Tipp: SharePoint-Berechtigungen automatisch dokumentieren–mit Bordmitteln
Wer hat wo welche Zugriffsrechte in einer SharePoint-Site? Früher oder später müssen sich Webseiten-Besitzer mit diesem Thema befassen, und meist wird dabei schnell klar, dass eine Dokumentation erforderlich wäre. In der Praxis bleibt es aber meist bei Absichtsbekundungen, die üblichen Entschuldigungen lauten meist “Vergessen”, “keine Zeit”, “zu aufwändig” oder ähnliches.
Falls tatsächlich doch mal Berechtigungen dokumentiert werden, ist das Ergebnis oft wenig brauchbar, weil es an der Aktualität mangelt. Hinzu kommt ein weiteres typisches Problem, dass vielfach falsche oder nicht relevante Informationen aufgezeichnet werden. Auf was es tatsächlich ankommt beim Dokumentieren von Berechtigungen, welche Informationen dabei überflüssig sind und wie man das alles automatisieren kann, zeigt folgender Beitrag:
Dokumentieren mit Excel – und überflüssigen Daten
Als Hilfsmittel zur Dokumentation kommt häufig Excel zum Einsatz. (Video 1:50) Das Bild links zeigt eine typische Tabelle, wie man sie bei Kunden vorfindet, befüllt mit vielen Daten, die nicht unbedingt notwendig wären.
Welche Daten sind in einer Dokumentation überflüssig?
- Viele Daten, die über Berechtigungen aufgezeichnet werden, sind überflüssig. So werden beispielsweise Listen von Gruppenmitgliedern nicht benötigt, da diese Informationen immer im SharePoint zu finden sind. Dort sind sie über die Websiteeinstellungen im Bereich „Benutzer und Gruppen“ als Übersicht verfügbar. (Video 2:25)
- Auch die Liste der Mitglieder ist schnell einsehbar, sobald man eine Gruppe öffnet. Sie muss somit ebenfalls nicht extra dokumentiert werden. Führt man die Mitglieder dennoch in separaten Aufzeichnungen, kann es passieren, dass diese externen Informationen veraltet sind und nicht mehr mit den SharePoint-Eintragungen übereinstimmen.
- Oft wird auch noch dokumentiert, welche Berechtigungen den Gruppen erteilt wurden. Häufig noch unterteilt, wann und wo die Berechtigung unterbrochen wurde, also etwa in der Dokumentenbibliothek, in einer Liste oder in einer Site a, b oder c. Auch diese Dinge sind ohnehin bereits in SharePoint gespeichert. Man findet sie in den Websiteeinstellungen (Zahnrad) unter Websiteberechtigungen. (Video 3:32)
Alle Berechtigungen auf einen Blick in SharePoint anzeigen
Um sich diesen ganzen unnötigen Aufwand also zu sparen, kann man in eine beliebige SharePoint-Dokumentenbibliothek gehen und sich darin die Berechtigungen auf einen Blick anzeigen lassen (Bibliothek, Freigegeben für, erweitert). Damit alleine spart man sich jeglichen Aufwand des Aufzeichnens.
Eine Information fehlt in SharePoint: Berechtigungsunterbrechungen
Kommen wir also zum eigentlich wichtigen Teil beim Thema Dokumentation, nämlich der Frage: “Wo wurden Berechtigungen unterbrochen?” Streng genommen ist das die einzige wichtige Information in der Website-Verwaltung, die dokumentiert werden sollte, weil man sie nicht so einfach im SharePoint findet. (Video 4:56) Vererbungsunterbrechungen sind Administrations-aufwändige Sonderberechtigung, die in Bibliotheken, Teamsites oder beliebigen Elementen vorkommen können. (Video 5:33)
Um solche Ausnahmen aufzuzeichnen, kann man einerseits eine Word-Datei führen, in die man bei jeder erfolgten Unterbrechung den betreffenden Link kopiert, um diese zu sammeln. Dieser Ansatz ist zwar nicht elegant, aber funktional.
Automatisierte Dokumentation mit Bordmitteln
Eleganter ist jedoch eine automatisierte Form der Dokumentation, die sich mit SharePoint-Bordmitteln realisieren lässt. Um eine solche Lösung zu erstellen, benötigt man als erstes eine Gruppe, die man über die Websiteeinstellungen bei „Benutzer und Gruppen“ anlegen kann. Die neue Gruppe benennt man idealerweise auch gleich „Berechtigungsunterbrechungs-Protokoll“.
