Rollenzuweisungen, Rollendefinitionen und Vererbung
Letzte Änderung: Mittwoch, 14. April 2010
Gilt für: SharePoint Foundation 2010
Eine Rolle besteht aus zwei Teilen: einer Rollendefinition und einer Rollenzuweisung.
Die Rollendefinition, oder Berechtigungsstufe, ist die Liste der Rechte, die der Rolle zugeordnet sind. Ein Recht ist eine eindeutig steuerbare Aktion innerhalb einer SharePoint-Website. Ein Benutzer mit der Rolle Lesen kann beispielsweise Seiten auf der Website durchsuchen und Elemente in Listen anzeigen. Anders als in Windows SharePoint Services 2.0 werden Benutzerberechtigungen niemals direkt mithilfe von Rechten verwaltet. Sämtliche Benutzer- und Gruppenberechtigungen werden über Rollen verwaltet. Eine Rollendefinition ist eine Sammlung aus Rechten, die an ein bestimmtes Objekt gebunden sind. Der Gültigkeitsbereich von Rollendefinitionen (beispielsweise Vollzugriff, Lesen, Mitwirken, Entwurf oder Beschränkter Zugriff) ist die Website, und Rollendefinitionen bedeuten überall innerhalb einer Website dasselbe. Siteübergreifend innerhalb derselben Websitesammlung können sich ihre Bedeutungen jedoch unterscheiden. Rollendefinitionen können auch von der übergeordneten Website geerbt werden, so wie auch Berechtigungen geerbt werden können.
Die Rollenzuweisung ist die Beziehung zwischen der Rollendefinition, den Benutzern und Gruppen und dem Bereich. (Beispiel: Ein Benutzer kann ein Leser für Liste 1 sein, während ein anderer Benutzer ein Leser für Liste 2 ist.) Die Beziehung, die durch die Rollenzuweisung ausgedrückt wird, ist der Schlüssel zur rollenbasierten Sicherheitsverwaltung in Microsoft SharePoint Foundation. Alle Berechtigungen werden mithilfe von Rollen verwaltet. Rechte werden nie direkt zu einem Benutzer zugewiesen. Stattdessen weisen Sie ausschließlich sinnvolle Sammlungen von Rechten (Rollendefinitionen) zu, die sorgfältig definiert und konsistent sind. Die Verwaltung spezifischer Berechtigungen erfolgt, indem Sie Benutzer und Gruppen mithilfe von Rollenzuweisungen zu Rollendefinitionen hinzufügen oder von Rollendefinitionen entfernen.
Mithilfe der Seite Rollen verwalten, auf der die verfügbaren Rollendefinitionen der jeweiligen Website aufgeführt sind, kann der Websiteadministrator die Standardrollendefinitionen anpassen und zusätzliche benutzerdefinierte Rollen erstellen.
Vererbung von Rollendefinitionen
SharePoint Foundation unterstützt die Vererbung von Rollendefinitionen, so wie es auch die Vererbung von Berechtigungen unterstützt. Das Aufheben der Rollendefinitionsvererbung erfordert das Aufheben der Vererbung von Berechtigungen.
Jedes SharePoint-Objekt kann über einen eigenen Satz an Berechtigungen verfügen oder seine Berechtigungen von dem übergeordneten Container erben. SharePoint Foundation bietet keine Unterstützung für die teilweise Vererbung, bei der ein Objekt alle Berechtigungen des übergeordneten Containers erbt und auch noch über einige eigene Berechtigungen verfügen kann. Berechtigungen sind entweder objektspezifisch oder geerbt. SharePoint Foundation bietet keine Unterstützung für die gerichtete Vererbung. Ein Objekt kann beispielsweise nur von seinem übergeordneten Container, jedoch nicht von einem anderen Objekt oder Container erben.
Wenn eine Website Rollendefinitionen erbt, sind die Rollen schreibgeschützt - genauso wie die schreibgeschützten Berechtigungen in einer geerbten Website. Der Benutzer kann über einen Link zur übergeordneten Website navigieren, die die spezifischen Rollendefinitionen enthält. Die Standardeinstellung für alle neuen Websites, und zwar auch für Websites mit spezifischen Berechtigungen, sieht vor, dass Rollendefinitionen von der übergeordneten Website geerbt werden. Wenn die Berechtigungen websitespezifisch sind, können Rollendefinitionen auf geerbte Rollendefinitionen zurückgesetzt oder als lokale Rollendefinitionen bearbeitet werden.
Die Vererbung von Rollendefinitionen in einer Website wirkt sich auf die Berechtigungsvererbung aus, wobei Folgendes gilt:
Das Erben von Berechtigungen ist nur möglich, wenn auch Rollendefinitionen geerbt werden.
Das Erstellen spezifischer Rollendefinitionen ist nur möglich, wenn auch spezifische Berechtigungen erstellt werden.
Das Zurücksetzen auf geerbte Rollendefinitionen ist nur möglich, wenn alle spezifischen Berechtigungen innerhalb der Website zurückgesetzt werden. Die vorhandenen Berechtigungen sind abhängig von den Rollendefinitionen.
Das Zurücksetzen auf geerbte Berechtigungen ist nur möglich, wenn auch eine Zurücksetzung auf geerbte Rollendefinitionen erfolgt. Die Berechtigungen für eine Website sind immer an die Rollendefinitionen für diese Website geknüpft.