Eine Übersicht über Websiteberechtigungen

Eine Übersicht über Websiteberechtigungen

Hallo, ich heiße Monica Xie. Ich bin technische Redakteurin und habe mich auf das Gebiet Websiteberechtigungen für Microsoft SharePoint 2010-Produkte spezialisiert. Berechtigungen spielen bei der Verwaltung von Sicherheit auf fast jeder Ebene in der SharePoint-Hierarchie – von der Serverfarm bis hin zum Listenelement – eine wichtige Rolle. In diesem Blog beschäftigen wir uns mit Berechtigungen auf Website- und Websiteinhaltsebene. Dazu werden drei Grundbegriffe erklärt, zwei Faktoren beschrieben, die sich auf die Steuerung von Berechtigungen auswirken, und zwei neue Features in SharePoint Server 2010 vorgestellt.

Drei Grundbegriffe

Berechtigungen

Mit Berechtigungen (auch individuelle oder Basisberechtigungen genannt) wird einem Benutzer die Möglichkeit gewährt, bestimmte Aktionen auszuführen, z. B. Seiten anzeigen, Elemente öffnen und Unterwebsites erstellen. Sofern Sie jedoch keine benutzerdefinierte Berechtigungsstufe hinzufügen, werden Sie diese individuellen Berechtigungen kaum bearbeiten (siehe Abbildung 1).

Abbildung 1

 

Berechtigungsstufen

Eine Berechtigungsstufe ist eine Kombination aus mehreren individuellen Berechtigungen, die es Benutzern erlaubt, eine bestimmte Gruppe von verwandten Aufgaben auszuführen. Sie können beispielsweise einem Benutzer oder einer Gruppe eine oder mehrere Berechtigungsstufen zuweisen.

Wenn wir davon sprechen, dass Benutzern oder Gruppen Berechtigungen erteilt werden, meinen wir damit eigentlich Berechtigungsstufen, die Benutzern oder Gruppen erteilt werden. Lassen Sie sich nicht verwirren, wenn Sie auf der Benutzeroberfläche einmal Berechtigungen erteilen (Grant Permissions) (Abbildung 2) und einmal Benutzern eine Berechtigung direkt erteilen (Abbildung 3) lesen – immer sind mit Berechtigungen Berechtigungsstufen gemeint. Weitere Informationen zu den einzelnen Berechtigungen und Berechtigungsstufen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen (SharePoint Foundation 2010) und Benutzerberechtigungen und Berechtigungsstufen (SharePoint Server 2010).

Abbildung 2

 

Abbildung 3

 

Abgestimmte Berechtigungen

Websiteadministratoren steuern den Zugriff auf Websites und Websiteinhalte, indem sie Benutzern oder Gruppen Berechtigungsstufen erteilen. Die Zuweisung von Berechtigungen (Berechtigungsstufen) kann auf beliebiger Ebene einer Websitehierarchie erfolgen: auf der Website auf oberster Ebene, auf der Website, auf einer Unterwebsite, auf Listen-, Bibliotheks-, Ordner-, Element- oder Dokumentebene. Wenn Sie eine Berechtigung(sstufe) auf einer niedrigen, d. h. differenzierteren Ebene zuweisen, etwa auf Listen-, Ordner-, Element- oder Dokumentebene, bezeichnen wir diese Berechtigung(sstufe) als abgestimmte Berechtigung. In manchen Beiträgen werden abgestimmte Berechtigungen auch als „Berechtigungen auf Listenebene“ oder „Berechtigungen auf Elementebene“ bezeichnet. Wenn Sie sich eingehender über abgestimmte Berechtigungen informieren möchten, laden Sie das Whitepaper Bewährte Methoden zur Verwendung von abgestimmten Berechtigungen (SharePoint-Produkte und -Technologien) herunter.

Zwei Faktoren

Neben den individuellen Berechtigungen, Berechtigungsstufen und abgestimmten Berechtigungen spielen zwei wichtige Faktoren eine Rolle bei der Steuerung von Berechtigungen: die Vererbung von Berechtigungen und die Erstellung von Gruppen.

Vererbung von Berechtigungen

Standardmäßig erben alle Websites und Inhalte Berechtigungen von dem in der Hierarchie über ihnen befindlichen, übergeordneten Objekt. Das geht bis hinauf zur Website auf oberster Ebene in der Websitesammlung (Beispiel: Listenelement  --> Ordner --> Liste --> Website --> Website auf oberster Ebene). Daher werden die Berechtigungen geerbt und weitergegeben, sofern Sie die Vererbung von Berechtigungen nicht an irgendeiner Stelle innerhalb einer Website unterbrechen. Allerdings ist es nicht realistisch, dass für alle Websites und Inhalte die gleichen Berechtigungen gelten. SharePoint bietet Ihnen Mechanismen zum Unterbrechen dieses Vererbungsschemas auf beliebiger Website- oder Inhaltsebene und zum Hinzufügen von benutzerdefinierten Berechtigungen. Abbildung 4 zeigt die Gruppe Vererbung (Inheritance) , über die Sie die Vererbung von Berechtigungen steuern können.

