SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

Sharepoint Berechtigungen

bewertet von 0 Usern
Beantwortet Dieser Beitrag hat 1 Geprüfte Antwort | 1 Antwort | 2 Followers

Top-75-Beitragsschreiber
186 Beiträge
Benjamin Aicheler erstellt in 7 Jan 2021 14:50

Hallo Zusammen,

ich habe zwei Berechtigungsspezialfälle. Die Frage ist, lassen sich diese Fälle ohne neue Webapplication lösen?

 

Unser Sharepoint:

1 Webapplication, 1 Site Collection, viele Websites und Unterwebsites

Grundsätzlich haben die "authenticated users" bei uns weitgehend überall Lesen Berechtigung.

 

Fall 1: Benutzer X soll keinen Zugriff haben, außer auf Website Y

Lösungsversuch 1: Per User Policy auf Webapplication Ebene für Benutzer X Deny all alles verbieten und dann auf Website Y Berechtigung geben und per Hyperlink aufrufen. Geht nicht, die Policy hat wohl Vorrang vor den lokalen Website Berechtigungen.

Lösungsversuch 2: Eine neue Site Collection für Website Y. Benutzer A wird dann SiteCollection Administrator der neuen SiteCollection und per Webapplication Policy wird jeglicher Zugriff verboten. Das dürfte gehen, da in Fall 2 die SiteCollection Administration die Policy übersteuer. Geht aber nicht, Benutzer X soll nicht administrieren.

Lösungsversuch 3: Eigene Webapplication, ja würde gehen.

 

Fall 2: Benutzer A soll überall lesen, hinzufügen und bearbeiten können, außer auf Website B.

Lösungsversuch 1: Ebenfalls per Webapplication Policy, dabei kann aber wohl Website B nicht ausgenommen werden.

Lösungsversuch 2: Eine neue Site Collection für Website B. Benutzer A wird dann SiteCollection Administrator der bisherigen SiteCollection und per Webapplication Policy werden alle administrativen Tätigkeiten verboten. Geht leider nicht, Benutzer A darf trotzdem administrieren.

Lösungsversuch 3: Eigene Webapplication, ja würde gehen.

 

Vielen Dank

Benjamin

Beantwortet Geprüfte Antwort

Top-25-Beitragsschreiber
486 Beiträge
Beantwortet Derby Als Antwort auf 2 Feb 2021 13:38
Verified by Benjamin Aicheler

  • WebApp-Policies verwendet man Grundsätzlich nicht zum Berechtigen von "normalen" Usern.
    • Ausnahme sind die ServiceAccounts und bei Bedarf GF/Datenschützer/Anwaltsleute damit die Grundsätzlich alles sehen
  • WebApp-Policies überschreiben jedewede Berechtigung innerhalb von SiteCollections/Subsites

 

  • Grundsätzlich haben die "authenticated users" bei uns weitgehend überall Lesen Berechtigung.
    • Das funktioniert mit Deinen Beispielen nicht mehr
    • Wollt ihr die Berechtigungen wie im Beispiel müsst Ihr Euch davon verabschieden
    • Besser wäre hier mit AD-Gruppen zu arbeiten

 

  • Das Aufteilen in WebApps und dann Policies würde zwar funktionieren, ist aber eben nicht zu empfehlen
    • erhöhter Admin-Aufwand
    • neue urls nötig 
    • Berechtigungsvergabe teilweise in CA usw.  --> Finger weg!

 

Am sinnvollsten wäre Ihr prüft ob das "Zugriffsverbot" wirklich notwendig ist und wenn ja ändert den Lesezugriff von "all authenticated" in aufgeteilte AD-Gruppen. Das kann aber auch sehr aufwendig ausfallen.

Berechtigungskonzept im SharePoint war noch trivial :)

 

 

 

Seite 1 von 1 (2 Elemente) | RSS