In der Artikelreihe "SharePoint - Rollen und Berechtigungen" wird auf die Konzeption von Berechtigungensvergabe und planen der benötigten Rollen für den SharePoint Betrieb eingegangen. Die Erfahrung zeigt, dass diese Konzeption an die Technologie "SharePoint" angepasst werden muss und zur Einführung eines SharePoint Systems nicht vernachlässigt werden darf. Dieser vierte Artikel schließt nach den ersten drei Artikeln
mit dem Fazit ab.
Fazit
"Bei einer ganzheitlichen Betrachtung aller relevanten Themen zu Rollen- und Berechtigungen zeigt sich auf den ersten Blick eine stimmige Best Practice"
Bei einer ganzheitlichen Betrachtung aller relevanten Themen zu Rollen- und Berechtigungen zeigt sich auf den ersten Blick eine stimmige Best Practice, die sich über die Themengebiete Rollen, Authentifizierung und Autorisierung erstreckt und eine Antwort auf die sich ergebenden Fragen liefert. Die konsequente Verwendung von Gruppen zur Autorisierung ermöglicht in Verbindung mit der Entkopplung von organisatorisch strukturierten Gruppen im Verzeichnisdienst und funktional strukturierten Gruppen in SharePoint die beste Anwendbarkeit und dementsprechend auch die maximale Einsparung am Aufwand. Außerdem ist in den meisten Fällen nur durch die zuvor erwähnte Entkopplung gewährleistet, dass Verantwortlichkeiten mit der richtigen Kompetenz umgesetzt werden und sich diese nicht übermäßig überschneiden. Ein Websiteadministrator hat auch weiterhin keine Verantwortung für die laufenden Wartungsarbeiten aufgrund organisatorischer Veränderungen, ein Administrator des Verzeichnisdienstes hingegen benötigt auch weiterhin nicht die Kompetenz zu entscheiden, ob die vom Ihm angelegten Gruppen nun auf bestimmten SharePoint Seiten berechtigt werden oder nicht.
"[...] je mehr Website Administratoren dementsprechend eingesetzt werden, desto weniger lässt sich die Best Practice durchsetzen."
Jedoch setzt diese Best Practice in der Praxis optimale Umsetzung der Empfehlungen voraus, die sich auf technischer Ebene nicht durchsetzen lassen. Auf fachlicher Ebene lassen sich die benötigten Kompromisse zur Umsetzung der Best Practice nur zu einem gewissen Grad realisieren. Technisch gesehen ist es nicht zu vermeiden, dass anstatt der organisatorisch strukturierten Gruppen aus dem Verzeichnisdienst einzelne Benutzer in SharePoint direkt berechtigt werden. Auch mit entsprechender Schulung der Website Administratoren kann man nicht garantieren, dass die Empfehlungen eingehalten werden. Auf der anderen Seite stellt es eben für die fachlich kompetenten Website Administratoren ein nicht immer akzeptierter Kompromiss dar, immer komplette organisatorisch strukturierte Gruppen zu verwenden. Oftmals soll ein Personenkreis berechtigt werden, der noch nicht in einer Gruppe organisiert ist. In jeder Betriebsphase einer SharePoint Farm wird daher die Best Practice mehr oder weniger nicht eingehalten werden. Je größer die Farm wird und je mehr Website Administratoren dementsprechend eingesetzt werden, desto weniger lässt sich die Best Practice durchsetzen.
"Die in den vorangegangenen Artikeln erläuterte Best Practice hilft, hat allerdings auch Schwachstellen"
Wie Eingangs der Artikelreihe erwähnt ist das Berechtigungskonzept bei vielen Betriebskonzepten einer SharePoint Farm ein Schwachpunkt, der nicht oder unzureichend betrachtet wurde. Das resultierende Ergebnis waren SharePoint Administratoren, die kaum in der Lage sind, Benutzerberechtigungen zu klonen oder effektiv herauszufinden. Die in den vorangegangenen Artikeln erläuterte Best Practice hilft, hat allerdings auch Schwachstellen.
"Ein in der Praxis bewährtes Tool hierfür ist das DocAve SharePoint Administrator der Firma AvePoint"
Die Empfehlung kann daher nur sein, die Best Practice zwar zu ermöglichen und zu schulen, sich als SharePoint Administrator aber nicht darauf zu verlassen. Die Schwachstellen kompensiert man als SharePoint Administrator mit erheblichem Aufwand zur Bewältigung von administrativen Aufgaben bezüglich Rollen- und Berechtigungskonzept, indem man mit einem Administrator des Verzeichnisdiensts und Power Shell die Anforderungen abdeckt oder durch Einsatz von zusätzlichen Tools. Die häufigsten dieser administrativen Anforderungen sind sicherlich das Auflisten der effektiven Berechtigungen eines Benutzer oder das Kopieren der effektiven Rechte von einem auf den anderen Benutzer.
Ein in der Praxis bewährtes Tool hierfür ist das DocAve SharePoint Administrator der Firma AvePoint. Dieser unterstützt den SharePoint Administrator bei alltäglichen administrativen Aufgaben, nicht nur aus dem Bereich „Rollen- und Berechtigungskonzept“, sondern auch beim Anlegen ganzer Websitestrukturen und Arbeiten mit Galarieinhalten wie Inhaltstypen. Vergleicht man den benötigten Aufwand für solche administrative Aufgaben ohne Tools zur Unterstützung, lohnt sich deren Lizenzierung schon recht schnell bei dem Einsatz einer SharePoint Farm mittlerer Größe.
Good Luck,
Andreas