Bestimmen von Berechtigungsstufen und Gruppen in SharePoint ServerDetermine permission levels and groups in SharePoint Server

gilt für: ja2013 ja2016 ja2019 NeinSharePoint OnlineAPPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

Eine SharePoint-Gruppe ist eine Gruppe von Benutzern, die zusammen verwaltet werden können. Eine Berechtigungsstufe ist eine Kombination von Berechtigungen, die einer bestimmten Gruppe oder einem bestimmten zu schützenden Objekt zugewiesen werden kann. SharePoint-Gruppen und -Berechtigungsstufen werden auf Websitesammlungsebene definiert und standardmäßig vom übergeordneten Objekt geerbt. In diesem Artikel werden die Standardgruppen und -berechtigungsstufen beschrieben, und Sie erhalten Entscheidungshilfen dazu, ob Sie diese unverändert verwenden, anpassen oder andere Gruppen und Berechtigungsstufen erstellen sollten.A SharePoint group is a set of users that can be managed together. A permission level is a set of permissions that can be assigned to a specific group for a specific securable object. SharePoint groups and permission levels are defined at the site collection level and are inherited from the parent object by default. This article describes default groups and permission levels and helps you decide whether to use them as they are, customize them, or create different groups and permission levels.

Die wichtigste Entscheidung hinsichtlich ihrer Website-und Inhaltssicherheit in SharePoint Server besteht darin, wie Sie die Benutzer gruppieren und welche Berechtigungsstufen zugewiesen werden sollen.The most important decision about your site and content security in SharePoint Server is how to group your users and which permission levels to assign.

Überblick: Verfügbare BerechtigungsstufenReview available default groups

SharePoint groups enable you to manage sets of users instead of individual users. These groups can contain many individual users, or they can include the contents of any corporate identity system, including Active Directory Domain Services (AD DS), LDAPv3-based directories, application-specific databases and new user-centric identity models, such as Windows Live ID. SharePoint groups do not confer specific rights to the site; they are a way to designate a set of users. You can organize yours users into any number of groups, depending on the size and complexity of your organization or Web site. SharePoint groups cannot be nested.SharePoint groups enable you to manage sets of users instead of individual users. These groups can contain many individual users, or they can include the contents of any corporate identity system, including Active Directory Domain Services (AD DS), LDAPv3-based directories, application-specific databases and new user-centric identity models, such as Windows Live ID. SharePoint groups do not confer specific rights to the site; they are a way to designate a set of users. You can organize yours users into any number of groups, depending on the size and complexity of your organization or Web site. SharePoint groups cannot be nested.

In der folgenden Tabelle werden die Standardgruppen angezeigt, die für Teamwebsites in SharePoint Server erstellt wurden.The following table displays default groups that are created for team sites in SharePoint Server. Jeder Standardgruppe wird eine standardmäßige Berechtigungsstufe zugewiesen.Each default group is assigned a default permission level.

Name der GruppeGroup name StandardberechtigungsstufeDefault permission level BeschreibungDescription
BesucherVisitors
LesenRead
Verwenden Sie diese Gruppe, um Personen Lesezugriff auf die SharePoint-Website zu erteilen.Use this group to grant people Read permissions to the SharePoint site.
MitgliederMembers
BearbeitenEdit
Verwenden Sie diese Gruppe, um Personen Bearbeitungsberechtigung für die SharePoint-Website zu erteilen.Use this group to grant people Edit permissions to the SharePoint site.
BesitzerOwners
VollzugriffFull Control
Verwenden Sie diese Gruppe, um Personen Vollzugriff auf die SharePoint-Website zu erteilen.Use this group to grant people Full Control permissions to the SharePoint site.
Anzeigende BenutzerViewers
Nur AnzeigenView Only
Verwenden Sie diese Gruppe, um Personen nur Anzeigeberechtigung für die SharePoint-Website zu erteilen.Use this group to grant people View Only permissions to the SharePoint site.

Wenn Sie eine andere Websitevorlage als die Teamwebsitevorlage verwenden, wird eine andere Liste mit standardmäßigen SharePoint-Gruppen angezeigt. In der folgenden Tabelle werden beispielsweise die zusätzlichen Gruppen aufgeführt, die durch eine Veröffentlichungssitevorlage bereitgestellt werden.If you use a site template other than the team site template, you will see a different list of default SharePoint groups. For example, the following table shows the additional groups provided by a publishing site template.

