Zuweisen oder Entfernen von Administratoren von Dienstanwendungen in SharePoint Server

GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

Ein Administrator einer SharePoint Server-Dienstanwendung muss Mitglied der Gruppe Farmadministratoren sein, um dieser Dienstanwendung weitere Administratoren zuweisen oder entfernen zu können. Dienstanwendungsadministratoren erhalten zugriff auf die SharePoint-Zentraladministrationswebsite mit eingeschränkter Sicherheit und können Einstellungen im Zusammenhang mit der Dienstanwendung verwalten, müssen jedoch Mitglied der Gruppe Farmadministratoren sein, um andere Dienstanwendungsadministratoren hinzufügen und entfernen zu können.

Hinweis

Standardmäßig verfügen die Mitglieder der Gruppe Farmadministratoren über Berechtigungen zum Verwalten aller Dienstanwendungen.

Sie können Dienstanwendungsadministratoren mithilfe der SharePoint-Zentraladministrationswebsite oder mithilfe von Microsoft PowerShell zuweisen oder entfernen.

So können Sie Administratoren für eine Dienstanwendung mithilfe der Zentraladministration zuweisen oder entfernen

1. Stellen Sie sicher, dass das Benutzerkonto, mit dem dieses Verfahren ausgeführt wird, Mitglied der Gruppe Farmadministratoren ist.

2. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

3. Wählen Sie auf der Seite "Dienstanwendungen verwalten" die Zeile aus, welche die Dienstanwendung enthält, der Sie Administratoren hinzufügen möchten oder aus der Sie Administratoren entfernen möchten. Das Menüband wird aktiviert.

4. Klicken Sie auf dem Menüband auf Administratoren .

5. So fügen Sie einen Administrator hinzu:

   • Geben Sie im ersten Textfeld auf der Seite die Benutzerkonten oder -gruppen ein, die hinzugefügt werden sollen. Sie können auf das Symbol Personen klicken, um einen Namen zu überprüfen. Sie können auf das Symbol Adressbuch klicken, um nach hinzuzufügenden Benutzern zu suchen. Sie können im Textfeld mehrere Administratoren hinzufügen.
   • Klicken Sie nach dem Hinzufügen der Administratoren auf OK.

6. So entfernen Sie einen Administrator:

   • Wählen Sie im zweiten Textfeld auf der Seite den Administrator aus, den Sie entfernen möchten. Dieser Schritt entfernt den Benutzer nicht aus dem System, sondern widerruft lediglich die Administratorberechtigungen des Benutzers für die ausgewählte Dienstanwendung.
   • Klicken Sie auf Entfernen.
   • Wenn Sie mit dem Entfernen von Administratoren fertig sind, klicken Sie auf OK.

So weisen Sie Administratoren zu einer Dienstanwendung mithilfe von PowerShell oder entfernen diese

1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind:

   • Sie müssen Mitglied der festen Serverrolle securityadmin auf der SQL Server-Instanz sein.

   • Sie müssen Mitglied der festen Datenbankrolle db_owner in allen Datenbanken sein, die aktualisiert werden sollen.

   • Sie müssen Mitglied der Gruppe Administratoren auf dem Server sein, auf dem das PowerShell-Cmdlet ausgeführt wird.

   Hinweis

   Wenn diese Voraussetzungen nicht erfüllt sind, setzen Sie sich mit dem Setup-Administrator oder SQL Server-Administrator in Verbindung, damit Ihnen diese Berechtigungen erteilt werden.

   Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Berechtigungen und Add-SPShellAdmin.

2. Starten Sie die SharePoint-Verwaltungsshell.

3. Um einen Forderungsprinzipal zu erstellen, geben Sie an der Eingabeaufforderung von PowerShell den folgenden Befehl ein:

   $principal = New-SPClaimsPrincipal "<contoso\jane>" -IdentityType WindowsSamAccountName
   
   

   Dabei ist contoso\jane der Benutzername, dem Sie Administratorberechtigungen zuweisen möchten. Der Benutzername sollte im Format jane@contoso.com oder contoso\jane eingegeben werden. Der neue Forderungsprinzipal wird in der Variable $principal gespeichert.

