Es wurde schon oft diskutiert, wie gut die neue Funktion ist, um ein einzelnes Element oder einen Ordner mit der Funktion „Share“ zu teilen. Nun habe ich mir die Zeit genommen, um es einmal ausgiebiger zu beleuchten und zu dokumentieren.
Unter SharePoint 2010 war man stets bemüht Rechteunterbrechungen zu vermeiden. Man hat ein Rechtekonzept erstellt, jedoch immer wieder festgestellt, dass dies nicht ausreicht, sondern immer der Bedarf besteht, einzelne Elemente freizugeben. Jedoch wurde mit jeder expliziten Freigabe auch die Rechtevererbung aufgebrochen. Heißt auch, dass die ACL länger werden und somit zulasten der Ladezeiten führt. Außerdem wurde die Rechteverwaltung dadurch intransparent, es sei denn man setzt teure Tools von Drittanbietern ein.
In SharePoint 2013 war Microsoft nun clever und hat die Funktion „Share“ eingeführt. Das ermöglicht den Anwender mit wenigen Klicks ein Element für jemanden freizugeben, der auf dieser Website sonst keinen Zugriff hat. Ich denke jedoch, dass sich die wenigsten wirklich der Tragweite dieser Funktion bewusst sind. Es ist ja auch eine schöne Funktion – erst einmal…
Viele Leute sind der Meinung, dass dieses Recht additiv erstellt wird, und keine Auswirkungen auf die restliche Rechteverwaltung hat. Ich will es an dieser Stelle vorwegnehmen – es ist ein IRRTUM und die Nutzung der Funktion sollte gut durchdacht sein.
Folgendes Szenario:
Ein Anwender A soll auf ein Bild explizites Recht erhalten, jedoch auf keinen anderen Inhalt der Website. Danach soll ein Anwender B für die gesamte Website berechtigt werden.
Aber mehr dazu im Beispiel:
Wir haben eine Website „Dummy“ mit drei Elementen in der Bibliothek „Websiteobjekte“

Zu diesem Zeitpunkt hat der User noch keinen Zugriff auf die Site.

Wir wollen nun mit der Share/Freigeben Funktion erreichen, dass der Benutzer Steffen Fischer Zugriff auf das Element „SharePoint2013“ erhält. Dazu aktivieren wir das Element und laden den User über die Funktion „Share/Freigeben“ ein.

Im folgenden Dialog fügen wir den Benutzer ein und klicken auf „Share/Freigeben“

Der User erhält nun eine E-Mail mit der Einladung zu diesem Element

Klickt er auf den Link in der Mail erhält er expliziten Zugriff auf das Element

Sollte er nun versuchen die URL zur Website zu manipulieren, sieht er zwar die Seite und die Bibliothek, aber nur das eine Element.

Bis zu diesem Zeitpunkt ist alles sauber und aus Usersicht perfekt gelöst, und in der Rechte Verwaltung wird der User nun ausschließlich auf dem Objekt ausgewiesen und an keiner anderen Stelle.

Nun will es die tägliche Praxis, dass ein weiterer Benutzer der Website „Dummy“ hinzugefügt werden soll. Was macht der „normale“ User? Er verwendet die Funktion, die ihm am nächsten und plausibelsten erscheint. In diesem Fall geht er in die Websiteeinstellungen und wählt den Punkt „Websiteberechtigungen“ und landet auf folgender Seite.


Jetzt werden schon einige sagen, warum nicht auf „Freigeben für“ klicken. Weil der Mensch ein Gewohnheitstier ist. Aber auf diese Funktion gehe ich später ein.

Fügt er nun auf dieser Seite den User Michael Mustermann mit der Rolle „Bearbeiten“ hinzu, ergibt sich dadurch folgender Effekt.

Er hat Zugriff auf die gesamte Website, aber ihm fehlt das Objekt an dem die Rechte unterbrochen wurden.

Fügt man den User jedoch einer bestehenden SharePoint Gruppe hinzu, erhält er Zugriff auf alle Elemente, da beim Vererbung aufbrechen die Gruppen mit kopiert werden. Das kann sowohl mit dem Menüeintrag „Einstellungen/Freigeben für“ erfolgen

Oder über die Websiteeinstellungen / Benutzer und Gruppen

Erteilt man Rechte über bestehende Gruppen, werden auch wieder alle Inhalte sichtbar.

Diese Aussage ist natürlich auch wieder nur bedingt richtig. Denn wenn beim Aufbrechen der Vererbung die mit kopierten Gruppen anschließend manuell gelöscht werden, stimmt diese Aussage nicht mehr. Das passiert oft, wenn User mit zu wenig Hintergrundwissen zu viele Rechte haben.
FAZIT:
Jetzt werden einige sagen, was ist hieran neu?
Nicht wirklich viel. Bis auf die Erkenntnis, dass Microsoft mit der „Share“ Funktion etwas vorgaukelt, was meines Erachtens nicht ganz zu Ende gedacht wurde. Die Funktion hätte meine volle Zustimmung, wenn sich daraus eine additive Berechtigungsvergabe ergeben würde, ohne die bestehenden Rechte aufzubrechen.
Was bleibt, ist der zusätzliche System Overhead, da die ACLs an der Stelle größer werden und sich somit negativ auf die Ladezeiten der Site auswirken.
Was uns wieder dazu bringt:
· dass das Entscheidende an dieser Stelle ist ein sauberes Site- und Rechtekonzept!
· Möchte man das Aufbrechen der Rechte zulassen oder nicht?
· Welche Schulungen muss der User erhalten der Rechte unterbrechen darf?
· Ggf. sollte man überlegen, ob man die Funktion „Share“ deaktivieren soll
Es wird mit Sicherheit nicht DIE Antwort und Lösung geben und muss im Einzelfall betrachtet werden..
Steffen Fischer
Bereitgestellt
26 Jun 2013 15:40
von
Steffen Fischer