Microsoft SharePoint: Berechtigungsmanagement besser verstehen

Komplexität reduzieren

Warum schwierig, wenn’s auch einfach geht

Das Thema Berechtigungen ist unter Microsoft SharePoint äußerst komplex und vielschichtig. Oft kann es dabei zu Missverständnissen und im Ergebnis zu ausufernder Komplexität kommen, die sich nur schwer beherrschen lässt. In diesem Beitrag möchten wir Ihnen ein grundlegendes Verständnis über Strukturen, Authentifizierung und Berechtigungen vermitteln und Ihnen nützliche Tipps für die tägliche Nutzung mit auf den Weg geben. Viel Spaß beim Lesen!

Authentifizierung

Microsoft SharePoint setzt grundsätzlich auf eine externe Authentifizierungsinstanz, z.B. auf ein Active Directory (AD). Das bedeutet konkret, dass Microsoft SharePoint immer einen Account aus einer anderen Quelle nutzt. Jeder SharePoint Nutzer kommt von einem „externen“ Adressbuch wie z.B. AD oder LDAP (Lightweight Directory Access Protocol), einem weit verbreiteten Protokoll für die Abfrage von Informationen aus einem Verzeichnisdienst.

Darüber hinaus können auch Gruppen innerhalb von Microsoft SharePoint definiert werden. Dies allerdings nur innerhalb einer SiteCollection. Das heißt, die Gruppe existiert nicht SharePoint-weit, sondern nur innerhalb eines SharePoint-Raumes. In SharePoint SiteCollection Gruppen können beispielsweise AD Personen und AD Gruppen eingebucht werden.

Server Berechtigungen

In vielen Systemen wird ein Anwender mehrstufig berechtigt. Um auf eine Applikation auf einem Server zugreifen zu können, wird neben der Berechtigung auf der Applikation auch ein Leserecht auf dem Server benötigt. Bei SharePoint reicht es, die jeweilige Person direkt in der Access Control List (ACL) des jeweiligen Objektes einzutragen. Bei Bedarf ist es möglich auf Ebene der Webapplikation bestimmten Personen Rechte für alle SiteCollections in dieser Webapplikation einzuräumen. Ebenso ist es möglich, einzelne Rechte auf dieser Ebene für alle SiteCollections auszuschließen.

SharePoint Berechtigungen

Die Access Control List stellt den Vereinigungsort von Personen, Rechten und Objekten dar Die SharePoint Berechtigungen werden durch eine Access Control List gesteuert. Dabei stellt die Access Control List den Vereinigungsort von Personen, Rechten und Objekten dar. Jedes SharePoint Objekt, wie etwa ein in SharePoint abgespeichertes Word-Dokument, steht in Beziehung zu genau einer ACL.

Berechtigungen brechen

Möchten Sie auf eine Untermenge einer SiteCollection die Berechtigung anpassen, ist es notwendig eine neue ACL anzulegen und die Beziehung dieser Untermenge zur SiteCollection-weiten ACL zu unterbrechen (Vererbung brechen).

Dokumentenmanagement mit Microsoft SharePoint Die Untermenge kann nicht völlig frei gewählt werden. Es ist lediglich möglich entlang einer Art Baumstruktur die Berechtigungen zu unterbrechen. Das heißt, Sie können nicht zwei einzelne Dokumente an ein und dieselbe ACL binden. Es sei denn, Sie knüpfen diese ACL an einen Container, wie z.B. Ordner oder eine Bibliothek, in denen dann beide Dokumente liegen. Befinden sich die Dokumente aber in zwei verschiedenen Bibliotheken und möchten Sie ausschließlich diese und keine anderen Dokumente der Berechtigung „unterwerfen“, ist es notwendig, je Dokument die Vererbung zu unterbrechen und eine neue ACL zu pflegen.

