SharePoint-Gruppen vs. AD-Gruppen

Olaf Didszun Als Antwort am 3 Juni 2014 12:21

Hallo Kathrin,

bei dieser Frage hängt es u.a. von den Voraussetzungen ab, die in der jeweiligen Umgebung anzufinden sind. Meine Empfehlung sieht üblicherweise so aus:

Verwende Active Directory-Gruppen, die in SharePoint-Gruppen aufgenommen werden, um in SharePoint-Objekten Berechtigungen zu vergeben. Versuche dabei die Namen der Active Directory-Gruppen und die Namen der SharePoint-Gruppen identisch zu halten. Der Vorteil bei dieser Vorgehensweise liegt darin, dass ein Benutzer im Active Directory kopiert werden kann und damit alle vergebenen Berechtigungen "erbt". Außerdem lässt sich über das Active Directory sehr schnell ermitteln, zu welchen Gruppen ein Anwender gehört und welche Berechtigungen er hat.

Das setzt voraus, dass ein entsprechender Zugriff auf das Active Directory möglich ist, sodass die Gruppen und Gruppenmitgliedschaften entsprechende gepflegt werden können. Sollte es diese Möglichkeiten nicht geben, und das treffen wir meist in sehr großen Umgebungen an, wo halt nicht mal schnell eine Gruppe im Active Directory angelegt werden kann, dann gibt es keine andere Möglichkeit als die Anwender direkt über SharePoint-Gruppen zu berechtigen. Hier ergibt sich dann die Schwierigkeit, dass beim Kopieren eines Anwenders im Active Directory die Berechtigungen nicht mit übertragen werden können. Zudem wird es komplizierter und komplexer herauszufinden, welche Berechtigungen ein Anwender in der SharePoint-Umgebung hat.

Wie ihr jetzt in eurer Umgebung vorgeht, hängt, wie schon eingangs gesagt, von eurer Umgebung und den Möglichkeiten ab. Ggf. müssen auch einfach die Vor- und Nachteile gegeneinander abgewogen werden.

Beste Grüße

Olaf

Kathrin Als Antwort am 3 Juni 2014 15:23

Danke für eure Antworten!

Ich hätte eine Frage an Olaf. Wenn ich die AD-Gruppe verwende, warum soll ich dann in SharePoint eine identische Gruppe erstellen und die AD-Gruppe in die SP-Gruppe aufnehmen? Hat das einen bestimmten Grund/Vorteil? Ich könnte ja einfach die Berechtigung erteilen indem ich einfach nur die AD-Gruppe hinzufüge.

Viele Grüße Kathrin

Andi Fandrich Als Antwort am 3 Juni 2014 16:34

Ich antworte mal an Olafs Stelle ;-)

Das macht man deshalb, weil man am Besten immer nur Gruppen in SharePoint berechtigt und niemals einzelne Benutzer (oder AD-Gruppen). Ganz einfach weil dadurch spätere Änderungen möglich sind, die sonst u.U. nicht gehen. Das kann auftreten, wenn man für eine Website die Berechtigungsvererbung durchbricht und darin dann vielleicht nochmal für eine bestimmte Bibliothek. Wenn diese ganzen Einzelberechtigungen jetzt auf SharePoint-Gruppen bezogen sind, kann man später problemlos Mitglieder hinzufügen oder entfernen und sie bekommen automatisch auch an tieferen Stellen die gewünschten Rechte. Das geht mit Einzelberechtigungen auf Personen nicht.

Olaf Didszun Als Antwort am 3 Juni 2014 16:43

Ich melde mich dann auch noch mal ergänzend zu Wort :-)

Ich gehe deshalb so vor, weil ich bei AD-Gruppen in SharePoint-Gruppen in der Lage bin, durch das Hinzufügen eines dedizierten Benutzers zu der SharePoint-Gruppe einfache Tests zu den Berechtigungen durchzuführen. Ich muss dafür nicht zwingend Änderungen an den AD-Gruppen durchführen, sondern kann mich bequem nur in der SharePoint-Umgebung bewegen.

Beste Grüße

Olaf

Andi Fandrich Als Antwort am 3 Juni 2014 17:17

Hallo Olaf,

ich finde wir haben uns in diesem Thread wunderbar ergänzt ;-)

Olaf Didszun Als Antwort am 3 Juni 2014 22:46

Hallo Andi,

genau davon lebt eine Community, auch wenn es manchmal auch kontrovers zugehen muss ;-)

Beste Grüße

Olaf

Kathrin Als Antwort am 4 Juni 2014 08:41

Jetzt habe ich noch eine Frage.

Ich verstehe den Grund bzw. Vorteil. Aber ich hätte vermutlich vorher erwähnen sollen, dass wir extra für die Projekte, die in SharePoint abgewickelt werden AD-Gruppen angelegt werden. Dies machen wir, weil sich nicht alle Admins in SharePoint auskennen und trotzdem Berechtigungen vergeben sollen. Außerdem wollen wir dieselben AD-Gruppen für das File System verwenden.

Wenn wir jetzt in SharePoint auch noch Gruppen erstellen, würden die identisch heißen und in jeder SharePoint-Gruppe wäre jeweils nur eine AD-Gruppe drin. Macht das dann Sinn?

Andi Fandrich Als Antwort am 4 Juni 2014 09:10

[quote user="Kathrin"]Wenn wir jetzt in SharePoint auch noch Gruppen erstellen, würden die identisch heißen und in jeder SharePoint-Gruppe wäre jeweils nur eine AD-Gruppe drin. Macht das dann Sinn?[/quote]

Kurze Antwort: ja das hat Sinn

Kathrin Als Antwort am 4 Juni 2014 09:53

OK! Ich danke euch vielmals!

Andi Fandrich Als Antwort am 3 Juni 2014 12:27

Diese Fareg läßt sich einfach nicht generell beantworten. Es gibt zu viele Faktoren, die bei solchen Entscheidungen mitspielen.

Eine Frage ist z.B. wer pflegt die Gruppenmitglieschaften? SharePoint Site Owner jeweils für ihre Site? Oder IT-Mitarbeiter zentral im AD?

Eine andere Frage ist, ob es viele Sites gibt, die dieselben Gruppen verwenden sollen (evtl. mit unterschiedlichen Berechtigungen). Dann kann es sinnvoll sein, die Gruppen zentral im AD vorzuhalten und dann in den einzelnen Sites zu verwenden.

Eine weitere Frage ist, über welche Geräte die Benutzer auf SharePoint zugreifen. AD-Gruppenmitgliedschaften werden nämlich beim Anmelden auf dem Client aufgelöst, nicht beim Anmelden an SharePoint.

Und viele weitere...