SharePoint 2016-Administration Grundkurs

Richtlinien auf Web-Anwendungsebene

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Der Farm-Administrator kann keine Berechtigungen im Detail vergeben, hat aber die Möglichkeit, Sicherheitsrichtlinien auf Ebene der Web-Anwendung vorzugeben. Dieses Video zeigt, welche Möglichkeiten sich daraus ergeben.

Transkript

Das SharePoint-Berechtigungskonzept sieht vor, dass die Besitzer einer Website selbstständig Berechtigungen erteilen und eigenverantwortlich handeln, um ihren Kolleginnen und Kollegen ausreichende Rechte für Schreiben oder Lesen zu gewähren. Nun möchte man aber auf Ebene des Unternehmens, ist gleich in diesem Fall der Farm Administration, bestimmte Richtlinien durchsetzen, die zwingend einzuhalten sind. So möchte man zum Beispiel verhindern, dass anonyme Benutzer, also Benutzer, die nicht angemeldet sind, wenn sie denn überhaupt Zugriff besitzen, auf keinen Fall Schreibrechte erlangen, auch nicht aufgrund eines Fehlers eines Kollegen und man möchte Unternehmensprüfer, Wirtschaftsprüfer mit einem Rutsch lesenden Zugriff auf sämtliche Inhalte geben können, ohne dass man die Websitebesitzer erst darum bitten muss und dergleichen mehr. Um das zu bewerkstelligen, hat der Farm Administrator durchaus einige Möglichkeiten, die in der SharePoint Server im Abschnitt Anwendungsverwaltung im Bereich Webanwendungen verwalten allesamt erreichbar sind. Richtlinien und Regeln können vom Farm-Administrator ausschließlich und nur auf gesamte Webanwendungen, also auf das jeweilige Gebäude, vorgegeben werden. Es ist nicht möglich, für den Farm-Administrator Websitesammlungen oder Websites zu beeinflussen, es sei denn, er wäre auch in der Rolle des Websitebesitzers. Wenn eine Webanwendung markiert wurde, steht im Menüband Webanwendungen zunächst im Abschnitt Sicherheit der Befehl Benutzerberechtigungen zur Verfügung und über diesen Befehl kann der Farm Administrator verhindern, dass der Websitebesitzer seinem Kollegen bestimmte Rechte generell überhaupt einräumt. So würde zum Beispiel, wenn man hier Elemente löschen deaktiviert, das Recht zum Löschen von Dokumenten in dieser gesamten Webanwendung generell außer Kraft gesetzt, das heißt, auch wenn Websitebesitzer jemanden das Recht zum Löschen erteilen würde, hätte er dieses Recht nicht. Damit können also bestimmte Grundregeln durchgesetzt werden und es kann verhindert werden, dass bestimmte Berechtigungen überhaupt erst gewährt werden. So könnte zum Beispiel über Verzeichnisse durchsuchen, Dateien und Ordner in einer Website auflisten, die SharePoint Designer Web DAV- Schnittstellen verwenden, wenn das deaktiviert wird in Verbindungen mit Remoteschnittstellen verwenden, dann wäre kein Zugriff über den SharePoint Designer möglich und auch die Windows Explorer Ansicht werde damit deaktiviert. So kann der Farm Administrator hier also durchaus schon einige Grundregeln durchsetzen. Im Menüband Webanwendungen finden sich außerdem drei Befehle zum Erstellen von Richtlinien. Begonnen ganz rechts mit der Berechtigungsrichtlinie besteht die Möglichkeit zunächst Richtlinienstufen zu definieren. Hier kann nun festgelegt werden, dass alle die dieser Richtlinienstufe zugeordnet wurden, das Recht des Websitesammlungsadministrators erlangen und damit also vollen Zugriff auf Websitesammlungen erhalten beziehungsweise das Recht Websitesammlungsauditor erhalten und damit Lesezugriff bekommen. Beides gemeinsam ist möglich, Auditor ohne Administrator geht logischerweise nicht. Im Weiteren kann der Farm Administrator in dieser Richtlinie zunächst festlegen, welche Rechte denn erteilt werden und welche Rechte verweigert werden. Man könnte hier oben beginnen und könnte sagen, grundsätzlich Alle Rechte verweigern und dann ganz explizit nur die