logo

Überblick über SharePoint-Berechtigungen

Der Zweck von SharePoint-Berechtigungen

SharePoint-Berechtigungen steuern den Zugriff von Mitarbeitern, Partnern, Lieferanten und anderen auf Ihre SharePoint-Inhalte. Sie können festlegen, wer bestimmte Informationen abrufen kann und wer nicht. SharePoint-Bereitstellungen gelten nicht nur für Daten in Listen und Dokumentbibliotheken, sondern auch für Suchergebnisse und sogar für die Benutzeroberfläche. Wenn Sie beispielsweise keine Berechtigung für eine bestimmte Dokumentliste haben, werden in den Ergebnissen einer Suche keine Dokumente aus dieser Liste angezeigt. Mit diesem Berechtigungsmodell können Sie sensible Daten vor dem Zugriff von Personen schützen, die diese Daten nicht sehen oder weitergeben sollen.

Administrationsrollen in SharePoint

Das folgende Schaubild zeigt, welche Systemkomponenten mit den einzelnen Administrationsrollen in SharePoint verwaltet werden können:

SharePoint Permissions Explained Administration Roles

Im Folgenden finden Sie eine Beschreibung der SharePoint-Serverkomponenten und dazugehörigen Administrationsrollen:

Server- und Farm-Rollen

  • Windows-Administratoren: Bei der Installation von SharePoint auf einem Windows-Server wird die lokale Administratorgruppe auf diesem Server automatisch zur Gruppe der SharePoint-Farmadministratoren hinzugefügt. Diese lokalen Administratoren (Windows-Administratoren) haben dadurch uneingeschränkten Zugriff auf die SharePoint-Farm, d. h. sie können Anwendungen und Software installieren sowie IIS-Websites (Internetinformationsdienste) und Windows-Dienste verwalten. Standardmäßig haben sie jedoch keinen Zugriff auf Website-Inhalte.
  • Farmadministratoren: Mitglieder der Gruppe „Farmadministratoren“ haben uneingeschränkten Zugriff auf alle SharePoint-Farmen und können somit alle administrativen Aufgaben für die Serverfarm in der SharePoint-Zentraladministration ausführen. Sie können beispielsweise Administratoren für die Verwaltung von Dienstanwendungen, Features und Websitesammlungen festlegen. Diese Gruppe hat keinen Zugriff auf einzelne Websites, Websitesammlungen und deren Inhalte. Ein Farmadministrator kann jedoch ganz einfach den Besitz für eine Websitesammlung übernehmen und erhält auf diese Weise uneingeschränkten Zugriff auf deren Inhalte, indem er sich auf der Seite „Anwendungsverwaltung“ zur Administratorgruppe der Websitesammlung hinzufügt.

Rollen für gemeinsame Dienste

  • Dienstanwendungsadministratoren: Diese Administratoren werden vom Farmadministrator festgelegt. Sie können Einstellungen für eine bestimmte Dienstanwendung in einer Farm konfigurieren. Sie können jedoch keine Dienstanwendungen erstellen, auf andere Dienstanwendungen in der Farm zugreifen oder Vorgänge auf Farmebene (z. B. Topologieänderungen) ausführen. So kann der Dienstanwendungsadministrator für eine Suchanwendung in einer Farm ausschließlich die Einstellungen für diese Anwendung konfigurieren.
  • Featureadministratoren: Ein Featureadministrator ist bestimmten Features einer Dienstanwendung zugeordnet. Diese Administratoren können einzelne Einstellungen einer Dienstanwendung verwalten, jedoch nicht die gesamte Dienstanwendung. Ein Featureadministrator kann beispielsweise das Feature „Benutzergruppen“ der Benutzerprofildienst-Anwendung verwalten.

