Freigeben über

Übersicht über Sicherheitsgruppen in SharePoint Server

  • Artikel

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Sie können Benutzer von SharePoint-Websites effizienter verwalten, wenn Sie Berechtigungsstufen an Gruppen statt an einzelne Benutzer zuweisen. Eine SharePoint-Gruppe ist eine Gruppe einzelner Benutzer, die auch Active Directory-Gruppen enthalten kann.

Erfahren Sie mehr über Gruppen in Microsoft 365.

Einführung

In AD DS werden folgende Gruppen häufig zum Organisieren von Benutzern verwendet:

  • Verteilergruppe Eine Gruppe, die ausschließlich für die Verteilung von E-Mails verwendet wird und für die keine Sicherheit aktiviert ist. Verteilergruppen können nicht in besitzerverwalteten Zugriffssteuerungslisten (Discretionary Access Control List, DACL) aufgelistet sein, die zum Definieren von Berechtigungen für Ressourcen und Objekte verwendet werden.

  • Sicherheitsgruppe Eine Gruppe, die in DACLs aufgelistet sein kann. Eine Sicherheitsgruppe kann auch als E-Mail-Entität verwendet werden.

Sie können Sicherheitsgruppen verwenden, um Berechtigungen für Ihre Website zu steuern, indem Sie SharePoint-Gruppen Sicherheitsgruppen hinzufügen und den SharePoint-Gruppen Berechtigungen erteilen. Sie können SharePoint-Gruppen keine Verteilergruppen hinzufügen, aber Sie können eine Verteilergruppe erweitern und die einzelnen Mitglieder einer SharePoint-Gruppe hinzufügen. Wenn Sie diese Methode verwenden, müssen Sie die SharePoint-Gruppe manuell mit der Verteilergruppe synchronisieren. Wenn Sie Sicherheitsgruppen verwenden, müssen Sie die einzelnen Benutzer in der SharePoint-Anwendung nicht verwalten. Da Sie die Sicherheitsgruppe anstelle der einzelnen Mitglieder der Gruppe eingeschlossen haben, verwaltet AD DS die Benutzer für Sie.

Hinweis

Zur Erleichterung der Sicherheitsverwaltung werden die folgenden Elemente bei der Verwaltung von AD DS-Gruppen nicht empfohlen. > Weisen Sie AD DS-Gruppen Berechtigungsstufen direkt zu. > Hinzufügen von Sicherheitsgruppen, die geschachtelte Sicherheitsgruppen, Kontakte oder Verteilerlisten enthalten.

Entscheiden, ob Sicherheitsgruppen hinzugefügt werden sollen

Das Hinzufügen von Sicherheitsgruppen zu SharePoint-Gruppen ermöglicht die zentralisierte Verwaltung von Gruppen und Sicherheit. Die Sicherheitsgruppe ist der einzige Ort, an dem Sie einzelne Benutzer verwalten. Nachdem Sie einer SharePoint-Gruppe eine Sicherheitsgruppe hinzugefügt haben, brauchen Sie Sicherheitsgruppenmitglieder nicht mehr in dieser SharePoint-Gruppe zu verwalten. Wenn ein Benutzer aus der Sicherheitsgruppe entfernt wird, wird der Benutzer automatisch aus der SharePoint-Gruppe entfernt.

Sicherheitsgruppen in SharePoint-Websites ermöglichen jedoch keine vollständige Übersicht über Vorgänge. Wenn beispielsweise einer SharePoint-Gruppe für eine bestimmte Website eine Sicherheitsgruppe hinzugefügt wird, wird die Website nicht unter Meine Websites des Benutzers angezeigt. In der Benutzerinformationsliste werden einzelne Benutzer erst angezeigt, nachdem sie einen Beitrag zu der Website geleistet haben. Darüber hinaus kann durch Sicherheitsgruppen mit tief verschachtelten Strukturen auf einzelne SharePoint-Websites möglicherweise nicht mehr zugegriffen werden.

In Anbetracht der vorgenannten Vorteile und Nachteile ergeben sich die folgenden Empfehlungen:

  • Verwenden Sie für Intranetwebsites, auf die durch Ihre Benutzer im großen Umfang zugegriffen wird, Sicherheitsgruppen, da Sie sich keine Gedanken über einzelne Benutzer zu machen brauchen, die auf die Startseite der Intranetwebsite zugreifen.

  • Fügen Sie für Websites für die Zusammenarbeit, auf die von einer kleinen Gruppe von Benutzern zugegriffen wird, die Benutzer direkt den SharePoint-Gruppen hinzu. In diesem Fall ist es wichtiger zu wissen, wer ein Mitglied ist, damit die Gruppenmitglieder untereinander die E-Mail-Adressen kennen und wissen, wie sie sich kontaktieren können.

Bestimmen der Sicherheitsgruppen für das Gewähren des Zugriffs auf Websites

In jedem Unternehmen werden Sicherheitsgruppen individuell festgelegt. Zur Vereinfachung der Berechtigungsverwaltung sollten die Sicherheitsgruppen wie folgt festgelegt werden:

  • Groß und stabil genug, dass Sie Ihren SharePoint-Websites nicht ständig weitere Sicherheitsgruppen hinzufügen.

  • Klein genug, dass die entsprechenden Berechtigungen zugewiesen werden können.

