Bewährte Methoden für die Verwendung abgestimmter Berechtigungen in SharePoint Server

GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

Abgestimmte Berechtigungen können sich auf die Sicherheit in einer SharePoint-Farm auswirken. Bei Verwendung abgestimmter Berechtigungen können Leistungsprobleme auftreten. Die folgenden Informationen helfen Ihnen, Probleme zu beheben, die in einer Umgebung bei falscher Verwendung oder Skalierung abgestimmter Berechtigungen auftreten können.

Sie können abgestimmte Berechtigungen folgendermaßen vermeiden:

• Unterbrechen Sie die Berechtigungsvererbung möglichst selten.

• Verwenden Sie auf Ordnermitgliedschaft basierende Gruppen, um Berechtigungen zuzuweisen.

• Aufgrund einer Änderung an kontinuierlichen Durchforstungsfunktionen in der SharePoint Server-Suche, die nun Sicherheitsinformationen enthalten, empfehlen wir nicht mehr, die Verwendung von SharePoint-Gruppen zu vermeiden, um dynamische Benutzer- und Gruppenmitgliedschaften zu verwalten. Vor SharePoint Server konnte die Verwendung von dynamischen Mitgliedschaften in SharePoint-Gruppen dazu führen, dass Suchergebnisse allen Mitgliedern nach der Mitgliedschaftsänderung erst nach einer vollständigen Durchforstung korrekt angezeigt werden. Mit der kontinuierlichen Durchforstungsfunktion, die Sicherheitsinformationen enthält, wird eine dynamische Mitgliedschaft oder eine andere Sicherheitsänderung jetzt früher (Standardwert ist 15 Minuten) übernommen und von der Suchabfrageergebnis-Einschränkung verwendet.

• Weisen Sie Berechtigungen auf der höchstmöglichen Stufe zu. Sie können im Rahmen dieser Strategie die folgenden Techniken verwenden:

  • Legen Sie Dokumente, die abgestimmte Berechtigungen erfordern, in Dokumentbibliotheken ab, die so definiert sind, dass sie jede Berechtigungsgruppe unterstützen. Behalten Sie die Dokumentbibliotheken in einer eigenen Websitesammlung oder Website.

  • Verwenden Sie zur Zugriffssteuerung unterschiedliche Dokumentveröffentlichungsstufen. Bevor ein Dokument veröffentlicht wird, können die erweiterten Berechtigungen und Versionseinstellungen für Benutzer festgelegt werden, die Elemente in der Dokumentbibliothek nur genehmigen können.

  • Verwenden Sie für Nicht-Dokumentbibliotheken (Listen) die Berechtigungsstufen ReadSecurity und WriteSecurity. Wenn eine Liste erstellt wird, können die Besitzer die Berechtigungen auf Elementebene auf Lesezugriff oder Erstell- und Bearbeitungszugriff festlegen.

Bevor Sie beginnen:

Bevor Sie mit diesem Vorgang beginnen, sollten Sie die folgenden Informationen über die Voraussetzungen lesen:

• Fine-grained permission reference for SharePoint Server

• Behandeln von allgemeinen Problemen mit abgestimmten Berechtigungen für SharePoint Server

Bewährte Vorgehensweisen, um bei abgestimmten Berechtigungen allgemeine Probleme mit Begrenzungen zu vermeiden

Wenn aufgrund von Geschäftsanforderungen abgestimmte Berechtigungen verwendet werden müssen, berücksichtigen Sie die folgenden empfohlenen bewährten Vorgehensweisen:

• Stellen Sie sicher, dass in den Dokumentbibliotheken nicht zu viele Elemente auf derselben Hierarchieebene vorhanden sind, da die Zeit, die zum Verarbeiten von Elementen in den Ansichten erforderlich ist, zunimmt.