Webanwendungs-Rollen

Auf der Webanwendungsebene gibt es keine spezifische Administratorgruppe. Farmadministratoren können jedoch die Webanwendungen in ihrem Bereich kontrollieren. Mitglieder der Gruppe „Farmadministratoren“ und Mitglieder der Gruppe „Administratoren“ auf dem lokalen Server können eine Richtlinie definieren, um einzelnen Benutzern Berechtigungen auf Webanwendungsebene zu erteilen. Es sind folgende Richtlinien verfügbar:

  • Anonyme Richtlinien – definieren die Zugriffsbeschränkungen für Benutzer, die nicht in der Domäne autorisiert sind. Es gibt die Optionen „keine Richtlinie“, „Schreibzugriff verweigern“ und „Jeglichen Zugriff verweigern“.
  • Berechtigungsrichtlinien – definieren eine Gruppe von Berechtigungen, die Benutzern oder SharePoint-Gruppen für Websites, Bibliotheken, Listen, Ordner, Elemente, Dokumente oder sonstige Objekte erteilt werden können. Sie können die standardmäßigen Berechtigungsrichtlinien verwenden oder eigene erstellen.
  • Benutzerrichtlinien – allgemeine Berechtigungen, die auf eine Webanwendung angewendet und an alle Websitesammlungen vererbt werden. Mit einer Benutzerrichtlinie können Sie einem Benutzer oder einer Active Directory-Gruppe eigene Berechtigungen für eine bestimmte Webanwendung und alle darin enthaltenen Websitesammlungen erteilen.
  • Benutzerberechtigungen – definieren die erweiterten Berechtigungen, mit denen Websitesammlungs-Administratoren eigene Berechtigungen für eine bestimmte Webanwendung erteilen können. (Mir ist nicht ganz klar, warum Microsoft dies nicht ebenfalls als „Richtlinie“ bezeichnet, da die Funktionsweise einer Richtlinie entspricht.)

Auf diese Richtlinien werden ich später im Zusammenhang mit der Vererbung von Berechtigungen noch näher eingehen.

Websitesammlungs-Rollen

  • Websitesammlungs-Administratoren: Diese Administratoren haben uneingeschränkten Zugriff auf alle Websites in einer Websitesammlung. Dieser Vollzugriff gilt auch für alle Website-Inhalte in dieser Sammlung, selbst wenn sie keine ausdrückliche Berechtigung für den Zugriff auf diese Website haben. Sie können alle Inhalte der Website überprüfen und Verwaltungsnachrichten erhalten. Bei der Erstellung einer Websitesammlung kann ein primärer und ein sekundärer Websitesammlungs-Administrator festgelegt werden.
  • Websitebesitzer: Standardmäßig haben die Mitglieder der Gruppe „Besitzer“ für eine Website uneingeschränkten Zugriff auf diese Website. Sie können administrative Aufgaben für die Website und für darin enthaltene Listen oder Bibliotheken ausführen. Sie erhalten E-Mail-Benachrichtigungen zu Ereignissen, beispielsweise zur bevorstehenden automatischen Löschung von inaktiven Websites und Anfragen für den Zugriff auf die Website.

SharePoint-Berechtigungen: Standardtypen

SharePoint definiert standardmäßig folgende Arten von Benutzerberechtigungen:

