Zuweisen oder Entfernen von Administratoren von Dienstanwendungen in SharePoint Server

GILT FÜR:  ja 2013  ja 2016  ja 2019  nein SharePoint in Microsoft 365

Ein Administrator einer SharePoint Serverdienstanwendung muss Mitglied der Gruppe Farmadministratoren sein, um dieser Dienstanwendung zusätzliche Administratoren zuzuordnen oder zu entfernen. Dienstanwendungsadministratoren erhalten sicherheitsbeschnittenen Zugriff auf die Website für die SharePoint-Zentraladministration und können Einstellungen im Zusammenhang mit der Dienstanwendung verwalten, müssen jedoch Mitglied der Gruppe Farmadministratoren sein, um andere Dienstanwendungsadministratoren hinzuzufügen und zu entfernen.

Hinweis

Mitglieder der Gruppe "Farmadministratoren" besitzen standardmäßig Berechtigungen zum Verwalten aller Dienstanwendungen.

Sie können Dienstanwendungsadministratoren mithilfe der die Website für die SharePoint-Zentraladministration oder mithilfe von Microsoft PowerShell zuweisen oder entfernen.

So weisen Sie Administratoren mithilfe der Zentraladministration einer Dienstanwendung zu oder entfernen sie daraus

  1. Stellen Sie sicher, dass das Benutzerkonto, mit dem dieses Verfahren ausgeführt wird, Mitglied der Gruppe Farmadministratoren ist.

  2. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

  3. Wählen Sie auf der Seite "Dienstanwendungen verwalten" die Zeile aus, welche die Dienstanwendung enthält, der Sie Administratoren hinzufügen möchten oder aus der Sie Administratoren entfernen möchten. Das Menüband wird aktiviert.

  4. Klicken Sie auf dem Menüband auf Administratoren.

  5. So fügen Sie einen Administrator hinzu:

    • Geben Sie im ersten Textfeld auf der Seite die Benutzerkonten oder -gruppen ein, die hinzugefügt werden sollen. Sie können auf das Symbol Personen klicken, um einen Namen zu überprüfen. Sie können auf das Symbol Adressbuch klicken, um nach hinzuzufügenden Benutzern zu suchen. Sie können im Textfeld mehrere Administratoren hinzufügen.
    • Klicken Sie nach dem Hinzufügen der Administratoren auf OK.
  6. So entfernen Sie einen Administrator:

    • Wählen Sie im zweiten Textfeld auf der Seite den Administrator aus, den Sie entfernen möchten. Beachten Sie, dass der Benutzer mit diesem Schritt nicht aus dem System entfernt wird; er werden lediglich die Administratorberechtigungen des Benutzers für die ausgewählte Dienstanwendung widerrufen.
    • Klicken Sie auf Entfernen.
    • Wenn Sie mit dem Entfernen von Administratoren fertig sind, klicken Sie auf OK.

So weisen Sie Administratoren zu einer Dienstanwendung mithilfe von PowerShell oder entfernen diese

  1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind:

    • Sie müssen Mitglied der festen Serverrolle securityadmin auf der SQL Server-Instanz sein.

    • Sie müssen Mitglied der festen Datenbankrolle db_owner in allen Datenbanken sein, die aktualisiert werden sollen.

    • Sie müssen Mitglied der Gruppe Administratoren auf dem Server sein, auf dem das PowerShell-Cmdlet ausgeführt wird.

    Hinweis

    Wenn diese Voraussetzungen nicht erfüllt sind, setzen Sie sich mit dem Setup-Administrator oder SQL Server-Administrator in Verbindung, damit Ihnen diese Berechtigungen erteilt werden.

    Zusätzliche Informationen über PowerShell-Berechtigungen finden Sie unter Berechtigungen und unter Add-SPShellAdmin

  2. Starten Sie die SharePoint-Verwaltungsshell.

  3. Um einen Forderungsprinzipal zu erstellen, geben Sie an der Eingabeaufforderung von PowerShell den folgenden Befehl ein:

    $principal = New-SPClaimsPrincipal "<contoso\jane>" -IdentityType WindowsSamAccountName
    
    

    Wobei contoso\jane für den Benutzernamen steht, für den Sie Administratorrechte zuweisen möchten. Der Benutzername sollte im Format jane@contoso.com oder contoso\jane eingegeben werden. Der neue Forderungsprinzipal wird in der Variable $principal gespeichert.

