Bibliothek nur für bestimmte User ersichtlich

Andi Fandrich Als Antwort am 1 März 2017 08:31

[quote user="MaceWindu"]die Bibliothek selbst aber nach wie vor für alle in der Navigationsleiste sichtbar ist[/quote]

Und was passiert, wenn ein Unbefugter auf den Link klickt? Bekommt er einen Access Denied?

MaceWindu Als Antwort am 1 März 2017 13:34

Hallo,

Kein Access denied sondern "In dieser Ansicht der Liste "[Name der Bibliothek]" sind keine Elemente anzeigbar."

Andi Fandrich Als Antwort am 1 März 2017 13:40

Dann hast Du aber nicht die Berechtigung der Liste selbst geändert, sondern die Berechtigung jedes einzelnen Elements in der Liste. Das würde ich wieder rückgängig machen und tatsächlich die Berechtigung der Liste ändern. Der Link in der Navigation ist dann normalerweise automatisch nur für Personen mit mindestens Leserecht sichtbar.

MaceWindu Als Antwort am 1 März 2017 15:30

Hallo,

Habe eigentlich schon die Berechtigung der Liste geändert, und zwar so: Im Menüband der betreffenden Bibliothek --> Liste --> Listeneinstellungen --> Berechtigungen für Liste. Die Berechtigungsvererbung ist entfernt und da stehen jetzt nur die User drin die die Liste als Element in der Navigation und den Inhalt der Liste sehen dürfen. Zusätzlich natürlich noch die Administratoren.

Aber jetzt ist mir etwas seltsames aufgefallen:
Es gibt 2 Bibliotheken die nicht von allen gesehen werden sollen. Eine ist eine Linkliste, die andere eine benutzerdefinierte Liste. Habe einen testuser zu der Gruppe der Berechtigten beider Bibliotheken hinzugefügt, das Verhalten beobachtet und den Testuser wieder aus den Gruppen entfernt. Beide Bibliotheken sind für diesen User wie bereits beschrieben in der Navigation weiterhin ersichtlich, aber nicht die darin enthaltenen Elemente. Melde ich mich mit einem weiteren neuen Testuser an, dann ist die Linkliste wie von dir beschrieben in der Navigation NICHT sichtbar, die benutzerdefinierte Liste aber schon. Das ist unlogisch. Eine Idee?

Andi Fandrich Als Antwort am 1 März 2017 15:43

Also irgendwas läuft da noch nicht so richtig.

[quote user="MaceWindu"]Im Menüband der betreffenden Bibliothek --> Liste --> Listeneinstellungen --> Berechtigungen für Liste[/quote]

Wenn man dort schraubt, ändert man tatsächlich die Berechtigungen der Liste. Man kann damit aber nicht erreichen, daß jemand zwar die Liste sieht, aber nicht deren Elemente. Dazu müßte man die Berechtigungen der Elemente ändern.

Auf den Seiten, mit denen man die Berechtigungen bearbeitet, gibt es oben immer einen Button "Check permissions" (weiß gerade nicht, wie er deutsch heißt). Damit kannst Du für einen Benutzer herausfinden, welche Rechte er an dieser Stelle hat und woher. Achtung: das funktioniert nicht, wenn AD-Gruppen im Spiel sind. Ein Benutzer kann also durch eine AD-Gruppe berechtigt sein, aber der Button erkennt das nicht. Es funktioniert allerdings korrekt.

Dann noch was zu den Navigationslinks: die automatisch erstellten, also z.B. bei einer neu erstellten Liste, berücksichtigen die Berechtigungen. Manuell hinzugefügte Links tun das leider nicht. Sie sind also immer für alle sichtbar, können aber in einem Access Denied münden. Daher meine Frage oben.

MaceWindu Als Antwort am 2 März 2017 09:42

Hallo,

Die exakte Übersetzung ist hier "Berechtigung überprüfen". Die Abfrage ergibt das der testuser 2x "Beschränkten Zugriff" hat: Einmal "direkt erteilt" und einmal als Mitglied der Domänen-Benutzer. Beide Ergebnisse stimmen nicht mit der ACL bei "Berechtigungen für Liste" überein. Mache ich das selbe Spiel mit "testuser2", dann hat dieser 1x beschränkten Zugriff durch die Gruppe "domänen-benutzer". Also m. M. nach ein vollkommen unlogisches Verhalten.

Das selbe Verhalten habe ich wenn ich testweise eine neue Liste anlege. Egal ob eine benutzerdefinerte oder eine Linkliste. D.h. man kann ein Problem bei den bestehenden Listen ausschließen.

Whatever, nach einigem herum probieren klappt es nun wie beabsichtigt. Frag nicht wie... Bin in meine Kontakt-Bibliotheksliste gegangen und rechts oben über das Zahnrad zu "Freigegeben für ...". Da war der Testuser wie erwartet NICHT als Einzelperson eingetragen, aber sehr wohl die Gruppe DOMÄNE\domänen-benutzer. Habe den Eintrag angeklickt und "Benutzer aus Websammlung löschen" ausgewählt. Der Effekt war das kein Domänen-Benutzer mehr das Intranet erreicht hatte. Also über Websiteeinstellungen und "Benutzer und Gruppen" die Domänen-Benutzer wieder zu den Intranet-Usern hinzugefügt und soweit ich das jetzt beobachten konnte scheint jetzt alles wie beabsichtigt zu funktionieren. Die Listen sind in der Navigationsliste für das Standardvolk nun nicht mehr sichtbar, nur mehr für Berechtigte Gruppen.

Entweder ist das ein Bug oder ein Feature. Ich tippe auf ersteres.

Vielen Dank Andi für deine Anregungen! Die Informationen waren die fehlenden Puzzleteile.

LG,
MaceWindu

Nachtrag: Als ich die "Domänen-Benutzer" aus der Benutzerliste für die Websammlung gelöscht und wieder hinzugefügt hatte, war mein "erster" testuser in dieser Zeit testweise nicht in der Gruppe "Domänen-Benutzer". Richtigerweise hatte dieser dann keinen Zugriff mehr auf das Intranet. Es kommt die Meldung "Leider besitzen Sie keinen Zugriff auf diese Seite" mit der Möglichkeit eine Anforderung zu setzen. So weit so gut und das Verhalten ist richtig. Interessanterweise ändert sich jedoch nichts an dem Verhalten wenn er wieder in die Gruppe der Domänen-Benutzer hinzugefügt wird. Ein weiteres Beispiel das da was buggy sein muss.
Whatever, ich werde da jetzt keine weiteren Änderungen vornehmen.

Andi Fandrich Als Antwort am 2 März 2017 10:12

Änderungen an den Gruppenmitgliedschaften im AD kann SharePoint nicht sofort erkennen. Das ist kein Bug sondern by Design und gilt für alle Systeme mit Windows-Authentifizierung. Damit das greift, muß sich der Benutzer am Rechner neu anmelden, also nicht nur an SharePoint!

MaceWindu Als Antwort am 2 März 2017 12:29

[quote user="Andi Fandrich"]

Damit das greift, muß sich der Benutzer am Rechner neu anmelden, also nicht nur an SharePoint!

Rechner habe ich neu gestartet... Auch nach 2h Wartezeit kein Zugriff auf 2 verschiedenen Rechnern. Dann Server neu gestartet und dann hat erst der Login mit dem ersten testuser auf Anhieb wieder geklappt. Aber die beiden Bibliotheken wieder für diesen User sichtbar.... AArgh!

Aber egal, wenn das nur mit diesem testuser auftritt.