Sperren von SharePoint Designer

Hallo zusammen, Stephen ist zurück. Ich bin ein Autor für SharePoint Designer. Wie Sie wissen, ist SharePoint Designer 2007 ein leistungsstarkes Tool zum Bearbeiten von SharePoint-Websites. Es ist in der Tat so leistungsstark, dass es in Ihrer Organisation wahrscheinlich Situationen gibt, in denen Sie bestimmen möchten, wo und wie Benutzer SharePoint Designer 2007 verwenden können.

Mit diesem Beitrag versuche ich, die häufig gestellte Frage "Wie kann ich SharePoint Designer in meiner Organisation sperren?" zu beantworten. Außerdem werde ich die Kehrseite dieser Frage zu beantworten versuchen, die sich in einer Umgebung stellt, in der SharePoint Designer gesperrt wurde und der Benutzer folgende Frage stellt: "Weshalb sehe ich diese Meldung, wenn ich eine Website in SharePoint Designer zu bearbeiten versuche?"

Optionen zum Sperren von SharePoint Designer

In der folgenden Tabelle sind die verschiedenen Methoden zum Sperren von SharePoint Designer in Ihrer Organisation beschrieben. Ein Teil dieser Informationen wurde zuvor an verschiedenen Orten veröffentlicht (Office Online, TechNet, MSDN, Knowledge Base usw.), aber ich war der Meinung, dass für Sie eine Zusammenstellung aller Informationen hilfreich sein könnte.

BEREICH OPTION ERFORDERLICHE BERECHTIGUNGEN ZUM AKTIVIEREN ODER DEAKTIVIEREN
Auf der Serverebene pro Websitedefinition ONET.XML – Alle Benutzer am Öffnen aller Websites hindern, die mit einer bestimmten Websitedefinition erstellt wurden (z. B. alle Teamwebsites oder alle Veröffentlichungssites), indem Sie ONET.XML für diese Websitedefinition ändern. Serveradministrator – Sie benötigen ein Administratorkonto auf dem Server, um diese Datei zu ändern.
Auf der Webanwendungsebene für alle Benutzer Berechtigungen in der Zentraladministration – Alle Benutzer am Öffnen oder Bearbeiten aller Websites in einer Webanwendung hindern, indem Sie die Berechtigungen in der Zentraladministration entfernen. Websitesammlungsadministrator – Sie müssen ein Websitesammlungsadministrator sein, um Berechtigungen in der Zentraladministration hinzuzufügen oder zu entfernen.
Auf der Webanwendungsebene pro Benutzer oder Gruppe Richtlinie in der Zentraladministration – Bestimmte Benutzer und Gruppen am Öffnen oder Bearbeiten aller Websites in einer Webanwendung hindern, indem Sie die Berechtigungen in der Zentraladministration entfernen. Websitesammlungsadministrator – Sie müssen ein Websitesammlungsadministrator sein, um Berechtigungsrichtlinien in der Zentraladministration zu verwalten.
Auf der Websiteebene pro Benutzer oder Gruppe Websiteberechtigungen – Bestimmte Benutzer und Gruppen am Öffnen oder Bearbeiten von Websites auf der Websiteebene hindern, indem Sie die Berechtigungen auf der Berechtigungsebene entfernen. Berechtigungseinstellungen in der Zentraladministration können nicht durch Websiteberechtigungen außer Kraft gesetzt werden. Websitebesitzer – Sie benötigen die Berechtigung Berechtigungen verwalten zum Konfigurieren von Websiteberechtigungen. In SharePoint Server 2007 enthalten standardmäßig nur die Berechtigungsstufen Vollzugriff und Hierarchie verwalten diese Berechtigung.
Auf der Websiteebene pro Benutzer oder Gruppe

(kein Sicherheitsfeature)

Mitwirkendeneinstellungen – Unterstützen Sie vertrauenswürdige Benutzer beim Ausführen der richtigen Aufgaben am richtigen Ort, indem Sie Features und die Benutzeroberfläche in SharePoint Designer 2007 deaktivieren. Berechtigungseinstellungen auf der Websiteebene oder in der Zentraladministration können nicht durch Mitwirkendeneinstellungen außer Kraft gesetzt werden. Websitebesitzer – Sie benötigen die Berechtigung Berechtigungen verwalten zum Aktivieren bzw. Deaktivieren von Mitwirkendeneinstellungen. In SharePoint Server 2007 enthalten standardmäßig nur die Berechtigungsstufen Vollzugriff und Hierarchie verwalten diese Berechtigung.
Pro Computer oder pro Benutzer Gruppenrichtlinie – Verwenden Sie Richtlinieneinstellungen, um Menübefehle und die entsprechenden Symbolleistenschaltflächen in der Benutzeroberfläche von Office-Programmen, einschließlich SharePoint Designer, zu deaktivieren. Sie können auch Tastenkombinationen deaktivieren. Einstellungen können auf einen bestimmten Computer oder Benutzer angewendet werden. Windows-Administrator – Sie müssen ein Mitglied der Sicherheitsgruppe der Domänenadministratoren, der Sicherheitsgruppe der Organisationsadministratoren oder der Sicherheitsgruppe der Richtlinien-Ersteller-Besitzer sein.

