Planen administrativer Aufgaben in einer Umgebung mit der Regel der geringsten Rechte (SharePoint Server 2010)

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In diesem Artikel wird beschrieben, wie Sie eine Microsoft SharePoint Server 2010-Farm mithilfe der Regel der geringsten Rechte konfigurieren und verwalten.

Übersicht

Beim Konzept der Regel der geringsten Rechte werden Benutzern die mindestens erforderlichen Berechtigungen zugewiesen, damit sie autorisierte Aufgaben ausführen können. Das Ziel der Regel der geringsten Rechte ist es, die sichere Kontrolle über eine Umgebung einzurichten und aufrechtzuerhalten. Demnach wird jedem Dienst der Zugriff nur auf die unbedingt erforderlichen Ressourcen gewährt. Die Implementierung der Regel der geringsten Rechte kann zu erhöhten Betriebskosten führen, da möglicherweise zusätzliche Ressourcen erforderlich sind, um dieses Administrationsniveau aufrechtzuerhalten. Darüber hinaus kann die Behandlung von Sicherheitsproblemen ebenfalls beeinträchtigt werden.

Security Note

Organisationen implementieren die Regel der geringsten Rechte, um eine höhere als die normalerweise empfohlene Sicherheitsstufe zu erreichen. Nur ein kleiner Prozentsatz der Organisationen benötigt diese höhere Sicherheitsstufe, da dabei Ressourcenkosten für die Verwaltung anfallen. Zu den Bereitstellungen, für die diese höhere Sicherheitsstufe möglicherweise benötigt wird, zählen Behörden, Sicherheitsorganisationen und Organisationen in der Finanzdienstleistungsbranche. Die Implementierung einer Umgebung mit der Regel der geringsten Rechte sollte nicht mit bewährten Methoden verwechselt werden. In einer Umgebung mit der Regel der geringsten Rechte implementieren Administratoren bewährte Methoden zusammen mit einer höheren Sicherheitsstufe.

Umgebung mit Regel der geringsten Rechte für Konten und Dienste

Für die Planung der Regel der geringsten Rechte müssen mehrere Konten, Rollen und Dienste berücksichtigt werden. Manche gelten für SQL Server, andere für SharePoint 2010-Produkte. Wenn Administratoren zusätzliche Konten und Dienste sperren, steigen wahrscheinlich die täglichen Betriebskosten.

Microsoft SQL Server-Rollen

In einer Umgebung mit der Regel der geringsten Rechte wird empfohlen, die folgenden beiden SQL Server-Rollen auf Serverebene aus Konten zu entfernen, die keine SharePoint-Dienstkonten sind, aber für die SharePoint-Administration verwendet werden:

• dbcreator – Mitglieder der festen Serverrolle dbcreator können jede Datenbank erstellen, ändern, löschen und wiederherstellen.

• securityadmin – Mitglieder der festen Serverrolle securityadmin verwalten Anmeldenamen und deren Eigenschaften. Sie können Berechtigungen auf Serverebene gewähren (GRANT), verweigern (DENY) und widerrufen (REVOKE). Außerdem können sie Berechtigungen auf Datenbankebene gewähren (GRANT), verweigern (DENY) und widerrufen (REVOKE), falls sie Zugriff auf eine Datenbank haben. Darüber hinaus können sie Kennwörter für SQL Server-Anmeldenamen zurücksetzen.

  Security Note
  Aufgrund der Möglichkeit, den Zugriff auf das Datenbankmodul zu gewähren und Benutzerberechtigungen zu konfigurieren, kann der Sicherheitsadministrator die meisten Serverberechtigungen zuweisen. Die Rolle securityadmin sollte als identisch mit der Rolle sysadmin behandelt werden.

Weitere Informationen zu SQL Server-Rollen auf Serverebene finden Sie unter Rollen auf Serverebene (https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0x407)

Durch das Entfernen einer oder mehrerer dieser SQL Server-Rollen werden möglicherweise unerwartete Fehlermeldungen auf der Website für die Zentraladministration angezeigt. Darüber hinaus wird eventuell die folgende Meldung in die Protokolldatei des vereinheitlichten Protokollierungsdiensts (Unified Logging Service, ULS) eingetragen:

System.Data.SqlClient.SqlException… Die Berechtigung <Vorgangstyp> wurde in der <Datenbank>-Datenbank verweigert. <Tabelle>-Tabelle

