20 Konfiguration von Project Server 2016/Project Online
In diesem Kapitel erfahren Sie, wie Sie Microsoft Project Server/Project Online an Ihre Organisationsanforderungen anpassen. Die detaillierte Beschreibung der Funktion der Menüpunkte und Empfehlungen für die Servereinstellungen werden Ihnen helfen, Microsoft Project Server/Project Online optimal für Ihre Unternehmung zu konfigurieren.
Beim Betrieb des Microsoft Project Servers unterscheidet man zwischen technischer und fachlicher Administration. Der technischen Administration obliegen hierbei die Konfiguration und Bereitstellung der Infrastruktur und die Sicherstellung der Verfügbarkeit des Systems. Dazu gehören insbesondere regelmäßige Wartungsaufgaben und die Sicherung des Systems. Bei der Nutzung von Project Online werden diese technischen Aufgaben quasi in die Cloud ausgelagert. Statt der eigenen IT-Abteilung kümmern sich dann Microsoft-Mitarbeiter um diese Aufgaben.
Dieses Kapitel richtet sich primär an die fachlichen Administratoren des Project Servers/Project Online. Diese Rolle wird meist von einem Mitarbeiter des Projektmanagements wahrgenommen.
Seit Project Server 2013 sind Teile der Administration in die SharePoint-Zentraladministration ausgelagert wurden. So gibt es für die Konfiguration der on-premises-Variante neben den PWA-Einstellungen innerhalb der PWA-Website noch für jede PWA-Instanz PWA-Einstellungen innerhalb des Abschnitts Allgemeine Anwendungseinstellungen der SharePoint-Zentraladministration. Diese Abschnitte sind dann für den IT-affineren Fachadministrator gedacht. Selten erleben wir, dass sich um diese Themen dann tatsächlich ein technischer Administrator kümmert.
Der Link auf die PWA-Einstellungen ist nicht standardmäßig in der Schnellstartleiste eingeblendet. Sie kommen aber auch einfach und jederzeit über das Kontextmenü für Einstellungen, symbolisiert durch das Rädchen am rechten oberen Teil der PWA-Webseite, dorthin. Hier finden Sie den Menüpunkt zur Navigation zu den PWA-Einstellungen (siehe Abbildung 20.1).
Abbildung 20.1 Der Link zu den »PWA-Einstellungen« befindet sich nun
standardmäßig im Dropdown-Menü der Einstellungen der Webseite.
Die PWA-Einstellungen präsentieren sich dann je nach Berechtigungsmodus unterschiedlich. Nur im Projektberechtigungsmodus (siehe Abbildung 20.2) finden Sie den Abschnitt Sicherheit und die Möglichkeiten zur Konfiguration von Stellvertretungen.
Abbildung 20.2 Servereinstellungen der Microsoft Project Web App und zugehörige Abschnitte (Projektberechtigungsmodus)
Die in die SharePoint-Zentraladministration ausgelagerten Funktionen finden Sie im Abschnitt Allgemeine Anwendungseinstellungen • PWA-Einstellungen (siehe Abbildung 20.3). Wenn Sie nicht wissen, mit welcher URL bzw. welchem Port Sie die SharePoint-Zentraladministration aufrufen können, dann finden Sie auf jedem SharePoint Server in Ihrer SharePoint-Farm eine Programmverknüpfung mit der Bezeichnung SharePoint 2016 Zentraladministration.
Abbildung 20.3 PWA-Einstellungen im Abschnitt »Allgemeine Anwendungseinstellungen« der SharePoint-Zentraladministration
Hier kann der SharePoint-Farmadministrator auf die hier ausgelagerten Funktionen der Administration zugreifen (siehe Abbildung 20.4). Sind mehrere Project-Server-Instanzen auf dem Server installiert, kann zwischen der Verwaltung dieser Instanzen über die Auswahl Project Web App-Instanz gewechselt werden.
Abbildung 20.4 PWA-Einstellungen in der SharePoint-Zentraladministration
20.1 Sicherheit
Project Server 2016 und Project Online bieten Ihnen zwei Sicherheitsmodi zur Steuerung der Art des Zugriffs, der Benutzern auf Websites und Projekte gewährt wird. Seit Project Server 2013 gibt es einen optionalen vereinfachten Berechtigungsmodus. Eine neue Installation ist zunächst im SharePoint-Berechtigungsmodus. Der SharePoint-Berechtigungsmodus ist zunächst einfacher zu administrieren, hat dafür aber nur einen eingeschränkten Funktionsumfang. Wenn detailliertere Berechtigungsanforderungen vorhanden sind, dann können Sie mit einem Windows-PowerShell-Kommando in den klassischen Projektberechtigungsmodus umschalten. Wie Sie in den Projektberechtigungsmodus wechseln können und was dabei zu beachten ist, finden Sie am Ende dieses Abschnitts.
SharePoint-Berechtigungsmodus vs. Projektberechtigungsmodus
Die Idee des SharePoint-Berechtigungsmodus ist, das klassische Project-Server-Berechtigungskonzept zu vereinfachen und eine stärkere Ausrichtung am SharePoint-Server-Berechtigungskonzept zu erreichen. Zielgruppe für den SharePoint-Berechtigungsmodus sind Einsatzszenarien wie im Rahmen eines Proof of Concept oder z.B. einer Schulungsumgebung, in der es keine besonderen Anforderungen an das Sicherheitskonzept gibt. Darüber hinaus könnte dieser vereinfachte Modus auch in einem Anwendungsszenario Sinn machen, in dem der Schwerpunkt auf Zusammenarbeit liegt und primär SharePoint-Elemente (Dokumente, Listen etc.) statt Project-Elemente (Projekte, Ressourcen, Vorgänge etc.) abgesichert werden sollen.
Im SharePoint-Berechtigungsmodus wird für jede Website, die mit Project Server 2016/Project Online verknüpft ist, ein Satz von SharePoint-Sicherheitsgruppen zur Verfügung gestellt. Mithilfe dieser SharePoint-Benutzergruppen wird Benutzern auf verschiedenen Ebenen Zugriff auf Projekte und Project-Server-Funktionen gewährt. Eine Anpassung der vorgegebenen Berechtigungen dieser Gruppen ist nicht möglich.
Im Projektberechtigungsmodus werden von Project Server/Project Online ein Satz anpassbarer Sicherheitsgruppen sowie weitere Funktionen bereitgestellt, die sich von SharePoint-Gruppen unterscheiden. Dieser Sicherheitsmodus war auch schon in früheren Versionen von Project Server verfügbar.