Eine grafische Übersicht über die verschiedenen Ebenen finden Sie auf MSDN unter Server- und Websitearchitektur: Übersicht über das Objektmodell.

Übersicht über die Berechtigungen

Für die oben beschriebenen Optionen, die Berechtigungen auf der Websiteebene oder in der Zentraladministration verwenden, gibt es drei Berechtigungen, die Sie berücksichtigen müssen.

BERECHTIGUNG BESCHREIBUNG AUSWIRKUNGEN AUF BEARBEITUNG MIT SHAREPOINT DESIGNER
Seiten hinzufügen und anpassen Hinzufügen, Ändern oder Löschen von HTML-Seiten oder Webpartseiten sowie Bearbeiten der Website mithilfe eines mit Windows SharePoint Services kompatiblen Editors. Ohne diese Berechtigung können Sie Dateien im Stammverzeichnis der Website (z. B. default.aspx in einer Teamwebsite) oder Dateien, die in Ordnern außerhalb von Listen und Bibliotheken gespeichert sind, nicht bearbeiten.
Verzeichnisse durchsuchen Aufzählen von Dateien und Ordnern in einer Website mithilfe von SharePoint Designer und Web DAV-Schnittstellen. Ohne diese Berechtigung können Sie eine Website nicht in SharePoint Designer öffnen.
Listen verwalten Erstellen und Löschen von Listen, Hinzufügen oder Entfernen von Spalten in einer Liste sowie Hinzufügen oder Entfernen öffentlicher Ansichten einer Liste. Ohne diese Berechtigung können Sie keine Bibliotheken, Listen, Listenformulare oder Ansichten (z. B. AllItems.aspx) in SharePoint Designer löschen. Wenn eine Liste jedoch keine Berechtigungen von der Website erbt, gelten die Listenberechtigungen für diese spezielle Liste. Beachten Sie, dass die Workflow-Dokumentbibliothek standardmäßig keine Berechtigungen von der Website erbt. Sie müssen diese Berechtigungen separat verwalten.

Option 1 – Deaktivieren der Berechtigung "Seiten hinzufügen und anpassen"

Wenn Sie nicht möchten, dass Benutzer Dateien in einer Website bearbeiten können, deaktivieren Sie das Kontrollkästchen Seiten hinzufügen und anpassen. Dadurch wird auch das Kontrollkästchen für die abhängige Berechtigung Website verwalten deaktiviert.

clip_image002

Wenn Sie diese Berechtigungen entfernen, können die Benutzer weiterhin eine Website in SharePoint Designer öffnen, und sie können Seiten öffnen und bearbeiten, die sich im Stammverzeichnis der Website befinden, wie z. B. default.aspx. Wenn sie allerdings versuchen, diese Änderungen zu speichern, wird die folgende Meldung angezeigt.

clip_image004

Ohne die Berechtigung Seiten hinzufügen und anpassen können Benutzer die bearbeitete Seite nicht im Stammverzeichnis der Website oder in Ordnern der Website speichern. Beispielsweise können Benutzer Änderungen an default.aspx nicht im Stammverzeichnis der Website speichern. Sie können aber die bearbeitete Seite in einer beliebigen Bibliothek der Website, für die sie über die entsprechenden Berechtigungen verfügen, oder in einem Speicherort außerhalb der aktuellen Website speichern. Beachten Sie, dass Listenberechtigungen und Websiteberechtigungen zwei unterschiedliche Dinge sind. Diese beiden Berechtigungsgruppen weisen sogar separate Abschnitte in der Berechtigungsliste auf. Wenn Sie also die Benutzer am Speichern von Änderungen an Dateien hindern, die sich außerhalb von Listen oder Bibliotheken befinden, können sie dennoch die Website in SharePoint Designer öffnen und Vorgänge wie z. B. das Löschen von Workflows in der Workflow-Dokumentbibliothek oder das Löschen einer kompletten Liste ausführen. Die Berechtigungen für diese Listen und Bibliotheken werden separat verwaltet (siehe den nächsten Abschnitt).

