SharePoint Foundation - Listenverknüpfen & Berechtigungen

Andi Fandrich Als Antwort am 8 März 2013 08:34

1. Lege doch einfach beide Listen (Bewohner und Belege) in derselben Website an. Alles andere wird sehr umständlich und meiner Meinung nach ist das für dieses Problem unnötig. Du kannst trotzdem unterschiedliche Berechtigungen für die Listen vergeben.

2. Da stimmt etwas mit der Installation bzw. der AD-Anbindung nicht. Wenn man die User in der Zentraladministration findet, aber in einer Webanwendung nicht, tippe ich auf ein Berechtigungsproblem. Und es macht an dieser Stelle einen sehr großen Unterschied, ob Ihr SharePoint Foundation oder Server benutzt.

Japi936 Als Antwort am 11 März 2013 15:20

Danke für deine schnelle Rückmeldung wollte mich über´s Wochende nicht auch noch damit weiter beschäftigen, sodass ich heute morgen das ganze wieder in Angriff genommen habe.

Das Problem mit den Tabellen habe ich so gelöst, wie du es gesagt hast. Beide Tabellen zusammen auf eine Webseite, der jeweiligen Einrichtung und das funktioniert nun einwandfrei.

Das Berechtigungsproblem besteht aber noch. Wir nutzen, wie du im Thema lesen kannst SharePoint Foundation 2010 und haben dahinter ein AD. Ich habe folgende Webseiten im SharePoint angelegt:

- "Homepage" (auf diese soll jeder AD-Benutzer zugriff erhalten)
- "Überseite" darunter die drei Einrichtungen "Einrichtung A"; "Einrichtung B"; "Einrichtung C" (auf die Website "Überseite" sollen nur die Mitarbeiter zugriff, lesen etc. erhalten, welche auch in der Überseite arbeiten. Dann soll die Berechtigung zudem weiter aufgeteilt werden, dass Mitarbeiter A, welcher in Einrichtung A arbeitet, auch nur in seinem Bereich einsicht/arbeiten kann. Mitarbeiter B soll demnach nur in Einrichtung B einsicht/arbeiten können. Somit wäre jede "Einrichtung" für sich getrennt und keiner kann übergreifend arbeiten)

Dazu habe ich im AD folgende Gruppen angelegt:
"SharePoint_Mitarbeiter_Überseite"
"SharePoint_Mitarbeiter_Einrichtung_A"
"SharePoint_Mitarbeiter_Einrichtung_B"
"SharePoint_Mitarbeiter_Einrichtung_C"

Standard-AD-Gruppe für alle anderen Mitarbeiter, welche nur auf "Homepage" zugriff erhalten sollen:
"Domänen-Benutzer"

Zur Zeit habe ich unter:
Zentraladministration\Webandwendungen verwalten\SharePoint im Menübutton "Benutzerrichtlinie" die Gruppe "Domänen-Benutzer" mit den Berechtigungen "Alles lesen - Verfügt über vollständigen schreibgeschützten Zugriff." hinzugefügt. Jeder kann somit momentan alles einsehen und hat auch auf alles Zugriff.

Meine Idee war nun:
Domänen-Benutzer aus der Webanwendung zu entfernen und auf die Website "Hompage" Websiteaktionen\Websiteberechtigungen unter der Default Gruppe Besucher die "domänen-benutzer" hinzuzufügen. Leider kommt dann aber die Meldung "Es wurde keine exakte Übereinstimmung gefunden...." Füge ich einen einzelnen User hinzu, findet er diesen. Das Problem besteht bei jeglichen Gruppen.

Nachtrag: Das Problem besteht auch bei AD-Usern. Für mich nicht nachvollziehbar ist, dass mein AD-Account erkannt wird, der Account meines Kollegens auch, aber dritte im Bunde nicht. Unsere Testaccounts funktionieren ebenfalls, alle anderen AD-User nicht bzw. werden nicht erkannt.

Hoffe das ich mich halbwegs verständlich ausgedrückt habe, man mein Vorhaben verstehen kann und mir erneut eine super Lösung aufzeigen kann!

Dank und Gruß!