• Verwenden Sie Ereignishandler, um Bearbeitungsberechtigungen zu steuern. Sie können einen Ereignishandler verwenden, der ein Ereignis mithilfe der Methoden SPEventReceiverType.ItemUpdating und SPEventReceiverType.ItemUpdated registriert, und dann mithilfe von Code steuern, ob das Update erlaubt werden soll. Dies ist äußerst sinnvoll, da Sie Sicherheitsentscheidungen auf Basis jeglicher Metadaten einer Liste oder eines Elements treffen können, ohne dass die Leistung der Ansichtswiedergabe beeinträchtigt wird.

• Verwenden Sie die Methode AddToCurrentScopeOnly, um in einer SharePoint-Gruppe Mitgliedschaft mit eingeschränktem Zugriff zuzuweisen. Das wichtigste Element in diesem Prinzip besteht darin, die Architektur so umzugestalten, dass die Bereichsmitgliedschaft keine Neuberechnung Access Control Liste (ACL) in der übergeordneten Dokumentbibliothek und im Web verursacht. Zusätzliche Informationen zu Bereichsänderungen finden Sie unter "Problem 3: Verwenden abgestimmter Berechtigungen durch Bereichsstrukturänderungen (nur 2010)".

Bei der Arbeit mit differenzierten Berechtigungen ist es einfach, unbeabsichtigt Grenzwerte zu finden, die verhindern, dass Berechtigungen aufgelöst werden. In diesem Abschnitt werden einige dieser Begrenzungen zusammen mit bewährten Vorgehensweisen beschrieben, wie Sie diese so festlegen können, dass Berechtigungen korrekt aufgelöst werden.

Zu viele Bereiche in einer Liste

Es gibt einen integrierten Grenzwert von 50.000 Bereichen pro Liste oder Dokumentbibliothek. Sobald die Grenze von 50.000 Bereichen erreicht wurde, ist das Hinzufügen neuer Bereiche in einer bestimmten Liste oder Dokumentbibliothek untersagt.

Bewährte Vorgehensweisen:

• Legen Sie eindeutige Bereiche nur für übergeordnete Objekte wie Ordner fest.

• Erstellen Sie kein System mit vielen Objekten mit eindeutigen Berechtigungen unterhalb eines Objekts, das über viele Bereiche verfügt.

• Wenn Ihr Unternehmen in einer Liste oder Dokumentbibliothek mehr als 50.000 Elemente mit eindeutigen Berechtigungen benötigt, müssen Sie einige Elemente zu einer anderen Liste oder Dokumentbibliothek verschieben.

Ändern der integrierten Bereichsbegrenzung

Ändern Sie die integrierte Bereichsbegrenzung mithilfe eines Microsoft PowerShell-Skripts.

So ändern Sie die integrierte Bereichsbegrenzung mithilfe von Windows PowerShell

1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

• Feste Serverrolle securityadmin auf der SQL Server-Instanz.

• Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.

• Gruppe "Administratoren" auf dem Server, auf dem Sie die PowerShell-Cmdlets ausführen.

• Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

  Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server 2016-Cmdlets gewähren.

  Hinweis

  Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

2. Starten Sie die SharePoint Management Shell.

3. Geben Sie an der Microsoft PowerShell-Eingabeaufforderung den folgenden Befehl ein:

   $webapp = Get-SPWebApplication http://<serverName>
   $webapp.MaxUniquePermScopesPerList
   $webapp.MaxUniquePermScopesPerList = <Number of scope limit>
   

   Dabei gilt:

   • Dabei <ist serverName> der Name des Anwendungsservers in der SharePoint-Farm.

   • Dabei <ist Die Anzahl des Bereichslimits> die maximale Anzahl eindeutiger Berechtigungsbereiche, die Sie pro SharePoint-Liste zulassen möchten. Häufig ist die tatsächliche Grenze viel kleiner als 50.000, wenn auf der gleichen hierarchischen Ebene viele Bereiche existieren. Der Grund dafür ist, dass Anzeigeprüfungen für Elemente unter dieser hierarchischen Ebene mit allen darüberliegenden Bereichen durchgeführt werden. Diese Einschränkung kann dazu führen, dass die tatsächliche Anzahl von Bereichen, die in einer bestimmten Abfrage erlaubt sind, auf 1.000 bis 2.000 sinkt.