Name der GruppeGroup name StandardberechtigungsstufeDefault permission level BeschreibungDescription
Personen mit eingeschränkten LeserechtenRestricted Readers
Eingeschränkter Lesezugriff für die Website (plus Eingeschränkter Zugriff auf bestimmte Listen)Restricted Read to the site, plus Limited Access to specific lists
Mitglieder dieser Gruppe können Seiten und Dokumente anzeigen, aber keine zurückliegenden Versionen und keine Informationen zu Benutzerrechten einsehen.Members of this group can view pages and documents, but cannot view historical versions or review user rights information.
FormatressourcenleserStyle Resource Readers
Lesen für den Gestaltungsvorlagenkatalog und Eingeschränkter Lesezugriff für die FormatbibliothekRead to the Master Page Gallery and Restricted Read to the Style Library.
Mitglieder dieser Gruppe haben Lesezugriff auf den Gestaltungsvorlagenkatalog und Eingeschränkten Lesezugriff auf die Formatbibliothek. Standardmäßig sind alle authentifizierten Benutzer Mitglied dieser Gruppe.Members of this group are given Read permission to the Master Page Gallery and Restricted Read permission to the Style Library. By default, all authenticated users are a member of this group.
> [!NOTE]> Entfernen Sie nicht alle authentifizierten Benutzer aus dieser Gruppe, da der Gestaltungsvorlagenkatalog und die Formatbibliothek nämlich in allen Websites in der Websitesammlung gemeinsam verwendet werden und alle Benutzer aller Websites darauf zugreifen können müssen. Wenn Sie alle authentifizierten Benutzer aus der Gruppe entfernen, kann die Website für eine Person mit dieser Berechtigungsstufe auf einer Unterwebsite nicht gerendert werden. SharePoint kann Benutzer von Unterwebsites nicht automatisch nach Bedarf zu dieser Gruppe hinzufügen oder aus ihr entfernen.> [!NOTE]> Do not remove all authenticated users from this group. Because Master Page Gallery and Style Library are shared across all sites in the site collection and must be accessible to all users of all sites. If you remove all authenticated users from the group, anyone with this permission level on a subsite will not be able to render the site. SharePoint will not automatically add or remove users of subsites to or from this group as needed.
DesignerDesigners
Entwerfen, Eingeschränkter ZugriffDesign, Limited Access
Mitglieder dieser Gruppe können das Layout von Seiten einer Website mithilfe des Browsers oder mit SharePoint Designer 2013 anzeigen, hinzufügen, aktualisieren, löschen, genehmigen und anpassen.Members of this group can to view, add, update, delete, approve, and customize the layout of site pages by using the browser or SharePoint Designer 2013.
Genehmigende PersonenApprovers
Genehmigen plus Eingeschränkter ZugriffApprove, plus Limited Access
Mitglieder dieser Gruppe können Seiten, Listenelemente und Dokumente bearbeiten und genehmigen.Members of this group can edit and approve pages, list items, and documents.
Hierarchie-ManagerHierarchy Managers
Hierarchie verwalten plus Eingeschränkter ZugriffManage Hierarchy, plus Limited Access
Mitglieder dieser Gruppe können Websites, Listen, Listenelemente und Dokumente erstellen.Members of this group can create sites, lists, list items, and documents.

Tipp

Mit der Berechtigungsstufe Eingeschränkter Zugriff wird Gruppen Zugriff auf eine bestimmte Liste, Bibliothek, einen bestimmten Ordner, ein bestimmtes Dokument oder Element erteilt, ohne dass sie Zugriff auf die gesamte Website erhalten. Entfernen Sie diese Berechtigungsstufe nicht aus den oben aufgelisteten Gruppen. Andernfalls können die Gruppen möglicherweise nicht mehr durch die Website navigieren, um zu den betreffenden Elementen zu gelangen, mit denen sie interagieren müssen.The Limited Access permission level is used to give groups access to a specific list, library, folder, document, or item, without giving them access to the entire site. Do not remove this permission level from the groups listed above. If this permission level is removed, the groups might not be able to navigate through the site to get the specific items with which they need to interact.

Weisen Sie die meisten Benutzer den Gruppen Besucher oder Mitglieder zu. Standardmäßig können Benutzer in der Gruppe Mitglieder an der Website mitwirken, indem sie Elemente oder Dokumente hinzufügen oder entfernen. Sie können jedoch nicht die Struktur, die Einstellungen oder das Aussehen der Website ändern. Die Gruppe Besucher verfügt nur über Lesezugriff auf die Website, das heißt, die Mitglieder können Seiten und Elemente anzeigen und Elemente und Dokumente öffnen, aber keine Seiten, Elemente oder Dokumente hinzufügen oder entfernen.Make most users members of the Visitors or Members groups. By default, users in the Members group can contribute to the site by adding or removing items or documents, but cannot change the structure, site settings, or appearance of the site. The Visitors group has read-only access to the site, which means that they can see pages and items, and open items and documents, but cannot add or remove pages, items, or documents.