20.1.1 Vergleich der Features für Sicherheitsmodi in Project Server
Tabelle 20.1 bietet Ihnen einen Überblick über die Features des SharePoint- und des Projektberechtigungsmodus im Einzelnen.
| Feature | SharePoint-Berechtigungsmodus | Projektberechtigungsmodus |
|---|---|---|
| einheitliche Sicherheitsverwaltung mittels SharePoint |
|
|
| Berechtigungsvererbung für PWA und Arbeitsbereiche |
|
|
| direkte Autorisierung anhand von Active-Directory-Sicherheitsgruppen |
|
|
| forderungsbasierte Autorisierung |
|
|
| Autorisierungsverwaltung durch rollenbasierte Gruppen |
|
|
| Erweiterbarkeit und Anpassbarkeit |
|
|
| Benutzerdelegierung |
|
|
| Eingrenzen der Berechtigungen für den Zugriff auf Ressourcen des Ressourcenpools |
|
|
| Identitätswechsel |
|
|
| Sicherheitsfilterung unter Verwendung des Ressourcenstrukturplans |
|
|
| benutzerdefinierte Sicherheitskategorien |
|
Tabelle 20.1 Features der Sicherheitsmodi in Project Server/Project Online
Wechsel des Berechtigungsmodus beim Project Server
Von neuen Project-Web-App-Instanzen wird standardmäßig der SharePoint-Berechtigungsmodus verwendet. In einer lokalen Installation kann der Modus mithilfe des Windows-PowerShell-Cmdlets Set-SPProjectPermissionMode für eine bestimmte Instanz von Project Web App geändert werden.
Wechsel in den Projektberechtigungsmodus:
Set-SPProjectPermissionMode -url <url> -mode Project
Wechsel in den SharePoint-Berechtigungsmodus:
Set-SPProjectPermissionMode –url <url> -mode SharePoint
Wechsel des Berechtigungsmodus in Project Online
Navigieren Sie in Project Online zur SharePoint-Administration. Wechseln Sie dazu über das App-Startfeld zu Admin, und wählen Sie dort in der linken Navigation ADMIN • SharePoint.
Wählen Sie die entsprechende Project-Web-App-Websitesammlung aus, und klicken Sie im Menüband auf Project Web App • Settings. Über das Optionsfeld können Sie nun zwischen SharePoint-Berechtigungsmodus und Projektberechtigungsmodus wechseln.
Abbildung 20.5 Optionsfeld zum Wechsel zwischen den Berechtigungsmodi in Project Online
Warnung
Bei einem Wechsel zwischen dem SharePoint-Berechtigungsmodus und dem Projektberechtigungsmodus werden sämtliche sicherheitsbezogenen Einstellungen gelöscht. Wenn Sie vom SharePoint-Berechtigungsmodus in den klassischen Projektberechtigungsmodus wechseln, müssen Sie Ihre Sicherheitsberechtigungsstruktur in Project Server/Project Online manuell konfigurieren. Wenn Sie vom Projektberechtigungsmodus wieder in den SharePoint-Berechtigungsmodus wechseln, werden Ihre Sicherheitsberechtigungsinformationen in Project Server/Project Online gelöscht.
Nachdem Sie sich anhand Ihrer Anforderungen für einen Berechtigungsmodus entschieden haben, erfahren Sie in den folgenden Abschnitten deren Konfigurationsmöglichkeiten.
20.1.2 Sicherheit (SharePoint-Berechtigungsmodus)
Der vereinfachte Berechtigungsmodus ist aufgrund des beschränkten Funktionsumfangs sehr einfach zu administrieren (siehe Abbildung 20.6). Die Planung und Anpassung beschränkt sich auf Zuordnung von Benutzern zu den vorgegebenen Berechtigungsgruppen.
Abbildung 20.6 Menüpunkte des Abschnitts »Sicherheit« im SharePoint-Berechtigungsmodus
Im SharePoint-Berechtigungsmodus werden SharePoint-Gruppen erstellt, die den Standardsicherheitsgruppen im Projektberechtigungsmodus direkt entsprechen. In Tabelle 20.2 werden die Project-Server-/Project-Online-SharePoint-Gruppen beschrieben. Zudem wird erläutert, welche Benutzerfunktionen sie in Project Web App aktivieren.
| SharePoint-Gruppe | Funktion |
|---|---|
| Administratoren | Die Benutzer verfügen durch die Kategorie Meine Organisation über alle globalen Berechtigungen sowie alle Kategorieberechtigungen. Dadurch haben sie uneingeschränkten Zugriff auf alle Elemente in der Project Web App. |
| Portfolioanzeiger | Die Benutzer sind berechtigt, Projekt- und Project-Web-App-Daten anzuzeigen. Diese Gruppe ist für Benutzer gedacht, die Projekte einsehen müssen, denen selbst aber keine Projektvorgänge zugewiesen sind. |
| Projektmanager | Die Benutzer sind berechtigt, Projekte zu erstellen und zu verwalten. Diese Gruppe ist für Projektbesitzer vorgesehen, die den Ressourcen Aufgaben zuweisen. |
| Portfoliomanager | Die Benutzer verfügen über verschiedene Berechtigungen zum Erstellen von Projekten und zum Zusammenstellen von Teams. Diese Gruppe ist für Manager von Projektgruppen vorgesehen. |
| Ressourcenmanager | Die Benutzer verfügen über die meisten globalen Berechtigungen und Ressourcenberechtigungen auf Kategorieebene. Diese Gruppe ist für Benutzer gedacht, die Ressourcen verwalten und zuweisen und Ressourcendaten bearbeiten. |
| Teamleiter | Die Benutzer verfügen über eingeschränkte Berechtigungen für das Erstellen von Vorgängen und für Statusberichte. Diese Gruppe ist für Personen in einer Führungsposition ohne regelmäßige Projektzuordnungen gedacht. |
| Teammitglieder | Die Benutzer verfügen über allgemeine Berechtigungen für die Verwendung der Project Web App, aber über eingeschränkte Berechtigungen auf Projektebene. Mit dieser Gruppe soll allen Benutzern der grundlegende Zugriff auf die Project Web App erteilt werden. |
Tabelle 20.2 Überblick über die SharePoint-Gruppen des Project Servers/ Project Online
Diese Project-Server-/Project-Online-SharePoint-Gruppen haben dieselben globalen Berechtigungen und Kategorieberechtigungen, die ihnen im Projektberechtigungsmodus zugewiesen sind. Im SharePoint-Berechtigungsmodus können sie allerdings keine zusätzlichen benutzerdefinierten Gruppen, Kategorien und Ressourcenstrukturplan-Knoten erstellen oder die Standardberechtigungen bearbeiten, die diesen Objekten zugewiesen sind.
Hinzufügen von Benutzern
Es gibt zwei Methoden zum Hinzufügen von Benutzern zu SharePoint-Gruppen:
- Benutzerkonten einzeln hinzufügen
- eine oder mehrere Active-Directory-Gruppen hinzufügen
Sie können für jede Gruppe entweder eine oder beide Methoden verwenden.