  • Vollzugriff: Der Benutzer kann Website-Einstellungen verwalten, Unterwebsites erstellen und Benutzer zu Gruppen hinzufügen.
  • Entwurf: Der Benutzer kann Genehmigungen und Anpassungen anzeigen, hinzufügen, aktualisieren und löschen sowie neue Dokumentbibliotheken und Listen auf der Website erstellen und bearbeiten, jedoch nicht die Einstellungen für die gesamte Website verwalten.
  • Mitwirken: Der Benutzer kann Listenelemente und Dokumente anzeigen, hinzufügen, aktualisieren und löschen. Hierbei handelt es sich um die Rechte, die gewöhnlichen SharePoint-Benutzern am häufigsten erteilt werden, um ihnen die Verwaltung von Dokumenten und Informationen auf einer Website zu ermöglichen.
  • Lesen: Der Benutzer kann Listenelemente, Seiten und heruntergeladene Dokumente anzeigen.
  • Bearbeiten: Der Benutzer kann Listen, Listenelemente und Mitwirkungsberechtigungen verwalten.
  • Nur anzeigen: Der Benutzer kann Seiten, Listenelemente und Dokumente anzeigen. Dokumente können nur im Browser angezeigt und nicht von einem SharePoint-Server auf einen lokalen Computer heruntergeladen werden.
  • Beschränkter Zugriff: Der Benutzer kann auf freigegebene Ressourcen und bestimmte Objekte zugreifen. Die Berechtigung „Beschränkter Zugriff“ kann mit abgestimmten (nicht vererbten, eigenen) Berechtigungen kombiniert werden, um Benutzern Zugriff auf eine bestimmte Liste, Dokumentbibliothek, einen bestimmten Ordner, ein bestimmtes Listenelement oder Dokument zu ermöglichen, ohne ihnen Zugriff auf die gesamte Website zu gewähren. Die Berechtigung „Beschränkter Zugriff“ kann nicht bearbeitet oder gelöscht werden.

SharePoint-Gruppen

Es gibt zwei Möglichkeiten, einer SharePoint-Website mithilfe von Gruppen Berechtigungen zuzuweisen: zum einen durch Hinzufügen eines Benutzers zu einer SharePoint-Gruppe, zum anderen indem einer Active Directory-Sicherheitsgruppe Direktzugriff auf die Website gewährt oder sie einer SharePoint-Gruppe zugewiesen wird, die über Berechtigungen für die Website verfügt.

Mit SharePoint-Gruppen können Sie mehrere Benutzer gemeinsam verwalten. Einer Gruppe können einzelne in SharePoint erstellte Benutzer sowie Benutzer oder Gruppen aus einem Identitätsmanagement- oder Domänendienste-System wie Active Directory-Domänendiensten, LDAPv3-basierten Verzeichnissen, anwendungsspezifischen Datenbanken und Identitätsmodellen wie Windows Live ID angehören.

Benutzerdefinierte SharePoint-Gruppen haben keine besonderen Zugriffsrechte für die Website. Sie können Ihre Benutzer in beliebig vielen Gruppen organisieren, je nachdem, wie groß und komplex Ihr Unternehmen oder Ihre Website ist. Zu beachten ist, dass SharePoint-Gruppen nicht geschachtelt werden können.

Es gibt jedoch auch vordefinierte SharePoint-Gruppen, deren Mitgliedern bestimmte Zugriffsberechtigungen erteilt sind. Manche vordefinierten Gruppen hängen von der verwendeten Websitevorlage ab. Im Folgenden sind die vordefinierten Gruppen für eine Teamwebsite und ihre Standardberechtigungen für die SharePoint-Website aufgeführt:

  • Besucher – Leseberechtigungen
  • Mitglieder – Bearbeitungsberechtigungen
  • Besitzer – Vollzugriffsberechtigungen
  • Anzeigende – Nur Anzeigeberechtigungen

Und dies sind die vordefinierten Gruppen für die Veröffentlichungssitevorlage und ihre Standardberechtigungen:

  • Personen mit eingeschränkten Leserechten – können Seite und Dokumente, jedoch keine historischen Versionen oder Informationen zu Berechtigungen anzeigen.
  • Formatressourcenleser – verfügen über Leseberechtigungen für den Gestaltungsvorlagenkatalog und eingeschränkte Leserechte für die Formatbibliothek. Alle authentifizierten Benutzer sind standardmäßig Mitglied dieser Gruppe.
  • Designer – können das Layout von Website-Seiten mit einem Browser oder SharePoint Designer anzeigen, hinzufügen, aktualisieren, löschen, genehmigen und anpassen.
  • Genehmigende Personen – können Seiten, Listenelemente und Dokumente bearbeiten und genehmigen.
  • Hierarchie-Manager – können Websites, Listen, Listenelemente und Dokumente erstellen.

