausführung eines Threads in einem Sicherheitskontext außerhalb des Kontexts für den Prozess, der den Thread besitzt. Aktivieren Sie Identitätswechsel aus, um für Dienste für Excel-Berechnungen die Autorisierung von Benutzern erforderlich zu machen, wenn diese auf Arbeitsmappen zugreifen möchten, die in an UNC- und HTTP-Orten gespeichert sind. Diese Auswahl wirkt sich nicht auf die Arbeitsmappen aus, die in SharePoint Server 2010-Datenbanken gespeichert sind. Für die meisten Bereitstellungen von Serverfarmen, in denen Front-End-Webserver und Dienste für Excel-Berechnungen-Anwendungsserver auf verschiedenen Computern ausgeführt werden, erfordert der Identitätswechsel die eingeschränkte Kerberos-Delegierung.

  • Prozesskonto Wenn Dienste für Excel-Berechnungen-Anwendungsserver Arbeitsmappen aus UNC-Freigaben oder HTTP-Websites öffnen, kann das Benutzerkonto nicht imitiert werden, und das Prozesskonto muss verwendet werden.

Verbindungsverschlüsselung

Sie können IPsec (Internet Protocol Security) oder SSL (Secure Sockets Layer) zur Verschlüsselung der Datenübertragung zwischen Dienste für Excel-Berechnungen-Anwendungsservern, Datenquellen, Clientcomputern und Front-End-Webservern verwenden. Wenn Sie eine verschlüsselte Datenübertragung zwischen Clientcomputern und Front-End-Webservern verwenden möchten, klicken Sie für Verbindungsverschlüsselung auf die Einstellung Keine. Nicht erforderlich ist die Standardeinstellung. Wenn Sie die Einstellung Verbindungsverschlüsselung in Erforderlich ändern, erlaubt der Dienste für Excel-Berechnungen-Anwendungsserver die Datenübertragung zwischen Clientcomputern und Front-End-Webservern nur mit SSL-Verbindungen.

Wenn Sie eine verschlüsselte Datenübertragung verwenden möchten, müssen Sie IPsec oder SSL manuell konfigurieren. Sie können verschlüsselte Verbindungen zwischen Clientcomputern und Front-End-Webservern verlangen, während Sie unverschlüsselte Verbindungen zwischen Front-End-Webservern und Dienste für Excel-Berechnungen-Anwendungsservern erlauben.

Auf der Seite Excel Services Verwalten sind zudem die Seiten Vertrauenswürdige Dateispeicherorte, Vertrauenswürdige Datenanbieter, Vertrauenswürdige Datenverbindungsbibliotheken und Benutzerdefinierte Funktionsassemblys für die Excel Services-Anwendung aufgeführt.

Vertrauenswürdige Dateispeicherorte

Vertrauenswürdige Dateispeicherorte sind SharePoint-Websites, UNC-Pfade oder HTTP-Websites, von denen aus ein Server mit Dienste für Excel-Berechnungen zum Zugriff auf Arbeitsmappen berechtigt ist.

Auf der Seite Excel Services Vertrauenswürdigen Dateispeicherort hinzufügen können Sie im Abschnitt Speicherort Adresse und Speicherorttyp konfigurieren und festlegen, ob untergeordneten Bibliotheken von vertrauenswürdigen Dateispeicherorten ebenfalls vertraut wird. Durch Auswählen von Untergeordneten Speicherorten vertrauen können Sie die Verwaltbarkeit verbessern. Dadurch kann aber auch ein mögliches Sicherheitsproblem hervorgerufen werden, da Sie Unterwebsites und Unterverzeichnisse vertrauenswürdiger Speicherorte automatisch als vertrauenswürdig aktivieren, sobald diese erstellt werden.

Im Abschnitt Sitzungsverwaltung können Sie Einstellungen konfigurieren, mit denen die Ressourcenverfügbarkeit aufrechterhalten wird sowie Leistung und Sicherheit von Dienste für Excel-Berechnungen verbessert werden. Wenn eine große Anzahl Benutzer viele Dienste für Excel-Berechnungen-Sitzungen gleichzeitig geöffnet haben, kann die Leistung beeinträchtigt werden. Sie können den Ressourcenverbrauch steuern und die Dauer der geöffneten Dienste für Excel-Berechnungen-Sitzungen einschränken, indem Sie zwei Timeouteinstellungen für geöffnete Sitzungen konfigurieren.