Folgendes sollten Sie ebenfalls berücksichtigen: Wenn Sie über alle Berechtigungen verfügen (die standardmäßige Berechtigungsstufe Vollzugriff), werden auf der Seite Websiteeinstellungen alle Optionen angezeigt (siehe unten, oberes Bild). Wenn Sie nicht über die Berechtigung Website verwalten verfügen (abhängig von Seiten hinzufügen und anpassen), werden auf der Seite Websiteeinstellungen viele Optionen ausgeblendet (siehe unten, unteres Bild). Dies sollten Sie beim Verwalten von Benutzerberechtigungen berücksichtigen, insbesondere auf der Ebene der Zentraladministration, da Sie möglicherweise viele Benutzer an der Ausführung wichtiger administrativer Aufgaben in ihrer Website hindern.

clip_image006

clip_image008

Option 2 – Deaktivieren der Berechtigung "Listen verwalten"

Wenn Benutzer, wie weiter oben erwähnt, eine Website in SharePoint Designer öffnen können, können sie in Abhängigkeit von ihren Listenberechtigungen Inhalt in Listen und Bibliotheken löschen, wie z. B. Workflows, Listenformulare oder sogar komplette Listen. Um dies zu verhindern, müssen Sie die Berechtigung Listen verwalten deaktivieren.

clip_image010

Nachdem Sie diese Berechtigung entfernt haben, wird die standardmäßige Warnmeldung Zugriff verweigert angezeigt, wenn ein Benutzer eine Website in SharePoint Designer öffnet und eine Liste (oder eine Datei in der Liste) zu löschen versucht, die Berechtigungen von der Website erbt.

clip_image004[1]

Beachten Sie, dass diese Berechtigung auf der Ebene einer bestimmten Liste oder Bibliothek außer Kraft gesetzt werden kann, wenn diese Liste oder Bibliothek die Vererbung unterbricht. Beispielsweise ist die Workflow-Dokumentbibliothek eine ausgeblendete Bibliothek in der Website, die standardmäßig keine Berechtigungen von der Website erbt. Beim Erstellen einer Website erhält die Workflowbibliothek die gleiche Berechtigungskonfiguration wie die Website. Berechtigungsänderungen, die Sie nachher auf der Websiteebene vornehmen, wie z. B. das Deaktivieren von Listen verwalten, werden jedoch nicht automatisch an die Workflowbibliothek weitergegeben.

Zum Verwalten von Berechtigungen für die Workflowbibliothek öffnen Sie die Website in SharePoint Designer, klicken Sie mit der rechten Maustaste auf die Workflowbibliothek, klicken Sie auf Eigenschaften, klicken Sie auf die Registerkarte Sicherheit, und klicken Sie auf den Link Verwalten von Berechtigungen mithilfe des Browsers.

clip_image012

Beachten Sie, dass durch Deaktivieren von Listen verwalten für Benutzer diese auch am Hinzufügen von Spalten zu einer Liste oder am Erstellen öffentlicher Ansichten gehindert werden.

Option 3 – Deaktivieren der Berechtigung "Verzeichnisse durchsuchen"

Die vorherigen Optionen hindern Benutzer am Bearbeiten oder Löschen von Objekten in einer Website, wenn sie die Website in SharePoint Designer öffnen. Sie können die Benutzer auch am Öffnen selbst einer Website in SharePoint Designer hindern, indem Sie die Berechtigung Verzeichnisse durchsuchen deaktivieren.

Durch Deaktivieren dieser Berechtigung werden auch vier abhängige Berechtigungen deaktiviert, nämlich die beiden oben beschriebenen Berechtigungen (Seiten hinzufügen und anpassen und Website verwalten) sowie die Berechtigungen Berechtigungen verwalten und Berechtigungen auflisten.

clip_image014

Wenn ein Benutzer, der nicht über die Berechtigung Verzeichnisse durchsuchen für eine Website (oder eine Webanwendung) verfügt, mithilfe von SharePoint Designer diese Website (oder eine beliebige Website in dieser Webanwendung) zu öffnen versucht, wird die folgende Meldung angezeigt.

clip_image016

Anschließend wird eine Eingabeaufforderung für neue Anmeldeinformationen angezeigt. Wenn die neuen Anmeldeinformationen fehlschlagen, wird die folgende Meldung angezeigt.