Beachten Sie bitte, dass all diese Gruppen und die ihnen zugewiesenen Berechtigungen geändert werden können.

Hierzu empfiehlt es sich, normale Benutzer, die Informationen lediglich lesen müssen, zur Gruppe „Besucher“ hinzuzufügen, und Benutzer, die Dokumente erstellen oder bearbeiten müssen, zur Gruppe „Mitglieder“. Benutzer der Gruppe „Mitglieder“ können Elemente oder Dokumente hinzufügen, ändern oder löschen, jedoch die Struktur, Einstellungen oder das Erscheinungsbild der Website nicht ändern. Entsprechend können Benutzer der Gruppe „Besucher“ Seiten, Dokumente und Elemente anzeigen, jedoch nicht hinzufügen oder löschen.

Erteilen von Berechtigungen für Objekte

Berechtigungen können für verschiedene SharePoint-Elemente erteilt werden:

  • SharePoint-Farm – Administratorrechte
  • Webanwendung – Anonyme Richtlinie, Benutzerrichtlinie und Benutzerberechtigungen
  • Gemeinsame Dienste – Administratorrechte für Dienstanwendungen und Features
  • Websitesammlung – Administratorrechte für Websitesammlungen
  • Unterwebsite – Berechtigungen
  • Dokumentbibliothek oder Liste – Freigabeberechtigungen
  • Ordner in der Dokumentbibliothek oder Liste – Freigabeberechtigungen
  • Separate Datei – Freigabeberechtigungen

Best Practices für das Erteilen von Berechtigungen

Sie können die Zugriffsrechte auf verschiedenen Ebenen steuern. Bei Bedarf können Sie beim Festlegen der Berechtigungen auf den untergeordneten Hierarchieebenen Ausnahmen (eigene Berechtigungen) definieren oder auch die Vererbung von Berechtigungen unterbinden. Beispielsweise können Sie eigene Berechtigungen für eine bestimmte Dokumentbibliothek erstellen, damit die Berechtigungen nicht von der übergeordneten Ebene vererbt werden.

Als Best Practice hat sich bewährt, die allgemeine Berechtigungsstruktur möglichst genau festzulegen und die Zahl der Ausnahmen auf ein Minimum zu beschränken. Je mehr eigene Berechtigungen Sie auf den unterschiedlichen Ebenen erteilen, desto schwieriger werden die Überwachung und Kontrolle von Zugriffsrechten. Denken Sie daran, dass es auch Tools von Drittanbietern gibt, die das Überprüfen und Überwachen von Berechtigungen vereinfachen. Mit Netwrix Auditor for SharePoint können Sie beispielsweise einen Bericht zu den aktuellen und zu historischen SharePoint-Berechtigungen erstellen und sich über Änderungen an den Berechtigungen benachrichtigen lassen.

Vererbung von Berechtigungen

Unterwebsites, Bibliotheken und Listen erben standardmäßig die Berechtigungen der Website, auf der sie erstellt wurden (der übergeordneten Website). Zudem sind auf der Webanwendungsebene Richtlinien definiert, wie ich bereits weiter oben ausgeführt habe. Alle Websitesammlungen erben die Berechtigungen der Benutzerrichtlinie und anonymen Richtlinie der Webanwendung, die den Zugriff auf Benutzerkonten gewährt oder verweigert. Webanwendungen erben auch Benutzerberechtigungen, die definieren, welche Berechtigungsstufen für die Erstellung eigener Berechtigungen für Websitesammlungen verwendet werden können. Auf Webanwendungsebene gibt es ebenfalls eine Berechtigungsrichtlinie, die die allgemeinen Berechtigungsarten für die Benutzerrichtlinie definiert.