Mit der Einstellung Sitzungstimeout wird die Zeitspanne bestimmt, für die eine Dienste für Excel-Berechnungen-Sitzung nach jeder Benutzerinteraktion geöffnet und inaktiv bleiben kann. Mit der Einstellung Kurzes Sitzungstimeout wird die Zeitspanne bestimmt, für die eine Dienste für Excel-Berechnungen-Sitzung nach der ersten Sitzungsanforderung geöffnet und inaktiv bleiben kann. Mit der Einstellung Timeout für neue Arbeitsmappensitzung wird die Zeit bestimmt, die eine Dienste für Excel-Berechnungen-Sitzung für eine neue Arbeitsmappe geöffnet und inaktiv bleiben kann, bevor sie beendet wird. Sie können auch die Anzahl der Sekunden steuern, die für eine beliebige einzelne Sitzungsanforderung zulässig ist, indem Sie einen Wert für Maximale Anforderungsdauer konfigurieren. Wenn Sie die Zeitspanne einschränken, für die Sitzungen geöffnet bleiben, können Sie das Risiko von Denial-of-Service-Angriffen verringern.

Im Abschnitt Eigenschaften der Arbeitsmappe können Sie eine maximale Größe für Arbeitsmappen, Diagramme oder Bilder angeben, die in einer Dienste für Excel-Berechnungen-Sitzung geöffnet werden können. Leistung und Ressourcenverfügbarkeit können beeinträchtigt werden, wenn Benutzer sehr umfangreiche Arbeitsmappen öffnen. Wenn Sie die zulässige Größe für Arbeitsmappen in geöffneten Dienste für Excel-Berechnungen-Sitzungen nicht steuern, besteht die Gefahr, dass Benutzer die Ressourcenkapazität überschreiten und einen Fehler auf dem Server verursachen.

Hinweis

Wenn bei einem Anwendungsserver mit Dienste für Excel-Berechnungen ein Fehler auftritt oder dieser heruntergefahren ist, gehen alle geöffneten Sitzungen auf dem Server verloren. Bei einer eigenständigen Installation steht die Excel Services-Anwendung nicht mehr zur Verfügung. Arbeitsmappen können dann nicht geladen, neu berechnet, aktualisiert oder durch Dienste für Excel-Berechnungen abgerufen werden. In einer Serverfarmbereitstellung mit mehreren Anwendungsservern mit Dienste für Excel-Berechnungen wirkt sich das Herunterfahren eines Servers nicht auf offene Sitzungen aus, die auf anderen Servern ausgeführt werden. Benutzer mit Sitzungen auf einem Server, der heruntergefahren wird, werden aufgefordert, die Arbeitsmappen erneut zu öffnen. Wenn Benutzer eine neue Sitzung starten, werden diese automatisch zu aktiven Anwendungsservern mit Dienste für Excel-Berechnungen weitergeleitet.

Im Abschnitt Externe Daten können Sie bestimmen, ob Arbeitsmappen, die an vertrauenswürdigen Dateispeicherorten gespeichert sind und in Dienste für Excel-Berechnungen-Sitzungen geöffnet werden, auf eine externe Datenquelle zugreifen können. Sie können angeben, ob Externe Daten zulassen auf Kein, Nur vertrauenswürdige Datenverbindungsbibliotheken oder Vertrauenswürdige Datenverbindungsbibliotheken und eingebettete Verbindungen festgelegt ist. Wenn Sie Nur vertrauenswürdige Datenverbindungsbibliotheken oder Vertrauenswürdige Datenverbindungsbibliotheken und eingebettete Verbindungen auswählen, ist für die an den vertrauenswürdigen Speicherorten gespeicherten Arbeitsmappen der Zugriff auf externe Datenquellen möglich.