Hinzufügen einzelner Benutzer zu SharePoint-Gruppen
Wenn Sie einer der SharePoint-Gruppen einzelne Benutzer hinzufügen, werden diese Benutzer automatisch mit der Project Web App synchronisiert. Die Benutzersynchronisierung wird, basierend auf einem SharePoint-Zeitgeberauftrag, standardmäßig alle 10 Minuten ausgeführt.
Verwenden von Active-Directory-Gruppen zum Hinzufügen von Benutzern zu SharePoint-Gruppen
Wenn Sie einer der Project-spezifischen SharePoint-Sicherheitsgruppen Active-Directory-Gruppen hinzufügen, werden die Benutzer nicht automatisch der Liste der Benutzer in der Project Web App hinzugefügt. Jeder Benutzer wird der Project Web App einzeln hinzugefügt, wenn er das erste Mal auf die Project-Web-App-Website zugreift.
Da Benutzer in Active-Directory-Gruppen nicht in der Liste der Project-Web-App-Ressourcen erscheinen, bis sie auf die Project-Web-App-Website zugegriffen haben, wird empfohlen, die Active-Directory-Synchronisation mit dem Ressourcenpool in der Project Web App so zu konfigurieren, dass Ihre Ressourcenliste vorab gefüllt wird. So verfügen Sie bereits über eine vollständige Ressourcenliste, noch bevor die Benutzer auf die Project-Web-App-Website zugegriffen haben, und können den Ressourcen Arbeit zuweisen. Wie Sie die Active-Directory-Synchronisation zur Synchronisation mit dem Project-Ressourcenpool konfigurieren, erfahren Sie in Abschnitt 20.6.4, »Synchronisierung des Active-Directory-Ressourcenpools«.
20.1.3 Sicherheit (Projektberechtigungsmodus)
Bei den meisten Implementierungen werden die Möglichkeiten des vereinfachten Berechtigungsmodus nicht ausreichen. So kommt im Regelfall der Konfiguration der Sicherheitseinstellungen des Microsoft Project Servers/Project Online eine zentrale Bedeutung bei der Implementierung zu. Durch die Konfiguration der Sicherheitseinstellungen im klassischen Projektberechtigungsmodus regeln Sie, welcher Benutzer welche Funktionen benutzen und was er mit welchen Sicherheitsobjekten (Projekten, Ressourcen und Ansichten) machen darf (siehe Abbildung 20.7). Die Erstellung eines Sicherheitskonzepts endet für Sie nicht bei der einmaligen Konfiguration, sondern muss von Ihnen unter Umständen bei Prozessänderungen oder bei der Ausweitung der Benutzung des Microsoft Project Servers/Project Online für andere Unternehmensbereiche angepasst werden. Deswegen sollten Sie die Konfiguration des Sicherheitskonzepts von Anfang an dokumentieren und diese Dokumentation entsprechend nachhalten. Durch eine Dokumentation mit einer entsprechenden Historie können Sie später leicht erkennen, welche effektiven Rechte ein Benutzer hat oder wann und aus welchem Grund (ein sehr wichtiges Feld für die Historiendokumentation) Änderungen am Sicherheitskonzept vorgenommen wurden.
Abbildung 20.7 Menüpunkte des Abschnitts »Sicherheit« im Projektberechtigungsmodus
Grundsätzlich wird bei der Sicherheit zwischen Funktionsberechtigungen und Objektberechtigungen unterschieden. Diese Berechtigungen werden Benutzern oder, besser, Gruppen zugewiesen. Darüber hinaus gibt es seit Project Server 2010 die Möglichkeit, dass der Projektleiter selbst zusätzliche spezifische Berechtigungen für seinen Projektplan vergeben kann. Damit hier keine unerwünschten Sicherheitslücken geöffnet werden, sollten Sie zunächst überlegen, ob Sie dem Projektleiter diese Möglichkeit zur Verfügung stellen wollen oder lieber selbst die vollständige Kontrolle über die Berechtigungen behalten.
Funktionsberechtigungen (welche Funktion darf benutzt werden) weisen Sie über globale Berechtigungen einem einzelnen Benutzer oder einer Benutzergruppe zu. So erteilen Sie z.B. der Gruppe der Projektleiter die Berechtigung, sich mit Microsoft Project Professional am Server anzumelden, wohingegen die Gruppe der Teammitglieder diese Berechtigung nicht erhält.
Abbildung 20.8 ist eine schematische Darstellung der Beziehung zwischen Benutzer und Funktionsberechtigungen.
Abbildung 20.8 Beziehung zwischen Benutzer und Funktionsberechtigungen
Benutzer weisen Sie einer Gruppe zu (hier der Gruppe der Projektmanager). Dieser Gruppe wiederum weisen Sie dann Funktionsberechtigungen (globale Berechtigungen) zu. Eine typische globale Berechtigung der Gruppe Projektmanager ist die Berechtigung zum Anmelden mit Project Professional. Haben Sie diese Berechtigung den Projektleitern nicht erteilt, dann können sich diese nicht erfolgreich über Microsoft Project Professional mit dem Server verbinden.
Objektberechtigungen (wer darf was mit welchem Objekt) weisen Sie in Form von Kategorieberechtigungen einzelnen Benutzern oder Gruppen zu. Es gibt insgesamt nur drei verschiedene Arten von Sicherheitsobjekten: Projekte, Ressourcen und Project-Web-App-Ansichten. Das bedeutet, dass Sie beispielsweise Berechtigungen für ein gesamtes Projekt steuern können; einzelne Felder eines Projekts können Sie jedoch nur über entsprechenden Programmcode für Anwender von Microsoft Project Professional sperren. Wer die Berechtigung hat, ein Projekt mit Microsoft Project Professional zu öffnen und zu speichern, kann damit auch alle Felder und Spalten eines Projektplans einsehen und verändern. Durch die Konfiguration der Sicherheit für einzelne Microsoft-Project-Web-App-Ansichten können Sie aber zumindest für die Anwender der Project Web App hiermit eine Berechtigung auf Spaltenebene konfigurieren. So können Sie z.B. festlegen, dass Teammitglieder in der Project Web App keine Kosteninformationen sehen können.
Berechtigungen an einzelnen Sicherheitsobjekten können Sie in den PWA-Einstellungen nicht direkt vornehmen. So können Sie z.B. für ein einzelnes Projekt keine Berechtigung zum Öffnen, Speichern oder Veröffentlichen vergeben. Sicherheitsobjekte müssen Sie zunächst zu Containern, im Microsoft-Project-Jargon Kategorien genannt, zusammenfassen. Benutzern oder Sicherheitsgruppen vergeben Sie dann Kategorieberechtigungen an diesen Containern.
