SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

Sponsored by

Willkommen im Forum Archiv.
Einträge sind hier nicht mehr möglich, aber der Bestand von 12 Jahren SharePoint-Wissen ist hier recherchierbar.




Berechtigung via AD-Gruppen versus Zugriff beantragen für einzelne Benutzer

Geprüfte Antwort Dieser Beitrag hat 4 Antworten

Ohne Rang
63 Beiträge
Pfefferminzprinz erstellt 1 Nov. 2010 11:05
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

hallo,

ich möchte einen Sharepoint Foundation 2010 Express neu aufsetzen und überlege gerade die Berechtigung anhand von AD-Benutzergruppen zu setzen. Neben anderen Fragen fällt mir gerade ein das man, wenn man keinen Zugriff auf den Sharepoint hat doch die Möglichkeit hat "Zugriff beantragen" zu klicken und der Admin bekommt dann eine E-Mail "wollen Sie den Zugriff freigeben... " o.ä. Das kollidiert doch dann mit den AD-Gruppen und ich hätte einen Mischmasch aus AD-Gruppen und einzeln via Sharepoint direkt freigegebenen Benutzer oder?

Wie ist allgemein die Empfehlung bzw. die Erfahrung bezüglich der Rechtevergabe? Macht es Sinn es auf AD-Gruppen zu machen? Ich könnte mir auch vorstellen das ich wenn ich eine Liste benötige welche Benutzer auf welche Seite Zugriff haben mit Sharepoint besser Reporten kann wenn es per Sharepoint auf einzelne Benutzer freigegeben wurde.... Ansonsten müsste ich übers AD reporten wer in den einzelnen Gruppen ist....

Landing-Page auf authentifizierte Benutzer der AD stellen könnte ich mir noch vorstellen dass mir das Arbeit abnimmt, aber dann die Abteilungs- und Tätigkeits-spezifischen Unterseiten per Sharepointrechten auf einzelne Benutzer setzen macht mehr Sinn oder?

Alle Antworten

Ohne Rang
634 Beiträge
Olaf Didszun Als Antwort am 1 Nov. 2010 12:21
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Wenn Du die Vergabe der Berechtigungen regeln willst, dann solltest Du Dir zuerst eine Frage stellen: Wer soll die Berechtigungen pflegen?

Ist es ein Benutzer mit schreibendem Zugriff auf das Active Directory, dann ist die Verwendung von AD-Gruppen eine gute Idee. Ist es ein "normaler" Benutzer, dann macht die Vergabe der Berechtigungen direkt in SharePoint mehr Sinn, vor allem dann, wenn verschiedene Benutzer in der verschiedenen Sites die Berechtigungen pflegen sollen. Die meisten Admins wollen nicht, dass irgendein Benutzer im Active Directory herumwerkelt, auch wenn das mit Delegierungen recht gut konfiguriert werden kann.

Die Vergabe der Berechtigungen über AD-Gruppen macht in der Praxis aus einem einfachen Grund Sinn: es ist sehr einfach möglich, bei der Neuanlage eines Benutzers exakt die gleichen Berechtigungen zu vergeben, wie sie auch ein anderer Benutzer hat. Der Benutzer muss einfach nur kopiert werden. Sind die Berechtigungen in SharePoint auf Benutzerebene vergeben, dann wird dass recht aufwändig. Auch der Überblick, welche Berechtiungen ein Benutzer hat ist über das Active Directory recht einfach möglich, ich muss nur schauen, in welchen Gruppen er enthalten ist (eine vernünftige Benennung der Gruppen wird dabei vorausgesetzt).

Wenn Du verhindern willst, dass Benutzer den Zugriff beantragen können (Request access), dann kannst Du das über Websiteaktionen > Websiteberechtigungen, und dann "Zugriffsanforderungen verwalten" im Ribbon steuern. Aber daran denken, hierbei handelt es sich um eine Einstellung in der Site und nicht in der Site-Collection. Sie muss also ggf. in jeder Site gemacht werden.

Grüße

Olaf

 

Ohne Rang
63 Beiträge
Pfefferminzprinz Als Antwort am 1 Nov. 2010 19:46
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

hallo,

vielen Dank für die Infos, das habe ich noch nicht so bewusst erkannt, dass das eine der Admin macht und das andere der berechtigte User kann ;o)

Welche AD-Gruppen schlägst du mindestens vor? Lesen, Teilnehmen und Besitzer als AD-Gruppe müsste doch eigentlich pro Site ausreichen oder? 

Ohne Rang
634 Beiträge
Olaf Didszun Als Antwort am 1 Nov. 2010 21:21
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

So würde ich es im ersten Entwurf vermutlich machen.

Tip: Lege im Active Directory eine Organisationseinheit an, in der dann die Benutzergruppen gespeichert werden. Dann ist gleich für etwas Ordnung gesorgt. Bei der Benennung der Gruppen im Active Directory verwende die gleichen Namen wie auch im SharePoint. Dann fällt die Wiedererkennung leichter.

Grüße

Olaf

 

Ohne Rang
63 Beiträge
Pfefferminzprinz Als Antwort am 2 Nov. 2010 07:13
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Vielen Dank

CC BY-NC-ND - Michael Greth
Powered by Evocom Productivity