Berechtigungen verwalten

Die SiteCollection, häufig in Gestalt eines virtuellen Raumes à la Team Room, wird häufig von Fachanwendern selbst administriert. Technisch gibt es für die Verwaltung einer SiteCollection die Rolle eines SiteCollection Administrators, der über weitreichende Rechte und Möglichkeiten verfügt und pro SiteCollection berechtigt werden kann. Diese Rechte gehen in vielen Szenarien über die für Fachanwender sinnvollen Rechte weit hinaus, können schwierig unterstützt werden und zu unnötig komplexen Strukturen führen. Berechtigungsverwaltung beginnt daher mit der Frage nach den sinnvollen Rechten und der Überlegung wie man eine möglichst klare und verständliche Struktur für die virtuellen Räume realisieren kann.

Häufige Fehler

Verwaltungsaufwand gering halten

Komplexe Strukturen, viele Access Control Listen (ACL), Einzelberechtigungen auf Dokumente sowie direkte Dokument-Berechtigungen von Personen führen häufig zu chaotischen und unkontrollierbaren Rechtestrukturen. Leider gibt es, trotz kreativer und ungewöhnlicher Denkweisen keine effektive Möglichkeit komplexe Berechtigungsstrukturen zu verwalten oder auch nur zu durchschauen. Dieser Missstand – in Verbindung mit der beschriebenen Berechtigungsmechanik – führt bei stark ausdifferenzierten Rechten auf einzelne Dokumente oder Items dazu, dass Rechte falsch gesetzt sind und der Verwaltungsaufwand gleichzeitig unangemessen hoch ist.

Einfache Tipps

  • Authorisieren Sie wenige Gruppen
  • Leser/Gast/Visitor
  • Bearbeiter/Editor darf alles, außer löschen
  • Verwalter
  • Löscher
  • Richten Sie wenige Access Control Listen ein
  • Brechen Sie wenn möglich keine Berechtigungen.
  • Tun Sie dies im Notfall nur auf Basis von Ordnern.
  • Hilfreich kann es sein, wenn man Ordner durch Bezeichnung oder zusätzliche Werte mit Informationen anreichert.
  • Berechtigen Sie nie Personen direkt
  • Rechte sollten immer nur Gruppen, nie aber Einzelpersonen erhalten.
  • Dadurch lassen sich Zugriffe einfach durch Hinzufügen in die Gruppe auf eine andere Person übertragen.
  • Nutzen Sie Microsoft SharePoint zum Teilen von Informationen
  • Leben Sie grundsätzlich innerhalb eines Raums eine möglichst offene und kollaborative Berechtigungsstruktur.
  • Wenn diese droht komplex zu werden, ist es häufig sinnvoller den Raum in mehrere Räume zu splitten.
  • Innerhalb einzelner Räume lässt sich wiederum eine einfache Struktur einrichten.

Kostenloses eBook: Neu in SharePoint 2016

LesetippErfahren Sie mehr über die zentralen Neuerungen von SharePoint 2016 in unserem aktuellen eBook: Alles über Cloud, Mobile und Online Apps!

Fazit

In diesem Beitrag bin ich weder auf die Feinheiten der Berechtigungsstufen noch auf einzelne Rechte im Detail eingegangen, die entweder über weitere Einstellungen oder zentral über den Berechtigungsmechanismus eingeräumt werden können.

Ziel des Beitrags ist es, die grundsätzliche Mechanik verständlich zu machen und für die richtige Nutzung des Berechtigungssystems zu sensibilisieren. Ich hoffe, Sie sind diesem Ziel jetzt etwas näher gekommen.

Wie gehen Sie mit dem SharePoint Berechtigungssystem um? Vielleicht haben Sie weitere Tipps für unsere Leser. Ich freue mich über Ihre Kommentare und Anregungen.

geschrieben von: Martin Rosenberg

Martin Rosenberg

Martin Rosenberg ist IT-Architekt, Collaboration Strategist und Senior SharePoint Consultant. Sein Schwerpunkt liegt auf der Einführung von kollaborativen Technologien im Enterprise-Umfeld unter Berücksichtigung von Sicherheitsaspekten. Im Fokus steht dabei die Koexistenz sowie der Wandel hin zu neuen Plattformen. Martin Rosenberg verfügt über langjährige Erfahrung mit IBM Notes/Domino und Microsoft SharePoint.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.