Abbildung 20.9 ist eine schematische Darstellung der Beziehung zwischen Benutzer und Objektberechtigungen. Benutzer fügen Sie einer Gruppe hinzu (hier der Gruppe der Projektmanager), und Sicherheitsobjekte fügen Sie Kategorien hinzu (hier den Kategorien Meine Organisation und Meine Projekte). Über die Beziehung Gruppe zu Kategorie definieren Sie über entsprechende Berechtigungen, welche Rechte diese Gruppe an dieser Kategorie hat. Eine typische Berechtigung der Gruppe Projektmanager für die Kategorie Meine Projekte ist das Recht zu speichern und zu veröffentlichen für alle Projekte in dieser Kategorie. Wohingegen diese Gruppe für die Kategorie Meine Organisation nur die Berechtigung hat, dieses Projekt in den Project-Web-App-Ansichten zu lesen.
Die Kategorie Meine Projekte ist hierbei ein dynamischer Container, der u.a. die Projekte enthält, bei denen der Benutzer Projektbesitzer oder Status-Manager ist. Die Kategorie Meine Organisation enthält alle Projekte und alle Ressourcen.
Abbildung 20.9 Beziehung zwischen Benutzer und Objektberechtigungen
Seit der Version 2013 gibt es die integrierte Funktion für die Überprüfung der effektiven Berechtigung für einen Benutzer. Damit besteht die Möglichkeit, die effektiven globalen bzw. Kategorieberechtigungen eines einzelnen Benutzers zu überprüfen. So lässt sich damit z.B. analysieren, welchen Zugriff ein Benutzer auf ein Projekt hat und durch welche Mitgliedschaft er dieses Recht erhalten hat.
Neu bei Microsoft Project Server 2016/Project Online
Im Vergleich zur Vorgängerversion gab es nur eine Änderung an den Elementen der globalen bzw. Kategorieberechtigungen. Über die neue Kategorieberechtigung »Manage Resource Engagements« können Ressourcenverantwortliche für das Verwalten von Ressourcenzusagen berechtigt werden.
20.1.4 Benutzer verwalten (Projektberechtigungsmodus)
Grundsätzlich wird bei Microsoft Project Server/Project Online zwischen Benutzern und Ressourcen unterschieden. Ein Benutzer ist eine Person, die sich am Project Server anmelden kann. Eine Ressource ist eine Person, der Aufgaben zugeordnet werden können, um diese zu erledigen. Es gibt noch weitere Arten von Ressourcen, die aber in diesem Zusammenhang nicht relevant sind. Diese werden in Abschnitt 20.2.4, »Ressourcencenter«, beschrieben.
Ein Benutzer kann zugleich eine Ressource sein, was wohl auf die meisten der Anwender zutreffen wird. Es gibt aber auch reine Ressourcen, die zwar im System verwaltet werden, die sich aber nicht selbst am System anmelden können (etwa »Fremdfirma« oder »Hausmeister«). Standardmäßig ist bei der Erstellung von neuen Benutzern der Haken Benutzer kann als Ressource zugeordnet werden aktiviert. Deaktivieren Sie diesen Haken, wenn Sie einen Benutzer erstellen wollen, der nicht gleichzeitig als Ressource verwendet werden soll. Wenn Sie z.B. für administrative Tätigkeiten ein eigenes Benutzerkonto verwenden, so werden Sie diesen Benutzer nicht auch als Ressource einsetzen.
Zwingendes Attribut eines Benutzers ist ein Benutzerkonto, mit dem sich der Anwender am System authentifizieren kann. Im Regelfall verwenden Sie dabei eine Windows-Authentifizierung mit einem Active-Directory-Account. Eine Ressource, die sich nicht am Server anmelden kann (z.B. externe Dienstleister, die keinen Zugriff auf das System bekommen sollen), finden Sie unter dem Menüpunkt Benutzer verwalten nicht.
Neuen Benutzer in der Microsoft Project Web App erstellen
Über den Pfad Einstellungen • PWA-Einstellungen • Sicherheit • Benutzer verwalten • Neuer Benutzer kommen Sie zum Formular, um neue Benutzer anzulegen (siehe Abbildung 20.10).
Abbildung 20.10 Neuen Benutzer anlegen: Stammdaten
Seit Project Server 2013 können Sie bei Neuanlage eines Benutzers den Benutzernamen und die E-Mail-Adresse nicht mehr direkt bearbeiten. Diese Daten werden zwangsweise, nachdem Sie das Benutzeranmeldekonto eingetragen haben, aus dem Active Directory übernommen.
Zur Authentifizierung verwenden Sie im Regelfall eine Windows-Authentifizierung und tragen im Feld Benutzeranmeldekonto das Active-Directory-Konto im Format Domäne\Benutzerkonto oder benutzer@domäne ein.
Standardmäßig werden auf diesem Weg neu erstellte Benutzer der Gruppe Teammitglieder zugeordnet. Ordnen Sie die passenden Rollen für den Benutzer im Bereich Sicherheitsgruppen zu (siehe Abbildung 20.11).
Abbildung 20.11 Sicherheitsgruppen im Formular »Neuer Benutzer«
Schließen Sie die Erstellung eines neuen Benutzers über die Schaltfläche Speichern am oberen oder unteren Ende des Formulars ab. Informationen zum Löschen von Benutzern finden Sie in Abschnitt 20.3.3, »Enterprise-Objekte löschen«.
20.1.5 Gruppen verwalten (Projektberechtigungsmodus)
Über den Pfad einstellungen • PWA-Einstellungen • Sicherheit • Gruppen verwalten• Neue Gruppe gelangen Sie zum Formular für das Anlegen neuer Sicherheitsgruppen. Sie können die bestehenden Sicherheitsgruppen verwenden und entsprechend anpassen oder eigene Gruppen erstellen. Bitte beachten Sie, dass Sie vordefinierte Project-Gruppen nicht löschen können.
Vergeben Sie einen kurzen und aussagekräftigen Namen im Feld Gruppenname, und erklären Sie kurz die Verwendung der Gruppe im Feld Beschreibung (siehe Abbildung 20.12). Wählen Sie im Bereich Benutzer die passenden Benutzer aus dem linken Auswahlfenster aus, und fügen Sie diese über Hinzufügen der Gruppe hinzu.