clip_image018

Keine Option – Deaktivieren der Berechtigung "Remoteschnittstellen verwenden"

Wenn Sie die Berechtigungsliste betrachten, könnten Sie versucht sein, die Berechtigung Remoteschnittstellen verwenden zu deaktivieren, weil die Verwendung von "SharePoint Designer-Schnittstellen zum Zugreifen auf die Website" erwähnt wird. Eine scheinbar begründete Schlussfolgerung, die jedoch falsch ist! Zu dieser Berechtigung gehört die abhängige Berechtigung Clientintegrationsfeatures verwenden. Durch Entfernen dieser Berechtigung würde die gesamte SharePoint-Integration in Office-Programme wie Word, Excel und PowerPoint deaktiviert.

clip_image020

Wenn Sie z. B. Remoteschnittstellen verwenden deaktivieren, werden Sie bemerken, dass die Option In Microsoft Office Word bearbeiten aus dem Menüelement in einer Liste oder Bibliothek verschwindet.

clip_image022

Wenn Sie versuchen, den Versionsverlauf eines Dokuments in Word anzuzeigen (Office-Schaltfläche >> Servermenü >> Versionsverlauf anzeigen), wird die folgende Meldung angezeigt.

clip_image024

Und viele weitere coole Features wie etwa die Workflowintegration werden deaktiviert. Das Deaktivieren von Remoteschnittstellen verwenden ist deshalb nicht geeignet, um den Zugriff mit SharePoint Designer zu steuern.

Auf der Serverebene pro Websitedefinition – ONET.XML

Als Serveradministrator können Sie Benutzer am Öffnen von Websites in SharePoint Designer 2007 hindern, indem Sie die Datei ONET.XML auf dem Server ändern. Für jede Websitedefinition gibt es eine Datei ONET.XML, und Änderungen an dieser Datei betreffen alle Websites, die auf dieser Websitedefinition basieren. Beispielsweise können Sie ONET.XML für die Websitedefinition "sts" ändern, wodurch alle Benutzer am Öffnen aller Teamwebsites, die basierend auf dieser Websitedefinition erstellt wurden, in SharePoint Designer gehindert werden. Es gibt keine übergeordnete Datei ONET.XML, mit der alle Websitedefinitionen kontrolliert werden.

Das Ändern von ONET.XML ist eine globale Änderung, die alle Websites auf dem Server betrifft.

1) Öffnen Sie auf dem Server Windows-Explorer, und navigieren Sie zu dem Ordner, der die Websitedefinition enthält:

<Laufwerk:>\Programme\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\SiteTemplates\<Websitetyp>\XML

Hier finden Sie die Websitevorlagen für einen Server mit SharePoint Server 2007. Windows SharePoint Services weist weniger Websitevorlagen auf. Für jede Websitevorlage gibt es eine eigene Datei ONET.xml.
clip_image026

Einige Ordnernamen sind nicht besonders aussagekräftig. Als Schnellreferenz werden in der folgenden Tabelle die Ordnernamen den Websitenamen zugeordnet.

ORDNER WEBSITENAME
BDR Dokumentcenter
BLANKINTERNET Veröffentlichungssite mit Workflow
BLANKINTERNETCONTAINER Veröffentlichungsportal
Blog Blog
CENTRALADMIN Zentraladministration
MPS Enthält die Websitedefinitionskonfigurationen für:
  • Standard-Besprechungsarbeitsbereich
  • Leerer Besprechungsarbeitsbereich
  • Entscheidung-Besprechungsarbeitsbereich
  • Sozialer Besprechungsarbeitsbereich
  • Mehrseitiger Besprechungsarbeitsbereich
offile Datenarchiv
OSRV Verwaltung der gemeinsamen Dienste
PROFILES Profile
PUBLISHING Veröffentlichungssite
SPS SharePoint Portal Server-Website (diese Vorlage ist veraltet)
SPSCOMMU Bereichsvorlage "Community" (diese Vorlage ist veraltet)
SPSMSITE Personalisierungswebsite
SPSMSITEHOST Mein Websitehost
SPSNEWS Website "Nachrichten" (diese Vorlage ist veraltet)
SPSNHOME Website "Nachrichten"
SPSPERS SharePoint Portal Server – Persönlicher Bereich
SPSPORTAL Zusammenarbeitsportal
SPSREPORTCENTER Berichtscenter
SPSSITES Websiteverzeichnis
SPSTOC Bereichsvorlage "Inhalt" (diese Vorlage ist veraltet)
SPSTOPIC Bereichsvorlage "Thema" (diese Vorlage ist veraltet)
SRCHCEN Suchcenter mit Registerkarten
SRCHENTERLITE Suchcenter
sts Enthält die Websitedefinitionskonfigurationen für:
  • Teamwebsite
  • Leere Website
  • Dokumentarbeitsbereich
Wiki Wiki

2) Klicken Sie mit der rechten Maustaste auf die Datei ONET.XML für die Websitedefinition, und öffnen Sie sie in Microsoft Editor.

