Kein Limited Access mehr

Gestern war ich ganz überrascht, als ich beim Kunden festgestellt habe, dass es keine Limited Access bzw. “Beschränkter Zugriff” Berechtigungen mehr gibt. Wer schon etwas länger mit SharePoint arbeitet, kennt “Limited Access”: image

Hintergrund

“Limited Access” ist ein Permission Level und damit eine Berechtigung, die SharePoint selbst vergibt, sobald man auf einer Bibliothek oder einem Ordner explizite Berechtigungen für einen Benutzer vergibt, der das übergeordnete Objekt nicht lesen darf. Beispiel: Eine SharePoint Gruppe “Members” hat Zugriff auf eine Site Collection. Jeff ist jedoch nicht Mitglied dieser Gruppe und benötigt Zugriff auf die Bibliothek “Shared Documents”. Vergibt man nun explizite Rechte auf die Bibliothek indem ich zuerst die Vererbung unterbreche und anschließend den Benutzer berechtige, wird auf Site Collection Ebene dieses Recht vergeben. Idee dabei ist, dass der Nutzer darüber das Recht bekommt, bis zu diesem Objekt zu navigieren.

Verhalten SharePoint 2010 vs. SharePoint 2013

Kurzerhand habe ich dieses Verhalten nachgestellt und möchte mein Ergebnis teilen. Dabei vergleiche ich SharePoint 2010 und 2013 (SP1) – jeweils on-premise. Auf beiden Umgebungen habe ich eine neue Site Collection “securitylimitedaccess” angelegt. Der Blick in die Berechtigungen ergibt die Standard SharePoint Gruppen (ohne Mitglieder). Ich bin lediglich Site Collection Administrator, der Screenshot zeigt 2013 vs. 2010: image Im nächsten Schritt vergebe ich explizite Berechtigungen auf der Standardbibliothek “Documents” bzw. “Shared Documents”. Dabei hebe ich die Vererbung auf, und füge einen Benutzer “Jeff” mit “Full Control” hinzu – der Benutzer hat zuvor keine Berechtigungen. Der Screenshot zeigt die Berechtigungen auf der Bibliothek (2013 vs. 2010): image Jetzt vergleichen wir doch die Berechtigungen auf Site Collection Ebene… Der Screenshot zeigt 2013 vs. 2010: image Und siehe da, in SharePoint 2013 taucht der Benutzer Jeff, den ich gerade auf einer untergeordneten Bibliothek explizit berechtigt habe, gar nicht mehr auf. In SharePoint 2010 wird “Jeff” mit “Limited Access” angezeigt, was dem Administrator zumindest die Information gibt – Achtung, irgendwo hat dieser Benutzer explizit Berechtigungen.

Aus Sicht des Benutzers

Wenn SharePoint 2013 also das Recht “Limited Access” nicht mehr vergibt, wie wirkt es sich dann aus Sicht des Benutzer aus? Schauen wir uns das Ergebnis mit unserem Testnutzer “Jeff” an – das Recht haben wir gerade vergeben. Dazu nehme ich direkt die URL der Bibliothek, z.B. http://intranet/sites/SecurityLimitedAccess/Shared Documents : image Beide Bibliotheken werden wie erwartet angezeigt, der Benutzer verfügt über das entsprechende Recht. Allerdings sieht der Benutzer auf SharePoint 2010 deutlich mehr, z.B. alle Navigationselemente auf der linken Seite: image Noch etwas verwirrender, er darf sogar auf diese anderen Listen und Bibliotheken zugreifen – sieht aber dessen Inhalt nicht. Hier im Vergleich Liste “Calendar”, die in der Navigation oben eingeblendet wird, mit einem Admin Benutzer und “Jeff”: image

…und die Startseite der Site Collection

…auf die darf in keinen der beiden Konstellation der Benutzer zugreifen, d.h. er muss exakt die URL kennen. Screenshot zeigt die Meldung beim Zugriff auf die Site Collection Seite 2013 vs. 2010: image

Fazit

Damit ist die Berechtigung bzw. das Permission Level “Limited Access” Vergangenheit. Man muss also selbst die Rechte konfigurieren, wenn ein Benutzer in der Lage sein soll, sich bis zu seiner Bibliothek durchzuhangeln.
Eine Ausnahme, die noch in SharePoint 2013 auftauchen kann, und zwar wenn eine Migration von SharePoint 2010 stattgefunden hat, dann taucht “Limited Access” unter Umständen doch noch auf. Einmal mehr zur Schwierigkeit wird es allerdings, wenn ich herausfinden möchte, wer effektiv Berechtigungen auf einer Site Collection hat. Dafür gibt es z.B. das “Check Permissions” in SharePoint 2013, jedoch taucht der Benutzer, so wie wir es hier konfiguriert haben, dabei gar nicht auf…: image AvePoint DocAve Administrator bietet eine Möglichkeit mithilfe der Security Search Berechtigungsreports zu erstellen – damit gewinnen Sie den Überblick. Weitere Informationen unter www.avepoint.de

0 0 votes
Article Rating
Teilen

Autor: Dennis Hobmaier

Dennis Hobmaier ist Consultant - Digital Workspace bei Insight Technology Solutions GmbH. Er hat über 15 Jahre Erfahrung in IT-Enterprise Umgebung aller Größenordnungen und bedient Kunden aus den unterschiedlichsten Branchen. Als MCSE SharePoint hat er tiefgreifende Kenntnisse in den Bereichen Microsoft Active Directory, Windows, Azure, SharePoint und Office 365. Gerne teilt er seine Projekterfahrung mit Ihnen.

Subscribe
Notify of
guest

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .

0 Comments
Inline Feedbacks
View all comments