Der Zugriff auf externe Datenverbindungen ist nur möglich, wenn diese in eine Arbeitsmappe eingebettet werden oder über eine Arbeitsmappe verknüpft sind. In Dienste für Excel-Berechnungen wird die Liste der vertrauenswürdigen Dateispeicherorte geprüft, bevor eine Arbeitsmappe geöffnet wird. Wenn Sie Kein auswählen, werden in Dienste für Excel-Berechnungen alle Zugriffsversuche auf eine externe Datenquelle blockiert. Wenn Sie Datenverbindungen für viele Arbeitsmappenautoren verwalten, können Sie Nur vertrauenswürdige Datenverbindungsbibliotheken auswählen. Dadurch wird sichergestellt, dass alle Datenverbindungen in allen von authentifizierten Arbeitsmappenautoren generierten Arbeitsmappen für den Zugriff auf alle externen Datenquellen eine vertrauenswürdige Datenverbindungsbibliothek verwenden müssen.

Wenn Sie Datenverbindungen nur für ein paar Arbeitsmappenautoren verwalten, können Sie Nur vertrauenswürdige Datenverbindungsbibliotheken und eingebettete Verbindungen auswählen. Dadurch können Arbeitsmappenautoren direkte Verbindungen mit externen Datenquellen in die Arbeitsmappen einbetten, jedoch weiterhin auf vertrauenswürdige Datenverbindungsbibliotheken zugreifen, wenn bei den eingebetteten Verknüpfungen Fehler auftreten.

Im Abschnitt Externe Daten können Sie im Bereich Beim Aktualisieren warnen angeben, ob eine Warnung angezeigt werden soll, bevor eine Arbeitsmappe mit einer externen Datenquelle aktualisiert. Durch Aktivieren von Aktualisierungswarnung aktiviert stellen Sie sicher, dass externe Daten nicht automatisch ohne Benutzerinteraktion aktualisiert werden.

In der Option Display Granular External Data Errors werden, falls Sie die Einstellung Granular External Data Errors aktivieren, beschreibende Fehlermeldungen für die Anzeige bereitgestellt, die hilfreiche Informationen zur Problembehandlung und zum Lösen von Verbindungsproblemen enthalten.

Im Bereich Beenden im Fall eines Fehlers für 'Beim Öffnen aktualisieren' können Sie angeben, ob Dienste für Excel-Berechnungen das Öffnen einer Arbeitsmappe unterbricht, wenn die Arbeitsmappe eine fehlerhafte Datenverbindung enthält, die beim Öffnen aktualisiert wird. Durch Aktivieren von Option zum Beenden des Öffnungsvorgangs aktiviert stellen Sie sicher, dass zwischengespeicherte Werte nicht angezeigt werden, wenn während des Aktualisierungsvorgangs beim Öffnen der Arbeitsmappe durch einen Benutzer mit den Berechtigungen Nur anzeigen für die Arbeitsmappe ein Fehler auftritt. Wenn die Aktualisierung beim Öffnen erfolgreich ist, werden zwischengespeicherte Werte gelöscht. Beim Deaktivieren des Kontrollkästchens Option zum Beenden des Öffnungsvorgangs aktiviert besteht die Gefahr, dass zwischengespeicherte Werte angezeigt werden, wenn während der Aktualisierung beim Öffnen ein Fehler auftritt.

Im Bereich Gültigkeitsdauer des externen Datencaches des Abschnitts Externe Daten können Sie die maximale Dauer angeben, wie lange zwischengespeicherte Werte verwendet werden können, bevor sie ablaufen. Und Sie können die maximale Anzahl von Abfragen für externe Daten angeben, die in einer Sitzung gleichzeitig ausgeführt werden können.

Wenn Sie sicherstellen möchten, dass nur vertrauenswürdige Benutzer über Zugriff auf Arbeitsmappen an vertrauenswürdigen Speicherorten verfügen, ist es wichtig, ACLs für alle vertrauenswürdigen Dateispeicherorte zu erzwingen.

Für die Bereitstellung der Excel Services-Anwendung mit SharePoint Server 2010 gibt es drei Hauptszenarien: Unternehmen, kleine Abteilung und benutzerdefinierte Bereitstellung.

