SharePoint bietet die Möglichkeit, Benutzerzugriffe und Bearbeitungsrechte individuell zu definieren und einzuschränken. Häufig werden Berechtigungen in SharePoint nicht von IT’lern, sondern von den jeweiligen Abteilungsverantwortlichen (bzw. dem jeweiligen Site Owner) selbst verwaltet. Obwohl die Benutzerverwaltung auf den ersten Blick einfach erscheint, kann sie sich schnell zu einem komplexen Sachverhalt entwickeln.
Unternehmen scheitern häufig an der systematischen Verwaltung von Berechtigungen in SharePoint und verlieren so den Überblick, wer wo welche Berechtigungen besitzt.
Damit Sie Ihre Berechtigungen klar strukturieren können, wollen wir Ihnen mit diesem Blogbeitrag die Grundlagen eines Berechtigungskonzepts näherbringen und einige praktische Anwendungstipps geben.
Wenn Sie Hilfe bei SharePoint benötigen, beraten wir Sie gerne. Erfahren Sie mehr zu unserer SharePoint Beratung.
Bei der Vergabe von Berechtigungen ist es wichtig zu berücksichtigen, dass die Berechtigungen automatisch von oben nach unten vererbt werden, also beispielsweise von einer Site Collection auf eine untergeordnete Bibliothek, Liste oder Teamsite bis hin zur Ordner- und Dokumentenebene. Ein Benutzer hat also in der Regel dieselben Berechtigungen für ein Dokument (z.B. Schreibrechte), die für Ihn auf oberster Ebene definiert worden sind.
Häufig benötigt man aber speziell für untergeordnete Teamsites andere Berechtigungen, als für die übergeordnete Site Collection vergeben wurde. Um diese Ausnahmen zu ermöglichen, kann man die Berechtigungsvererbung unterbrechen. In nachfolgendem Bild ist die Teamsite in orange hervorgehoben:
Beim Brechen der Berechtigungen auf einer der möglichen Ebenen werden eigenständige Zugangsberechtigungen auf diese, wie auch auf untergeordnete Ebenen bis zur nächsten Unterbrechung eingeführt. In dem entsprechenden Ast können dann Änderungen vorgenommen werden, die nicht nach oben weitergetragen werden. Gleichzeitig erbt der Ast keine Änderungen mehr, die auf oberer Ebene stattfinden. Nachfolgende Sites/ Elemente erben nur noch von der getrennten Teamsite. Ein Anwender muss also gegebenenfalls für die übergeordnete Site Collection und nochmals extra für die getrennte Teamsite Berechtigungen setzen.
Verwalten von Berechtigungen
Nachdem wir nun bereits geklärt haben wie Berechtigungen vererbt werden, bleibt die Frage, wie man Berechtigungen vergibt und verwaltet. Die Vergabe der Berechtigungen erfolgt dabei stets auf Basis von Funktionalitäts- und Sicherheitsüberlegungen.
Berechtigungen können sowohl für einzelne Anwender direkt vergeben oder über SharePoint Gruppen verwaltet werden. Für eine einfache Pflege und Vergabe von Berechtigungen raten wir unseren Kunden immer, Berechtigungen ausschließlich über SharePoint Gruppen zu verwalten. Einzelpersonen sollten nicht gesetzt werden. Somit müssen Berechtigungen für jede Anwendergruppe nur einmal vergeben werden und nicht für jede Person einzeln.
Neue Mitarbeiter müssen so ausschließlich zu einer Gruppe hinzugefügt werden und erhalten automatisch die dafür definierten Berechtigungen. Zusätzlich bieten die Berechtigungsgruppen Transparenz und Übersichtlichkeit, bezüglich der Berechtigungen. Insbesondere bei wechselnden Verantwortlichkeiten ist dies ein großer Vorteil. Ein weiterer Pluspunkt ist, dass SharePoint Berechtigungsgruppen auch mit AD-Gruppen gefüllt werden können. Für die Gruppennamen sollte man im Vorfeld Namenskonventionen festlegen, beispielsweise eine Benennung gemäß der Site URLs.
Verwalten von Berechtigungsstufen
Bei der Berechtigung einer SharePoint Gruppe für ein Objekt, muss stets eine Berechtigungsstufe gewählt werden.
SharePoint bietet verschiedene Standardberechtigungsstufen an, die darüber entscheiden, ob ein Nutzer beispielsweise Dokumente bearbeiten darf oder nur über Leserechte verfügt. Die festgelegte Berechtigungsstufe gilt auch für alle der Website ungeordneten Objekte, das heißt sie wird weitervererbt.
Nachfolgend habe ich Ihnen die wichtigsten der Standardberechtigungsstufen mit ihrer Beschreibung aufgeführt:
Standardberechtigungsstufen
Alle diese Stufen, mit Ausnahme von „beschränkter Zugriff“ sowie „Vollzugriff“, sind individuell anpassbar.