Wenn Sie die Vererbung von Berechtigungen unterbinden, können für die Unterwebsite, Dokumentbibliothek, Website oder Datei eigene Berechtigungen festgelegt werden. Es stehen jedoch, wie bereits erwähnt, nur die mit den Benutzerberechtigungen der Webanwendung definierten Berechtigungsstufen zur Verfügung.

Es gibt daher zwei Arten von Vererbung, die mit auf Webanwendungsebene konfigurierten Richtlinien verknüpft sind:

  1. die Benutzerrichtlinie, die an alle untergeordneten Websitesammlungen vererbt wird
  2. Benutzerberechtigungen, die an alle erweiterten Berechtigungen von Websitesammlungen vererbt werden; diese Vererbung kann auf untergeordneten Ebenen nicht unterbunden werden.

Änderungen an Berechtigungen auf der übergeordneten Website (Liste der Elemente, Dokumentbibliothek) wirken sich nicht auf untergeordnete Elemente mit eigenen Berechtigungen aus. Bei Konflikten mit übergeordneten Berechtigungen haben eigene Berechtigungen stets Vorrang.

Best Practices für das Vererben von Berechtigungen

Berechtigungen lassen sich wesentlich einfacher verwalten, wenn es eine klare Hierarchie von Berechtigungen gibt, die von der übergeordneten Ebene vererbt wurden. Schwieriger wird es, wenn auf manche Listen auf einer Website genau abgestufte (eigene) Berechtigungen angewendet werden und es auf einigen Websites auch Unterwebsites mit eigenen und andere mit vererbten Berechtigungen gibt. Als Best Practice empfiehlt es sich daher, Websites und Unterwebsites, Listen und Bibliotheken nach Möglichkeit so zu gestalten, dass sie die meisten Berechtigungen von der übergeordneten Ebene erben können.

Sie sehen hier eine vereinfachte Darstellung einer komplexen SharePoint-Berechtigungsstruktur:

SharePoint Permissions Explained SharePoint permission structure

Erweiterte Berechtigungen

Die standardmäßigen Gruppen und Berechtigungsstufen in SharePoint geben einen allgemeinen Rahmen für Berechtigungen vor, der für zahlreiche Organisationsarten hilfreich ist. Sie bilden jedoch unter Umständen weder die Organisation der Benutzer noch die vielen unterschiedlichen Aufgaben präzise ab, die sie auf Ihren Websites ausführen. Wenn die standardmäßigen Berechtigungsstufen für Ihre Organisation nicht geeignet sind, können Sie benutzerdefinierte Gruppen erstellen, die auf bestimmten Berechtigungsstufen vorgegebenen Berechtigungen ändern oder benutzerdefinierte Berechtigungsstufen definieren.

Websiteberechtigungen in SharePoint

Diese Berechtigungen wirken sich auf Website- und persönliche Einstellungen, die Weboberfläche sowie die Konfiguration von Zugriffsrechten und Websites aus:

