Als IT- oder SharePoint-Administrator sind Sie für die Sicherheit Ihrer Serverfarm verantwortlich. Hierzu gehört auch die ordnungsgemäße Bereitstellung von Dienstkonten und Benutzern, die Zugriff auf SharePoint benötigen. In diesem Artikel erfahren Sie, wie Berechtigungen in SharePoint funktionieren. Es werden außerdem Best Practices vorgestellt, wie Sie diese Berechtigungen nutzen, um die Sicherheit von SharePoint zu maximieren und die Nutzung der Anwendung zu fördern.
Authentifizierung und Autorisierung in SharePoint
Die Zugriffssteuerung beinhaltet die Authentifizierung (Überprüfung der Identität des Benutzers) und die Autorisierung (Ermittlung der individuellen Zugriffsrechte des Benutzers). SharePoint führt die Autorisierung durch, nicht jedoch die Authentifizierung. Diese Aufgabe übernehmen die zugrunde liegenden Internetinformationsdienste (IIS) und Authentifizierungsanbieter.
Seit der Einführung von SharePoint 2010 wird standardmäßig die anspruchsbasierte Authentifizierung verwendet. Es gibt unterschiedliche Arten der anspruchsbasierten Authentifizierung; die Branchenstandards sind WS-Verbund, Security Assertion Markup Language (SAML) und OAuth. Microsoft hat jedoch ein Anspruchs-Modul in SharePoint integriert, den Sicherheitstokendienst (STS). Dieser unterstützt eine Vielzahl unterschiedlicher Authentifizierungsmethoden. SharePoint bietet beispielsweise integrierte Unterstützung für die standardmäßige Windows-Authentifizierung (NTLM, Standardauthentifizierung und Kerberos), die formularbasierte Authentifizierung (FBA) und SAML.
Entitäten, für die Berechtigungen erteilt werden können
Die Autorisierung in SharePoint wird durch Berechtigungen für die folgenden Entitäten gesteuert:
- Active Directory-Gruppen
- Rollen der formularbasierten Authentifizierung
- SAML-Attribute
- SharePoint-Gruppen
- Bestimmte Benutzer (nach Best Practices ist es nicht empfehlenswert, in SharePoint Berechtigungen auf Benutzerebene zu vergeben)
Objekte, für die Berechtigungen erteilt werden können
SharePoint unterstützt Berechtigungen für eine Vielzahl von Objekten:
- Farmen
- Dienstanwendungen
- Webanwendungen
- Websitesammlungen
- Websites
- Listen
- Bibliotheken
- Ordner
- Elemente
Für diese Objekte können Sie den oben aufgeführten Entitäten (z. B. SharePoint-Sicherheitsgruppen, Rollen, Attributen oder bestimmten Benutzern) Berechtigungen erteilen. (Wie bereits ausgeführt, empfiehlt es sich jedoch, Benutzerberechtigungen mithilfe von Sicherheitsgruppen oder Rollen zuzuweisen. Berechtigungen sollten nicht direkt zu einem Benutzerkonto hinzugefügt werden.)
Ob ein Benutzer auf ein Objekt zugreifen kann oder nicht, hängt davon ab, welche Berechtigungen ihm für das Objekt zugewiesen sind. Ein typischer SharePoint-Benutzer hätte beispielsweise keinen Zugriff auf Farm-, Dienstanwendungs- oder auch Webanwendungsebene. Vielmehr werden ihm über die entsprechenden SharePoint-Berechtigungsgruppen Berechtigungen für den Datenzugriff auf Ebene der Websitesammlung oder darunter erteilt.
Laut Best Practices sollten außerdem nach Möglichkeit keine Berechtigungen auf Ebene von SharePoint-Elementen erteilt werden, da dies die Verwaltung erschwert und Sicherheitslücken nach sich ziehen kann. Häufig lassen sich Elemente in SharePoint ganz einfach in Listen, Dokumentbibliotheken oder Ordnern gruppieren, denen die erforderlichen Berechtigungen zugewiesen werden. Mitunter sind jedoch Berechtigungen auf Elementebene erforderlich, um bestimmte Anforderungen zu erfüllen. Dies gilt insbesondere, wenn keine Drittanbieterlösung für die Verwaltung von Rechten vorhanden ist. Wenn geschäftliche Anforderungen nur durch die Vergabe benutzerdefinierter Berechtigungen auf Elementebene erfüllt werden können, sollten Administratoren diese auf bestimmte Speicherorte beschränken und einen strengen Workflow definieren. So kann dokumentiert und überprüft werden, wann und von wem Berechtigungen auf Elementebene erteilt oder geändert wurden.