Unser Tipp: Statt eine Berechtigungsstufe abzuändern, besser eine neue erstellen. Das geht ganz einfach mit Copy & Paste. Im Anschluss können Sie Ihre individuelle Änderung vornehmen, und diese am besten schon im Titel verdeutlichen, beispielsweise: Entwerfen ohne genehmigen. Diese Berechtigungsstufe kann dann immer wieder genutzt werden.
SharePoint arbeitet mit 33 vordefinierten Berechtigungen, die in den Standardstufen verwendet werden. Diese können Sie über die „Site Collections“ in den „Websiteeinstellungen“ unter „Berechtigungen“ aufrufen. Der Ersteller der Site ist meist der Site Collection Admin, dieser hat Vollzugriff auf alle Elemente unabhängig von allen Berechtigungen.
Unser Tipp: Definieren Sie zusätzlich eine Owner Gruppe, mit mindestens einer weiteren Person. Diese Gruppe hat ebenfalls Admin Rechte und kann so Benutzergruppen pflegen.
Für diesen Blog Artikel haben wir eine Bibliothek erstellt, deren Berechtigungen wir gesondert verwalten möchten. Dazu öffnen wir die Bibliothek und wählen im Reiter „Bibliothek“ die „Bibliothekseinstellungen“. Unter der Kategorie “Berechtigungen und Verwaltung“ wählen wir „Berechtigungen für diese Bibliothek“.
Nun erscheint die Nachricht, dass diese Bibliothek ihre Berechtigungen von einem übergeordneten Element (Projektgruppe 1) erbt. Außerdem sehen wir eine Liste mit allen Gruppen und ihren jeweiligen Berechtigungen, welche aktuell für die Bibliothek (und da die Berechtigungen aktuell noch vererbt werden, auch für den übergeordneten Objekttyp) gilt.
Vererbungen unterbrechen und Berechtigungen abändern
Möchten Sie die Berechtigungen abändern und die Vererbung unterbrechen, müssen Sie auf das Icon „Berechtigungsvererbung beenden“ klicken.
Zunächst erscheint eine Meldung, die darauf hinweist, dass man dabei ist, die Berechtigungsvererbung zu unterbrechen und somit Änderungen der übergeordneten Website keine Auswirkungen mehr haben. Bestätigt man diesen Hinweis mit „OK“, erscheint wieder die ursprüngliche Übersicht, diesmal allerdings mit dem Hinweis das die Bibliothek eigene Berechtigungen hat.
Die vor dem Brechen der Vererbung bestehenden Berechtigungen bleiben erhalten. Das heißt, Sie sehen nach wie vor dieselben Zugriffsrechte. Nun allerdings haben Sie die Möglichkeit, diese individuell zu bearbeiten:
Wählen Sie eine der Berechtigungsgruppen aus, wie hier beispielsweise die „Projektgruppe 1 Viewers“, können Sie die Berechtigungen im oberen Menüband anpassen („Edit User Permissions“) oder entziehen („Remove User Permissions“). Auch dann erhalten Sie noch einmal eine Meldung über die Auswirkungen, die Sie mit „OK“ bestätigen müssen.
Wie im obigen Beispiel, können Sie über die Bibliothekseinstellungen direkt auf die Berechtigungsvergabe zugreifen. Die Website „Berechtigungen“ können Sie über das Zahnrad unter „Websiteinstellungen“ aufrufen. Eine dritte Variante ist, den Reiter „Seite“ und dann die „Seitenberechtigungen“ über das Menüband zu öffnen.
Wichtig, so entzieht man ausschließlich die Berechtigungen für genau diese Seite. Befindet man sich gerade auf der Home Seite, kann man jemandem zum Beispiel die Zugriffsrechte für diese Home Seite entziehen. Alle anderen Seiten der zugehörigen Website Sammlung sind für den Anwender nach wie vor mit dem entsprechenden Link erreichbar.
Berechtigungsgruppen hinzufügen
Selbstverständlich können Sie auch neue Berechtigungsgruppen hinzufügen. Dafür dient der „Berechtigung erteilen“ Button. Bei Klick erscheint das folgende Pop-Up:
Hier wählt man die Personen(gruppe) aus, der man Berechtigungen erteilen möchte. Unter „Show Options“ kann man diese Berechtigungen festlegen. Zusätzlich kann man einen individuellen Benachrichtigungstext einfügen.
Nun bleibt die Frage, wie man Berechtigungen vergeben und anpassen kann, ohne dass Chaos entsteht.
Um es gleich vorwegzusagen, SharePoint bietet keine Gesamtübersicht darüber, welcher Mitarbeiter wo, welche Rechte hat. Eine Abfrage der Berechtigungen eines Anwenders ist beispielsweise für jede Site Collection einzeln möglich (s. Abschnitt Berechtigungen erteilen), jedoch kann dies schnell sehr zeitintensiv werden. Mit ein bisschen Planung und Dokumentation können Sie dennoch den Überblick behalten.