Wenn die genauen Benutzergruppen in Ihrer Organisation sich nicht auf die vorhandenen Standardgruppen abbilden lassen, können Sie benutzerdefinierte Gruppen erstellen.If the default groups do not map to the exact user groups in your organization, you can create custom groups.

Neben den obigen SharePoint-Gruppen sind auch Administratorgruppen für Verwaltungsaufgaben verfügbar, die höhere Berechtigungsstufen erfordern. Dies sind Windows-Administratoren, SharePoint-Farmadministratoren und Websitesammlungsadministratoren.Besides the above SharePoint groups, there are also administrator groups for higher-level administration tasks. They are Windows administrators, SharePoint farm administrators, and site collection administrators.

Weitere Informationen finden Sie unter Auswählen von Administratoren und Besitzern für die Verwaltungshierarchie in SharePoint 2013.For more information, see Choose administrators and owners for the administration hierarchy in SharePoint 2013.

Überblick: Verfügbare BerechtigungsstufenReview available permission levels

Ob eine Website angezeigt, geändert oder verwaltet werden darf, wird durch die Berechtigungsstufe bestimmt, die Sie einem Benutzer oder einer Gruppe zuweisen. Diese Berechtigungsstufe steuert alle Berechtigungen für die Website und die untergeordneten Objekte, die die Berechtigungen für die Website erben. Ohne die entsprechenden Berechtigungsstufen können die Benutzer ihre Aufgaben möglicherweise nicht ausführen oder sie sind in der Lage, Aufgaben auszuführen, zu denen sie nicht befugt sein sollten.The ability to view, change, or manage a site is determined by the permission level that you assign to a user or group. This permission level controls all permissions for the site and the child objects that inherit the site's permissions. Without the appropriate permission levels, the users might be unable to perform their tasks, or they could perform tasks that you did not want them to perform.

Die folgenden Berechtigungsstufen sind standardmäßig verfügbar:By default, the following permission levels are available:

  • **View Only ** Includes permissions that enable users to view pages, list items, and documents.**View Only ** Includes permissions that enable users to view pages, list items, and documents.

  • **Limited Access ** Includes permissions that enable users to view specific lists, document libraries, list items, folders, or documents, without giving access to all the elements of a site. You cannot edit this permission level directly.**Limited Access ** Includes permissions that enable users to view specific lists, document libraries, list items, folders, or documents, without giving access to all the elements of a site. You cannot edit this permission level directly.

    Hinweis

    Wenn diese Berechtigungsstufe entfernt wird, können Gruppenmitglieder möglicherweise nicht auf der Website navigieren, um auf Elemente zuzugreifen, obwohl sie über die richtigen Berechtigungen für ein Element der Website verfügen.If this permission level is removed, group members might be unable to navigate the site to access items, even if they have the appropriate permissions for an item within the site.

  • **Read ** Includes permissions that enable users to view items on the site pages.**Read ** Includes permissions that enable users to view items on the site pages.

  • **Bearbeiten ** Beinhaltet Berechtigungen, mit denen Benutzer Listen hinzufügen, bearbeiten und löschen sowie Listenelemente und Dokumente anzeigen, hinzufügen, aktualisieren und löschen können.**Edit ** Includes permissions that enable users to add, edit and delete lists; can view, add, update and delete list items and documents.

  • **Contribute ** Includes permissions that enable users to add or change items on the site pages or in lists and document libraries.**Contribute ** Includes permissions that enable users to add or change items on the site pages or in lists and document libraries.

  • **Entwerfen ** Beinhaltet Berechtigungen, mit denen Benutzer das Layout von Seiten einer Website mithilfe des Browsers oder mit SharePoint Designer 2013 anzeigen, hinzufügen, aktualisieren, löschen, genehmigen und anpassen können.**Design ** Includes permissions that enable users to view, add, update, delete, approve, and customize the layout of site pages by using the browser or SharePoint Designer 2013.

  • **Vollzugriff ** Beinhaltet alle Berechtigungen.**Full Control ** Includes all permissions.

Weitere Informationen zu den Berechtigungen, die in den Standardberechtigungsstufen enthalten sind, finden Sie unter Benutzerberechtigungen und Berechtigungsstufen in SharePoint 2013).For more information about permissions that are included in the default permission levels, see User permissions and permission levels in SharePoint 2013.