Erteilen und Bearbeiten von SharePoint-Berechtigungen
Die Möglichkeit, Berechtigungen für SharePoint-Ressourcen zu verwalten, ist in erster Linie auf Mitglieder der Gruppen „Websitesammlungsadministratoren“ (die die Stammwebsite und deren Unterwebsites verwalten) und „Websitebesitzer“ (können bestimmte Unterwebsites verwalten) beschränkt. Jeder Benutzer kann jedoch die Berechtigungen für die Inhalte und Speicherorte bearbeiten, deren Besitzer er ist.
Um die Berechtigungen für eine Websitesammlung oder eine Website zu ändern, wählen Websitesammlungsadministratoren oder Websitebesitzer „Websiteeinstellungen“ und bearbeiten die SharePoint-Berechtigungen. Die Berechtigungen auf niedrigeren Ebenen, beispielsweise Berechtigungen für Dokumentbibliotheken oder Listen, können über die Seite „Einstellungen“ für diese sicherungsfähigen Objekte geändert werden.
Die verschiedenen Berechtigungsstufen und ihre Verwendung
Standardberechtigungsstufen
Mit Berechtigungsstufen steuert SharePoint den Zugriff auf Objekte. Es gibt zehn Standardberechtigungsstufen:
- Vollzugriff
- Mitwirken
- Lesen
- Entwerfen
- Bearbeiten
- Beschränkter Zugriff
- Genehmigen
- Hierarchie verwalten
- Eingeschränkter Lesezugriff
- Nur Anzeigen
Jede Berechtigungsstufe ist ein Container für individuelle Berechtigungen. Beispiele:
- Die Berechtigungsstufe „Lesen“ beinhaltet diese Berechtigungen: Öffnen, Anzeigen, Versionen, Seite, Anwendungsseiten anzeigen, Benutzerinformationen, Benachrichtigungen erstellen, Self-Service Site Creation, Remoteschnittstellen verwenden und Clientintegrationsfeatures verwenden.
- Die Berechtigungsstufe „Mitwirken“ umfasst alle Berechtigungen der Stufe „Lesen“ plus zusätzlich Anzeigen, Hinzufügen, Aktualisieren, Löschen, Versionen, Verzeichnisse durchsuchen, Benutzerinformationen bearbeiten, Persönliche Ansichten verwalten, Persönliche Webparts aktualisieren, Persönliche Webparts hinzufügen und entfernen.
- Die Berechtigung „Vollzugriff“ beinhaltet alle Unterberechtigungen für „Lesen“ und „Mitwirken“ sowie weitere Rechte.
Normalerweise erhalten Benutzer die Berechtigung „Mitwirken“ für den Zugriff auf private Websites, die sie aktiv nutzen, und die Berechtigung „Nur Anzeigen“ für alle weiteren Objekte.
Benutzerdefinierte Berechtigungsstufen
In SharePoint sind nicht alle Berechtigungsstufen vordefiniert, die ein Unternehmen möglicherweise benötigt. Sie können deshalb die Berechtigungsstufen anpassen und auch neue erstellen, indem Sie entweder eigene Definitionen verwenden oder eine vorhandene Berechtigungsstufe kopieren und Änderungen an den einzelnen Berechtigungen vornehmen. Mit maßgeschneiderten, granularen Berechtigungen können Sie besser steuern, welche Aktivitäten Ihre Benutzer ausführen können, und die Probleme und Risiken vermeiden, die durch die Vergabe direkter Berechtigungen an die Benutzer entstehen.
Anpassen bestehender Berechtigungsstufen
Wechseln Sie zur Seite „Websiteeinstellungen“ und klicken Sie auf „Websiteberechtigungen“ und dann auf das Menü „Berechtigungsstufen“. Um eine bestehende Berechtigungsstufe anzupassen, klicken Sie auf der Seite „Berechtigungsstufen“ auf den Namen der Stufe. Ändern Sie auf der Seite „Berechtigungsstufe bearbeiten“ die Beschreibung und fügen Sie die gewünschten Berechtigungen hinzu bzw. löschen Sie nicht benötigte Berechtigungen.
