38 Mal wird im Durchschnitt in einer SharePoint Site Collection die Vererbung der Berechtigung unterbrochen. Dies bedeutet für den Administrator dieser Site, er muss Änderungen an den Berechtigungen im schlimmsten Fall an 39 Stellen pflegen. Zusätzlich stellt sich die Problematik für den Administrator, den Überblick zu behalten – es fehlt in SharePoint eine Funktion, sich hier einen zentralen Überblick zu verschaffen. Was führt zu dieser Vielzahl an Unterbrechungen und welche Lösungen gibt es?

Berechtigungsgetriebener Aufbau einer Site

Die SharePoint Sites sind oft historisch gewachsen und getrieben von einem funktionsorientierten Ansatz. Das Organigramm oder die Abteilungen wurden entsprechend nachgebildet. In so einer Struktur die Berechtigungen zu verwalten, ist eine Mammutaufgabe.

In einem Mehrfamilienhaus ist es für uns klar, dass nicht die Funktionen zusammengefasst werden (alle Küchen in einer Etage, alle Badewannen in einer anderen). Dies würde zu einem Chaos bei der Berechtigung führen: Jeder Bewohner bräuchte zig Schlüssel, um sich auf jeder Ebene zu der Funktion Zugang zu verschaffen. In der realen Welt ist uns das klar. In SharePoint wohl meistens nicht. Oft sehen wir „zentrale Bibliotheken“, in der nun „alle Dateien“ abgespeichert werden. Sobald dies passiert ist, kommt man auf die Berechtigung zu sprechen. Um dies zu lösen, bedarf es nun zig Unterbrechungen. Und das bedeutet viel Aufwand.

microsoft teams

Wie kann die Lösung aussehen? Bauen Sie Ihren SharePoint Bereich mit einer berechtigungsgetriebenen Struktur auf. Das bedeutet, Sie fassen nicht anhand von Funktionen zusammen, sondern anhand der Nutzer, die später darauf zugreifen sollen. So entstehen zum Beispiel mehrere Sites für verschiedene Projekte. Jede dieser Sites enthält dann eine Bibliothek, Listen und weitere Apps. Doch somit ist sichergestellt, dass die Berechtigung nur auf Site-Ebene eingestellt werden muss, und nicht noch auf App-Ebene oder gar auf Element-Ebene.

Die Sinnfrage: Ist eine Unterbrechung der Berechtigung immer notwendig?

Grundsätzlich kann ich in SharePoint Sites, Apps und Elemente mit Berechtigungen steuern. Doch ist das immer erforderlich? Wenn wir nochmal in die reale Welt blicken: Gibt es ein Berechtigungsmanagement für Ihr Büro? Vermutlich ja, verschiedene Personen haben Schlüssel dazu. Gibt es aber auch ein Berechtigungsmanagement für Ihren Aktenschrank, für die Fächer, jeden einzelnen Ordner, die einzelnen Reiter? Hüllen Sie Ihre abgelegten Blätter dann in blickdichte Kuverts ein, um auch hier noch Unterscheidungen zu treffen, wer lesen darf und wer nicht? Erschwerend kommt noch hinzu, dass jeder Ihrer Kollegen vermutlich einen funktionierenden Stift hat. Dieser Stift schreibt auf allen Blättern. Er hat also ein „Schreibrecht“. In der realen Welt kommt uns das Risiko gering vor: „Es malt doch niemand einfach so auf meinen Akten herum“. Ist das Risiko denn nun größer, wenn ein Blatt Papier digitalisiert wird? Nein, eigentlich nicht. Und doch wird schnell die Forderung laut, genau abzustimmen, wer an welcher Stelle anzeigen, lesen, mitwirken, entwerfen oder bearbeiten darf – sogar bis hinunter zur Steuerung von einzelnen Dateien. Obwohl wir in SharePoint noch diverse Protokollfunktionen nutzen können, die uns in der realen Welt nicht zur Verfügung stehen: Papierkorb, Versionsverlauf, Geändert von-Informationen. Gehen Sie die Berechtigungen mit mehr Mut an. Warum sollte der Kollege in SharePoint eine Datei ändern, mit der er nichts zu tun hat, wenn er es in der realen Welt auch nicht tut?