Wählen Sie dann im Abschnitt Kategorien die Sicherheitskategorien aus, für die Sie dieser Gruppe Kategorieberechtigungen vergeben möchten (siehe Abbildung 20.13). Markieren Sie diese Kategorien dann in der rechten Auswahlbox, und setzen Sie im Bereich Berechtigungen für über die entsprechenden Haken für die jeweiligen Kategorien die Kategorieberechtigungen. Beachten Sie, dass die Berechtigungen kontextabhängig sind. Abhängig von der markierten Kategorie setzen Sie die Haken Zulassen oder Verweigern für die selektierte Kategorie. Ein Verweigern überschreibt hierbei immer ein Zulassen. Deswegen sollten Sie mit dem Einsatz von Verweigerungen sparsam umgehen. Effektiv besitzt ein Benutzer ein Recht, wenn er über eine Gruppenmitgliedschaft die Kategorieberechtigung Zulassen bekommt. Ist der Benutzer Mitglied einer Gruppe, die eine Verweigerung für eine Kategorieberechtigung hat, dann überschreibt diese Berechtigung jegliche Berechtigung aus anderen Gruppen.
Abbildung 20.12 Neue Gruppe anlegen: Stammdaten
Abbildung 20.13 Kategorieberechtigungen für die neue Gruppe »Fachadministrator«
Globale Berechtigungen können Sie entweder komplett manuell setzen, oder Sie orientieren sich im unteren Teil an einer passenden Sicherheitsvorlage Berechtigungen mit der Vorlage festlegen und wenden diese an. Passen Sie die einzelnen Haken für die verschiedenen Abschnitte bei Bedarf noch manuell an (siehe Abbildung 20.14).
Abbildung 20.14 Globale Berechtigungen für die neue Gruppe »Fachadministrator«
Löschen von Standardgruppen
Vordefinierte Gruppen können nicht gelöscht, sondern lediglich umbenannt werden. Bei einer weitreichenden Sicherheitsanpassung (siehe auch den Kasten »Empfehlung für die Active-Directory-Synchronisation« im nächsten Abschnitt) empfiehlt es sich, nicht verwendete Gruppen mit einem entsprechenden Präfix (z.B. zzz_) zu versehen.
Konfiguration der Active-Directory-Synchronisation mit Microsoft-Project-Sicherheitsgruppen
Für die Synchronisation von Microsoft-Project-Sicherheitsgruppen mit Active-Directory-Sicherheitsgruppen müssen zunächst bei den entsprechenden Microsoft-Project-Sicherheitsgruppen über die Schaltfläche Gruppe suchen die passenden Active-Directory-Gruppen zugeordnet werden (siehe Abbildung 20.15). Dabei darf es sich um lokale, globale oder universelle Active-Directory-Gruppen handeln. Es sind auch verschachtelte Active-Directory-Gruppen zulässig.
Wechseln Sie nach erfolgter Zuordnung aller Gruppen zur Gruppenübersicht, und öffnen Sie dort die Active Directory-Gruppensynchronisierungsoptionen (siehe Abbildung 20.16).
Abbildung 20.15 Zuordnen einer Active-Directory-Gruppe
Abbildung 20.16 Synchronisation der Active-Directory- mit den Microsoft-Project-Sicherheitsgruppen
Aktivieren Sie hier die Planmässige Synchronisierung und die Checkbox im Abschnitt Optionen, um das Active Directory als führendes System für die Deaktivierung von Benutzern festzulegen. Bei aktivierter Checkbox entscheidet die Gruppenmitgliedschaft, ob ein manuell auf inaktiv gesetzter Benutzer bei der nächsten Synchronisation wieder aktiviert wird (siehe Abbildung 20.17).
Abbildung 20.17 Active-Directory-Synchronisierungsoptionen
Sie können die Synchronisation mit der Schaltfläche Jetzt speichern und synchronisieren in diesem Formular auch manuell anstoßen.
Empfehlung für die Active-Directory-Synchronisation
Es empfiehlt sich, dass Sie die Microsoft-Project-Benutzergruppen und die Mitglieder des Ressourcenpools in Active-Directory-Gruppen verwalten und diese Gruppen mit den entsprechenden Microsoft-Project-Gruppen synchronisieren (siehe Abbildung 20.18).
Hierbei sollten Sie für jede verwendete Microsoft-Project-Sicherheitsgruppe eine entsprechende Active-Directory-Gruppe erstellen und der entsprechenden Sicherheitsgruppe zuweisen. Somit ist gewährleistet, dass eine einheitliche Namenskonvention in der Organisation verwendet wird und Änderungen am Namen oder an der E-Mail-Adresse automatisch übernommen werden. Darüber hinaus besteht bei Microsoft-Project-Benutzergruppen die Einschränkung, dass Sie diese nicht für andere Sicherheitsobjekte, wie z.B. Microsoft-SharePoint-Listen oder Microsoft-SQL-Reporting-Services-Berichte, verwenden können. Da diese Objekte aber mit Active-Directory-Gruppen gesichert werden können, empfiehlt es sich, dass Sie das Active Directory als führendes System zur Verwaltung von Sicherheitsgruppen verwenden.
Abbildung 20.18 Schematische Darstellung der Active-Directory-Synchronisation mit Microsoft-Project-Gruppen und dem Microsoft-Project-Ressourcenpool
Folgende in Tabelle 20.3 aufgeführte Benutzer-/Ressourcendaten werden bei der Synchronisation der Project-Sicherheitsgruppen mit dem Active Directory aktualisiert.
| Active-Directory-Benutzereigenschaft | Project-Server-Benutzer-/Ressourceneigenschaften | Beispiel |
|---|---|---|
| ADGUID (UserObject.objectGUID) |
Active Directory GUID: Read Only (Systemidentifikationsdaten) |
e2ce355f-a5ef-494a-83f8-75b461f47b14 |
| Windows-Benutzerkonto (domain\sAMAccountName) | Windows-Benutzerkonto | AIRBI\g.walter |
| angezeigter Name (UserObject.displayName) | angezeigter Name/Ressourcenname | Gerd Walter |
| Abteilung (UserObject.department) |
Gruppe (gibt es nur als Eigenschaft von Ressourcen) |
HR |
Tabelle 20.3 Synchronisierte Metadaten der Active-Directory-Synchronisation
Sollen weitere Active-Directory-Metadaten, wie z.B. die Kostenstelle der Ressource, bei der Synchronisation übernommen werden, so können Sie dies durch entsprechenden Code über serverseitige Eventhandler realisieren.
Empfehlungen für die Synchronisation des Active Directorys mit Project-Sicherheitsgruppen und dem Microsoft-Project-Enterprise-Ressourcenpool
Erstellen Sie für jede Microsoft-Project-Sicherheitsgruppe und für den Ressourcenpool eine korrespondierende Active-Directory-Gruppe. Legen Sie dafür im Active Directory eine eigene Organisationseinheit an. Versehen Sie alle Gruppen mit entsprechenden Präfixen (z.B. Project_Projektleiter; Project_Teammitglieder).
Wenn die Sicherheitsbestimmungen Ihrer Organisation es zulassen, delegieren Sie die Berechtigung zur Verwaltung dieser Sicherheitsgruppen an die Fachadministration des Microsoft Project Servers. Dadurch können diese Gruppen durch die Fachadministration mit den Bordmitteln von Windows selbst verwaltet werden.
