Informationen zum Steuern des Zugriffs auf Websites und Websiteinhalt

Inhalt dieses Artikels

So werden einem sicherungsfähigen Objekt Sicherheitselemente zugewiesen

Hierarchie und Vererbung

Wenn Sie als Websitebesitzer die Berechtigungsstruktur für Ihre Website oder Gruppe von Websites erstellen, sollten Sie eine einfache Verwaltung und die Anforderung der Steuerung bestimmter Berechtigungen für einzelne sicherungsfähige Objekte gegeneinander abwägen. Bei jeder Website ist es zudem wichtig, sich an das Prinzip der minimalen Rechte (POLP, Principle of Least Privilege) zu halten, wenn es um den Zugriff auf die Website geht.

Um die Verwaltung so einfach wie möglich zu gestalten, beginnen Sie am besten mit den standardmäßigen SharePoint-Gruppen (also Besitzer von Websitename, Mitglieder von Websitename und Besucher von Websitename) und dem Zuweisen von Berechtigungen auf Websiteebene. Es wird empfohlen, die meisten Benutzer den SharePoint-Gruppen Besucher von Websitename oder Mitglieder von Websitename zuzuordnen. Fügen Sie nicht alle Benutzer als Mitglied der SharePoint-Gruppe Besitzer von Websitename zu. Standardmäßig können Websitemitglieder Beiträge zu der Website leisten, d. h., sie können Elemente oder Dokumente hinzufügen und entfernen, aber sie können nicht die Struktur der Website oder Einstellungen und Aussehen der Website ändern. Sie können weitere SharePoint-Gruppen und Berechtigungsstufen erstellen, wenn Sie eine genauere Steuerung von Aktionen benötigen, die Ihre Benutzer ausführen können.

Wenn bestimmte Listen, Bibliotheken, Ordner in einer Liste oder Bibliothek, Listenelemente oder Dokumente vorhanden sind, die sensible Daten enthalten, die eine noch höhere Sicherheit erfordern, stehen Ihnen abgestimmte Berechtigungen zur Verfügung, um einer bestimmten SharePoint-Gruppe oder einem einzelnen Benutzer Berechtigungen zu gewähren. Allerdings kann das Verwalten abgestimmter Berechtigungen äußerst zeitaufwändig sein.

So werden einem sicherungsfähigen Objekt Sicherheitselemente zugewiesen

Sie können Benutzern und SharePoint-Gruppen (die Benutzer enthalten) für ein sicherungsfähiges Objekt, z. B. eine Website, Liste, Bibliothek, ein Ordner in einer Liste oder Bibliothek, ein Element oder Dokument, bestimmte Berechtigungen gewähren. Da das direkte Verwalten von Benutzerkonten ineffizient ist, sollten Sie zum Verwalten von Benutzern wann immer möglich SharePoint-Gruppen verwenden.

In der folgenden Abbildung wird veranschaulicht, wie Benutzern und SharePoint-Gruppen bestimmte Berechtigungsstufen für eine Website oder ein sicherungsfähiges Objekt in einer SharePoint-Website zugewiesen werden.

Benutzern und Gruppen werden bestimmte Berechtigungsstufen für einen bestimmten Bereich zugewiesen.

* Ein einzelner Benutzer kann direkt zugewiesen werden, ohne dass er Mitglied einer SharePoint-Gruppe ist.

Eine Berechtigungszuweisung wird immer für ein bestimmtes sicherungsfähiges Objekt erstellt. Eine solche Berechtigungszuweisung umfasst einen Benutzer oder eine SharePoint-Gruppe und eine Berechtigungsstufe. Jede Berechtigungsstufe weist einen bestimmten Satz von Berechtigungen auf.

Sie können verschiedenen Benutzern und SharePoint-Gruppen unterschiedliche Berechtigungsstufen für eine bestimmte Website, Liste, Bibliothek, einen bestimmten Ordner in einer Liste oder Bibliothek, ein bestimmtes Listenelement oder Dokument zuweisen. Einzelne Benutzer oder SharePoint-Gruppen können unterschiedliche Berechtigungsstufen für verschiedene sicherungsfähige Objekte aufweisen.

