Berechtigungen für Administratoren einschränken

C.Kaiser Als Antwort am 21 Jan. 2011 10:00

Legt die Service Account doch als Managed Accounts an und lasst das passwort von SharePoint verwalten und ändern -> Ihr kennt das Passwort nicht mehr und könnt euch auch nicht drauf einloggen.

Edit: Bei einigen ServiceAccounts kommst du eh nicht drumherum, dass diese lesenden Zugriff bekommen (z.B. der Crawler für die Suche).

stephan12345 Als Antwort am 21 Jan. 2011 11:34

Hallo Christian,

ein Account muss ja vollen Zugriff haben. Alleine der Systemaccount, mit dem man auch die Zentraladministration öffnen kann.

Oder kann ich eine Bibliothek so konfigurieren, dass auch der Systemaccount keinen Zurgriff mehr darauf hat ?

Grüße

Stephan

C.Kaiser Als Antwort am 21 Jan. 2011 11:44

Du kannst den User, mit dem du das System installiert hast (und der auch Zugriff auf die CA) hat, so einschränken, dass der erstmal auf keine Content Anwendung.

Wenn aber jemand den Account inkl. Passwort kennt, kann sich diese Person natürlich über diesen Account & die CA Zugriff auf die entsprechenden Inhalte verschaffen - 100%-tige Sicherheit gibt es an dieser Stelle nicht, weil irgendjemand immer Admin ist und Admins können i.d.R. "fast" alles (mit den entsprechenden Umwegen) ;-)

Jose Dias Als Antwort am 15 Sept. 2011 08:53

Hallo,

Ich habe aktuell selbiges oder ähnlich geartetes Problem (Ich bin mir nicht sicher, was ihr mit Service-Accounts meint).

Bei mir geht es darum, dass sätmliche Admins (CA, Site Collection) keinen Zugriff auf (spezielle) Inhalte erhalten sollen,
dabei jedoch die Mglk. beibehalten auf allen anderen darüber liegenden Ebenen agieren und Support leisten zu können.

Habt ihr hierzu vielleicht eine Lösung?

Du hattest bspw. geschrieben, dass man den Inst.-User einschränken kann (kein Zugriff auf Content Anwendung).
Welche Rechte hätte er dadurch noch, welche nicht.
Wie/wo wird dies eingestellt?

Vielen Dank vorab schon mal für konstruktive Vorschläge.
Ich denke mal ich stehe nicht alleine da mit dieser Anforderung, oder..?

Grüße

FCaprio Als Antwort am 15 Sept. 2011 10:27

Vererbung ab der gewünschten ebene Unterbrechen und hier dann nur noch den Usern rechte geben die auch darauf Zugriff haben sollen. So kann der Admin die SiteCollections zwar von der Zentral Administration verwalten aber nicht lesen.

Andi Fandrich Als Antwort am 15 Sept. 2011 15:05

Das Vorhaben kann man von vornherein vergessen und das gilt nicht nur für SharePoint. Ein SiteCollection-Admin kann nicht ausgeschlossen werden. Und ein Farm-Admin kann sich immer Zugang zu allem verschaffen.

C.Kaiser Als Antwort am 15 Sept. 2011 15:10

Die einzige Möglichkeit die ich noch sehe ist, wenn es sich um hochsensible Dokumente handelt, diese nochmal zu verschlüsseln. Dann sollte die Admins auch nicht drankommen.

Aber wie bereits gesagt (das gilt halt generell): Administratoren auszuschließen ist nicht einfach und wenn dann mit erheblichem Aufwand verbunden.

Jose Dias Als Antwort am 17 Sept. 2011 12:34

Super, vielen Dank für die Beiträge!

Ich habe so die Befürchtung, dass man auch bei Unterbrechung der Vererbungen bei einem CA- oder SC-Admin nicht wirklich den Zugriff auf einzelne Einträge/Dokumente verhindern kann.

Die Option mit der Verschlüsselung ist sicherlich die einzige.

Ich fürchte weiterhin, dass encryption nicht "out of the box" einschaltbar ist, oder doch?
Das bedeutet sicherlich wieder Geld inverstieren...

Nun, dann muss halt eine Entscheidung auf nächsthöherer Ebene her... :-/

Grüße und besten Dank!

Andi Fandrich Als Antwort am 19 Sept. 2011 08:39

[quote user="Jose Dias"]Ich habe so die Befürchtung, dass man auch bei Unterbrechung der Vererbungen bei einem CA- oder SC-Admin nicht wirklich den Zugriff auf einzelne Einträge/Dokumente verhindern kann[/quote]

Wie bereits mehrfach erwähnt: kann man nicht.

[quote user="Jose Dias"]Ich fürchte weiterhin, dass encryption nicht "out of the box" einschaltbar ist, oder doch?[/quote]

Nein, es braucht Drittanbietersoftware.