Zum Thema Berechtigungen in SharePoint haben wir in den letzten Wochen bereits einige Artikel veröffentlicht. Eine bisher nicht beantwortete Frage ist, welche Struktur- und Inhaltselemente man alles über Zugriffsrechte kontrollieren kann. Dazu betrachten wir einmal als Beispiel eine typische SharePoint-Struktur mit einer Websitesammlung, die eine Liste enthält, und dazu noch eine Bibliothek mit ein paar Dateien sowie einer Subsite. In dieser befinden sich ebenfalls eine Bibliothek, eine Liste und eine Umfrage.
Alles kann berechtigt werden, aber…
Zunächst einmal lässt sich hier feststellen, dass man alles, was zu sehen ist, mit Berechtigungen versehen kann. Das heißt, Sie können die Zugriffe auf einzelne Sites (Websitesammlung), auf Funktionen und Apps (Bibliothek, Liste, Umfrage und so weiter) und auf Elemente (Datei und so weiter) gezielt steuern. Und das ganz unabhängig davon, wo sie sich befinden, ob in einer Liste, in einem Kalender, einer Aufgabe oder einer Bibliothek.
… zu granulare Berechtigungen schaffen Probleme
Wie so oft beim Berechtigungsthema stellt sich aber auch hier die Frage, was sinnvoll ist, und wo Probleme lauern. Aus der Praxiserfahrung lässt sich sagen, dass man Zugriffsrechte besser nur auf Site-Ebene vergibt, aber nicht auf Funktions- oder App-Ebene, und vor allem nicht auf Element-Ebene. Denn das Problem heißt auch hier wieder “Berechtigungsunterbrechung”. SharePoint arbeitet ja mit Vererbung, was bedeutet, dass ein an der obersten Stelle vergebenes Zugriffsrecht auf alle darunter hängenden Elemente des Baums vererbt wird (siehe Diagramm). (Video-Sprungmarke 01:37)
In unserem Fall gibt die Websitesammlung „Teamsite“ die Rechte weiter, zum Beispiel an die nächste Teamsite, diese wiederum an die Liste und diese an das Element. Geht man nun her und berechtigt ein einzelnes Element im Baum, dann unterbricht man an dieser Stelle die Vererbung. Sobald der Websitesammlung danach ein neuer Benutzer hinzugefügt wird, wird dieser alles sehen außer der unterbrochenen Bibliothek.
Hoher Betreuungsaufwand durch Unterbrechungen
Derartige Unterbrechungen ziehen einen hohen Betreuungsaufwand mit sich, weil dann jeweils auf Element- oder Listenebene die Rechte individuell bearbeitet werden müssen. Deshalb sollte man möglichst wenig Unterbrechungen vornehmen, wenn möglich nur auf Siteebene. In Fällen, wo Unterbrechungen unvermeidlich sind, zum Beispiel aus geschäftlichen Gründen, empfiehlt es sich, einzelne Ordner gezielt zu berechtigen, anstatt einzelne Elemente. Man kann so verschiedene Elemente zusammenfassen und dem ganzen Ordner entsprechende Rechte geben.
Keine Rechte für Spalten und Ansichten
Sehr oft taucht auch die Frage auf, ob man Ansichten oder Spalten mit Zugriffsrechten schützen kann. Das ist so jedoch nicht möglich. Man kann bei der Ansicht zwar zwischen persönliche und öffentlich unterscheiden, jedoch hat das nichts mit Berechtigung zu tun, sondern nur, ob andere meine Ansicht sehen, oder nicht. Auch das Ausblenden von Spalten bedeutet nicht, dass andere nicht mehr darauf zugreifen können. Selbst wenn sie auf den ersten Blick verschwunden ist, können die Inhalte vom lesenden Benutzer abgefragt werden. Mit Berechtigungssteuerung hat das nichts zu tun. Ebenfalls nicht zum Thema Berechtigungssteuerung gehören übrigens die “zielgruppenorientierten Webparts”und “Benutzergruppenadressierung”.