Um mit Windows Active-Directory-Gruppen zu bearbeiten (siehe Abbildung 20.19), können Sie sich eine Verknüpfung auf dem Desktop mit folgendem Ziel anlegen:
%SystemRoot%\SYSTEM32\rundll32.exe
dsquery,OpenQueryWindow
Durch einen Doppelklick auf den entsprechenden Gruppennamen kommen Sie zum Detaildialog, in dem Sie die Gruppenmitgliedschaften bearbeiten können (siehe Abbildung 20.20).
Abbildung 20.19 Dialog unter Windows 8 zur Bearbeitung von Active-Directory-Gruppen
Abbildung 20.20 Detaildialog zum Hinzufügen und Entfernen von Gruppenmitgliedern. Sind die Schaltflächen ausgegraut, so hat der aktuelle Benutzer nicht die notwendigen Berechtigungen im Active Directory.
Bei Synchronisationsfehlern überprüfen Sie das Eventlog des Applikationsservers. Detailliertere Fehler finden Sie in den Unified-Logging-Service(ULS)-Logs.
Stellen Sie sicher, dass das Konto des Microsoft-Project-Server-Application-Pools Leseberechtigungen für alle verwendeten Active-Directory-Domänen besitzt. Wenn Sie benutzerdefinierte Ressourcenfelder anlegen, achten Sie darauf, dass Sie diese nicht als Pflichtfelder definieren, da sonst die Synchronisation scheitern wird. Alternativ könnten Sie über eigenen Programmcode einen Eventhandler erstellen, der die Pflichtfelder vor der Synchronisation deaktiviert und danach wieder aktiviert.
Effektive Berechtigungen
Seit der Version Project Server 2013 besteht die Möglichkeit, die effektiven Berechtigungen eines Benutzers für ein Sicherheitsobjekt zu überprüfen. Für den Zugriff auf ein Sicherheitsobjekt sind generell folgende Eigenschaften eines Benutzers relevant:
Projekte:
- Besitzer oder Status-Manager von Vorgängen des Projekts
- Benutzer ist im Team des Projekts.
- Der Benutzer hat einen übergeordneten oder gleichgestellten Bezug über den RSP zum Besitzer oder Teammitglied eines Projekts.
Ressourcen:
- Es handelt sich um einen selbst.
- Man hat einen übergeordneten oder gleichgestellten Bezug über den RSP zur Ressource.
- Man ist Besitzer eines Projekts, bei dem die Ressource im Team ist.
Abbildung 20.21 Überprüfen von effektiven Berechtigungen eines Benutzers an dem Projekt »Flughafenhotel«
Da diese Bezüge in komplexeren Implementierungen nicht auf den ersten Blick erkennbar sind, bietet Ihnen die Funktion Effektive Berechtigungen eine Unterstützung, um z.B. schnell herauszufinden, welche Rechte ein Benutzer an einem Projekt hat und durch welche Konfiguration er diese Rechte erhalten hat (siehe Abbildung 20.21). Sie finden diese Funktion unter Benutzerverwaltung in den PWA- Einstellungen. Wählen Sie zur Überprüfung immer nur einen Benutzer aus, und klicken Sie dann auf die Schaltfläche Effektive Berechtigungen. Die Schaltfläche ist ausgegraut, wenn Sie mehrere Ressourcen selektiert haben.
20.1.6 Kategorien verwalten (Projektberechtigungsmodus)
Microsoft-Project-Kategorien sind Container, welche Sicherheitsobjekte zusammenfassen. Die Microsoft Project Web App kennt drei verschiedene Arten von Sicherheitsobjekten:
- Projekte – mit der Microsoft Project Web App oder Microsoft Project Professional erstellte Projekte
- Ressourcen – alle Ressourcen der Art Arbeit, Material und Kosten
- Ansichten – Project-Web-App-Ansichten (z.B. Project-Center-Ansichten)
Standardkategorien in Microsoft Project Server 2016/Project Online
Im Auslieferungszustand sind auf dem Microsoft Project Server/Project Online die in Tabelle 20.4 aufgeführten Kategorien vordefiniert.
| Standardkategorie | Standardgruppen, die mit dieser Kategorie verknüpft sind | Beschreibung |
|---|---|---|
| Meine Vorgänge | Teammitglieder | für Ressourcen, die zugleich Benutzer sind und Zuordnungen in Projekten besitzen |
| Meine Projekte |
Projektmanager Ressourcenmanager Teamleiter |
Stellt Schreibzugriff für alle Projekte, die ein Benutzer besitzt, zur Verfügung. |
| Meine Ressourcen | Ressourcenmanager | zur Ressourcenbearbeitung und Auswertung von Ressourcenberichten |
| Meine Mitarbeiter | Ressourcenmanager | Ist zur Genehmigung von Arbeitszeittabellen vorgesehen. |
| Meine Organisation |
Administratoren Führungskräfte Portfoliomanager Projektmanager Ressourcenmanager |
Wird für Zugriffsberechtigungen für alle Informationen der Project-Server-Instanz verwendet. So kann hierüber z.B. dem Projektmanagement-Office (PMO) die Berechtigung zum Lesen/Bearbeiten von allen Projekten und Ressourcen vergeben werden. |
Tabelle 20.4 Standardkategorien
Löschen von Standardkategorien
Vordefinierte Kategorien können nicht gelöscht, sondern lediglich umbenannt werden. Bei einer weitreichenden Sicherheitsanpassung (siehe auch den Kasten »Empfehlung für die Active-Directory-Synchronisation« in Abschnitt 20.1.5) empfiehlt es sich, nicht verwendete Kategorien mit einem entsprechenden Präfix (z.B. zz_) zu versehen.
Kategorien bearbeiten
Bei der Bearbeitung oder Erstellung von Kategorien müssen Sie die Sicherheitsobjekte auswählen, die Sie in der Kategorie zusammenfassen wollen. Dies gliedert sich in drei Abschnitte für die Elemente Projekte, Ressourcen und Ansichten.
Beim Element Projekte legen Sie zunächst fest, ob Sie bei der Kategorie Alle aktuellen und zukünftigen Projekte einschliessen oder ob Sie Nur die ausgewählten Projekte einschliessen wollen (siehe Abbildung 20.22). Bei der ersten Option haben die unten stehenden Checkboxen keine Bedeutung. Erst wenn die Auswahl auf Nur die ausgewählten Projekte einschliessen steht, kommt den unteren Checkboxen eine Bedeutung zu. In seltenen Fällen fügt man hier explizit Projekte einer Kategorie hinzu, häufiger verwenden Sie die Checkboxen, um die zugehörigen Projekte dynamisch über den Bezug des Benutzers zu einem Projekt festzulegen. Generell kann ein Benutzer folgende für die Definition der Kategorie relevante Beziehungen zu einem Projekt haben:
- Entweder ist er der Besitzer des Projekts, oder er ist auf Vorgangsebene als derjenige definiert, der statt des Projektbesitzers Fortschrittsrückmeldungen vom Teammitglied entgegennimmt (Der Benutzer ist der Projektbesitzer oder der Status-Manager für Zuordnungen in diesem Projekt).