3) Fügen Sie die folgende Zeile innerhalb des öffnenden Project-Tags hinzu:
DisableWebDesignFeatures=wdfopensite
clip_image028

4) Speichern Sie die Datei, und schließen Sie Microsoft Editor.

5) Führen Sie auf dem Server den Befehl iisreset aus.
(Klicken Sie im Startmenü auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK. Geben Sie an der Eingabeaufforderung iisreset Computername /restart ein, und drücken Sie die EINGABETASTE.)

6) Wenn eine Website dieses Typs in SharePoint Designer geöffnet ist, schließen Sie SharePoint Designer.
Beim Versuch, die Website in SharePoint Designer zu öffnen, sollte die folgende Meldung angezeigt werden.
clip_image030

Weitere Informationen

Knowledge Base 940958: Hindern von SharePoint Designer 2007-Benutzern am Ändern einer Windows SharePoint Services 3.0-Website oder einer SharePoint Server 2007-Website

TechNet: Sonderverzeichnisse und Speicherorte (Office SharePoint Server)

MSDN: Websitedefinitionen und -konfigurationen

MSDN: Project-Element

Auf der Webanwendungsebene für alle Benutzer – Berechtigungen in der Zentraladministration

In der Zentraladministration können Sie Berechtigungen für alle Benutzer und Gruppen in einer Webanwendung aktivieren oder deaktivieren. Die zentrale Verwaltung von Berechtigungen kann praktisch sein, da eine Webanwendung bis zu 150.000 Websitesammlungen enthalten kann. Wenn Sie das Kontrollkästchen für eine Berechtigung in einer Webanwendung deaktivieren, kann diese Berechtigung keinem Benutzer bzw. keiner Gruppe in einer beliebigen Website in einer beliebigen Websitesammlung der Webanwendung zugewiesen werden.

Navigieren Sie zur Website für die Zentraladministration. Klicken Sie auf der Registerkarte Anwendungsverwaltung auf Benutzerberechtigungen für Webanwendung.

clip_image032

Auf der nächsten Seite wird dieselbe Berechtigungsliste wie beim Verwalten der Berechtigungsstufen für eine einzelne Website angezeigt (mit einer Ausnahme: in der Zentraladministration ist die zusätzliche Berechtigung Self-Service Site Creation verwenden vorhanden).

Die Auswirkungen der Deaktivierung bestimmter Berechtigungen wurden weiter oben behandelt. In der Zentraladministration ist jedoch die einfachste Methode, um Benutzer am Bearbeiten von Websites in SharePoint Designer zu hindern, das Deaktivieren der Berechtigung Verzeichnisse durchsuchen, damit sie keine Websites in SharePoint Designer öffnen können. Dies hat allerdings den Nachteil, dass die Benutzer deshalb im Browser nicht auf alle Optionen auf der Seite Websiteeinstellungen Zugriff haben und keine Berechtigungen für Websites in der Webanwendung verwalten können.

Weitere Informationen

TechNet: Verwalten von Berechtigungen für eine Webanwendung (Office SharePoint Server)

Auf der Webanwendungsebene pro Benutzer oder Gruppe – Richtlinie in der Zentraladministration

Die im vorherigen Abschnitt behandelte Option – Berechtigungen für die Webanwendung – ist eine Pauschaleinstellung für alle Benutzer und Gruppen aller Websitesammlungen in einer Webanwendung. Wenn eine feinere Granularität erforderlich ist, können Sie Berechtigungen für bestimmte Benutzer oder Gruppen in einer Webanwendung festlegen. Dazu erstellen Sie eine Richtlinie für die Webanwendung. Im Blog von Joel Olson finden Sie einige Beispiele für Situationen, in denen eine Webanwendungsrichtlinie hilfreich ist.

Und wie Joel erwähnt, ist eine Richtlinie für eine Webanwendung eine Methode für die zentrale Verwaltung von Berechtigungen und unterscheidet sich von einer Informationsverwaltungsrichtlinie (Überwachung, Ablauf, Bezeichnungen, Barcodes), mit der Sie Daten in einer Liste oder Bibliothek verwalten.