Die folgenden zusätzlichen Berechtigungsstufen werden standardmäßig mit der Veröffentlichungsvorlage bereitgestellt:The following additional permission levels are provided with the publishing template by default:

  • **Approve ** Includes permissions to edit and approve pages, list items, and documents.**Approve ** Includes permissions to edit and approve pages, list items, and documents.

  • **Manage Hierarchy ** Includes permissions to sites and edit pages, list items, and documents.**Manage Hierarchy ** Includes permissions to sites and edit pages, list items, and documents.

  • **Restricted Read ** Includes permissions to view pages and documents, but not historical versions or permissions information.**Restricted Read ** Includes permissions to view pages and documents, but not historical versions or permissions information.

Feststellen, ob benutzerdefinierte Berechtigungsstufen oder Gruppen benötigt werdenDetermine whether you need custom permission levels or groups

Die Standardgruppen und -berechtigungsstufen stellen einen allgemeinen Rahmen für Berechtigungen bereit und decken damit viele verschiedene Organisationsarten und Rollen innerhalb dieser Organisationen ab. Es kann jedoch sein, dass sie Ihre Benutzerstruktur oder die Vielzahl der Aufgaben, die die Benutzer auf den Websites ausführen, nicht genau abbilden. Wenn die Standardgruppen und -berechtigungsstufen für Ihre Organisation nicht geeignet sind, können Sie benutzerdefinierte Gruppen erstellen, die in einzelnen Berechtigungsstufen enthaltenen Berechtigungen ändern oder benutzerdefinierte Berechtigungsstufen erstellen.The default groups and permission levels provide a general framework for permissions, covering many organization types and roles within those organizations. However, they might not map exactly to how the users are organized or to the many different tasks that the users perform on your sites. If the default groups and permission levels do not suit your organization, you can create custom groups, change the permissions included in specific permission levels, or create custom permission levels.

Benötigen Sie benutzerdefinierte Gruppen?Do you need custom groups?

Die Entscheidung für die Erstellung benutzerdefinierter Gruppen ist recht unkompliziert und hat kaum Auswirkungen auf die Sicherheit der Website. Sie sollten benutzerdefinierte Gruppen erstellen und anstelle der Standardgruppen verwenden, wenn eine der folgenden Situationen vorliegt:The decision to create custom groups is fairly straightforward and has little effect on your site's security. You should create custom groups instead of using the default groups if either of the following situations applies:

  • You have more (or fewer) user roles within your organization than are obvious in the default groups. For example, if in addition to Approvers, Designers, and Hierarchy Managers, you have a set of people who are tasked with publishing content to the site, you might want to create a Publishers group.You have more (or fewer) user roles within your organization than are obvious in the default groups. For example, if in addition to Approvers, Designers, and Hierarchy Managers, you have a set of people who are tasked with publishing content to the site, you might want to create a Publishers group.

  • In Ihrer Organisation gibt es eingeführte Namen für bestimmte Rollen, die auf den Websites ganz andere Aufgaben durchführen. Wenn Sie beispielsweise eine öffentliche Website für den Vertrieb der Produkte Ihrer Organisation erstellen, möchten Sie möglicherweise eine Gruppe mit dem Namen Kunden erstellen und anstelle der Gruppen Besucher oder Anzeigende Benutzer verwenden.There are well-known names for unique roles within your organization that perform very different tasks in the sites. For example, if you are creating a public site to sell your organization's products, you might want to create a Customers group that replaces Visitors or Viewers.

  • Sie möchten eine 1:1-Beziehung zwischen Windows-Sicherheitsgruppen und den SharePoint-Gruppen beibehalten. Ein Beispiel: In Ihrer Organisation gibt es eine Sicherheitsgruppe Websitemanager, und Sie möchten diesen Namen als SharePoint-Gruppennamen verwenden, um die Gruppe beim Verwalten der Website leicht erkennen zu können.You want to preserve a one-to-one relationship between Windows security groups and the SharePoint groups. For example, if your organization has a security group that is named Web Site Managers, you might want to use that name as a group name for easy identification when you manage the site.

  • Sie möchten lieber andere Gruppennamen verwenden.You prefer other group names.

Benötigen Sie benutzerdefinierte Berechtigungsstufen?Do you need custom permission levels?

Die Entscheidung für die Anpassung von Berechtigungsstufen ist nicht ganz so einfach wie die Entscheidung für die Anpassung von SharePoint-Gruppen. Wenn Sie die einer Berechtigungsstufe zugewiesenen Berechtigungen anpassen, müssen Sie diese Änderung dokumentieren, überprüfen, ob sie sich tatsächlich für alle betroffenen Gruppen und Websites eignet, und sicherstellen, dass sich die Änderung nicht negativ auf die Sicherheit oder die Serverkapazität bzw. -leistung auswirkt.The decision to customize permission levels is less straightforward than the decision to customize SharePoint groups. If you customize the permissions assigned to a permission level, you must keep track of that change, verify that it works for all groups and sites affected by the change, and make sure that that the change does not adversely affect your security or your server capacity or performance.