- Er kann als Teammitglied einem Projekt zugeordnet sein (Der Benutzer ist im Projektteam dieses Projekts).
- Er kann einen Bezug zu einem Teammitglied oder dem Besitzer in diesem Projekt über den RSP (für die Bedeutung von RSP siehe unten) haben (Der Projektbesitzer ist ein untergeordnetes Objekt des Benutzers über RSP, Eine Ressource im Projektteam ist ein untergeordnetes Objekt des Benutzers über RSP oder Der Projektbesitzer verfügt über denselben RSP-Wert wie der Benutzer).
Abbildung 20.22 Standardkonfiguration der Projektdefinition für die Kategorie »Meine Projekte«
Ressourcenstrukturplan (RSP): Der RSP ist ein Enterprise-Ressourcenfeld, welches eine hierarchische Nachschlageliste verwendet. Häufig wird hier die Organisationsstruktur der Unternehmung abgebildet. Alternativ können aber auch andere Hierarchien damit abgebildet werden. Seltener werden hierüber z.B. auch Projektorganisationen abgebildet. Es ist das einzige Ressourcenfeld, das für die Sicherheitskonfiguration eine Bedeutung hat. So kann hierüber z.B. der Anwendungsfall abgebildet werden, dass Kollegen aus derselben Abteilung und derselben Hierarchieebene gegenseitig Einsicht in ihre Projektpläne nehmen können.
Die AIRBI GmbH bildet mit dem RSP ihre Unternehmensorganisation ab, die sich wie in Abbildung 20.23 darstellt.
Abbildung 20.23 Organigramm der AIRBI GmbH
Da der RSP für die Sicherheitskonfiguration verwendet werden kann, muss der zugeordnete RSP-Wert einer Ressource nicht unbedingt seiner Position im Organigramm entsprechen. So ist z.B. ein Assistent im PMO unter Umständen relativ weit unten im Organigramm angesiedelt, muss aber im RSP auf höchster Ebene zugeordnet werden, damit er alle Projekte einsehen kann. Wollen Sie aber für einen Bericht die Ressource auch noch mit ihrem eigentlichen Wert im Organigramm hinterlegen, so verwenden Sie dafür ein zweites Enterprise-Ressourcenfeld, welches als Nachschlagetabelle die schon definierte RSP-Nachschlagetabelle verwendet (siehe Abbildung 20.24). Achten Sie dann bei der Erstellung von Berichten, die z.B. Arbeitsstunden gruppiert nach Abteilung auflisten, darauf, dass Sie das benutzerdefinierte Feld und nicht das Standardfeld RSP verwenden.
Abbildung 20.24 Das Organigramm der AIRBI GmbH als Nachschlageliste des RSPs
Status-Manager – Fluch oder Segen?
Eine besondere Bedeutung im Sicherheitskonzept nimmt der Status-Manager ein. Von der Wertigkeit her steht er auf der gleichen Ebene wie der Projektbesitzer. Seit Microsoft Project Server 2007 gibt es das Vorgangsfeld Status-Manager. Darüber wird primär gesteuert, wer Statusänderungen (Rückmeldungen von Teammitgliedern) zur Genehmigung erhält und damit den Projektplan aktualisieren kann. Damit der Status-Manager dies auch tun kann, wird er von den Kategorieberechtigungen berücksichtigt. Eine Einschränkung bei der Zuweisung eines Status-Managers besteht darin, dass seine erstmalige Zuweisung unkomfortabel gelöst ist: Die entsprechende Person muss den Projektplan öffnen (entsprechende Berechtigung vorausgesetzt) und sich selbst als Status-Manager eintragen. Der Anwendungsfall, dass pro Projekt unterschiedliche Status-Manager benötigt werden, ist eher selten. Mit der seit Project Server 2013 vorhandenen Möglichkeit der Stellvertreterregelung entfällt auch der Anwendungsfall für stellvertretende Rückmeldegenehmigungen. Allerdings ist hier zu beachten, dass es mit der Stellvertreterregelung nicht möglich ist, einen Stellvertreter für einzelne Projekte zu bestimmen. Die Stellvertreterregelung greift immer für alle Projekte desjenigen, der vertreten werden soll.
Bei einer Besitzübergabe für ein Projekt sollte auch der Status-Manager auf den neuen Besitzer übertragen werden. Arbeiten mehrere Benutzer an einem Projektplan, so wird standardmäßig der Bearbeiter Status-Manager eines Vorgangs, der diesen erstellt hat.
Da der Status-Manager die gleichen Berechtigungen wie der Besitzer hat, können sich hierdurch Sicherheitslücken einschleichen. Sollte dies in Ihrem Sicherheitskonzept eine Lücke darstellen, so empfiehlt sich die regelmäßige Überwachung einer Abweichung zwischen Status-Manager und Projektbesitzer über einen entsprechenden Excel-Online- oder SQL-Reporting-Services-Bericht.
Der Dialog für die Zuordnung von Ressourcen ähnelt dem für die Zuordnung von Projekten. Ist über die Optionsschaltfläche die Auswahl auf Alle aktuellen und zukünftigen Ressourcen einschliessen gesetzt, haben die unteren Checkboxen wiederum keine Bedeutung. Erst die zweite Selektion Nur die ausgewählten Ressourcen einschliessen erlaubt Ihnen, selektiv Ressourcen hinzuzufügen. Selten werden Sie hier explizit Ressourcen zuweisen, sondern die Kategorie dynamisch und je nach Bezug des Benutzers zu den Ressourcen festlegen.
Folgende Beziehungen kann ein Benutzer zu einer Ressource haben:
- Es handelt sich um ihn selbst (Der Benutzer ist die Ressource).
- Es sind Teammitglieder eines seiner Projekte (Sie sind Mitglieder eines Projektteams in einem Projekt, das sich im Besitz des Benutzers befindet).
- Die Ressourcen stehen in der Hierarchie des RSP unterhalb oder auf gleicher Ebene wie er (Sie sind untergeordnete Objekte des Benutzers über RSP, Sie sind direkte untergeordnete Objekte des Benutzers über RSP oder Sie besitzen denselben RSP-Wert wie der Benutzer).