Berücksichtigen Sie für eine Unternehmensbereitstellung die folgenden Richtlinien.

  • Konfigurieren Sie keine Unterstützung für benutzerdefinierte Funktionen.

  • Lassen Sie für Arbeitsmappen die Verwendung eingebetteter Datenverbindungen für den direkten Zugriff auf externe Datenquellen nicht zu.

  • Beschränken Sie die Verwendung von Datenverbindungsbibliotheken für den Zugriff auf externe Datenquellen durch Arbeitsmappen.

  • Begrenzen Sie die Größe der Arbeitsmappen, die in Dienste für Excel-Berechnungen geöffnet werden können.

  • Vertrauen Sie speziellen Dateispeicherorten selektiv, und aktivieren Sie nur für vertrauenswürdige Websites und Verzeichnisse die Option Untergeordneten Speicherorten vertrauen.

Berücksichtigen Sie die folgenden Richtlinien für die Bereitstellung in einer kleinen Abteilung:

  • Aktivieren Sie die Vertrauensstellung für alle Speicherorte, die von Mitarbeitern der Abteilung zum Speichern von Arbeitsmappen verwendet werden.

  • Aktivieren Sie Untergeordneten Speicherorten vertrauen für alle vertrauenswürdigen Websites und Verzeichnisse.

  • Schränken Sie den Zugriff auf bestimmte Speicherorte selektiv ein, wenn Probleme auftreten.

Berücksichtigen Sie die folgenden Richtlinien für eine benutzerdefinierte Bereitstellung:

  • Aktivieren Sie Dienste für Excel-Berechnungen für das Öffnen großer Arbeitsmappen.

  • Konfigurieren Sie lange Sitzungstimeouts.

  • Konfigurieren Sie große Datencaches.

  • Erstellen Sie einen einzelnen vertrauenswürdigen Speicherort für diese Bereitstellung.

  • Aktivieren Sie für diesen vertrauenswürdigen Speicherort nicht Untergeordneten Speicherorten vertrauen.

Vertrauenswürdige Datenanbieter

Sie können den Zugriff auf externe Daten steuern, indem Sie explizit die vertrauenswürdigen Datenanbieter definieren und diese in der Liste der vertrauenswürdigen Datenanbieter aufzeichnen. Die Liste der vertrauenswürdigen Datenanbieter kennzeichnet bestimmte externe Datenanbieter, mit denen in Dienste für Excel-Berechnungen geöffnete Arbeitsmappen eine Verbindung herstellen dürfen.

Vor dem Instanziieren eines Datenanbieters, um die Herstellung der Verbindung einer Arbeitsmappe mit einer externen Datenquelle zu aktivieren, werden von Dienste für Excel-Berechnungen die Verbindungsinformationen überprüft, um festzustellen, ob der Anbieter in der Liste der vertrauenswürdigen Datenanbieter enthalten ist. Wenn der Anbieter auf der Liste steht, wird versucht, eine Verbindung herzustellen. Andernfalls wird die Verbindungsanforderung ignoriert.

Vertrauenswürdige Datenverbindungsbibliotheken

Eine vertrauenswürdige Datenverbindungsbibliothek ist eine Dokumentbibliothek, für die Sie festgestellt haben, dass der Zugriff auf ODC-Dateien keine Gefahr darstellt. Datenverbindungsbibliotheken werden zum Schützen und Verwalten von Datenverbindungen für Arbeitsmappen verwendet, auf die von einem Server mit Dienste für Excel-Berechnungen zugegriffen wird. Eine Liste der vertrauenswürdigen Datenverbindungsbibliotheken kennzeichnet bestimmte Datenverbindungsbibliotheken, von denen aus in Dienste für Excel-Berechnungen geöffnete Arbeitsmappen auf ODC-Dateien zugreifen dürfen.

Wenn eine Datenverbindung von einer Arbeitsmappe hergestellt wird, auf die von einem Server mit Dienste für Excel-Berechnungen zugegriffen wird, überprüft der Server die Verbindungsinformationen und die Liste der vertrauenswürdigen Datenverbindungsbibliotheken. Wenn die Datenverbindungsbibliothek in der Liste aufgeführt ist, wird versucht, eine Verbindung mithilfe der ODC-Datei aus der Datenverbindungsbibliothek herzustellen. Andernfalls wird die Verbindungsanforderung ignoriert.