Beispielsweise ist eine Sicherheitsgruppe mit dem Namen "Alle Benutzer in Gebäude 2" wahrscheinlich nicht klein genug, um Berechtigungen zuzuweisen, es sei denn, alle Benutzer in Gebäude 2 verfügen über die gleiche Funktion, z. B. Debitorenkaufleute. Dieses Szenario tritt selten auf. Daher sollten Sie nach einer kleineren, spezifischeren Gruppe von Benutzern suchen, z. B. "Debitorenkonten".

Entscheiden über die Gewährung des Zugriffs für alle authentifizierten Benutzer

Wenn alle Benutzer in der Domäne in der Lage sein sollen, Inhalte anzuzeigen, empfiehlt es sich, allen authentifizierten Benutzern (der Windows-Sicherheitsgruppe "Domänenbenutzer") den Zugriff zu gewähren. Diese spezielle Gruppe ermöglicht allen Mitgliedern Ihrer Domäne den Zugriff auf eine Website (auf der von Ihnen gewählten Berechtigungsstufe), ohne dass Sie anonymen Zugriff aktivieren müssen.

Entscheiden über die Gewährung des Zugriffs für anonyme Benutzer

Sie können den anonymen Zugriff aktivieren, sodass alle Benutzer Seiten anonym anzeigen können. Auf den meisten Websites im Internet kann eine Website anonym angezeigt werden, möglicherweise ist jedoch eine Authentifizierung erforderlich, wenn Benutzer die Website bearbeiten oder einen Artikel auf einer kommerziellen Website kaufen möchten. Der anonyme Zugriff ist standardmäßig deaktiviert und muss auf der Webanwendungsebene beim Erstellen der Webanwendung erteilt werden.

Wenn der anonyme Zugriff für die Webanwendung zulässig ist, können Websiteadministratoren entscheiden, ob der anonyme Zugriff auf eine Website oder auf die Inhalte dieser Website zulässig sein soll.

Der anonyme Zugriff basiert auf dem anonymen Benutzerkonto auf dem Webserver. Dieses Konto wird von Internetinformationsdienste (IIS) erstellt und verwaltet, nicht von Ihrer SharePoint-Website. In IIS ist das anonyme Benutzerkonto standardmäßig IUSR. Wenn Sie den anonymen Zugriff aktivieren, gewähren Sie diesem Konto tatsächlich Zugriff auf die SharePoint-Website. Durch das Zulassen des Zugriffs auf eine Website oder auf Listen und Bibliotheken wird die Berechtigung Elemente anzeigen für das anonyme Benutzerkonto gewährt. Auch mit der Berechtigung Elemente anzeigen gibt es jedoch Einschränkungen, was anonyme Benutzer tun können. Anonyme Benutzer können nicht:

  • Öffnen von Websites zum Bearbeiten in Office SharePoint Designer

  • Anzeigen der Website in der Netzwerkumgebung

  • Hochladen oder Bearbeiten in Dokumentbibliotheken wie z .B. Wiki-Bibliotheken.

    Wichtig

    Um die Sicherheit für Websites, Listen oder Bibliotheken zu verbessern, aktivieren Sie den anonymen Zugriff nicht. Mit dem anonymen Zugriff können Benutzer an Listen, Diskussionen und Umfragen mitwirken, wodurch möglicherweise Speicherplatz auf dem Server und andere Ressourcen beansprucht werden. Anonymer Zugriff ermöglicht es anonymen Benutzern auch, Websiteinformationen zu ermitteln, einschließlich E-Mail-Adressen von Benutzern und inhalten, die in Listen, Bibliotheken und Diskussionen veröffentlicht werden.

Berechtigungsrichtlinien ermöglichen die zentrale Konfiguration und Verwaltung von Berechtigungssätzen, die nur für eine Teilmenge der Benutzer oder Gruppen in einer Webanwendung gelten. Sie können Berechtigungsrichtlinien für anonyme Benutzer verwalten, indem Sie den anonymen Zugriff für eine Webanwendung aktivieren oder deaktivieren. Wenn Sie den anonymen Zugriff für eine Webanwendung aktivieren, können Websiteadministratoren den anonymen Zugriff auf der Websitesammlungs-, Website- oder Elementebene erteilen oder verweigern. Falls der anonyme Zugriff für eine Webanwendung deaktiviert ist, können anonyme Benutzer auf keine Websites in dieser Webanwendung zugreifen.

  • Keine Keine Richtlinie. Diese Option ist die Standardoption. Für anonyme Websitebenutzer werden keine zusätzlichen Berechtigungseinschränkungen oder Ergänzungen angewendet.

  • Schreiben verweigern Anonyme Benutzer können keine Inhalte verfassen, selbst wenn der Websiteadministrator versucht, einem anonymen Benutzerkonto diese Berechtigung ausdrücklich zuzuweisen.

  • Alle verweigern Anonyme Benutzer haben keinen Zugriff, selbst wenn der Websiteadministrator explizit versucht, anonymen Benutzerkonten den Zugriff auf die Websites zu gewähren. Weitere Informationen zu Berechtigungsrichtlinien finden Sie unter Verwalten von Berechtigungsrichtlinien für eine Webanwendung in SharePoint Server.

Siehe auch

Weitere Ressourcen

Planen der Berechtigungen für Websites und Inhalte in SharePoint Server

Verwalten von Berechtigungsrichtlinien für eine Webanwendung in SharePoint Server