SharePoint 2016 - Falsches Verhalten von beschränkten Zugriff auf Websiteebene

Question

Hallo zusammen,

wir haben einen Bug/verändertes Verhalten festgestellt bzgl. beschränktem Zugriff bei unterbrochener Vererbung.

Also bei einer Testsitecollection (komplett leerer Server, keine WSPs, nackig) haben wir bei Dokumente und bei Websiteberechtigungen die Gruppe Benutzer rausgelöscht und bei der Bibliothek Dokumente die Vererbung unterbrochen. Wird z.B. die Gruppe Besucher eingefügt und Berechtigung Lesen erteilt, so bekommt ja auch die Gruppe Besucher bei den Websiteberechtigungen das Lesenrecht.

Ändere ich nun auf Bibliotheksebene das Recht zusätzlich zu Mitwirken, so wird auf Websiteebene zusätzlich das Recht Beschränkter Zugriff aktiviert, was so in den alten Versionen nicht der Fall war. Denn dadurch bekommen Benutzer beim Anlegen von Apps Berechtigungen auf diese, welche sie gar nicht haben dürften.

16.0.4471.1000 – Dezember 2016 -> Verhalten nicht nachstellbar, sprich in Ordnung.

Ab 16.0.4732.1000 – August 2018 und neueren CUs nachstellbar.

Ich schätze irgendwo zwischen diesen CUs wurden das Verhalten geändert, kann aber in den Release Notes nichts finden.

Kann das jemand nachstellen, bestätigen oder hat eine Lösung für das Problem?

Danke und Grüße

Martyn

Answer 1

Hi Martyn,
ich vermute, hier liegt ein Verständnisproblem vor. 

Beim Brechen der Vererbung werden lediglich Verweise auf die SharePoint-Gruppen als neuer Rechte-Satz kopiert. Alle SharePoint-Gruppen, die irgendwo in der Websitesammlung genutzt werden, liegen in der Websitesammlung (d.h. im äußeren Container). Wenn also bei gebrochener Vererbung in einer Gruppe etwas geändert wird, dann wirkt sich das auch überall dort aus, wo diese Gruppe genutzt wird, ggf. im Root-Web. Besser ist es, nach dem Bruch der Vererbung eine neue SharePoint-Gruppe anzulegen, diese mit den Zugriffsstufen (Permission level) zu verknüpfen und dann nur in dieser Ebene zu nutzen.

---

--
Best Regards / Viele Grüße
Peter Fleischer (former MVP for Developer Technologies)
Homepage, Tipps, Tricks

Answer 2

Hi Peter,

ich denke wir reden gerade aneinander vorbei. :-)

Hier einmal die Reihenfolge, was wir getan haben:

1. Benutzer angelegt und Lesend berechtigt

2. Benutzer auf Liste berechtigt

3. Vererbung bei Liste aufgebrochen

4. Benutzer als Mitwirken berechtigt

Resultat: Auf Webseiteebene ist der Benutzer nun Lesend und mit Beschränktem Zugriff berechtigt.

Erstelle ich eine neue Liste, Bibliothek sind die Benutzer darauf ebenfalls berechtigt.

Ich hoffe ich habe damit mein/unser Problem besser beschrieben.

Danke und Grüße

Martyn

Answer 3

Hi Martyn,
habt Ihr in Punkt 4 eine neue SharePoint-Gruppe mit Mitwirken-Berechtigung angelegt und den betreffenden Benutzer dort eingetragen?

Das geschilderte Verhalten sieht aus, wie ich bereits geschrieben habe. Nach dem Brechen der Vererbung werden Verweise auf die ursprünglichen SharePoint-Gruppen eingetragen. Wenn darin geändert wird (z.B. Nutzer als Mitwirkender hinzugefügt), dann werden diese Änderungen in der übergeordneten Ebene wirksam und die Neuanlage einer Liste / Bibliothek erbt dann diese Gruppen, d.h. die Liste / Bibliothek hat dann den Nutzer auch als Mitwirkenden.

Wo reden wir da aneinander vorbei?

---

--
Best Regards / Viele Grüße
Peter Fleischer (former MVP for Developer Technologies)
Homepage, Tipps, Tricks