Mit Sicherheit kennen Sie diese Situation: Ein selbsternannter „Power-User“ hat bestimmte Veränderungen in einer Site Collection vorgenommen und nun fehlen Daten und Features oder ein weiterer Nutzer hat plötzlich zu viele oder zu wenige Berechtigungen. Als SharePoint Administrator sind Sie nun in der Pflicht, die vorgenommenen Änderungen zu identifizieren und zurück zu setzen.
Je nachdem, wie Sie Vorgänge in SharePoint aufzeichnen, kann das Auffinden und Zurücksetzen durchgeführter Änderungen schnell gehen. Dennoch bringt dieser Vorgang eine Unterbrechung für betroffene Nutzer mit sich und Sie als Administrator können sich nicht um wichtigere Projekte kümmern. Außerdem können Daten ohne Backup auch unwiderruflich gelöscht worden sein. Es macht somit Sinn, Vorgänge nicht nur aufzuzeichnen, sondern service-kritische Funktionalitäten pro-aktiv zu schützen.
Was sind nun solche kritischen Funktionen, die man überwachen und schützen sollte? Aufgrund unterschiedlicher Unternehmensrichtlinien, des Zwecks der SharePoint Farmen und der genutzten Anwendungen kann man nicht pauschal sagen, welche bestimmten Funktionalitäten die wichtigsten sind. Basierend auf Erfahrungsberichten bei verschiedenen Großkunden vor Ort, lassen sich folgende Situationen besonders häufig feststellen:
1. Inhalte werden aus Versehen gelöscht
Basierend auf Quota-Vorlagen und den Einstellungen für die Leerung der SharePoint Papierkörbe (Site + Site Collection), kann ein Objekt schnell komplett aus dem SharePoint entfernt werden. Sollte es immerhin noch im Papierkorb auffindbar sein, könnten dennoch bereits bestimmte Metadaten bzw. Anpassungen vom Objekt entfernt worden sein. Dies kann der Fall sein, da solche Metadaten nicht vom SharePoint Papierkorb verwaltet werden können (z.B. SharePoint Designer Anpassungen). Daher sollten Löschvorgänge genau kontrolliert werden.
2. Es werden zu viele Berechtigungen vergeben oder geändert
Sehr häufig werden in Unternehmen an zu viele Mitarbeiter „Full Control“ Rechte vergeben. Dies stellt nicht nur ein Compliance Problem dar. Auch die Fehlerwahrscheinlich und -häufigkeit wird erhöht, da man mit solchen Rechten, auch unwissentlich, mit einem falschen Klick sehr kritische Funktionen lahm legen kann
Wie kommt es zu einer derartigen Situation?
- Der Zustand ist von den Administratoren selbst initiiert, um schnell Nutzeranfragen vom Tisch zu haben. Um Zeit zu sparen werden kurzerhand „Full Control“ Rechte vergeben, anstatt sich mühsam und zeitaufwendig durch die einzelnen SharePoint Seiten und Gruppen zu klicken, um dann nur die tatsächlich erforderlichen Rechte zuzuweisen.
- Ist ein Endanwender erst einmal Site oder Site Collection Administrator, besitzt er das „Full Control“ Recht. Oft sind diese Anwender jedoch Projekt Manager oder fachliche Vorgesetzte, di entweder keine Zeit für die Seitenadministration haben oder denen es am nötigen IT- bzw. SharePoint Wissen mangelt. So wird das „Full Control“ Recht gerne einmal an den Praktikanten oder den Werksstudenten mit IT-Hintergrund weiter gegeben. Dieser vergibt es dann wiederum an weitere Personen, die es wiederum an andere Kollegen weitergeben. Irgendwann besitzt jeder in der Farm „Full Control“ Rechte. In diese Situation möchte sicherlich kein SharePoint Administrator jemals kommen. Dementsprechend gilt es die entsprechenden Schutzmaßnahmen einzurichten.
3. Deaktivierung der Versionierung in SharePoint Bibliotheken
Manche Unternehmen verwenden die SharePoint Versionierung nicht nur für Veröffentlichungen mit Genehmigungsprozessen, sondern auch für eine Art Backup & Restore. Ein solches Vorgehen macht Sinn, wenn fehlerhafte Einträge vorgenommen oder eine finale Version korrupt wurde. Ein Dokument kann dann auf eine frühere Version zurückgesetzt werden. Was geschieht nun aber, wenn die Versionierung abgeschaltet wird, weil man annimmt, , dass so sehr viel Speicherplatz eingenommen wird?* Alle Versionen gehen so bei der nächsten Änderung (ob Inhalt oder Metadaten) verloren. Sollte ein kritisches Dokument mit wichtigen Informationen bei der nächsten Speicherung sogar korrupt werden, können alle entsprechenden Daten verloren gehen. Auch das ist eine Situation, die jeder Administrator sicherlich vermeiden möchte.
Welche Vorkehrungen kann ein SharePoint Administrator also dagegen treffen? Ein bloßes Training der Mitarbeiter ist aufwendig und müsste für neue Mitarbeiter wiederholt werden. Aus Compliance Perspektive entlastet diese Form den Administrator als Vorgesetzten zudem nicht von entsprechender Verantwortung. Reine Monitoring-Lösungen erfüllen nur die halbe Anforderung und mit SharePoint-nativen Mitteln könnte man jedem Nutzer nur maximal Leserechte geben, um obige Szenarien erfolgreich zu verhindern. All das ist mit Sicherheit nicht zielführend.
Die Firma AvePoint hat für solche Fälle den „Policy Enforcer“ entwickelt, der aktiv verschiedenste Events im SharePoint auditiert (Check In/Out, Copy, Move, Change Permission etc.). Basierend auf diesen beobachteten Vorgängen, können verschiedene Regeln definiert werden. Zum Beispiel kann definiert werden, dass bestimmte, oder auch alle User, den Befehl „Löschen“ nicht ausführen dürfen (siehe Szenario 1). Es kann bestimmt werden, dass keine Berechtigungen vergeben, geändert odergelöscht werden können (siehe Szenario 2) oder die Versionierung nicht modifiziert werden darf (siehe Szenario 3).
Der „Policy Enforcer“ ist somit eine Art zusätzliche Ebene über dem SharePoint. Das bedeutet, dass z.B. selbst ein Nutzer mit dem SharePoint „Full Control“ Recht nicht in der Lage ist, Berechtigungen zu vergeben, da dies beispielsweise nur der SharePoint Administrator selbst erledigen möchte. Diese Regeln können sowohl als „Verweigerung“ als auch „Erlaubnis“ konfiguriert werden und so kann beispielsweise einem SharePoint „Leser“ zusätzlich das Recht einräumt werden, Subseiten erstellen zu dürfen.
Das ist nur ein Beispiel für eine von vielen weiteren Regeln, die der „Policy Enforcer“ standardmäßig mitbringt. Sogar entsprechende Benachrichtigungen können konfiguriert werden. Dieses Tool bietet zahlreiche Möglichkeiten die Arbeit als SharePoint Administrator zu vereinfachen. Probieren Sie es einfach einmal aus!
Viele Spaß beim „SharePointen“!
* Anmerkung: Dies trifft für Versionen vor SharePoint 2013 zu. Mit SP2013 und dem Shredded Storage gestaltet sich die Situation anders. Dies soll jedoch in diesem Kontext nicht weiter behandelt werden.