  • Berechtigungen verwalten: Erstellen und Ändern von Berechtigungsstufen auf einer Unterwebsite und Erteilen von Berechtigungen für Benutzer und Gruppen
  • Web Analytics-Daten anzeigen: Anzeigen von Berichten zur Nutzung der Website
  • Unterwebsites erstellen: Erstellen von Unterwebsites wie Teamwebsites, Veröffentlichungssites und Newsfeed-Websites
  • Website verwalten: Ausführen der Aktionen zur Administration und Verwaltung von Inhalten für die Website
  • Seiten hinzufügen und anpassen: Hinzufügen, Ändern und Löschen von HTML-Seiten
  • Designs und Rahmen anwenden: Anwenden eines Designs oder Rahmens auf die Website
  • Stylesheets anwenden: Anwenden eines Stylesheets (CSS-Datei) auf die Website
  • Gruppen erstellen: Erstellen einer Benutzergruppe, die innerhalb der Websitesammlung verwendet werden kann
  • Verzeichnisse durchsuchen: Auflisten der Dateien und Ordner einer Website mit SharePoint
  • Self-Service Site Creation verwenden: Erstellen einer Website mit der Funktion „Self-Service Site Creation“
  • Seiten anzeigen: Anzeigen der Seiten auf einer Website
  • Berechtigungen auflisten: Auflisten der Berechtigungen für eine Website, eine Liste, einen Ordner, ein Dokument oder ein Listenelement
  • Benutzerinformationen durchsuchen: Anzeigen von Informationen zu Benutzern einer Website
  • Benachrichtigungen verwalten: Verwalten der Benachrichtigungen für alle Benutzer der Website
  • Remoteschnittstellen verwenden: Verwenden von SOAP-, Web DAV-, Clientobjektmodell- oder SharePoint Designer-Schnittstellen für den Zugriff auf die Website
  • Clientintegrationsfeatures verwenden: Verwenden von Funktionen, mit denen Clientanwendungen auf der Website gestartet werden (Benutzer ohne diese Berechtigung müssen Dokumente auf ihr lokales System herunterladen, dort bearbeiten und die überarbeiteten Dokumente wieder hochladen)
  • Öffnen: Öffnen einer Website, einer Liste oder eines Ordners und Zugriff auf die darin enthaltenen Elemente
  • Persönliche Benutzerinformationen bearbeiten: Ändern der eigenen Benutzerinformationen, beispielsweise Aktualisieren einer Telefonnummer oder einer Position oder Hinzufügen eines Bilds

Listenberechtigungen in SharePoint

Diese Berechtigungen wirken sich auf die Verwaltung von Listen, Ordnern und Dokumenten sowie die Anzeige von Elementen und Anwendungsseiten aus:

  • Listen verwalten: Erstellen und Löschen von Listen, Listenspalten und öffentlichen Ansichten einer Liste
  • Listenverhalten außer Kraft setzen: Verwerfen oder Einchecken eines Dokuments, das von einem anderen Benutzer ausgecheckt wurde
  • Elemente hinzufügen: Hinzufügen von Elementen zu Listen und von Dokumenten zu Dokumentbibliotheken
  • Elemente bearbeiten: Bearbeiten von Elementen in Listen und von Dokumenten in Dokumentbibliotheken sowie Anpassen von Webpartseiten in Dokumentbibliotheken
  • Elemente löschen: Löschen von Elementen aus Listen und von Dokumenten aus Dokumentbibliotheken
  • Elemente anzeigen: Anzeigen von Elementen in Listen und von Dokumenten in Dokumentbibliotheken
  • Elemente genehmigen: Genehmigen oder Ablehnen einer neuen Version einer Liste, eines Elements oder eines Dokuments
  • Elemente öffnen: Öffnen von Dokumenten mit serverseitigen Dateihandlern (die Dokumente werden nicht auf den lokalen Computer heruntergeladen)
  • Versionen anzeigen: Anzeigen früherer Versionen eines Listenelements oder Dokuments
  • Versionen löschen: Löschen früherer Versionen eines Listenelements oder Dokuments
  • Benachrichtigungen erstellen: Erstellen von Benachrichtigungen zur Überwachung von Änderungen an Listen, Bibliotheken, Ordnern, Dateien oder Listenelementen
  • Anwendungsseiten anzeigen: Anzeigen von Formularen, Ansichten und Anwendungsseiten

Persönliche Berechtigungen in SharePoint

Diese Berechtigungen wirken sich auf die Konfiguration und Verwaltung persönlicher Seiten aus:

  • Persönliche Ansichten verwalten: Erstellen, Ändern und Löschen persönlicher Listenansichten
  • Persönliche Webparts hinzufügen/entfernen: Hinzufügen oder Entfernen von persönlichen Webparts
  • Persönliche Webparts aktualisieren: Hinzufügen oder Bearbeiten personalisierter Informationen in persönlichen Webparts
Office 365 Administrator’s Guide