Office 365

Gruppen oder Einzelpersonen

Sie können in SharePoint Rechte an eine Einzelperson vergeben, eine SharePoint Gruppe oder an eine Active Directory Gruppe. Wo es geht, verwenden Sie die AD-Gruppe. Diese müssen Sie nicht speziell in SharePoint pflegen. Einmal eingestellt regelt sich alles von allein. Die SharePoint Gruppe können Sie direkt in SharePoint anlegen und dort Benutzer hinzufügen. Es können hier zwar AD-Gruppen mit aufgenommen werden, aber keine weiteren SharePoint Gruppen. Eine Verschachtelung ist somit nicht möglich. Oft genutzt werden die Einzelpersonen. Diese sind schnell einzutragen, aber im Nachgang mit zahlreichen Problemen behaftet. Ebenso wenig wie Sie zentral herausfinden können, wo die Berechtigung überall unterbrochen wurde, können Sie herausfinden, wo eine Person überall berechtigt ist. Auch wenn es sich nur um eine Person handelt, gründen Sie dafür eine Gruppe. Die Gruppe lässt sich an zentraler Stelle verwalten. Sie haben somit die Möglichkeit, bei einem Wechsel der Mitarbeiter an nur einer Stelle die Person auszutauschen, anstatt alle Unterbrechungen durchsuchen zu müssen und die Änderung dort zu vollziehen.

Wie benenne ich meine Gruppe?

In SharePoint werden häufig die Gruppenbezeichnungen „Besitzer von Teamsite“ oder „Mitwirkende von Teamsite“ verwendet. Diese Bezeichnungen haben einen großen Nachteil, denn die Bezeichnung hat nichts mit der Berechtigungsstufe zu tun! So kann es passieren, dass die „Mitwirkende von Teamsite“ dann für einen Ordner nicht „Mitwirken“-Rechte haben, wie der Gruppenname vermuten ließe, sondern „Vollzugriff“. Das verwirrt unnötig. Benennen Sie die Gruppen stets nach einer Funktion. Zum Beispiel „Team 123“, „Projektleitung“, „Abteilung Personal“. Sie entgehen damit der Problematik dieser auftretenden Inkonsistenzen.

Als Besitzer einer Gruppe sollten Sie keine Einzelperson eintragen. Ist diese Person nicht mehr greifbar, so ist die Gruppe verwaist und lässt sich gegebenenfalls nicht mehr administrieren.

avepoint

Berechtigungsstufen anpassen

In SharePoint finden Sie die Berechtigungsstufen Lesen, Mitwirken, Entwerfen und Vollzugriff im Standard vor. In neueren Versionen dann noch Anzeigen sowie Bearbeiten. Die Best Practice-Empfehlung lautet hier, diese nicht zu ändern. Ansonsten kann es passieren, dass die Berechtigungsstufe „Lesen“ plötzlich doch Elemente löschen darf. Oder ein anderer SharePoint Admin die Berechtigungsstufe „Mitwirken“ im besten Wissen verwendet, diese aber bei Ihnen völlig andere Rechte umfasst, wie in anderen Umgebungen. Sollten Sie Bedarf an veränderten Berechtigungsstufen haben, so legen Sie besser eine neue Stufe an. Belassen Sie die bestehenden.

Überblick verschaffen

Wer ist alles auf meiner Site unterwegs?

In früheren Versionen gab es noch einen Button, mit dem angezeigt werden konnte, wer alles Berechtigungen auf meiner Site hat. Diesen gibt es seit 2010 nicht mehr. Allerdings ist die Funktion an sich weiterhin da. Öffnen Sie eine Gruppe in SharePoint, so sehen Sie in der Adressleiste z.B. diesen Tauschen Sie die letzte Ziffer (hier im Beispiel die 3) gegen eine Null aus. Sie landen dann direkt auf der Personenübersichtsseite. All diese Personen haben oder hatten irgendwo auf Ihrer Site Zugriff.

Wo wurde die Vererbung unterbrochen?