SharePoint Strukturen wachsen oft historisch und verlieren dabei häufig ihre Struktur. Optimal wäre hingegen, wenn man die Site Collections und ihre Inhalte berechtigungsgetrieben, physisch strukturiert. Das heißt die Ordnung erfolgt nicht primär nach Funktionen, sondern nach den Berechtigungen der zugreifenden Nutzer.
Berechtigungsgetriebene Struktur
Im Arbeitsalltag ist dies nicht immer so einfach. In der Regel wird zum Beispiel pro Projekt nur eine Projekt Seite angelegt, auf die das komplette Projektteam Zugriff hat. Innerhalb dieser Projekt Site sollte man die Inhalte dann aber berechtigungsgetrieben strukturieren. Das bedeutet, dass man zum Beispiel zusätzlich zur allgemeinen Bibliothek, eine zweite Bibliothek mit eingeschränktem Zugriff erstellt. Diese könnte zur Ablage von Vertragsunterlagen und Ähnlichem dienen. Für diese zweite Bibliothek wird die Vererbung der Zugriffsrechte dann gebrochen.
Alternativ können sie innerhalb einer Bibliothek auch zwei Ordner anlegen, und für einen der Ordner die Berechtigungen brechen. Um die Sicherheit bzw. die Zugriffsrechte zu gewährleisten, dürfen Dokumente dann ausschließlich unterhalb der Ordner angelegt werden.
Häufig vergessen Unternehmen Berechtigungen zu dokumentieren, oder diese auf dem neusten Stand zu halten. Das kann fatale Folgen haben, insbesondere wenn Mitarbeiterverantwortlichkeiten wechseln.
Die meisten Informationen werden standardmäßig ohnehin schon von SharePoint geliefert, sowie die Anzeige der Gruppen inklusiver ihrer Zugehörigkeit und Berechtigungsstufen. Ebenso können wir sehen wer, auf einer entsprechenden Seite oder für ein Element über welche Berechtigungen verfügt. Es fehlt ausschließlich die Information, wo die Vererbung von Berechtigungen unterbrochen wurde. Betrachten wir beispielsweise die Berechtigungen auf einer Site Collection, gelten diese für die untergeordneten Sites nur dann, wenn keinerlei Berechtigungen gebrochen wurden. Möchte man es ganz simpel halten, kopiert man den Link bei jeweiliger Unterbrechung in ein gesammeltes Dokument, um einen Überblick über die Seiten mit gebrochenen Berechtigungen zu behalten. Bei vielen Unterbrechungen und vielen Beteiligten wird dies jedoch schnell unübersichtlich.
Dokumentation der Berechtigungen mit einer Matrix Tabelle
Weitaus mehr Transparenz bietet Ihnen die Aufführung aller Site Collections in einer Matrix Tabelle mit den jeweiligen berechtigten Gruppen inklusive ihrer entsprechenden Berechtigungsstufe. Unterhalb jeder Site Collection werden dann nur die Inhalte aufgeführt, welche eine gebrochene Berechtigung aufweisen:
Unterbrechungsprotokoll mit Hilfe einer neuen Gruppe anlegen
Zusätzlich kann man die Unterbrechungen auch mit Hilfe einer neuen Gruppe dokumentieren. Diese neu erstellte Gruppe nennt man beispielsweise: Unterbrechungsprotokoll. Welche Berechtigungen oder Mitglieder diese Gruppe hat, ist zweitrangig. Wichtig ist nur, diese Gruppe bei jeder Unterbrechung miteinzubeziehen und ihr entsprechende Rechte zu gewähren. Möchte man dann einen Überblick über alle getätigten Unterbrechungen erhalten, öffnet man die Gruppenberechtigungen der neuen Gruppe Unterbrechungsprotokoll in Websiteeinstellungen, Benutzer und Gruppen. Dort erhält man eine Übersicht über alle Verwendungen der Gruppe, in unserem Fall bedeutet dies, eine Übersicht über alle Unterbrechungen. Hier wird allerdings nicht erkenntlich wie die Vererbung gebrochen wurde.
Unterbrechungsprotokoll mit Hilfe eines Drittanbieter-Tools
Natürlich besteht auch die Möglichkeit der Berichterstellung mit Hilfe diverser Drittanbieter-Tools, wie beispielsweise SPDockit oder Change Auditor for SharePoint. Wie immer muss hier der Kosten-Nutzen-Faktor genau analysiert werden.
Um mit Berechtigungen in SharePoint zu arbeiten, ist ein gewisses Verständnis der Struktur essenziell. Hat man die Struktur durchschaut und vergibt Berechtigungen durchdacht, bietet SharePoint gute Möglichkeiten, den Aktionsradius der Mitarbeiter abzustecken. Dabei reduziert die hierarchische Vererbung von Berechtigungen den Verwaltungsaufwand.
Der Knackpunkt liegt bei den „Ausnahmen“ und den damit verbundenen Unterbrechungen in der Vererbung von Berechtigungen. Dokumentiert man diese und geht methodisch vor, bleibt einem das Chaos erspart.
Gerne helfen wir Ihnen im Rahmen unserer Microsoft SharePoint Beratung bei Ihrem Berechtigungskonzept.
