Berechtigungen für Websitesammlungsadministratoren einschränken

Andi Fandrich Als Antwort am 10 Mai 2011 11:57

Ein Websitesammlungsadmin darf per Definition immer alles und man kann ihm das auch nicht nehmen. Warum setzt Ihr in der HR-Websitesammlung nicht einfach jemanden aus dem HR-Team als Admin ein? IT-ler können dann für Supportzwecke Vollzugriff erhalten - außer eben auf diese Bibliothek.

Florian Willmes Als Antwort am 10 Mai 2011 12:38

Hallo Andi,

danke für deine Antwort. Richtig, das wäre die Konsequenz. Man müsste dafür jedoch eine separate Websitesammlung bereitstellen und es stellte sich mir die Frage, ob man dies umgehen könne, evtl. per IRM.

Eine kleine Sicherheitslücke würde allerdings doch auch bestehen, wenn eine sep. Websitesammlung verwendet würde. Denn in der Zentraladministration kann man ja die Websitesammlungsadministratoren setzen. Somit könnte sich die IT über die Zentraladministration Zugang verschaffen. Oder habe ich hier etwas übersehen und man kann dies unterbinden?

Andi Fandrich Als Antwort am 10 Mai 2011 12:54

[quote user="Florian Willmes"]Man müsste dafür jedoch eine separate Websitesammlung bereitstellen und es stellte sich mir die Frage, ob man dies umgehen könne, evtl. per IRM[/quote]

U.a. deshalb plant man so etwas vorher gut durch und merkt dabei frühzeitig, daß eine eigene Websitesammlung benötigt wird ;-)

Ich weiß, ich weiß, die Praxis... Ob das mit IRM geht, kann ich nicht sagen, könnte aber gut sein. Ist nicht so mein Thema.

Ich kenne Firmen, die für derartige Dinge Verschlüsselungssoftware einsetzen. Dabei werden Dateien vor dem Speichern auf dem Client verschlüsselt und nach dem Öffnen ebenfalls auf dem Client wieder entschlüsselt. In SharePoint ist dann nur eine verschlüsselte Datei, mit der niemand ohne die passende Software (und Key natürlich) etwas anfangen kann.

[quote user="Florian Willmes"]Denn in der Zentraladministration kann man ja die Websitesammlungsadministratoren setzen. Somit könnte sich die IT über die Zentraladministration Zugang verschaffen[/quote]

Das ist natürlich völlig richtig. Man kann Admins eben nie zuverlässig aussperren. Das gilt im Übrigen auch für andere Systeme...

C.Kaiser Als Antwort am 10 Mai 2011 12:56

Admins können immer alles, aber normalerweise sollten die entsprechende Dokumente zum Datenschutz etc unterschrieben haben. :-)

Irgendwer sollte immer Zugriff auf den Farmaccount haben und damit kann man dann eh überall dran.

Wenn man ganz böse ist, kann man auch über die Datenbank an die Daten kommen - 100% sicher gibt es nicht

Florian Willmes Als Antwort am 10 Mai 2011 13:33

Hallo zusammen,

Die Variante mit einer eigenständigen Websitesammlung würde ich demnach auch favorisieren.

Trotzdem würde mich noch interessieren, ob man mit einer IRM-Infrastruktur diese Anforderungen umsetzen kann. Durch die Verwendung von IRM werden die Dokumente verschlüsselt und bei Zugriff wieder entschlüsselt. Beim Entschlüsseln wird dabei geprüft, ob der Benutzer autorisiert ist und es wird eine Nutzungslizenz ausgestellt.
Bleibt die Frage offen, ob hierbei ebenfalls allgemein gilt: Websitessamlungsadministratoren dürfen alle Inhalte sehen, somit würde auch für Websitesammlungsadministratoren beim Zugriff eine Nutzungslizenz vom Server ausgestellt.

Hat hierzu evtl. noch jmd. mehr Informationen oder Erfahrungen?