  • Jeder Benutzer mit der Berechtigung Berechtigungen verwalten kann SharePoint-Gruppen erstellen und Berechtigungsstufen für die Website insgesamt zuweisen. Sie können jedoch weder einer SharePoint-Gruppe Benutzer oder Domänengruppen hinzufügen noch Benutzer oder Domänengruppen aus einer SharePoint-Gruppe entfernen. Websitesammlungsadministratoren und Websitebesitzer verfügen standardmäßig über diese Berechtigung.

  • Administratoren von Listen oder Bibliotheken können mehr oder weniger eingeschränkte Berechtigungen für ihre Liste oder Bibliothek (oder einen Ordner in der Liste oder Bibliothek) festlegen, indem sie Benutzer oder SharePoint-Gruppen hinzufügen oder entfernen oder die Berechtigungsstufen für Benutzer oder SharePoint-Gruppen ändern.

  • Ersteller von Listenelementen oder Dokumenten können mehr oder weniger eingeschränkte Berechtigungen für ein Element oder Dokument angeben, indem sie Benutzer oder SharePoint-Gruppen hinzufügen oder entfernen oder die Berechtigungsstufen für Benutzer oder SharePoint-Gruppen ändern.

Seitenanfang

Hierarchie und Vererbung

Standardmäßig werden Berechtigungen für Listen, Bibliotheken, Ordner in Listen und Bibliotheken, Elemente und Dokumente von der übergeordneten Website geerbt. Allerdings können Sie diese Vererbung für jedes sicherungsfähige Objekt auf einer unteren Stufe in der Hierarchie unterbrechen, indem Sie die Berechtigungen für dieses sicherungsfähige Objekt bearbeiten (d. h., in dem Sie eine eigene Berechtigungszuweisung erstellen). So können Sie z. B. die Berechtigung für eine Dokumentbibliothek bearbeiten, durch die die Vererbung von der Website unterbrochen wird.

Websites an sich sind sicherungsfähige Objekte, denen Berechtigungen zugewiesen werden können. Sie können Unterwebsites so konfigurieren, dass sie Berechtigungen von einer übergeordneten Website erben, oder die Vererbung unterbrechen und eigene Berechtigungszuweisungen für diese bestimmte Website erstellen. Das Vererben von Berechtigungen stellt die einfachste Methode zum Verwalten einer Gruppe von Websites dar. Wenn eine Unterwebsite jedoch Berechtigungen von der übergeordneten Website erbt, ist dieser Satz von Berechtigungen freigegeben.

Besitzer von Unterwebsites, die Berechtigungen von der übergeordneten Website erben, können die Berechtigungen der übergeordneten Website bearbeiten. Stellen Sie sicher, dass die Änderungen, die Sie an den Berechtigungen der übergeordneten Website vornehmen, für die übergeordnete Website und alle Unterwebsites geeignet sind, die diese Berechtigungen erben.

In der folgenden Abbildung wird die Hierarchie einer Websitesammlung mit einer übergeordneten Website und Unterwebsites, die Berechtigungen von der übergeordneten Website erben, sowie eine Unterwebsite mit eigenen Berechtigungen dargestellt.

Hierarchie einer Websitesammlung mit Unterwebsites, die Berechtigungen erben, und eine Unterwebsite mit eigenen Berechtigungen.

In der Abbildung erbt Unterwebsite 1 Berechtigungen von der übergeordneten Website. Das bedeutet, dass Änderungen an SharePoint-Gruppen und Berechtigungsstufen der übergeordneten Website auch Auswirkungen auf Unterwebsite 1 haben.

Auch Unterwebsite 2 erbt Berechtigungen von der übergeordneten Website (Unterwebsite 1). Da jedoch auch Unterwebsite 1 Berechtigungen von der übergeordneten Website erbt, wirken sich die Änderungen an SharePoint-Gruppen und Berechtigungsstufen der übergeordneten Website auf beide Unterwebsites aus. Der Grund hierfür liegt darin, dass es nicht möglich ist, Berechtigungen auf einer Unterwebsite zu verwalten, die Berechtigungen erbt. Entweder Sie verwalten die Berechtigungen der übergeordneten Website (also der übergeordneten Website für Unterwebsite 1 und Unterwebsite 2), oder Sie unterbrechen die Vererbung und erstellen eigene Berechtigungen.