Hinweis

[!HINWEIS] Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.

Zu viele Mitglieder in einem Berechtigungsbereich

Wie zuvor beschrieben, wird eine binäre ACL berechnet, wenn sich die Mitgliedschaft des entsprechenden Berechtigungsbereichs ändert. Dazu zählt das Hinzufügen eines neuen Mitglieds mit eingeschränktem Zugriff. Mit der Anzahl der Bereichsmitglieder erhöht sich auch die zur Neuberechnung der binären ACL erforderliche Zeit.

Das Problem kann sich vergrößern, da das Hinzufügen von Benutzern zum eindeutigen Bereich eines untergeordneten Objekts dazu führt, dass die entsprechenden übergeordneten Bereiche mit den neuen Mitgliedern mit eingeschränktem Zugriff aktualisiert werden, auch wenn dies letztendlich nicht zu einer Änderung der übergeordneten Bereichsmitgliedschaft führt. Tritt dies auf, muss die binäre ACL für die übergeordneten Bereiche neu berechnet werden, was die Verarbeitungsdauer verlängert, auch wenn das Resultat letztendlich die gleiche ACL ist.

Bewährte Vorgehensweise:

Verlassen Sie sich auf die Gruppenmitgliedschaft anstelle der Mitgliedschaft einzelner Benutzer in Berechtigungsbereichen. Wenn beispielsweise eine einzelne Gruppe anstelle von 1.000 einzelnen Benutzern verwendet werden kann, ist der Bereich 999 Mitgliedschaftseinträge kleiner für den Berechtigungsbereich und alle übergeordneten Bereiche. Außerdem wird die einzelne Gruppe mit eingeschränkten Zugriffsrechten aktualisiert, anstatt jeden Benutzer mit eingeschränkten Zugriffsrechten zu aktualisieren. Dies trägt auch dazu bei, die Geschwindigkeit der Push- und ACL-Neuberechnung für die objekte des übergeordneten Bereichs zu erhöhen.

Wichtig

Wird eine SharePoint-Gruppe verwendet, wird eine vollständige Durchforstung des Index durchgeführt. Verwenden Sie nach Möglichkeit eine Domänengruppe.

Hierarchie mit sehr tiefem Bereich

Wie zuvor erwähnt, kann sich die Hierarchietiefe von Berechtigungsbereichen auf den Aufwand auswirken, der erforderlich ist, um Benutzer mit eingeschränkten Rechten zu übergeordneten Bereichen hinzuzufügen. Je größer die Anzahl eindeutiger Bereiche über einem Element, bis zu und einschließlich des Webs mit eindeutigen Berechtigungen, desto höher ist die Anzahl der erforderlichen Hinzufügungen. Wenn eine Bereichshierarchie sehr tief ist, kann eine Bereichsmitgliedschaftsänderung sehr lange dauern, da jede Mitgliedschaftsänderung im tiefsten Bereichselement übergeordnete Bereiche mit einer Mitgliedschaftshinzufügung für den explizit hinzugefügten Benutzer oder die explizit hinzugefügte Gruppe mit eingeschränkten Zugriffsrechten iterativ aktualisieren muss. Außerdem wird dadurch die Anzahl der binären ACLs erhöht, die neu berechnet werden müssen, was die Leistung entsprechend beeinträchtigt.

Bewährte Vorgehensweise:

Reduzieren Sie die Anzahl übergeordneter Objekte mit eindeutigen Berechtigungen. Dadurch wird die Anzahl der Bereiche reduziert, die bei Bereichsänderungen untergeordneter Objekte mit Mitgliedern mit eingeschränktem Zugriff aktualisiert werden müssen.