Erstellen neuer benutzerdefinierter Berechtigungsstufen
Um eine neue benutzerdefinierte Berechtigungsstufe zu erstellen, müssen Sie in SharePoint als Serverfarmadministrator, Websitesammlungsadministrator oder Websitebesitzer angemeldet sein. Wechseln Sie zur Seite „Websiteeinstellungen“ und klicken Sie auf „Websiteberechtigungen“. Klicken Sie anschließend auf die Option „Berechtigungsstufen“:
Geben Sie auf der Seite „Berechtigungsstufe hinzufügen“ einen Namen und eine Beschreibung für die neue Berechtigungsstufe ein. Aktivieren Sie anschließend die Kontrollkästchen neben den Listen-, Website- und persönlichen Berechtigungen, die die neue Berechtigungsstufe enthalten soll. Klicken Sie dann auf „Erstellen“.
Erstellen neuer benutzerdefinierter Berechtigungsstufen durch Kopieren
Um eine vorhandene Berechtigungsstufe zu kopieren, klicken Sie auf der Seite „Berechtigungsstufen“ auf die Stufe, die Sie kopieren möchten.
Klicken Sie anschließend auf die Schaltfläche „Berechtigungsstufe kopieren“, geben Sie einen Namen für die neue Berechtigungsstufe ein, nehmen Sie die gewünschten Änderungen vor und speichern Sie die Berechtigungsstufe.
Vererbung von Berechtigungen
Die Berechtigungseinstellungen eines Elements in einer Websitesammlung werden an die untergeordneten Elemente weitergegeben: Websites erben die Berechtigungen der Stammwebsite einer Websitesammlung, Bibliotheken erben die Berechtigungen der Website, zu der sie gehören, usw. Die Vererbung von Berechtigungen ermöglicht es, eine Berechtigung einmalig auf der höchsten Ebene zuzuweisen. Sie wird dann automatisch an die untergeordneten Ebenen weitergegeben.
Wie Sie sich sicher denken können, können mit diesem Modell nicht alle Sicherheitsanforderungen erfüllt werden. Beispielsweise könnten zwar mehrere Benutzer Zugriff auf eine bestimmte Dokumentbibliothek benötigen, jedoch sollten nicht alle diese Benutzer ein bestimmtes Dokument dieser Bibliothek lesen können. In ähnlichen Szenarien benötigen Sie:
- Unterwebsite-Berechtigungen, die sich von den Berechtigungen der übergeordneten Websitesammlung unterscheiden
- Berechtigungen für Listen oder Bibliotheken, die sich von den Berechtigungen der übergeordneten Website unterscheiden
- Ordnerberechtigungen, die sich von den Berechtigungen der übergeordneten Bibliothek unterscheiden
- Dateiberechtigungen, die sich von den Berechtigungen der übergeordneten Bibliothek bzw. des übergeordneten Ordners unterscheiden
Aufheben der Vererbung von Berechtigungen
Um diese Ziele zu erreichen, können Sie bislang lediglich die Vererbung von Berechtigungen für das gewünschte Element aufheben. Hierzu nehmen Sie die gewünschten Änderungen an den Berechtigungen vor und löschen alle Berechtigungen, die Sie nicht benötigen. Diese Strategie ist zwar effektiv, doch die Vergabe individueller Berechtigungen für einzelne Benutzerkonten erschwert die Verwaltung und kann zu Sicherheitslücken führen. Sie sollten deshalb die Vererbung von Berechtigungen nach Möglichkeit nicht aufheben.
Um die Vererbung für ein bestimmtes Objekt aufzuheben, wählen Sie das gewünschte Objekt aus, wählen „Berechtigungsvererbung beenden“ und entfernen Benutzer oder Benutzergruppen bzw. fügen diese hinzu.
Die korrekte Vergabe und effektive Verwaltung von SharePoint-Berechtigungen kann darüber entscheiden, ob sich Ihre Investition in Microsoft SharePoint lohnt oder nicht: Eine zu starke Beschränkung kann dazu führen, dass weniger Benutzer die Lösung verwenden, während ein uneingeschränkter Zugriff eine unübersichtliche Umgebung und Sicherheitsprobleme nach sich ziehen kann. Um das richtige Mittelmaß zu finden, müssen Sie Ihre SharePoint-Implementierung sorgfältig planen, regelmäßig überprüfen und kontinuierlich die Risiken bewerten. Nur so können Sie die Integrität und den praktischen Nutzen Ihrer SharePoint-Farm sicherstellen.