Navigieren Sie zur Website für die Zentraladministration. Klicken Sie auf der Registerkarte Anwendungsverwaltung auf Richtlinie für Webanwendung.

clip_image034

Die Verwaltung von Berechtigungsrichtlinien in der Zentraladministration ist weitgehend mit der Verwaltung von Berechtigungen in einer SharePoint-Teamwebsite vergleichbar. Sie können Benutzer hinzufügen, Berechtigungsstufen konfigurieren und dann Benutzern eine Berechtigungsstufe zuweisen.

clip_image036

Außer dem Trick mit der Festlegung von Berechtigungen in einer Richtlinie sind für jede Berechtigung zwei Kontrollkästchen vorhanden, nämlich Erteilen und Verweigern. Wenn Sie beide Kontrollkästchen deaktiviert lassen, wird mit der Richtlinie diese Berechtigung nicht explizit erteilt oder verweigert. Es liegt dann im Ermessen der Websitebesitzer der Webanwendung , ob die Benutzer über diese Berechtigung verfügen sollen. Wenn Sie eine Berechtigung im Rahmen einer Webanwendungsrichtlinie explizit erteilen, verfügt der Benutzer über die Berechtigung, und dies kann von einem Websitebesitzer nicht auf der Websiteebene außer Kraft gesetzt werden. Entsprechend werden Benutzer durch das explizite Verweigern einer Berechtigung daran gehindert, jemals über diese Berechtigung zu verfügen.

clip_image038

Ihre Optionen, um mithilfe von Berechtigungen SharePoint Designer zu sperren, sind mit den oben erwähnten Optionen identisch. Als Schnellreferenz wird in der folgenden Tabelle gezeigt, mit welchen standardmäßigen Richtlinienstufen für Berechtigungen diese Berechtigungen ereilt oder verweigert werden. Die einfachste Methode zum Sperren von SharePoint Designer besteht im Hinzufügen einer neuen Richtlinienstufe für Berechtigungen, mit der Verzeichnisse durchsuchen explizit verweigert wird (mit den oben beschriebenen Nachteilen im Zusammenhang mit Abhängigkeiten), und im anschließenden Zuweisen dieser Richtlinie zu bestimmten Benutzern oder Gruppen.

RICHTLINIENSTUFE FÜR BERECHTIGUNGEN SEITEN HINZUFÜGEN UND ANPASSEN VERZEICHNISSE DURCHSUCHEN LISTEN VERWALTEN
Vollzugriff Erteilt Erteilt Erteilt
Alles lesen Leer
(weder erteilt noch verweigert)
Erteilt Leer
(weder erteilt noch verweigert)
Schreiben verweigern Verweigert Leer
(weder erteilt noch verweigert)
Verweigert
Alles verweigern Verweigert Verweigert Verweigert
Weitere Informationen

TechNet: Verwalten von Berechtigungen mithilfe von Richtlinien (Office SharePoint Server)

Auf der Websiteebene pro Benutzer oder Gruppe – Websiteberechtigungen

Ein Websitebesitzer kann Berechtigungen auf Benutzer- oder Websitebasis festlegen.

Wenn die Website keine Berechtigungen erbt:

· Klicken Sie im Menü Websiteaktionen auf Websiteeinstellungen und dann auf Erweiterte Berechtigungen. Klicken Sie im Menü Einstellungen auf Berechtigungsstufen.

Wenn die Website Berechtigungen erbt:

· Klicken Sie im Menü Websiteaktionen auf Websiteeinstellungen und dann auf Erweiterte Berechtigungen. Klicken Sie im Menü Aktionen auf Berechtigungen bearbeiten und dann auf OK. Klicken Sie im Menü Einstellungen auf Berechtigungsstufen.

Auf der Websiteebene sind die gleichen Berechtigungen mit den gleichen Abhängigkeiten wie oben beschrieben verfügbar. Als Schnellreferenz wird in der folgenden Tabelle gezeigt, welche standardmäßigen Berechtigungsstufen in SharePoint Server 2007 diese Berechtigungen aufweisen.

