Autorisierung, Benutzer und Gruppen

Artikel
09/24/2014

Letzte Änderung: Mittwoch, 14. April 2010

Gilt für: SharePoint Foundation 2010

In Microsoft SharePoint Foundation wird der Zugriff auf Websites, Listen, Ordner und Listenelementen durch ein rollenbasiertes Mitgliedschaftssystem gesteuert, mit dessen Hilfe Benutzer zu Rollen zugewiesen werden, die sie zum Zugriff auf SharePoint Foundation-Objekte berechtigen.

Damit ein Benutzer Zugriff auf ein Objekt erhält, können Sie den Benutzer zu einer Gruppe hinzufügen, die bereits über Berechtigungen für das Objekt verfügt. Sie können jedoch auch ein Rollenzuweisungsobjekt erstellen, den Benutzer für die Rollenzuweisung festlegen, optional die Rollenzuweisung an die entsprechende Rollendefinition mit Basisberechtigungen binden und die Zuweisung dann zur Sammlung der Rollenzuweisungen für das Listenelement, den Ordner oder die Website hinzufügen. Falls Sie die Rollenzuweisung beim Zuweisen eines Benutzers zu einer Rolle nicht an eine Rollendefinition binden, besitzt der Benutzer keine Berechtigungen.

Im Folgenden sind Optionen aufgeführt, die SharePoint Foundation bereitstellt, um den Zugriff auf Objekte zu steuern:

Objekte können die gleichen Berechtigungen wie die übergeordnete Website, die übergeordnete Liste oder der übergeordnete Ordner verwenden (indem sie die verfügbaren Rollen und Benutzer des übergeordneten Objekts erben) oder über eigene Berechtigungen verfügen.
Websites, Listen, Ordner und Elemente stellen jeweils eigene Sammlungen mit Rollenzuweisungen bereit, sodass eine präzise Verwaltung des Benutzerzugriffs auf Objekte ermöglicht wird.
Gruppen bestehen aus Benutzern und können, müssen jedoch nicht zu Rollen zugewiesen werden. SharePoint Foundation umfasst standardmäßig die drei folgenden Gruppen:
- owners (Administrator)
- members (Mitwirkender)
- visitors (Leser)

Wenn Sie über die Benutzeroberfläche eine Website mit spezifischen Berechtigungen erstellen, werden Sie zu einer Seite geführt, auf der Sie im Rahmen der Websitebereitstellung Benutzer zu diesen Gruppen zuweisen können.

Der anonyme Zugriff ermöglicht es Benutzern, anonym an Listen und Umfragen mitzuwirken. Sie können den Zugriff auch "allen authentifizierten Benutzern" gewähren, um allen Mitgliedern der Domäne den Zugriff auf eine Website zu ermöglichen, ohne den anonymen Zugriff zulassen zu müssen.
Websiteerstellungsrechte (CreateSSCSite und ManageSubwebs) steuern, ob Benutzer Websites der obersten Ebene, Unterwebsites oder Arbeitsbereiche erstellen können.

Benutzer werden Mitglieder eines SharePoint-Objekts, und zwar entweder indirekt über eine Gruppe, die über eine Rollenzuweisung verfügt, oder direkt über eine Rollenzuweisung. Benutzer können auch Mitglieder einer Microsoft Windows NT-Domänengruppe sein, die einer Gruppe oder Rolle hinzugefügt wird. Durch eine Rollendefinition wird ein Benutzer oder eine Gruppe mit einem einzelnen Recht oder einem Satz von Rechten verknüpft, die den Werten der Microsoft.SharePoint.SPBasePermissions-Enumeration entsprechen. Jeder Benutzer bzw. jede Gruppe verfügt über eine eindeutige Mitglieds-ID.

Mithilfe des Objektmodells können Sie Rollenzuweisungen und -definitionen anders als mithilfe der Funktionalität der Datei addrole.aspx und der Datei editrole.aspx erstellen oder ändern. Anders als diese Seiten, die über die Benutzeroberfläche zur Verfügung gestellt werden, erzwingt das Objektmodell nicht die Rechteabhängigkeit, sodass Sie eine Rollendefinition mit einer beliebigen Kombination von Rechten erstellen können. Eine sorgfältige Planung ist jedoch empfehlenswert, wenn Sie das Objektmodell zum Anpassen von Rollendefinitionen und Berechtigungen verwenden, da eine unzulänglich konzipierte Rollendefinition sowie ungeeignete Rechtezuweisungen zu einer unerwünschten Benutzererfahrung führen können.

Weitere Informationen zu SharePoint Foundation-Rechten finden Sie unter SPBasePermissions.

Sicherheitsrichtlinie

Eine Sicherheitsrichtlinie ist ein Mittel, um einheitliche Sicherheitsvorgaben übergreifend für alle Websitesammlungen innerhalb einer Webanwendung (virtueller Server) durchzusetzen. Mithilfe einer Richtlinie können Sie eine Rolle oder eine Sammlung von Rechten zu einzelnen SharePoint Foundation-Benutzern und zu Domänengruppen, die die Windows-Authentifizierung oder austauschbare Authentifizierungssysteme verwenden, jedoch nicht zu SharePoint-Gruppen zuweisen. Mit jedem Richtlinieneintrag werden Rechte für einen Benutzer oder eine Gruppe in der Webanwendung angegeben.

Richtlinien werden auf der Ebene der logischen Webanwendung oder auf Zonenebene festgelegt. Für einen Benutzer können beispielsweise verschiedene Richtlinien für https://Server und http://Server.extranet.microsoft.com gelten, und zwar auch dann, wenn die beiden Webanwendungen den gleichen Inhalt aufweisen.

Rechte können mittels Richtlinien erteilt oder verweigert werden. Durch das Erteilen eines Rechts erhält der Benutzer oder die Gruppe dieses Recht für alle gesicherten Objekte innerhalb der Webanwendung, unabhängig von lokalen Berechtigungen für das Objekt. Das Verweigern eines Rechts hat Vorrang vor dem Erteilen des Rechts und blockiert dieses Recht aktiv für den Benutzer oder die Gruppe für alle gesicherten Objekte innerhalb der Webanwendung. Durch das Verweigern aller Rechte für einen Benutzer wird dieser Benutzer am Zugriff auf alle Inhalte gehindert, und zwar auch dann, wenn dem Benutzer explizit Berechtigungen für bestimmte Inhalte zugewiesen wurden: Richtlinien setzen Berechtigungen auf Websiteebene außer Kraft.

In Richtlinienrollen werden die Benutzer und Gruppen durch ihre Sicherheits-ID (SID) und ihren Anmelde- oder Benutzernamen identifiziert. Das Anwenden einer Richtlinienrolle ist der Verwaltung von Berechtigungen für eine Website, eine Liste, einen Ordner oder ein Dokument vergleichbar: Sie fügen Benutzer oder Gruppen hinzu und weisen sie einer oder mehreren Rollendefinitionen zu. Jede Webanwendung verfügt über ihre eigenen Richtlinienrollen. Ein weiterer Unterschied zwischen Richtlinienrollen und der Berechtigungsverwaltung ist, dass zentrale Administratoren einem Benutzer ein Recht für die gesamte Webanwendung verweigern können.