Neben der angezeigten Fehlermeldung kann der Benutzer möglicherweise die folgenden Aufgaben nicht ausführen:

• Wiederherstellen einer Farmsicherung, da nicht in eine Datenbank geschrieben werden kann

• Bereitstellen einer Dienstinstanz oder Webanwendung

• Konfigurieren verwalteter Konten

• Ändern verwalteter Konten für Webanwendungen

• Jeder Vorgang im Zusammenhang mit Datenbanken, verwalteten Konten oder Diensten, der die Website für die Zentraladministration erfordert

In bestimmten Situationen möchten Datenbankadministratoren unabhängig von SharePoint-Administratoren tätig sein und alle Datenbanken erstellen und verwalten. Weitere Informationen zum Erstellen und Verwalten aller Datenbanken durch Datenbankadministratoren finden Sie unter Bereitstellen mit vom Datenbankadministrator erstellten Datenbanken (SharePoint Server 2010).

SharePoint Server 2010-Rollen und -Dienste

Im Allgemeinen sollte die Möglichkeit des Erstellens neuer Datenbanken für SharePoint-Dienstkonten deaktiviert sein. Kein SharePoint-Dienstkonto sollte die Rolle sysadmin für die Microsoft SQL Server-Instanz aufweisen, und kein SharePoint-Dienstkonto sollte ein lokaler Administrator auf dem Server sein, auf dem Microsoft SQL Server ausgeführt wird.

Sie können jedoch weitere SharePoint Server 2010-Dienste und -Konten sperren:

• SharePoint_Shell_Access-Rolle

  Wenn diese Microsoft SQL Server-Rolle entfernt wird, können keine Einträge in die Konfigurations- und Inhaltsdatenbanken geschrieben werden. Weitere Informationen zu dieser Rolle finden Sie unter Add-SPShellAdmin.

• SharePoint-Timerdienst (SPTimerV4)

  Dieser Dienst wird standardmäßig installiert. Hiermit werden die Konfigurationscacheinformationen verwaltet. Falls der Diensttyp deaktiviert wird, kann dies folgendes Verhalten nach sich ziehen:

  • Zeitgeberaufträge werden nicht ausgeführt

  • Integritätsanalyseregeln werden nicht ausgeführt

  • Wartung und Farmkonfiguration sind veraltet

• SharePoint-Verwaltungsdienst (SPAdminV4)

  Mit diesem Dienst werden automatisierte Änderungen ausgeführt, für die lokale Administratorberechtigungen auf dem Server erforderlich sind. Wenn dieser Dienst nicht ausgeführt wird, müssen administrative Änderungen auf Serverebene manuell verarbeitet werden. Falls der Diensttyp deaktiviert wird, kann dies folgendes Verhalten nach sich ziehen:

  • Administrative Zeitgeberaufträge werden nicht ausgeführt

  • Webkonfigurationsdateien werden nicht aktualisiert

  • Sicherheitsgruppen und lokale Gruppen werden nicht aktualisiert

  • Registrierungswerte und -schlüssel werden nicht geschrieben

  • Dienste können nicht gestartet oder neu gestartet werden

  • Dienste können nicht bereitgestellt werden

• SPUserCodeV4-Dienst

  Mit diesem Dienst kann ein Websitesammlungsadministrator Sandkastenlösungen in den Lösungskatalog hochladen. Weitere Informationen zu Sandkastenlösungen finden Sie unter Übersicht über Sandkastenlösungen (SharePoint Server 2010).

• Forderungen an den Windows-Tokendienst (C2WTS)

  Dieser Dienst ist standardmäßig deaktiviert. Der C2WTS-Dienst ist möglicherweise für eine Bereitstellung erforderlich, bei der auf externe Datenquellen zugegriffen wird. Weitere Informationen zu C2WTS finden Sie unter Identitätsdelegierung für Excel Services (SharePoint Server 2010), Identitätsdelegierung für Business Connectivity Services (SharePoint Server 2010), Identitätsdelegierung für SQL Server Reporting Services (SharePoint Server 2010) und Zurücksetzen des C2WTS-Kontos (SharePoint Server 2010).

Weitere Informationen zu Diensten finden Sie unter SharePoint-Verwaltungsdienst ist deaktiviert.

Falls SharePoint Server 2010-Dienste oder -Rollen implementiert sind, können sich in Abhängigkeit von den Geschäftsanforderungen einer Organisation die folgenden Funktionen wie folgt verhalten:

• Sichern und Wiederherstellen

  Eine Wiederherstellung von einer Sicherung ist nicht möglich, wenn Datenbankberechtigungen entfernt wurden.