Abbildung 4

 

Hinweis: Es empfiehlt sich, Websites, Unterwebsites, Listen und Bibliotheken so anzuordnen, dass sie möglichst viele Berechtigungen gemeinsam haben. Das vereinfacht die Verwaltung. Legen Sie vertrauliche Daten gesondert in eigenen Listen, Bibliotheken oder Unterwebsites ab, und weisen Sie diesen eigene Berechtigungen zu.

 

Erstellung von Gruppen

Eine SharePoint-Gruppe ist eine Sammlung von Benutzern, die die gleichen Berechtigungen für eine bestimmte Website oder bestimmte Inhalte haben. Wenn Sie eine Gruppe erstellen, verknüpfen Sie damit immer eine bestimmte Berechtigungsstufe. Wenn Sie danach einer Person diese Berechtigungsstufe erteilen möchten, fügen Sie den Benutzer einfach der Gruppe hinzu.

Darüber hinaus können Sie Active Directory-Gruppen (genauer gesagt, Sicherheitsgruppen) in SharePoint-Gruppen schachteln. Das macht die Verwaltung von Berechtigungen noch einfacher. Wenn Benutzer morgens in die Firma kommen oder sie abends wieder verlassen, müssen Sie die Benutzer in der AD-Gruppe nicht einzeln verwalten. Vielmehr werden die Benutzer automatisch von AD DS (Active Directory Domain Services, Active Directory-Domänendienste) verwaltet. Dies wird besonders deutlich, wenn Sie mehrere SharePoint-Gruppen verwenden, die AD-Gruppen enthalten. Weitere Informationen und Empfehlungen zur Verwendung von Sicherheitsgruppen finden Sie unter Auswählen der Sicherheitsgruppen (SharePoint Foundation 2010) und Auswählen der Sicherheitsgruppen (SharePoint Server 2010).

In Abbildung 5 sehen Sie die Gruppe Erteilen (Grant) , über die Sie SharePoint-Gruppen erstellen können.

Abbildung 5

 

SharePoint-Gruppen werden üblicherweise auf Websitesammlungsebene erstellt. Wenn Sie eine Gruppe auf der Ebene einer Website erstellen (die Berechtigungen von ihrer übergeordneten Website geerbt hat), können Sie dieser Gruppe nicht direkt auf dieser Website Berechtigungsstufen erteilen. Abbildung 6 zeigt die Meldung, die Sie erhalten, wenn Sie versuchen, einer Gruppe auf der Website, auf der die Gruppe erstellt wurde, Berechtigungen zu gewähren. Sie können zur übergeordneten Website der Website wechseln und der Gruppe dort Berechtigungsstufen erteilen.

Abbildung 6

 

Weitere Informationen zu den drei Grundbegriffen und den zwei Faktoren im Zusammenhang mit der Verwaltung von Berechtigungen finden Sie unter Planen von Websiteberechtigungen (SharePoint Foundation 2010) und Planen von Websiteberechtigungen (SharePoint Server 2010).

Zwei neue Features

Die Berechtigungsfeatures haben sich in SharePoint 2010 gegenüber SharePoint 2007 nur wenig verändert. Zwei wichtige neue Features für SharePoint 2010 möchte ich Ihnen aber im Folgenden gerne vorstellen.

Überprüfung von Berechtigungen

Die Funktion zum Überprüfen von Berechtigungen ist ein neues Feature in SharePoint 2010.

Durch Klicken auf die Schaltfläche Berechtigungen überprüfen (Check Permissions) (Abbildung 7) können Sie die Berechtigungen eines Benutzers oder einer Gruppe für alle Ressourcen der Websitesammlung überprüfen. Sie können herausfinden, welche Berechtigungen dem Benutzer direkt zugewiesen wurden und welche Berechtigungen Gruppen erteilt wurden, denen der Benutzer angehört (Abbildung 8).

Abbildung 7

 

Abbildung 8

 

Benachrichtigungsleiste für Vererbung

Ein weiteres neues Feature ist die gelbe Benachrichtigungsleiste, die den gesicherten Inhalt in einer Website anzeigt, für den eigene Berechtigungen gelten (Abbildung 9). Diesen Inhalt können Sie überprüfen, indem Sie auf den Link Eindeutig gesicherten Inhalt anzeigen (Show me uniquely secured content) klicken. Auf der Benachrichtigungsleiste wird außerdem die übergeordnete Website angegeben, von der die Berechtigungen geerbt wurden.

Abbildung 9

 

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter An overview of site permissions

Comments

• Anonymous
  February 28, 2011
  Hallo, es ist eigentlich möglich, sich bereits gelöschte Berechtigungen anzeigen zu lassen. So ähnlich wie bei Dokumenten der Versionsverlauf? lg, kt