Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

SharePoint 2016-Administration Grundkurs

Web-Anwendung absichern

Testen Sie unsere 2016 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Ein Website-Besitzer hat bei der Verwaltung seiner Website weitreichende Freiheiten. Der Farm-Administrator kann jedoch auf Ebene der Web-Anwendung mithilfe von Richtlinien "das Schlimmste verhindern", also den Website-Besitzer in seiner Handlungsfreiheit einschränken. Erfahren Sie in diesem Video, welche Maßnahmen der Farm-Administrator ergreifen kann, um Sicherheit und Stabilität einer Web-Anwendung zu gewährleisten.

Transkript

Ein Websitebesitzer hat bei der Verwaltung seiner Website weitreichende Freiheiten. Der Farmadministrator kann aber auf Ebene der Webanwendung mit Richtlinien das Schlimmste verhindern, also den Websitebesitzer in seiner Handlungsfreiheit einschränken. Erfahren Sie in diesem Video, welche Maßnahmen der Farmadministrator ergreifen kann, um die Sicherheit und die Stabilität einer Webanwendung zu gewährleisten. Um Richtlinien und Regeln für eine Webanwendung vorzugeben, muss die SharePoint-Server- Zentraladministration gestartet werden. und die Seite zum Verwalten von Webanwendungen aufgerufen werden. Die findet sich im Abschnitt Anwendungsverwaltung mit dem Befehl Webanwendungen verwalten. Hier muss die gewünschte Webanwendung ausgewählt werden durch Anklicken mit der linken Maustaste, die Zeile wird dann blau hinterlegt und entsprechende Befehle öffnen sich oben im Menüband Webanwendungen. Zuerst gibt es eine Schutzmaßnahme, um Abfrageergebnisse einzuschränken. Das bedeutet, ein Owner könnte rein theoretisch Ansichten definieren, die Bibliotheken mit sehr vielen Dateien abfragen. Gesetzt den Fall, in einer Bibliothek werden 20, 30, 40 Tausend Dokumente abgelegt, ist es durchaus möglich, dass der Owner eine Ansicht definiert, die alle 20 Tausend Dokumente auf einer einzigen Seite anzeigen sollte. Das ist natürlich Unsinn und es besteht die Gefahr, dass mit dem häufigen Aufrufen solcher Ansichten die Performance des Servers in die Knie geht. Insoweit hat der Farmadministrator die Möglichkeit, auf Webanwendungsebene in den Allgemeinen Einstellungen eine Ressourcensteuerung zu implementieren. Er kann angeben, wie viele Elemente maximal pro View, pro Ansicht, angezeigt werden. Das bedeutet, dieser Schwellenwert 5000 heißt: Selbst wenn der Owner oder der Member eine Ansicht definiert, die 20, 30, 40 Tausend Objekte zurückgeben sollte, werden maximal 5000 ermittelt und angezeigt. Das ist einfach ein Selbstschutz, um der chronischen Überlastung des Servers durch unwissende Teamsite Owner vorzubeugen. Etwas verwirrend ist, dass es diesen Schwellenwert nochmal gibt für Auditoren und Administratoren, das heißt für Benutzer mit erhöhten Rechten. Hier werden aber 20000 Elemente angezeigt. Das kann dazu führen, dass ein Mitarbeiter mit Schreibberechtigung aber nicht Verwaltungsberechtigung, oder auch ein Visitor, ein Besucher mit Leserechten 5000 Elemente sieht und der Owner sieht 20000 und kann einen entsprechenden Fehler vielleicht nicht nachvollziehen. Eventuell ist es sinnvoll, diese beiden Werte anzugleichen. Und letztlich geht es darum, zu verhindern, dass in Bibliotheken mit sehr vielen Elementen unsinnige Ansichten gebaut werden, die über Gebühr Elemente zurückliefern. Die sogenannte Self-Service Site Creation ermöglicht es, anzugeben, ob Benutzer Websitesammlungen selbständig erstellen dürfen. Standardmäßig ist dieses Feature aus und nur der Farmadministrator kann Websitesammlungen anlegen. In bestimmten Webanwendungen ist es aber sinnvoll, dieses Feature anzuschalten, zum Beispiel bei OneDrive for Business, wo ja ein Programm im Hintergrund die Erstellung von Websitesammlungen übernimmt. Der Administrator muss das vorher einschalten, dass das überhaupt möglich ist. Es besteht auch die Möglichkeit, hier Seiten einzubauen, sodass ein automatischer Prozess gestartet werden kann für die Beantragung von Websites beziehungsweise zum Beispiel Teamsites. Die Liste der gesperrten Dateitypen ist in SharePoint 2016 drastisch reduziert. Es ist eigentlich ein Minimum, das hier angegeben wird. Grundsätzlich ist es so, dass Dateierweiterungen hier angegeben werden können, die dann blockiert werden. Aber es hat sich inzwischen durchaus bei den Usern herumgesprochen, dass man eine Datei auch zippen kann und ihr dann ein eigenes Suffix vergeben kann, sodass dieser Mechanismus nicht mehr greift. Die Benutzerberechtigungen ermöglichen es nun, zu steuern, welche Rechte von einem Websitebesitzer überhaupt erteilt werden können und welche Rechte gar nicht erst zur Verfügung stehen. Das heißt, wenn der Farmadministrator das Recht Elemente löschen erst gar nicht zur Verfügung stellt, besteht für niemanden mehr die Möglichkeit, in dieser Webanwendung, also über alle Websites und Websitesammlungen in dieser Webanwendung gibt es das Recht Elemente löschen nicht mehr. Kein Besitzer könnte andere Kollegen mit Löschrechten