• Upgrade

  Der Upgradevorgang wird ordnungsgemäß gestartet, schlägt dann aber fehl, da Sie nicht über die entsprechenden Berechtigungen für die Datenbank verfügen. Wenn Ihre Organisation bereits eine Umgebung mit der Regel der geringsten Rechte implementiert hat, können Sie zur Problemumgehung auf eine Umgebung mit bewährten Methoden umstellen, um das Upgrade vorzunehmen. Anschließend können Sie dann wieder auf eine Umgebung mit der Regel der geringsten Rechte umstellen.

• Update

  Ein Softwareupdate für eine Farm kann für das Schema der Konfigurationsdatenbank erfolgreich ausgeführt werden, schlägt aber für die Inhaltsdatenbank und die Dienste fehl.

Zusätzliche zu berücksichtigende Anforderungen

Neben den oben beschriebenen Überlegungen müssen Sie möglicherweise weitere Anforderungen berücksichtigen. Die folgende Aufstellung ist unvollständig. Verwenden Sie die aufgeführten Punkte nach eigenem Ermessen:

• Setup-Benutzeradministratorkonto – Dieses Konto wird zum Einrichten aller Server in einer Farm verwendet und muss Mitglied der Gruppe Administratoren auf jedem Server in der Microsoft SharePoint Server 2010-Farm sein. Weitere Informationen zu diesem Konto finden Sie unter Administratorkonten

• Synchronisierungskonto – Mit diesem Konto wird eine Verbindung mit dem Verzeichnisdienst hergestellt. Weitere Informationen hierzu finden Sie unter Benutzerprofileigenschaften und Arbeitsblätter für die Profilsynchronisierungsplanung (https://go.microsoft.com/fwlink/?LinkID=225640&clcid=0x407)

• Benutzerprofil-Replikationsmodul (User Profile Replication Engine, UPRE) – Dieses Tool ist Bestandteil des SharePoint Administrator Toolkit (SPAT). Hiermit kann der Administrator einer Benutzerprofildienst-Anwendung Benutzerprofile sowie Funktionen und Daten für das soziale Netzwerk zwischen Benutzerprofildienst-Anwendungen replizieren. Beispiele für Benutzerprofile bzw. Funktionen und Daten für das soziale Netzwerk sind gemeinschaftliche Tags, Notizen und Bewertungen. Weitere Informationen zum Benutzerprofilreplikations-Modul finden Sie unter Benutzerprofilreplikations-Modul (Übersicht) (SharePoint Server 2010)

• Anwendungspoolkonto für den "Meine Website"-Host – Unter diesem Konto wird der Anwendungspool Meine Website ausgeführt. Für die Konfiguration dieses Kontos müssen Sie Mitglied der Gruppe Farmadministratoren sein.

• Integrierte Benutzergruppe – Das Entfernen der integrierten Benutzersicherheitsgruppe oder das Ändern der Berechtigungen kann unvorhergesehene Konsequenzen haben.

• Gruppenberechtigungen – Standardmäßig hat die SharePoint-Gruppe WSS_ADMIN_WPG Lese- und Schreibzugriff auf lokale Ressourcen. Die WSS_ADMIN_WPG-Dateisystem-Speicherorte %WINDIR%\System32\drivers\etc\HOSTS und %WINDIR%\Tasks sind für die ordnungsgemäße Ausführung von Microsoft SharePoint Server erforderlich. Falls andere Dienste oder Anwendungen auf einem Server ausgeführt werden, müssen Sie möglicherweise berücksichtigen, wie sie auf die Ordnerspeicherorte Tasks oder HOSTS zugreifen. Weitere Informationen zu Kontoeinstellungen finden Sie unter Kontoberechtigungen und Sicherheitseinstellungen (SharePoint Server 2010)

• Änderungsberechtigung eines Diensts – Die Änderung der Berechtigung eines Diensts kann unvorhergesehene Konsequenzen haben. Wenn beispielsweise der Registrierungsschlüssel HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters den Wert 0 aufweist, würde der Benutzercodehost-Dienst deaktiviert, wodurch Sandkastenlösungen nicht mehr ausgeführt werden. Weitere Informationen zu Problemen beim Benutzercodehost-Dienst finden Sie unter Fehler beim Starten des SharePoint 2010-Benutzercodehost-Diensts (https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0x407)