Japi936

Andi Fandrich Als Antwort am 11 März 2013 16:44

[quote user="Japi936"]Zentraladministration\Webandwendungen verwalten\SharePoint im Menübutton "Benutzerrichtlinie" die Gruppe "Domänen-Benutzer" mit den Berechtigungen "Alles lesen - Verfügt über vollständigen schreibgeschützten Zugriff." hinzugefügt[/quote]

Das solltest Du unbedingt rückgängig machen. Berechtigungen, die so erteilt wurden, machen das gesamte Berechtigungskonzept hinfällig, weil man derartig berechtigten Benutzern nicht auf Website-Ebene die Rechte nehmen kann. Das ist nur für Sonderfälle gedacht, wie z.B. einem Admin (oder einem neugierigen Chef) Zugriff auf alles zu erteilen. Oder auch um einem übereifrigen Kollegen Zugriff auf alles zu verwehren (hier können auch "negative Rechte" gesetzt werden.

Zu Deinem eigentlichen Problem habe ich ja oben bereits etwas geschrieben. Die Zentraladministration läuft unter einem anderen Konto wie die eigentlichen Webanwendungen. Offenbar hat nur dieses Konto Zugriff aufs AD, aber nicht das Konto, das für die Webanwendungen verwendet wurde. Prüfe das mal.

PS: noch eine Anmerkung zum geplanten Design. Ich würde wahrscheinlich für die drei Einrichtungen jeweils eine eigene Websitesammlung anlegen. Einfach um das noch besser trennen zu können. Man kann dann ganz gezielt Benutzern oder Gruppen ein Recht darauf geben und muß keine Angst haben, daß aus Versehen ein "Homepage-Mitarbeiter" Zugriff bekommt.

Japi936 Als Antwort am 12 März 2013 12:38

Hallo,

habe sharepoint nochmals komplett neu installiert auf einem neuen Server, nichts eingerichtet und versucht die Berechtigungen zu setzen. Es funktioniert - somit kann ich nun AD-User der Standardseite hinzufügen.

Eine Frage habe ich aber nun noch, wieso soll ich insg. 5 Websitesammlungen anlegen?
( Homepage; Übersichtsseite; Einrichtung A; Einrichtung B; Einrichtung C )

In meinem Aufbau hatte ich nur die Standardhomepage als eine Websitesammlung und eine weitere für die "Übersichtsseite" angelegt - somit 2. Unter der Übersichtsseite dann eben weitere Webseiten (Einrichtung A, B...) hinzugefügt über "Websiteaktionen -> neue Website". Die Berechtigungen setze ich doch auf den jeweiligen Webseiten und nicht auf den Websitesammlungen. Frage ist nur zum Verständnis - wo ist der Unterschied?

Danke!

Andi Fandrich Als Antwort am 12 März 2013 13:20

Ob es die Übersicht als eigene Website(sammlung) braucht, kann ich nicht beurteilen. Ich bin nur von Homepage und den dreien für die Einrichtungen ausgegangen.

Die Einrichtungswebsites hätte ich wahrscheinlich als eigene Websitesammlungen angelegt, was aber nicht heißt, daß man es nicht auch mit Unterwebsites realisieren kann. Letztlich hängt es davon ab, wie sicher das Ganze sein soll oder sein muß.

SharePoint-Gruppen und deren Mitglieder gelten immer für eine ganze Websitesammlung. Man kann also nicht für eine Unterwebsite einzelne Mitglieder einer Gruppe entfernen. Dadurch kann es geschehen, daß Du aus Versehen jemandem Zugriff auf eine Einrichtung gewährst, der dort nichts verloren hat.

Edit: es gibt natürlich noch weitere Gründe, die für oder auch gegen einzelne Websitesammlungen sprechen (z.B. Datenvolumen, Backups, ...). Das kann man aber nicht mehr alles in einem Forenbeitrag abhandeln...

Japi936 Als Antwort am 14 März 2013 10:37

Danke! Hab´s nun endlich... steht alles soweit und funtioniert.

Wenn man weiß wie, ist die Lösung recht einfach gewesen - nach x Versuchen ... sobald man die Standard Webanwendung, die automatisch durch die Installation angelegt wird löscht und anschließend eine selbst definierte anlegt, diese wie in meinem Fall sehr wahrscheinlich falsch konfiguriert, kann SharePoint in den Websites nicht mehr auf´s AD zugreifen - probieren geht über studieren.

Danke und Gruß!

Andi Fandrich Als Antwort am 14 März 2013 10:59

[quote user="Japi936"]sobald man die Standard Webanwendung, die automatisch durch die Installation angelegt wird löscht und anschließend eine selbst definierte anlegt, kann SharePoint in den Websites nicht mehr auf´s AD zugreifen [/quote]

Das ist Quatsch. Die manuell angelegte Webanwendung war da einfach nur falsch konfiguriert.