Berechtigungskonzept für SharePoint

Andi Fandrich Als Antwort am 28 Apr. 2017 09:00

zu 1: es gibt keine eingebaute Möglichkeit, aber man findet im Netz massig Lösungen von simplen PowerShell-Scripten bis zu ausgereiften Monitoring -Anwendungen. Suche einfach mal nach SharePoint Permissions Reporting oder ähnlichem.

zu 2: das kann man so machen.

Christian Merkel Als Antwort am 28 Apr. 2017 09:22

Ein bewährter Ansatz ist die Nutzung von SharePoint-Gruppen in Verbindung mit AD-Gruppen.

Hier bin ich immer wie folgt vorgegangen:

Nutzer oder bereits bestehende AD-Gruppen werden nur im AD in die jeweiligen "Ressourcen-Gruppen" für SharePoint-Inhalte zugewiesen

Im SharePoint werden nur bis maximal auf App-Ebene (aber auch nur im Ausnahmefall) Berechtigungen unterbrochen und dann entsprechende SharePoint-Gruppen angelegt (z.B.: "Intranet-Forum-Members")

In diese SharePoint-Gruppen kommen die equivalenten AD-Gruppen (z.B.: "SP-Intranet-Forum-Members").

Dies erlaubt mit einem Blick im AD direkt zu sehen, wo welcher Nutzer welche Rechte im SharePoint hat.

Im SharePoint hat man durch die Nutzung der SharePoint-Gruppen immer noch die Möglichkeit pro Gruppe zu sehen, wo diese wirklich benutzt wird und welche Rechte sie da hat (pro SiteCollection jedoch nur) --> Websiteeinstellunge --> Benutzer&Gruppen --> Gruppe auswählen --> Einstellungen --> Gruppenberechtigungen anzeigen

Ich hoffe das hilft euch weiter bei der Planung.

Andi Fandrich Als Antwort am 28 Apr. 2017 09:27

Einen Nachteil hat es allerdings, wenn man AD-Gruppen benutzt: es funktioniert zwar alles wie erwartet, aber die "Berechtigungen prüfen" Funktion in SharePoint geht dann nicht. Sie löst diese Gruppenmitgliedschaft nicht auf. Wenn man sie für einen Benutzer abfragt, wird "keine Berechtigungen" geliefert, obwohl Berechtigungen da sind.

Das soll nicht heißen, daß man das nicht so machen soll, aber man sollte es wissen.

Christian Merkel Als Antwort am 28 Apr. 2017 10:53

Das sollte aber eigentlich auch gehen!?

Bisher hat es immer richtig angezeigt.

Kann es ggf. hiermit zusammen hängen:

https://blogs.technet.microsoft.com/yashgoel-msft/2012/04/13/check-permissions-showing-none-for-users-added-through-ad-groups-in-sharepoint-2010/

Andi Fandrich Als Antwort am 28 Apr. 2017 11:09

Hey cool. Jetzt beschäftige ich mich schon so lange mit SharePoint, aber es gibt immer noch was zu lernen :-)

Admwem Als Antwort am 28 Apr. 2017 13:49

Erstmal vielen Dank für die vielen Antworten.

Alle Antworten haben mir weitergeholfen. 

Und Euch allen ein schönes Wochenende.

Admwem Als Antwort am 28 Apr. 2017 16:00

Zu dem Begriff "SharePoint Permission Analyzer"

habe ich folgende Webseiten dazu gefunden.

https://sppermissionanalyzer.codeplex.com/

Als Skript habe ich diese Möglichkeit gefunden.

https://gallery.technet.microsoft.com/office/SharePoint-Access-Report-ac5e8235

Admwem Als Antwort am 28 Apr. 2017 16:09

Kollege hat das Tool ausprobiert. Bis auf die Persönlichen Berechtigungen wurden alle gefunden.

Er hat eine Fehlermeldung erhalten:

28.04.2017 15:08:59 Site Collection administrator rights are required to run this utility on a site

Auch die auf der Seite CodePlex eingetragene Hilfestellung scheint nicht zu funktionieren:

https://sppermissionanalyzer.codeplex.com/discussions/644772

Und das Skript funktioniert nur wenn,

wenn man diese modifiziert. Der angehängte Bericht ist leider nicht vollständig, da der Skript ab den persönlichen Seiten im SharePoint abbricht. Die Haupt SharePoint Seite scheint allerdings komplett enthalten zu sein.