Berechtigungen vom Typ "Nur anzeigen"

Sie können Benutzer angeben, die Arbeitsmappen nur anzeigen dürfen, indem Sie die SharePoint Server 2010-Gruppe Anzeigende Benutzer hinzufügen oder eine neue Gruppe erstellen, für die Berechtigungen nur zum Anzeigen konfiguriert sind. Für die Gruppe Anzeigende Benutzer sind standardmäßig Berechtigungen nur zum Anzeigen konfiguriert. Benutzer, die einer Gruppe mit Berechtigungen nur zum Anzeigen hinzugefügt werden, können Arbeitsmappen anzeigen, öffnen, interagieren, aktualisieren und neu berechnen. Die Benutzer können auf die Dateiquelle jedoch nur mithilfe der Excel Services-Anwendung zugreifen. Dadurch können Sie Ihre proprietären Informationen schützen. Die Quelldaten werden den gekennzeichneten Benutzern zu keinem Zeitpunkt angezeigt.

Arbeitsmappen und Datenobjekte von Arbeitsmappen, für die Berechtigungen nur zum Anzeigen konfiguriert sind, können in Microsoft Excel 2010 nicht geöffnet werden. Es kann jedoch eine Momentaufnahme der Arbeitsmappe in Excel 2010 gerendert werden, die nur die Werte und Formatierungen der auf dem Server anzeigbaren Bereiche enthält.

Sie können Websiteeinstellungen in SharePoint Server 2010 zur Steuerung des Zugriffs auf Arbeitsmappendaten konfigurieren, indem Sie Berechtigungen nur zum Anzeigen für zentral verwaltete Arbeitsmappen festlegen, die in einem Webbrowser gerendert werden. Außerdem können Sie Websiteeinstellungen in SharePoint Server 2010 so konfigurieren, dass Arbeitsmappen externe Daten auf dem Server aktualisieren können, und Sie können Websiteeinstellungen zum Schützen und Verwalten von externen Datenverbindungen konfigurieren. Weitere Informationen zum Speichern angegebener Datenobjekte als Elemente, die nur angezeigt werden können, finden Sie unter VERALTET Verwalten der Authentifizierung in Excel Services (SharePoint Server 2010).

Externe Datenverbindungen

Die Dienste für Excel-Berechnungen-Komponente der Excel Services-Anwendung dient zum Herstellen von Verbindungen mit externen Datenquellen. In Dienste für Excel-Berechnungen werden externe Datenverbindungsinformationen verwendet, die alle Informationen enthalten, die der Server für die Herstellung einer Verbindung mit einer Datenquelle benötigt. Hierzu zählen das Authentifizierungsverfahren, die zu verwendende Verbindungszeichenfolge, die zu verwendende Abfragezeichenfolge sowie Ort und Verfahren zum Erfassen der Anmeldeinformationen für die Verbindung. Diese Verbindungen können an zwei Orten definiert werden: eingebettet in Arbeitsmappen und in ODC-Dateien. Die Verbindungsinformationen sind an beiden Speicherorten identisch. ODC-Dateien sind kleine Dateien, die Verbindungsinformationen als Nur-Text und in einem Format speichern, das erneut verwendet werden kann.

Sie können den Excel 2010-Client zum Erstellen und Bearbeiten von ODC-Dateien und Verbindungen verwenden, die in Arbeitsmappen eingebettet sind. Im Excel 2010-Client können Sie den Datenverbindungs-Assistenten ausführen oder die Einstellungen auf der Seite für Verbindungseigenschaften konfigurieren. Sie können auch eine ODC-Datei basierend auf diesen Einstellungen exportieren. Auf der Seite für Verbindungseigenschaften werden Verbindungsinformationen angezeigt, einschließlich der Authentifizierungseigenschaften für die Excel Services-Anwendung.