Unterwebsite 3 weist eigene Berechtigungen auf. Das bedeutet, dass sie keine Berechtigungen von der übergeordneten Website erbt. Daher wirken sich Änderungen an den Berechtigungsstufen und SharePoint-Gruppen der Unterwebsite 3 nicht auf die übergeordnete Website aus. Da Unterwebsite 4 Berechtigungen von Unterwebsite 3 erbt, haben Änderungen an den Berechtigungsstufen oder SharePoint-Gruppen der Unterwebsite 3 Auswirkungen auf beiden Websites.

Jede Website enthält weitere sicherungsfähige Objekte, die eine bestimmte Position in der Websitehierarchie innehaben, wie in der folgenden Abbildung deutlich wird.

Bereichshierarchie

Sicherungsfähige Objekte unterer Ebenen erben automatisch die Berechtigungen des übergeordneten Objekts. Eine Liste oder Bibliothek z. B. erbt die Berechtigungen von der Website, und Listenelemente und Dokumente erben die Berechtigungen von der Liste, Bibliothek oder von dem Ordner, in der bzw. dem sie enthalten sind. Sie können diese Vererbung an jeder Stelle in der Hierarchie unterbrechen und eigene Berechtigungen zuweisen. Wenn Sie die Vererbung vom übergeordneten Objekt unterbrechen, erhält das sicherungsfähige Objekt, von dem aus Sie die Vererbung unterbrochen haben, eine Kopie der Berechtigungen des übergeordneten Objekts. Dann können Sie diese Berechtigungen in eigene Berechtigungen umwandeln, d. h., die Änderungen, die Sie an den Berechtigungen des sicherungsfähigen Objekts vornehmen, haben keinerlei Auswirkungen auf das übergeordnete Objekt.

Planen der Berechtigungsvererbung

Der Einfachheit halber sollten Sie Berechtigungen wenn immer möglich nur auf Websiteebene verwalten. Das bedeutet, Sie sollten die Websitehierarchie so erstellen, dass Sie Websites Berechtigungen zuweisen können, die auch für alle sicherungsfähigen Objekte in der Website, z. B. Listen, Bibliotheken, Ordner in Listen oder Bibliotheken, Dokumente und Elemente, geeignet sind. Sie können zwar für jedes sicherungsfähige Objekt in der Websitehierarchie eigene Berechtigungen zuweisen, dies ist jedoch viel mühsamer als das Vererben von Berechtigungen. Schwieriger wird es, wenn einige Listen oder Bibliotheken in einer Website abgestimmte Berechtigungen und manche Websites Unterwebsites mit eigenen Berechtigungen und manche mit vererbten Berechtigungen aufweisen. Daher sollten Sie Websites, Unterwebsites, Listen und Bibliotheken weitgehend so anordnen, dass sie die meisten Berechtigungen erben können. Platzieren Sie sensible Daten in separaten Unterwebsites, Listen, Bibliotheken usw.

So ist es z. B. viel einfacher, Berechtigungen in einer Hierarchie wie der im folgenden Beispiel dargestellten zu verwalten, als sensible und nicht sensible Daten in den gleichen Websites, Listen und Bibliotheken zusammen zu platzieren.

  • Website A    Homepage der Gruppe

    • Liste A    Nicht sensible Daten (geerbte Berechtigungen)

    • Dokumentbibliothek A    Nicht sensible Daten (geerbte Berechtigungen)

    • Unterwebsite B    Sensible Daten (eigene Berechtigungen)

      • Liste B    Sensible Daten (eigene Berechtigungen)

      • Dokumentbibliothek B    Sensible Daten (eigene Berechtigungen)

Die Liste und die Bibliothek in Website A enthalten nicht sensible Daten, und die Unterwebsite B, die unter Website A erstellt wurde, enthält eine Liste und eine Bibliothek zum Speichern sensibler Daten. In diesem Szenario können Sie Website A Berechtigungen zuweisen, die für Liste A und Dokumentbibliothek A geeignet sind, und eigene Berechtigungen für Unterwebsite B erstellen, die für Liste B und Dokumentbibliothek B geeignet sind.

Seitenanfang

Teilen Facebook Facebook Twitter Twitter E-Mail E-Mail

War diese Information hilfreich?

Sehr gut. Noch anderes Feedback?

Was können wir verbessern?

Vielen Dank für Ihr Feedback!

×