SharePoint-Schwabe - Thomas Maier

Grundlagen SharePoint-Berechtigungen: Überblick über Einsatzzweck, Möglichkeiten und Beschränkungen

Thomas Maier

Berechtigungsstufen in SharePoint

Berechtigungen in SharePoint – Grundlagen von Thomas Maier

 

Zum Thema Berechtigungs-Management in SharePoint haben wir inzwischen in sechs Beiträgen wichtige Grundlagen und Lösungen beschrieben. Dieser Artikel soll noch einmal aus der Vogelperspektive das Konzept erklären, um zu vermitteln, warum die Benutzerverwaltung einerseits einfach ist, sich dann aber doch schnell komplex bis verwirrend gestalten kann, wenn man dabei nicht planvoll vorgeht.

Betrachtet man SharePoint zunächst einmal von außen, sieht man üblicherweise eine Site oder Websitesammlung, die Listen und Bibliotheken enthält, vielleicht auch noch eine Sub-Site. Steht diese Struktur einmal, sollte auch gleich ein Administrator angelegt werden, idealerweise zwei, um bei einem Ausfall eine Vertretung zu haben. (Sprungmarke Video 00:50)

Einfache Vergabe dank Vererbung, aber…

Im zweiten Schritt trägt man für eine Websitesammlung jene Benutzer oder Gruppen ein, die über Zugriff verfügen sollen. Eigentlich wäre die Festlegung der berechtigten Personen damit schon erledigt. Denn SharePoint arbeitet mit Berechtigungsvererbung, und reicht somit die Rechte von oben nach unten in alle Verzweigungen weiter. Legt man also oben in der Websitesammlung eine Berechtigung fest, wird diese nach unten bis in alle Bibliotheken und Elemente übertragen.

…mit Berechtigungsausnahmen wird es kompliziert

Kompliziert wird das Ganze aber, sobald Ausnahmen für bestimmte Elemente gelten sollen. Sollen beispielsweise bestimmte Personen nur die oberste Ebene der Websitesammlung sehen können, andere aber auch Zugriff auf die Bibliothek erhalten, dann müssen sie vom Zugriff abgeschnitten – die Berechtigung also “unterbrochen” – werden. Das ist schnell passiert, doch hat das Folgen, und so gelten auch derartige Berechtigungs-Unterbrechungen als eine der größeren Problemverursacher in SharePoint. Sobald nämlich eine Berechtigung unterbrochen wurde, entsteht zusätzlicher Verwaltungsaufwand.

Unterbrechung bedeutet individuelle Verwaltung

Das zeigt folgendes Beispiel: Fügt man nach einer Unterbrechung oben in der Websitesammlung einen neuen Mitarbeiter hinzu, erscheint dieser nicht mehr automatisch in den darunterliegenden Bibliotheken. Der neue Mitarbeiter sieht dann nur noch links die Liste, rechts die Teamsite, jedoch nicht die Bibliothek. Um ihm auch darauf Zugriff zu gewähren, müsste das manuell nachgepflegt werden. Das heißt, ab sofort muss man sich bei jeder Änderung immer auch individuell um diese Bibliothek kümmern. Der Aufwand steigt folglich, je öfter man Berechtigungen unterbricht. Aus diesem Grund sollte man möglichst wenige Unterbrechungen vornehmen.

Die Erfahrung aus der Praxis zeigt: Berechtigungen generell nur auf Site-Ebene einstellen, nie in einer Bibliothek oder gar bei einzelnen Elementen.

Vier Berechtigungsstufen

Bei der Vergabe von Berechtigungen sind vier verschiedene Abstufungen möglich. Die kleinste Stufe des Zugriffs ist “Lesen“, bei der der Benutzer Seiten und Listen anzeigen und herunterladen kann. Lädt er diese auf seinen PC herunter, kann er die Inhalte auch abändern und auf seinem lokalen PC abspeichern, aber nicht mehr auf SharePoint hochladen. Die zweite Stufe ist „Mitwirken“. Hier darf der User nicht nur anzeigen und herunterladen,  sondern auch hochladen, aktualisieren und löschen. Mit der Stufe „Entwerfen“ kann er weitere Dinge genehmigen und anpassen, zum Beispiel in einer Liste Spalten hinzufügen. Mit dem „Vollzugriff“ lassen sich auch Apps und Funktionen in die Site hinzufügen. Der Websitesammlungs-Administrator wiederum hat Vollzugriff plus ein paar zusätzliche Rechte, die auch nicht begrenzt werden können. (Video 4:49)

Tipp: Berechtigungen über Gruppen vergeben

Generell ist es ratsam, die Benutzer in Berechtigungsgruppen zu organisieren. Dabei geht es vor allem darum, jederzeit im Blick zu haben, welche User über welche exakten Zugriffsrechte verfügen. SharePoint bietet nämlich keine Möglichkeit, anzuzeigen, wo ein individueller Nutzer überall berechtigt ist. Lediglich beim Löschen eines Benutzers über die Personenübersicht im Berechtigungscockpit ist sichergestellt, dass auch alle entsprechenden Berechtigungen gelöscht sind.

Eine SharePoint Gruppe kann auch leer angelegt werden, als Beispiel mit dem Namen „Team 123“. Hier fügt man dann alle gewünschten Teammitglieder ein. Anschließend gibt man die Unterbrechungsberechtigung nur für die Gruppe an. Somit muss man nur noch die Gruppe pflegen und muss nicht mehr direkt in SharePoint an den Unterbrechungen arbeiten. Noch eleganter geht das mit einer Active Directory Gruppe, die zum Beispiel ein Systemadministrator oder Active Directory Manager pflegt. Das hätten den Vorteil, dass sich sogar die Verwaltung weitgehend automatisieren lässt, indem Mitglieder einer bestimmten Abteilung automatisch als SharePoint-Mitglieder berechtigt sind.

Ansichten und Spalten nicht per Berechtigung steuerbar

Übrigens lassen sich Ansichten und Spalten nicht über Berechtigungen an und abschalten. Zwar kann man Ansichten und Spalten ausblenden, aber sie eignen sich nicht zur Berechtigungssteuerung. In diesem Fall sind sie lediglich versteckt, ein Benutzer kann sie aber trotzdem wieder aktivieren.

 

Microsoft erklärt auf den Support-Seiten die Berechtigungsvererbung – hier der Link dazu: https://support.office.com/de-de/article/Was-ist-Berechtigungsvererbung-06bb1ed1-d150-42f4-9600-fb261d4b590c

 

Auch von Microsoft gibt es zu dem Thema ein toll gemachtes Video:

Ähnliche Beiträge:

  1. Achtung Falle: SharePoint-Berechtigungen über das Menüband steuern
  2. Anleitung SharePoint-Berechtigungs-Cockpit: Alle Berechtigungen von einem Ort aus prüfen und bearbeiten
  3. Den Überblick behalten bei Vererbungs-Unterbrechungen: Automatisieren Sie die Überwachung mit der Protokollfunktion