ODC-Dateien

Arbeitsmappen können Verknüpfungen zu ODC-Dateien und eingebettete Verbindungsinformationen enthalten. Dadurch können Arbeitsmappen die ODC-Datei abrufen, den Inhalt lesen und versuchen, eine Verbindung mit einer externen Datenquelle herzustellen, wenn bei den eingebetteten Verbindungsinformationen ein Fehler auftritt. Die ODC-Dateien müssen verwaltet werden, um sicherzustellen, dass die genauen Datenverbindungsinformationen enthalten sind.

Sie können Dienste für Excel-Berechnungen auch für die Verwendung von Verbindungsinformationen nur aus der ODC-Datei konfigurieren statt für den Versuch, eine Verbindung zuerst mithilfe der eingebetteten Informationen herzustellen. Dieser Ansatz ermöglicht Administratoren das Bereitstellen einer kleinen Gruppe von verwalteten ODC-Dateien, die aktualisierte Verbindungsinformationen zu vielen Arbeitsmappen enthalten.

Arbeitsmappenautoren können auf einer verbindungsspezifischen Grundlage angeben, welche Verbindungsinformationen die Arbeitsmappe verwenden soll. Öffnen Sie dazu den Excel 2010-Client, und klicken Sie dann auf der Registerkarte Daten auf Arbeitsmappenverbindungen. Fügen Sie einer Arbeitsmappe eine Verbindung hinzu, öffnen Sie Arbeitsmappenverbindungen, und zeigen Sie dann die Eigenschaften der hinzugefügten Verbindung an. Aktivieren Sie auf der Registerkarte Definition die Option Verbindungsdatei immer verwenden. Diese Einstellung ermöglicht es, dass die Arbeitsmappe eine Verbindungsdatei aus einer Datenverbindungsbibliothek abruft und die Verbindungsinformationen in der Datei verwendet, um eine Verbindung mit einer externen Datenquelle herzustellen. Sie können diese Einstellung auch konfigurieren, indem Sie auf der letzten Seite des Datenverbindungs-Assistenten Verbindungsdatei immer verwenden aktivieren.

Verwalten von ODC-Dateien

Datenverbindungsbibliotheken stellen ein Repository für Auflistungen von ODC-Dateien bereit. Administratoren können Datenverbindungen auf dem Server verwalten, indem eine Datenverbindungsbibliothek und ODC-Dateien erstellt werden, die für Arbeitsmappen immer die Verwendung eine Verbindungsdatei erfordern. Arbeitsmappen, die Verbindungen direkt von einer Datenverbindungsbibliothek verwenden, erhalten vor dem Verbinden mit einer Datenquelle immer aktualisierte Verbindungsinformationen.

Wenn Datenquelleninformationen geändert werden (z. B. der Servername), müssen Sie nur eine ODC-Datei in der Datenverbindungsbibliothek aktualisieren, damit alle Arbeitsmappen, die die ODC-Datei verwenden, bei der nächsten Aktualisierung automatisch aktualisiert werden. Sie können auch Berechtigungen nur zum Anzeigen verwenden, um den Zugriff auf ODC-Dateien zu beschränken.

Benutzerdefinierte Funktionsassemblys

Wenn die Bereitstellungsszenarien Arbeitsmappen einschließen, die benutzerdefinierte Funktionen umfassen, mit denen der Leistungsumfang von Dienste für Excel-Berechnungen erhöht wird, müssen Sie die Excel Services-Anwendung für die Unterstützung benutzerdefinierter Funktionen konfigurieren.

Zum Konfigurieren dieser Unterstützung müssen Sie benutzerdefinierte Funktionen an vertrauenswürdigen Speicherorten mit Arbeitsmappen aktivieren, die Zugriff auf benutzerdefinierte Funktionen benötigen. Darüber hinaus müssen Sie benutzerdefinierte Funktionsassemblys in der Liste für benutzerdefinierte Funktionsassemblys der Excel Services-Anwendung registrieren. Weitere Informationen zum Aktivieren von benutzerdefinierten Funktionen finden Sie unter VERALTET Verwalten der Authentifizierung in Excel Services (SharePoint Server 2010).