ausstatten. So kann man also generell bestimmte Rechte hier entziehen. Oft wird hier nach einer Möglichkeit gesucht, den SharePoint Designer zu deaktivieren. Diese Möglichkeit findet man aber unter Allgemeine Einstellungen. Da gibt es einen eigenen Abschnitt SharePoint Designer. Hier kann man SharePoint Designer generell erlauben oder verweigern. Das steht im Zusammenhang mit den Benutzerberechtigungen, wo man unten noch den Befehl Verzeichnisse durchsuchen beziehungsweise einen weiteren Befehl Remoteschnittstellen verwenden findet. Wenn dieser nicht zur Verfügung steht, kann auch kein SharePoint Designer verwendet werden. Die Berechtigungsrichtlinie ermöglicht es nun, eine Richtlinienstufe oder eine Zusammenstellung von Richtlinienstufen zu bauen, also einem Set von Rechten einen Namen zu geben. Man kann hier festlegen, was auf Websitesammlungsebene erlaubt sein soll. Man könnte also einen Websitesammlungsadministrator definieren. Man kann aber auch nur einen Websitesammlungsauditor definieren, der nur Leseberechtigungen bekommt; etwas weiter nach unten auch einzelne Rechte explizit erteilen oder explizit verweigern, also grundsätzlich ein Recht entziehen, sodass man oben eigentlich umfassende Rechte setzen kann, die man unten aber auf einzelner Ebene ausgrenzen könnte. Diese Richtliniestufen werden dann in der Benutzerrichtlinie, die auch per Befehl im Menüband oben aufzurufen ist, einem Benutzer oder einer Benutzergruppe zugewiesen. So hat zum Beispiel das Dienstkonto für die Dienstanwendungen, unter dem die Dienstanwendungen ausgeführt werden, die Berechtigungsstufe Alles lesen bekommen. Das heißt, konkret hat das Konto SPServiceApp nun also die Rechte, die sich aus der Berechtigungsrichtlinie Alles lesen ergeben. Komplette Leseberechtigungen für alles, auch für die Konfigurationsdaten. Aber nur einzelne Rechte, die sich aus diesen Haken ergeben. Das bedeutet auch, dass der Farmadministrator in der Webanwendungsverwaltung über die Benutzerrichtlinie beliebigen Konten fast alle Rechte vordefinieren kann, auch sich selbst unter Umständen. Gebräuchlich ist das einerseits natürlich für Dienstkonten, zum Beispiel auch für das Suchdienstkonto, für das Crawlkonto, das alle Inhalte lesen können muss. Es kann aber auch verwendet werden für Revisionszwecke, für Revisionen für Unternehmensprüfer, die eine Zeit lang Zugriff auf alles bekommen sollen. So kann man hier zentral, also per Richtlinie den Zugriff steuern und auch den Zugriff wieder entziehen. Über Benutzer hinzufügen muss man zuerst eine Zone wählen. Die Zonen werden definiert aus den URLs letztendlich. Und im nächsten Schritt kann man für einen Benutzer oder ein Benutzerkonto oder eine Benutzergruppe eine Berechtigungsstufe zuweisen und damit zum Beispiel dem Konto administrator Vollzugriff erteilen. Diese per Richtlinie gewährten Rechte können später auf Webanwendungsebene hier auch per Löschen wieder entfernt werden. Wichtig zu wissen ist, dass man Richtlinien im Nachgang bearbeiten kann und hier die Möglichkeit hat, dieses Konto als Systemkonto zu markieren. Das bedeutet, in diesem Fall würden die Websitebesitzer nicht mehr sehen können, dass dieses Konto Berechtigungen hat. Nur wenn ein Konto als System fungiert, ist es nach außen ausgeblendet. Sonst sieht der Besitzer einer Website in der Liste der Berechtigungen auch alle Konten, die hier eingetragen sind. Über Webpartsicherheit kann der Farmadministrator vorgeben, ob es möglich sein soll, mehrere Webparts miteinander zu verbinden und auf diese Art 1:x-Abfragen auf Seiten in SharePoint zu implementieren. Man könnte also hier eine übergeordnete und eine untergeordnete Liste mit zwei Webparts darstellen und dafür sorgen, wenn ein Bediener einen Kundennamen anklickt in einem Webpart, dass dann im anderen Webpart die zugehörigen Dokumente erscheinen, wenn die Struktur entsprechend aufgebaut ist. Wenn hier die Option Verhindert, dass Benutzer Verbindungen zwischen Webparts erstellen aktiviert ist, wäre das nicht möglich. Und natürlich wird der Leistungsbedarf damit eventuell drastisch reduziert. Grundsätzlich ist diese Option aber angeschaltet und es macht auch Sinn, die angeschaltet zu lassen. Der Farmadministrator hat also in der Webanwendungsverwaltung durchaus umfangreiche Möglichkeiten, dafür zu sorgen, dass die Websitebesitzer die Farm nicht ausbremsen durch unsinnige Ansichten, Stichwort Ressourcensteuerung, und keine groben Fehler beim Erteilen von Berechtigungen begehen können, indem er per Benutzerberechtigungen schon steuert, welche Rechte überhaupt gewährt werden können. Und über Richtlinien kann er vorgeben, welche Konten generell Zugriff auf die Webanwendung besitzen sollen oder nicht.

SharePoint 2016-Administration Grundkurs

Lernen Sie, worauf es bei der Planung, Einrichtung und Administration einer SharePoint-Farm auf Basis von SharePoint Server 2016 ankommt.

8 Std. 21 min (66 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:24.10.2016

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!