elementbezogenen Rechte öffnen, damit würde dann hier das alles verweigern wieder verschwinden oder umgedreht, man konnte alle erteilen und dann nur Ausgewählte verweigern, letztendlich handelt es sich hier aber zunächst mal nur um die Definition von Rechten. Am Beispiel Alles Lesen kann man sehen, das Alles Lesen bedeutet, wer dieser Richtlinienstufe zugeordnet ist, ist Websitesammlungsauditor hat, also damit umfangreiche Leserrechte über alle Websitesammlungen und bestimmte Rechte werden ihm explizit gewährt, es werden ihm keine Rechte explizit verweigert. das bedeutet also, wenn ein Websitebesitzer nun dem gleichen Benutzer irgendwelche Rechte zusätzlich gewährt, zum Beispiel das Recht Personen zu löschen, dann wird das durch diese Richtlinie nicht verhindert. Wäre hier der Haken gesetzt bei Verweigern, dann könnte zwar der Websitebesitzer Personen, die dieser Richtlinie zugeordnet sind, auch das Recht Personen löschen erteilen, es würde aber durch die Richtlinie des Farm Administrators wieder außer Kraft gesetzt. So werden also Richtlinienstufen zunächst definiert, Zusammenstellungen aus einzelnen Systemrechten, die dann auf Ebene der Benutzerrichtlinie in der Webanwendungsverwaltung pro Webanwendung zugewiesen werden können, so kann man sehen, dass das Konto das für die Applicationpools der Dienstanwendungen verwendet wird, das Konto SPServiceApp, die Berechtigungsstufe Alles lesen erlangt. Das heißt auch dieses Konto ist in dieser Webanwendung auf jeden Fall Websitesammlungsauditor und besitzt damit die Rechte alle zugeordneten Websitesammlungen, alle Inhalte zu lesen. Das ist für ein Dienstkonto auch durchaus erforderlich. Mit Benutzerrichtlinien kann der Farm-Administrator also nun Konten oder Gruppen mit den vorher definierten Berechtigungsrichtlinien verbinden und damit also für diese Webanwendung bestimmte Unternehmensregeln durchdrücken. Der Websitebesitzer kann nicht verhindern, dass diese Regeln greifen. Er wird allerdings Konten sehen, die hier eingetragen sind, es sei denn diese Konten sind als Systemkonto markiert. Man kann hier, wenn man Konten auswählt oder wenn man Richtlinien auswählt und die Richtlinie bearbeitet, dann gibt es hier die Option Konto fungiert als System, dann würde dieses Konto nicht erst erscheinen. Ansonsten aber werden die Websitebesitzer sehen, dass dieses Konto Zugriff besitzt und können es allerdings nicht entfernen und das ist ja nur gut so und richtig so. Mit der Richtlinie für anonymen Zugriff wird gesteuert, welche Richtlinie für nicht angemeldete Benutzer greift, das bedeutet, es gibt die Möglichkeit, Portale auch für nicht angemeldete Benutzer Public zu veröffentlichen, also, so dass praktisch jeder Zugriff hat ohne dass er sich anmelden muss und da wird nun auf Ebene der Farm Administration festgelegt, welche Richtlinie denn greift, wenn denn überhaupt der anonyme Zugriff aktiviert ist, was hier nicht der Fall ist. Es kann also festgelegt werden, dass überhaupt gar kein Zugriff erfolgen darf, das bedeutet, dass kein anonymer Zugriff möglich ist oder dass keine Schreibzugriffe möglich sind oder dass keine Richtlinie zugewiesen ist. Damit kann der Farm Administrator mithilfe von Richtlinien durchaus den gröbsten Fehlern vorbeugen und verhindern, dass die Websitebesitzer leichtfertig mit Berechtigungen umgehen und möglicherweise Rechte erteilen, die im Unternehmen nicht erwünscht sind.

SharePoint 2016-Administration Grundkurs

Lernen Sie, worauf es bei der Planung, Einrichtung und Administration einer SharePoint-Farm auf Basis von SharePoint Server 2016 ankommt.

8 Std. 21 min (66 Videos)
Derzeit sind keine Feedbacks vorhanden...
Hersteller:
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:24.10.2016

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!