Um herauszufinden, an welchen Stellen die Vererbung unterbrochen wurde, wechseln Sie in die Berechtigungseinstellungen. Sollten Unterbrechungen vorliegen, so steht in der gelben Hinweisleiste der kaum beachtete Satz: „Einige Inhalte auf dieser Website besitzen andere Berechtigungen als die hier angezeigten. Diese Elemente anzeigen“ Klicken Sie dann auf „Diese Elemente anzeigen“. SharePoint zeigt Ihnen nun die darunterliegenden Unterbrechungen an. Allerdings nur, soweit es sich um keine Subsite handelt. Subsites müssen immer separat angesteuert und geprüft werden!

Wo wurde eine Gruppe überall verwendet?

Wenn Sie wissen möchten, an welchen Unterbrechungen eine bestimmte Gruppe verwendet wurde, öffnen Sie die Gruppe. Klicken Sie dann in der Gruppe auf „Einstellungen“, anschließend auf „Gruppenberechtigungen anzeigen“ – kaum bekannt, aber sehr nützlich.

Financial technology concept.

Tipp: Protokoll über alle Unterbrechungen – ohne Dokumentationsaufwand

SharePoint bietet keine Übersicht, an welchen Stellen die Vererbung unterbrochen wurde. Wir lösen dies mithilfe einer „Dummy-Gruppe“. Diese fügen wir bei allen Vererbungsunterbrechungen ein – sie muss keine Personen enthalten. Anschließend können Sie sich (wie im vorherigen Tipp beschrieben) anzeigen lassen, an welchen Stellen die Gruppe überall zum Einsatz kommt. – Somit haben Sie eine komplette Dokumentation über Ihre Unterbrechungen – ohne zusätzlichen Aufwand.

Tipp: Herausfinden in welchen Gruppen ein Benutzer ist

Ein Mitarbeiter wechselt die Abteilung und muss aus Ihrer SharePoint Site entfernt werden. Sie wechseln in Ihre Gruppenübersicht und sehen vielleicht 50 Gruppen vor sich – doch in welcher Gruppe ist besagter Kollege enthalten? Um Ihnen den Aufwand jede einzelne Gruppe nach dem Namen zu durchforsten, zu ersparen, legen Sie einfach eine neue Seite (Page) an (z.B. in die bestehende Bibliothek Websiteseiten). Bei dieser Seite unterbrechen Sie die Vererbung und berechtigen darauf alle Gruppen, die Sie haben. Bei den Berechtigungseinstellungen können Sie nun auf den Button „Berechtigungen überprüfen“ im Menüband klicken. Dort geben Sie den Namen der Person ein. Sie erhalten anschließend eine komplette Liste, in welchen Gruppen diese Person enthalten ist.

cybersecurity

Tipp: Berechtigungsstufe ohne „löschen“-Recht

In vielen Firmen bzw. ihren Governance-Richtlinien dürfen Benutzer zwar lesen und schreiben, sollen aber nicht löschen dürfen. Legen Sie dazu einfach eine neue Berechtigungsstufe an, der Sie das Recht „Löschen“ entziehen. Sie können auch einfach eine bestehende Stufe öffnen. Ganz unten auf der Seite gibt es dann den Button „Berechtigungsstufe kopieren“. Über diesen Weg können Sie z.B. eine Berechtigungsstufe „Mitwirken ohne löschen“ anlegen.

Falle: Seitenberechtigungen steuern

In manchen Foren oder Internetseiten ist zu lesen, dass die Berechtigungseinstellungen am schnellsten über das Menüband auf der Startseite erreicht werden per Klick auf „Seite“ / „Seitenberechtigungen“. Dies ist leider ein Trugschluss, Sie steuern damit nicht die Berechtigungen der kompletten Site, sondern nur von der Homepage (z.B. Home.aspx). Das Problem ist mitunter auch der deutschen Übersetzung geschuldet: Die „Site“ bezeichnet dabei die komplette Umgebung inklusive Apps. Die „Seite“ eben nur eine einzelne Page.


Sie möchten noch mehr hilfreiche Tipps zu SharePoint erhalten? Dann abonnieren Sie unseren Blog!