BERECHTIGUNGSSTUFE SEITEN HINZUFÜGEN UND ANPASSEN VERZEICHNISSE DURCHSUCHEN LISTEN VERWALTEN
Vollzugriff (Gruppe "Besitzer") Ja Ja Ja
Entwerfen Ja Ja Ja
Hierarchie verwalten Ja Ja Ja
Genehmigen Nein Ja Nein
Mitwirken (Gruppe "Mitglieder") Nein Ja Nein
Lesen (Gruppe "Besucher") Nein Nein Nein
Nur anzeigen (Gruppe "Anzeigende Benutzer") Nein Nein Nein
Beschränkter Zugriff Nein Nein Nein

Es gelten die folgenden einfachen Anweisungen:

· Um Benutzer am Öffnen einer Website in SharePoint Designer zu hindern, fügen Sie sie der Gruppe Besucher hinzu. Beachten Sie, dass Besucher auch keine Elemente oder Dateien in Listen oder Bibliotheken mithilfe des Browsers bearbeiten können.

· Um Benutzer am Bearbeiten einer Website in SharePoint Designer zu hindern, fügen Sie sie der Gruppe Mitglieder hinzu. Mitglieder können Elemente oder Dateien in Listen oder Bibliotheken mithilfe des Browsers bearbeiten. Sie können auch eine Website in SharePoint öffnen (aber nicht bearbeiten).

· Um Benutzern das Bearbeiten einer Website in SharePoint Designer, aber nicht das Ausführen von Websitebesitzeraufgaben (z. B. das Verwalten von Berechtigungen) zu erlauben, erstellen Sie die Gruppe Designer, und weisen Sie ihr die Berechtigungsstufe Entwerfen zu. Benutzer mit der Berechtigungsstufe Entwerfen können eine Website in SharePoint Designer öffnen und bearbeiten, verfügen aber nicht über die Berechtigung Berechtigungen verwalten.

Beachten Sie, dass Berechtigungen auf der Websiteebene durch Berechtigungen auf der Webanwendungsebene außer Kraft gesetzt werden. Selbst wenn Sie einem Benutzer die Berechtigungsstufe Vollzugriff für Ihre Website zuweisen, wird diesem Benutzer der Zugriff verweigert, wenn die erforderlichen Berechtigungen in der Zentraladministration entfernt oder verweigert wurden.

Weitere Informationen

Office Online: Berechtigungsstufen und Berechtigungen

Office Online: Verwalten von Berechtigungsstufen

Auf der Websiteebene pro Benutzer oder Gruppe (kein Sicherheitsfeature) – Mitwirkendeneinstellungen

Mit dem Mitwirkendeneinstellungsfeature können Sie den Mitwirkungsmodus aktivieren und konfigurieren, bei dem es sich um einen Modus mit beschränktem Zugriff in SharePoint Designer 2007 handelt. Benutzer, die eine Website zum Bearbeiten in SharePoint Designer 2007 öffnen, haben Zugriff auf unterschiedliche Befehle oder Features, je nachdem, welcher Gruppe von Mitwirkenden sie angehören und welche Bearbeitungseinschränkungen dieser Gruppe zugewiesen wurden.

Klicken Sie im Menü Site auf Mitwirkendeneinstellungen.

clip_image040

Mitwirkendeneinstellungen ermöglichen die differenzierte Kontrolle darüber, welche Benutzer welche Aufgaben in SharePoint Designer 2007 ausführen können. Beachten Sie dabei jedoch die folgenden beiden Punkte:

· Im Gegensatz zu Berechtigungen sind Mitwirkendeneinstellungen kein Sicherheitsfeature. Der Mitwirkungsmodus ist für die Verwendung in einer Umgebung vorgesehen, in der Websitebesitzer den Absichten der Benutzer vertrauen. Mit dem Mitwirkungsmodus können Benutzer zur Ausführung ihrer Aufgaben in eine bestimmte Richtung gelenkt werden, wodurch versehentliche Änderungen an der Website vermieden werden.

· Die Berechtigungen eines Benutzers können nicht durch die Mitwirkendeneinstellungen außer Kraft gesetzt werden. Berechtigungen sind ein Sicherheitsfeature; Mitwirkendeneinstellungen sind kein Sicherheitsfeature. Bei einem Konflikt zwischen den beiden Konzepten haben Berechtigungen immer Vorrang vor Mitwirkendeneinstellungen.

