SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

Sponsored by

Willkommen im Forum Archiv.
Einträge sind hier nicht mehr möglich, aber der Bestand von 12 Jahren SharePoint-Wissen ist hier recherchierbar.


Sharepoint Berechtigungen

Geprüfte Antwort Dieser Beitrag hat 1 Antworten

Ohne Rang
186 Beiträge
Benjamin Aicheler erstellt 7 Jan 2021 14:50
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hallo Zusammen,

ich habe zwei Berechtigungsspezialfälle. Die Frage ist, lassen sich diese Fälle ohne neue Webapplication lösen?

 

Unser Sharepoint:

1 Webapplication, 1 Site Collection, viele Websites und Unterwebsites

Grundsätzlich haben die "authenticated users" bei uns weitgehend überall Lesen Berechtigung.

 

Fall 1: Benutzer X soll keinen Zugriff haben, außer auf Website Y

Lösungsversuch 1: Per User Policy auf Webapplication Ebene für Benutzer X Deny all alles verbieten und dann auf Website Y Berechtigung geben und per Hyperlink aufrufen. Geht nicht, die Policy hat wohl Vorrang vor den lokalen Website Berechtigungen.

Lösungsversuch 2: Eine neue Site Collection für Website Y. Benutzer A wird dann SiteCollection Administrator der neuen SiteCollection und per Webapplication Policy wird jeglicher Zugriff verboten. Das dürfte gehen, da in Fall 2 die SiteCollection Administration die Policy übersteuer. Geht aber nicht, Benutzer X soll nicht administrieren.

Lösungsversuch 3: Eigene Webapplication, ja würde gehen.

 

Fall 2: Benutzer A soll überall lesen, hinzufügen und bearbeiten können, außer auf Website B.

Lösungsversuch 1: Ebenfalls per Webapplication Policy, dabei kann aber wohl Website B nicht ausgenommen werden.

Lösungsversuch 2: Eine neue Site Collection für Website B. Benutzer A wird dann SiteCollection Administrator der bisherigen SiteCollection und per Webapplication Policy werden alle administrativen Tätigkeiten verboten. Geht leider nicht, Benutzer A darf trotzdem administrieren.

Lösungsversuch 3: Eigene Webapplication, ja würde gehen.

 

Vielen Dank

Benjamin

Alle Antworten

Ohne Rang
496 Beiträge
Derby Als Antwort am 2 Feb 2021 13:38
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

  • WebApp-Policies verwendet man Grundsätzlich nicht zum Berechtigen von "normalen" Usern.
    • Ausnahme sind die ServiceAccounts und bei Bedarf GF/Datenschützer/Anwaltsleute damit die Grundsätzlich alles sehen
  • WebApp-Policies überschreiben jedewede Berechtigung innerhalb von SiteCollections/Subsites

 

  • Grundsätzlich haben die "authenticated users" bei uns weitgehend überall Lesen Berechtigung.
    • Das funktioniert mit Deinen Beispielen nicht mehr
    • Wollt ihr die Berechtigungen wie im Beispiel müsst Ihr Euch davon verabschieden
    • Besser wäre hier mit AD-Gruppen zu arbeiten

 

  • Das Aufteilen in WebApps und dann Policies würde zwar funktionieren, ist aber eben nicht zu empfehlen
    • erhöhter Admin-Aufwand
    • neue urls nötig 
    • Berechtigungsvergabe teilweise in CA usw.  --> Finger weg!

 

Am sinnvollsten wäre Ihr prüft ob das "Zugriffsverbot" wirklich notwendig ist und wenn ja ändert den Lesezugriff von "all authenticated" in aufgeteilte AD-Gruppen. Das kann aber auch sehr aufwendig ausfallen.

Berechtigungskonzept im SharePoint war noch trivial :)