- Man sollte selbst Gruppenbesitzer bleiben, kann aber auch eine andere Person oder eine andere Gruppe eintragen. Die Gruppe braucht keine Standardberechtigungen. Damit ist der erste Schritt zum Anlegen einer Protokollgruppe getan. Hier kann man übrigens optional Mitglied sein, jedoch muss nicht unbedingt jemand aufgeführt sein.
- Anschließend berechtigt man die Gruppe nun auf der eigenen Site. Das geht auch wieder über die
Websiteeinstellungen, in „Websiteberechtigungen“, wo man „Berechtigungen erteilen“ aktiviert und dann die Gruppe dazufügt. (Video 7:18)
- Diese Gruppe benötigt keine E-Mail-Einladung. Man erteilt ihr lediglich „Lesen“-Rechte, was aber keine Rolle spielt, da man ja niemanden berechtigen, sondern nur protokollieren möchte. Sobald man auf „Freigeben“ geht, hat man die Gruppe eingetragen.
Testlauf: Erzeugen einer Vererbungsunterbrechung
Um nach dieser Vorbereitung einen Testlauf zu starten und dafür eine Berechtigung in einer Dokumentenbibliothek zu ändern, geht man auf ‘Freigeben’ in den Berechtigungseinstellungen, um die Vererbung zu unterbrechen. Hier kann man nun eintragen, wer in der Bibliothek berechtigt sein soll. Für unser Szenario ist nur wichtig, dass die “Berechtigungsunterbrechungs-Protokoll”-Gruppe drin bleibt. Als nächstes könnte man noch in eine Subsite gehen und eine andere Berechtigungen festlegen (Websiteeinstellungen; Websiteberechtigungen; Berechtigungen beenden). Solange die Protokollgruppe in den Websiteberechtigungen aufgeführt ist, kann sie auch protokollieren.
Um die erfolgreiche Umsetzung zu überprüfen, verschafft man sich nun einen Überblick darüber, wo überall Unterbrechungen auftreten. Hierzu geht man wieder über die Websiteeinstellungen und Benutzer und Gruppen zur Protokollgruppe. Auf Gruppen oder in der Linkleiste links sieht man bereits den Link dazu. Sobald man darauf klickt, kann man auf Einstellungen gehen und sich die Gruppenberechtigungen anzeigen lassen. So sieht man, wo diese Gruppe überall verwendet wurde – und damit, wo die Vererbung überall unterbrochen wurde. (Video 9:58)
Im Bild ist das Ergebnis zu sehen: Oben ist die Top-Level-Site, dann kommt die Subsite und ganz unten die Dokumentenbibliothek. Somit haben wir hier einen perfekten Überblick, der uns zeigt, wo Unterbrechungen bestehen. Der einzig zu beachtenden Punkt wie schon erwähnt, ist, dass man die Gruppe immer dort einträgt, wo eine Unterbrechung vorgenommen wird.
Damit haben wir eine simple Möglichkeit erhalten, um Berechtigungen automatisch zu dokumentieren – mit Hilfe von Standardfunktionen aus SharePoint.
Das Video zum Tipp
Hallo,
meines Erachtens ist die Idee okay und funktioniert sicherlich auch, aber erfordert mindestens genauso viel Disziplin wie das sonstige Führen einer anderweitigen Dokumentation.
Außerdem kann man immer nur den aktuellen Status einsehen.
Ich würde gerne folgenden Tipp ergänzend einbringen: Nutzung des permission reports bei aktiviertem Audit Logging. Dies kann in der Zentraladministration aktiviert werden.
Dort ist die Historie der kompletten Site collection beinhaltet bzgl. Gruppen, Mitgliedern und Berechtigungen.
Viele Grüße,
Constanze Pretzler
Hallo Frau Pretzler,
vielen Dank für Ihren Kommentar. Die Erleichterung sehe ich darin, dass man nicht daran denken muss etwas zu dokumentieren – man darf einfach die Protokollgruppe nicht herauslöschen. Eingetragen wird sie bei einer Unterbrechung ja automatisch, wenn sie zuvor darüber eingefügt wurde.
Danke auch für Ihren Vorschlag! Das ist eine gute Idee, erfordert aber ja den Zugriff auf die Zentraladministration.
Freundliche Grüße
Thomas Maier