Wenn Sie beispielsweise die Berechtigungsstufe Mitwirken so anpassen, dass sie die Berechtigung Unterwebsites erstellen beinhaltet, die normalerweise Teil der Berechtigungsstufe Vollzugriff ist, können Mitglieder der Gruppe Mitwirkende Unterwebsites erstellen und besitzen und möglicherweise böswillige Benutzer in die Unterwebsites einladen oder unangemessene Inhalte bereitstellen. Wenn Sie die Berechtigungsstufe Lesen so anpassen, dass sie die Berechtigung Verwendungsdaten anzeigen beinhaltet, die normalerweise Teil der Berechtigungsstufe Vollzugriff ist, können alle Mitglieder der Gruppe Besucher Verwendungsdaten sehen, was zu Leistungsproblemen führen kann.For example, if you customize the Contribute permission level to include the Create Subsites permission that is typically part of the Full Control permission level, members of the Contributors group can create and own subsites, and can potentially invite malicious users to their subsites or post unapproved content. If you customize the Read permission level to include the View Usage Data permission that is typically part of the Full Control permission level, all members of the Visitors group can see usage data, which could cause performance issues.

Wenn eine der folgenden Situationen vorliegt, sollten Sie die Standardberechtigungsstufen anpassen:You should customize the default permission levels if either of the following situations applies:

  • Eine Standardberechtigungsstufe enthält alle Berechtigungen, es fehlt jedoch eine, die die Benutzer für ihre Arbeit benötigen, und Sie möchten diese Berechtigung hinzufügen.A default permission level includes all permissions except one that the users must have to do their jobs, and you want to add that permission.

  • Eine Standardberechtigungsstufe beinhaltet eine Berechtigung, die die Benutzer nicht benötigen.A default permission level includes a permission that the users do not have to have.

    Hinweis

    Passen Sie die Standardberechtigungsstufen nicht an, wenn Ihre Organisation Sicherheit oder andere Bedenken hinsichtlich einer bestimmten Berechtigung hat, die Teil der Berechtigungsstufe ist.Do not customize the default permission levels if your organization has security or other concerns about a specific permission that is part of the permission level. Wenn Sie diese Berechtigung für alle Benutzer, die der Berechtigungsstufe oder den Ebenen mit dieser Berechtigung zugeordnet sind, nicht verfügbar machen möchten, deaktivieren Sie die Berechtigung für alle Webanwendungen in Ihrer Serverfarm, anstatt alle Berechtigungsstufen zu ändern, um die Berechtigungen zu verwalten. Berechtigungen für eine Webanwendung finden Sie unter Verwalten von Berechtigungen für eine Webanwendung in SharePoint Server.If you want to make that permission unavailable for all users assigned to the permission level or levels that include that permission, turn off the permission for all Web applications in your server farm, instead of change all of the permission levels To manage permissions for a web application, see Manage permissions for a web application in SharePoint Server.

Wenn Sie an einer Berechtigungsstufe mehrere Änderungen vornehmen müssen, erstellen Sie eine benutzerdefinierte Berechtigungsstufe, die alle erforderlichen Berechtigungen enthält.If you must make several changes to a permission level, create a custom permission level that includes all of the permissions that you need.

Sie sollten zusätzliche Berechtigungsstufen erstellen, wenn eine der folgenden Bedingungen zutrifft:You might want to create additional permission levels if either of the following conditions is true:

  • Sie möchten mehrere Berechtigungen aus einer bestimmten Berechtigungsstufe ausschließen.You want to exclude several permissions from a specific permission level.

  • Sie möchten eigene Berechtigungen für eine neue Berechtigungsstufe definieren.You want to define a unique set of permissions for a new permission level.

Zum Erstellen einer Berechtigungsstufe können Sie eine Berechtigungsstufe anlegen und dann die Berechtigungen auswählen, die Sie einschließen möchten.To create a permission level, you can create a permission level and then select the permissions that you want to include.

Hinweis

Einige Berechtigungen sind von anderen abhängig. Wenn Sie eine Berechtigung löschen, von der eine andere abhängt, wird die andere Berechtigung ebenfalls gelöscht.Some permissions depend on other permissions. If you clear a permission that another permission depends on, the other permission is also cleared.