Sie benötigen die Berechtigung Berechtigungen verwalten zum Aktivieren bzw. Deaktivieren von Mitwirkendeneinstellungen. In SharePoint Server 2007 enthalten standardmäßig nur die Berechtigungsstufen Vollzugriff und Hierarchie verwalten diese Berechtigung. Deshalb können standardmäßig nur Benutzer in der Gruppe Besitzer Mitwirkendeneinstellungen deaktivieren.

clip_image042

Wenn schließlich ein Benutzer versucht, eine Datei in einem Speicherort zu speichern, der gemäß den Mitwirkendeneinstellungen nicht zulässig ist, wird die übliche Meldung Zugriff verweigert angezeigt.

clip_image004[2]

Mitwirkendeneinstellungen können nur auf Websitebasis konfiguriert werden, und diese Einstellungen werden in einer HTM-Datei gespeichert. Sie können jedoch diese Einstellungen in einer temporären Website konfigurieren, die HTM-Datei speichern und dann diese Datei mithilfe des File-Elements in eine Websitedefinition einbeziehen. Auf diese Weise weisen alle mit dieser Websitedefinition erstellten Websites die gleichen Mitwirkendeneinstellungen auf.

clip_image044

Weitere Informationen

Office Online: Einführung in Teilnehmereinstellungen

Office Online: Verwenden von Teilnehmereinstellungen als Sitemanager

Pro Benutzer oder pro Computer – Gruppenrichtlinie

In einem Windows-basierten Netzwerk können Administratoren mithilfe von Gruppenrichtlinieneinstellungen die Arbeitsweise von Benutzern mit dem 2007 Microsoft Office System, einschließlich SharePoint Designer 2007, steuern. Administratoren können mithilfe von Gruppenrichtlinieneinstellungen eine Office-Konfiguration auf den Computern der Benutzer definieren und verwalten. Im Gegensatz zu anderen Anpassungen (z. B. in einer Setupanpassungsdatei weitergegebene Standardeinstellungen) werden Richtlinieneinstellungen erzwungen und können zum Erstellen von Konfigurationen mit einem hohen oder geringen Verwaltungsaufwand verwendet werden. Beispielsweise können Administratoren mithilfe von Richtlinieneinstellungen Menübefehle der Benutzeroberfläche und die entsprechenden Symbolleistenschaltflächen und Tastenkombinationen deaktivieren.

Sie können Richtlinieneinstellungen erstellen, die für den lokalen Computer und jeden Benutzer dieses Computers oder aber nur für einzelne Benutzer gelten:

· Richtlinieneinstellungen pro Computer werden angewendet, wenn sich ein Benutzer zum ersten Mal von diesem Computer aus beim Netzwerk anmeldet.

· Richtlinieneinstellungen pro Benutzer werden angewendet, wenn sich der angegebene Benutzer von einem beliebigen Computer aus beim Netzwerk anmeldet.

Eine Gruppenrichtlinie hat nichts zu tun mit einer Berichtigungsrichtlinie in der Zentraladministration und einer Informationsverwaltungsrichtlinie, die auf eine Liste oder Bibliothek angewendet wird. Mit der Gruppenrichtlinie wird der Zugriff auf Objekte wie z. B. Websites oder Websitesammlungen in einer SharePoint-Bereitstellung nicht kontrolliert. Vielmehr können mit einer Gruppenrichtlinie Befehle und Schaltflächen in der Benutzeroberfläche von SharePoint Designer 2007 deaktiviert werden. Wenn z. B. die Benutzer keine ressourcenintensive Aufgaben wie etwa das Sichern von Websites zu Spitzenzeiten ausführen sollen, können Sie mit Gruppenrichtlinien den Befehl Sicherungskopie der Website erstellen in SharePoint Designer für bestimmte Computer oder Benutzer deaktivieren.

Zum Deaktivieren der Benutzeroberfläche müssen Sie die Symbolleisten-Steuerelement-ID (Toolbar Control ID, TCID) für die Steuerelemente von 2007 Office System angeben. Für Office 2007-Programme, die das Menüband verwenden, enthält dieser Download eine Liste der TCIDs.

In SharePoint Designer 2007 gibt es Steuerelement-IDs, die den gleichen VBA-Code wie in Office 2003 verwenden. Schritte und VBA-Codeausschnitte finden Sie unter Office Online: Verwalten der Konfigurationen von Benutzern mithilfe von Richtlinien.

Anhang

Als Schnellreferenz sind in der an diesen Beitrag angefügten Tabelle die TCIDs für alle Menüs und Befehle in SharePoint Designer 2007 aufgelistet.

Weitere Informationen

TechNet: Erzwingen von Einstellungen mithilfe von Gruppenrichtlinien

TechNet: Deaktivieren von Benutzeroberflächenelementen und Tastenkombinationen

Enterprise Management mit der Gruppenrichtlinien-Verwaltungskonsole

Office Online: Verwalten der Konfigurationen von Benutzern mithilfe von Richtlinien

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter Locking Down SharePoint Designer