4. Um die Dienstanwendung abzurufen, geben Sie den folgenden Befehl ein:

   $spapp = Get-SPServiceApplication -Name "<ServiceApplicationDisplayName>"
   

   Dabei ist ServiceApplicationDisplayName der Anzeigename der Dienstanwendung. Die Identifikation der Dienstanwendung wird in der Variable $spapp gespeichert.

   Wichtig

   Der Anzeigename muss in Anführungszeichen gesetzt werden und mit dem Anzeigenamen der Dienstanwendung genau übereinstimmen. Dabei muss die Groß-/Kleinschreibung beachtet werden. Wenn Sie mehr als eine Dienstanwendung mit einem identischen Anzeigenamen besitzen (was nicht empfohlen wird), können Sie das Cmdlet Get-SPServiceApplication verwenden, um alle Dienstanwendungen anzuzeigen. Sie können die Dienstanwendung dann anhand ihrer GUID identifizieren. Weitere Informationen finden Sie unter Get-SPServiceApplication.

5. Geben Sie den folgenden Befehl ein, um das Administratorsicherheitsobjekt für die Dienstanwendung abzurufen:

   $security = Get-SPServiceApplicationSecurity $spapp -Admin
   

   Das abgerufene Administratorsicherheitsobjekt wird in der $security-Variablen gespeichert.

   Achtung

   Es ist wichtig, das -Admin -Argument anzuhängen, wenn Sie diesen Befehl verwenden.

6. Verwenden Sie den entsprechenden Befehl, $principal wie im folgenden Beispiel gezeigt, um administratorrechtliche Berechtigungen für den Benutzer zuzuweisen oder zu widerrufen, der durch den neuen Anspruchsprinzipal identifiziert wird (der in Schritt 6 dieses Verfahrens erstellt wurde) dem Sicherheitsobjekt des Dienstanwendungsadministrators $security (erhalten in Schritt 8 dieses Verfahrens):

   • Geben Sie zum Zuweisen von Administratorrechten den folgenden Befehl ein:

   Grant-SPObjectSecurity $security $principal "Full Control"
   
   

   • Geben Sie zum Widerrufen von Administratorrechten den folgenden Befehl ein:

   Revoke-SPObjectSecurity $security $principal
   

7. Geben Sie zum Zuweisen des aktualisierten $security-Sicherheitsobjekts zur Dienstanwendung den folgenden Befehl ein:

   Set-SPServiceApplicationSecurity $spapp $security -Admin
   

   Achtung

   Es ist wichtig, das -Admin -Argument anzuhängen, wenn Sie diesen Befehl verwenden.

8. Geben Sie den folgenden Befehl ein, um zu bestätigen, dass das Sicherheitsobjekt der Dienstanwendung korrekt aktualisiert wurde:

   (Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules
   
   

Beispiele

Im folgenden Beispiel wird der Dienstkontobenutzer "contoso\jane" dem Administratorsicherheitsobjekt für die Dienstanwendung "Contoso Visio Graphics" hinzugefügt.

$principal = New-SPClaimsPrincipal "contoso\jane" -IdentityType WindowsSamAccountName
$spapp = Get-SPServiceApplication -Name "Contoso Visio Graphics"
$security = Get-SPServiceApplicationSecurity $spapp -Admin
Grant-SPObjectSecurity $security $principal "Full Control"
Set-SPServiceApplicationSecurity $spapp $security -Admin
(Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules

Im folgenden Beispiel wird der Dienstkontobenutzer "contoso\jane" aus dem Administratorsicherheitsobjekt für die Dienstanwendung mit dem Namen "Contoso Visio Graphics" entfernt.

$principal = New-SPClaimsPrincipal "contoso\jane" -IdentityType WindowsSamAccountName
$spapp = Get-SPServiceApplication -Name "Contoso Visio Graphics"
$security = Get-SPServiceApplicationSecurity $spapp -Admin
Revoke-SPObjectSecurity $security $principal "Full Control"
Set-SPServiceApplicationSecurity $spapp $security -Admin
(Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules

Weitere Informationen finden Sie in den folgenden Microsoft PowerShell-Artikeln:

• New-SPClaimsPrincipal

• Get-SPServiceApplication

• Get-SPServiceApplicationSecurity

• Grant-SPObjectSecurity

• Set-SPServiceApplicationSecurity

Hinweis

[!HINWEIS] Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.