SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

Sponsored by

Willkommen im Forum Archiv.
Einträge sind hier nicht mehr möglich, aber der Bestand von 12 Jahren SharePoint-Wissen ist hier recherchierbar.




Identitäswechselschritt weist ungewollte Berechtigungen zu

Unbeantwortet Dieser Beitrag hat 4 Antworten

Ohne Rang
52 Beiträge
Sa Fari erstellt 9 Sept. 2013 09:12
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Liebe Community,

ich habe folgendes für mich unerklärliches Phänomen:

Ich habe einen SharePoint-Designer 2010 Workflow (Listenworkflow in Subsite 1) in dem über einen Identitäswechselschritt Berechtigungen neu gesetzt werden:

  • Gruppe A erhält explizit Leserecht auf das Element
  • Gruppe B bekommt Schreib- und Leserecht entzogen
  • Ersteller erhält Vollzugriff auf das Element

Sobald dieser ausgeführt wird, werden die Rechte auch wie gewünscht zugewiesen.

Allerdings erhält auch eine weitere Gruppe C automatisch beschränkten Zugriff auf das Element. Die Gruppe C existiert jedoch nicht in dieser Subsite 1, sondern in einer anderen Subsite 2 (gleiche Ebene), zu der es keine sichtbare Verbindung gibt. Auch werden Benutzer, die lediglich Rechte für Subsite 1 zugewiesen bekommen haben, plötzlich in der Gruppe C, die wiederum in der Subsite 2 angelegt wurde, angezeigt.

Wie kann ich dieses ungewollte Verhalten unterbinden? Kann jemand helfen?

DANKE. Gruß,
Sa Fari

Alle Antworten

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 9 Sept. 2013 09:44
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Gruppen kann es nicht in Subsites geben, sondern immer nur in einer Websitesammlung. Auch Gruppenmitgliedschaften gelten immer für die gesamte Websitesammlung.

Wenn Du also vermeintlich in Subsite 2 etwas an einer Gruppenmitgliedschaft änderst, gelten diese Änderungen immer für die Websitesammlung.

Wenn man für ein Element die Berechtigungsvererbung aufhebt, werden die derzeitigen Berechtigungen auf das Element kopiert. Also auch alle evtl. unerwünschten Berechtigungen, die vermeintlich aus Subsite 2 kommen. Oft erscheint auch die Berechtigung Limited Access / beschränkter Zugriff, die Du allerdings ignorieren kannst. Sie wird von SharePoint intern benötigt, gibt einem Benutzer aber keinerlei Rechte auf ein Element.

Viele Grüße
Andi		 af @ evocom de
Blog
Ohne Rang
52 Beiträge
Sa Fari Als Antwort am 9 Sept. 2013 11:00
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Ok, aber ich habe für meine Subsite 1 und 2 jeweils die Berechtigungen aufgebrochen und Rechte neu zugewiesen. Das heißt Gruppe C hat von Anfang an keinerlei Recht auf meine Subsite 1. Dennoch wird im Rahmen des Identitätswechselschritts der Gruppe C Recht auf die Website 1 gegeben. Auch wenn ich die Berechtigung auf Elementebene neu setze - also Gruppe C mit beschränktem Zugriff aus den Berechtigungen entferne, wird das Recht vom Workflow wieder erteilt und Gruppe C hat erneut Zugriff (Laut Berechtigungen). Wie kann dass sein?

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 9 Sept. 2013 11:51
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Habe ich doch oben erläutert?

Bei der Vergabe individueller Berechtigungen auf Subsite 2 bekommt Gruppe C auf höchster Ebene "Beschränkter Zugriff". Das wird intern benötigt, aber erlaubt dieser Gruppe keinen Zugriff auf die Website. Diese Berechtigung wird jetzt auch auf die Elemente in Subsite 1 vererbt, hat dort aber dieselben Auswirkungen - nämlich keine.

Viele Grüße
Andi		 af @ evocom de
Blog
Ohne Rang
52 Beiträge
Sa Fari Als Antwort am 9 Sept. 2013 12:53
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Das komische ist aber, dass auf Subsite 2 etwa 10 Gruppen Rechte haben. Soweit so gut, Durch den Identitätswechselschritt wird aber nur eine der zehn Gruppen mit beschränktem Zugriff auf der Subsite 1 angezeigt.Das Rootweb bleibt davon unberührt. Und in der Gruppe C sind auch keine Benutzer, die im Rahmen des Workflows Rechte erhalten, sondern die werden dann auch vom Workflow in die Gruppe C gesteckt...

Ich kann es immer noch nicht nachvollziehen...

CC BY-NC-ND - Michael Greth
Powered by Evocom Productivity