  4. Geben Sie zum Abrufen der Dienstanwendung den folgenden Befehl ein:

    $spapp = Get-SPServiceApplication -Name "<ServiceApplicationDisplayName>"
    

    Wobei ServiceApplicationDisplayName für den Anzeigenamen der Dienstanwendung steht. Die Identifikation der Dienstanwendung wird in der Variable $spapp gespeichert.

    Wichtig

    Der Anzeigename muss in Anführungszeichen gesetzt werden und mit dem Anzeigenamen der Dienstanwendung genau übereinstimmen. Dabei muss die Groß-/Kleinschreibung beachtet werden. Wenn Sie mehr als eine Dienstanwendung mit einem identischen Anzeigenamen besitzen (was nicht empfohlen wird), können Sie das Cmdlet Get-SPServiceApplication verwenden, um alle Dienstanwendungen anzuzeigen. Sie können die Dienstanwendung dann anhand ihrer GUID identifizieren. Weitere Informationen finden Sie unter Get-SPServiceApplication.

  5. Geben Sie den folgenden Befehl ein, um das Administratorsicherheitsobjekt für die Dienstanwendung abzurufen:

    $security = Get-SPServiceApplicationSecurity $spapp -Admin
    

    Das abgerufene Administratorsicherheitsobjekt wird in der Variable $security gespeichert.

    Achtung

    Es ist wichtig, das -Admin -Argument hinzuhängen, wenn Sie diesen Befehl verwenden.

  6. Um dem (in Schritt 8 dieses Verfahrens abgerufenen) Sicherheitsobjekt des Dienstanwendungsadministrators $security Administratorberechtigungen für den Benutzer zuzuweisen, der durch den neuen (in Schritt 6 dieses Verfahrens erstellten) Forderungsprinzipal $principal identifiziert wird, verwenden Sie - wie im folgenden Beispiel gezeigt - den entsprechenden Befehl:

    • Geben Sie den folgenden Befehl ein, um Administratorberechtigungen zuzuweisen:
    Grant-SPObjectSecurity $security $principal "Full Control"
    
    
    • Geben Sie den folgenden Befehl ein, um Administratorberechtigungen zu widerrufen:
    Revoke-SPObjectSecurity $security $principal
    
  7. Geben Sie den folgenden Befehl ein, um der Dienstanwendung das aktualisierte $security-Sicherheitsobjekt zuzuweisen:

    Set-SPServiceApplicationSecurity $spapp $security -Admin
    

    Achtung

    Es ist wichtig, das -Admin -Argument anzuhängen, wenn Sie diesen Befehl verwenden.

  8. Geben Sie den folgenden Befehl ein, um zu bestätigen, dass das Sicherheitsobjekt der Dienstanwendung korrekt aktualisiert wurde:

    (Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules
    
    

Beispiele

Im folgenden Beispiel wird der Dienstkontobenutzer "contoso\jane" dem Administratorsicherheitsobjekt für die Dienstanwendung "Contoso Visio Graphics" hinzugefügt.

$principal = New-SPClaimsPrincipal "contoso\jane" -IdentityType WindowsSamAccountName
$spapp = Get-SPServiceApplication -Name "Contoso Visio Graphics"
$security = Get-SPServiceApplicationSecurity $spapp -Admin
Grant-SPObjectSecurity $security $principal "Full Control"
Set-SPServiceApplicationSecurity $spapp $security -Admin
(Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules

Im folgenden Beispiel wird der Dienstkontobenutzer "contoso\jane" aus dem Administratorsicherheitsobjekt für die Dienstanwendung mit dem Namen "Contoso Visio Graphics" entfernt.

$principal = New-SPClaimsPrincipal "contoso\jane" -IdentityType WindowsSamAccountName
$spapp = Get-SPServiceApplication -Name "Contoso Visio Graphics"
$security = Get-SPServiceApplicationSecurity $spapp -Admin
Revoke-SPObjectSecurity $security $principal "Full Control"
Set-SPServiceApplicationSecurity $spapp $security -Admin
(Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules

Weitere Informationen finden Sie in den folgenden Microsoft PowerShell-Artikeln:

Hinweis

Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.