Abweichend von den Dialogen zur Definition der zu einer Kategorie gehörenden Projekte und Ressourcen können Sie Ansichten nur direkt zu einer Kategorie hinzufügen oder entfernen. Mithilfe des Sicherheitsobjekts Ansicht können Sie zumindest indirekt eine Sicherheit auf Spaltenebene in der Project Web App erreichen. So können Sie die Anforderung, dass kein Teammitglied Kosteninformationen angezeigt bekommen soll, dadurch erreichen, dass Sie keine Ansichten, die Kostenspalten enthalten, einer Kategorie hinzufügen, welche Teammitgliedern zugeordnet ist.
Da Spalten in der Microsoft Project Web App nicht von den Anwendern selbst hinzugefügt werden können, ergibt sich mit den Möglichkeiten des webbasierten Bearbeitens von Projekten eine Lösung für einen weiteren Anwendungsfall. Somit können Sie bestimmten Anwendern ein Projekt mit eingeschränkter Spaltendefinition zur Bearbeitung in der Project Web App bereitstellen. Voraussetzung dabei ist aber, dass Sie über Ihr Sicherheitskonzept sicherstellen, dass sich diese Anwender nicht mit Microsoft Project Professional am Server anmelden können.
Sicherheitskonzept in der Evaluierungsphase
Da in der Evaluierungsphase meist noch kein ausgeklügeltes Sicherheitskonzept benötigt wird, ist es hier aus Zeitgründen im Regelfall nicht sinnvoll, ein eigenes Sicherheitskonzept festzulegen. Verwenden Sie in dieser Phase das vorkonfigurierte Sicherheitskonzept im Auslieferungszustand, und fügen Sie Ihre Testbenutzer den vorhandenen Berechtigungsgruppen zu.
Analyse für die Definition eines Sicherheitskonzepts
Für die Definition des Sicherheitskonzepts müssen Sie zunächst klären, welche verschiedenen Berechtigungsgruppen benötigt werden. Wenn Sie Gruppen definieren, die am Ende über die gleichen Berechtigungen auf der Microsoft-Project-Web-App-Instanz verfügen, dann fassen Sie die Gruppen zu einer Microsoft-Project-Sicherheitsgruppe zusammen. Halten Sie die Komplexität Ihres Sicherheitskonzepts gering, und verwenden Sie so wenig unterschiedliche Gruppen, Kategorien und Zuordnungen zwischen Gruppen und Kategorien wie möglich.
Erfassen Sie dann, welche Funktions- und Objektberechtigungen die jeweiligen Gruppen erhalten sollen. Dokumentieren Sie diese zunächst mit beschreibendem Text, damit allen Entscheidungsträgern klar wird, welche Rolle später welche Informationen einsehen bzw. bearbeiten kann. Durch diese Analyse entstand bei der AIRBI GmbH der in Tabelle 20.5 dargestellte Konzeptentwurf.
| Rolle | Berechtigungen |
|---|---|
| fachlicher Administrator | Bekommt alle Berechtigungen. |
| Management | Darf alles lesen. |
| Projektmanagement-Office | Darf alle Projekt- und Ressourcendaten lesen und bearbeiten. |
| Projektleiter | Darf alle eigenen Projekte bearbeiten. Darf alle Ressourcendaten von Ressourcen in seinen Projektdaten lesen. |
| Teammitglied | Darf nur seine Vorgangsinformationen und Projekte, in denen er Mitglied ist, ohne Kosteninformationen lesen und Fortschritt zurückmelden. |
| Teamleiter | Darf alle Projekte und Ressourcendaten unterhalb seines RSP-Knotens lesen, mit Ausnahme von Berichten mit Kosteninformationen. |
Tabelle 20.5 Konzeptentwurf für Berechtigungskonzept
20.1.7 Sicherheitsvorlagen verwalten (Projektberechtigungsmodus)
Sicherheitsvorlagen können Sie beim Setzen von Kategorien und globalen Berechtigungen verwenden. Durch die Übernahme der Einstellungen der Vorlage müssen Sie somit die Checkboxen nicht einzeln anklicken, und Sie können damit für neu erstellte Gruppen Einstellungen von Standardgruppen verwenden.
Kategorieberechtigungen in Sicherheitsvorlagen
Eine Sicherheitsvorlage enthält jeweils nur einen Satz von Kategorieberechtigungen. So hat im Auslieferungszustand die Gruppe Projektmanager verschiedene Berechtigungen in den Kategorien Meine Organisation und Meine Projekte. In der Sicherheitsvorlage ist aber nur die Kategorieberechtigung für Meine Projekte hinterlegt.
Empfehlungen für Sicherheitsvorlagen
Selten ist es notwendig, dass Sie eigene Sicherheitsvorlagen erstellen oder die bestehenden Vorlagen anpassen. Zum praktischen Einsatz kommen die Sicherheitsvorlagen meist dann, wenn Sie die Auslieferungseinstellungen wiederherstellen oder für eine neue Gruppe verwenden möchten. Hierbei sollten Sie beachten, dass Microsoft bei der Vorlage für die Kategorieberechtigungen nur eine Kategorie bedacht hat (siehe oben stehenden Hinweis). Ein weiterer Anwendungsfall für Sicherheitsvorlagen besteht darin, wenn mehrere Sicherheitsgruppen angelegt werden müssen, welche alle die gleichen Sicherheitseinstellungen verwenden sollen. Hierbei kann eine eigene Sicherheitsvorlage viel manuelle Arbeit ersparen, und Berechtigungen können von einer Gruppe zur anderen kopiert werden.
20.1.8 Benutzersynchronisierungseinstellungen verwalten (Projektberechtigungsmodus)
Der Menüpunkt Benutzersynchronisierungseinstellungen verwalten gibt Ihnen die Möglichkeit, die Synchronisierung zwischen den Project-Server-Berechtigungen und den Berechtigungen innerhalb der Seiten der Project Web App zu steuern.
Seit Project Server 2013 besteht die Möglichkeit, die Synchronisierungseinstellungen der Project-Berechtigungen auch für die Project-Web-App-Homepage zu deaktivieren. Hierfür müssen Sie den Haken bei Project Web App-Synchronisierung aktivieren entfernen. In der Standardeinstellung werden die Project-Berechtigungen automatisch für die Project-Web-App-Homepage und alle Projektwebsites von Enterprise-Projekten synchronisiert. Somit ist sichergestellt, dass neue Project-Benutzer auch automatisch auf die SharePoint-Seite, welche die Project Web App hostet, zugreifen können. Eine manuelle Verwaltung der SharePoint-Rechte für die Project-Web-App-Seite macht im Regelfall im Projektberechtigungsmodus keinen Sinn.
Für SharePoint-Vorgangslistenprojekte ist in der Standardeinstellung keine Synchronisierung vorgesehen. Hier wird davon ausgegangen, dass der Anwender die Berechtigung für diese Webseiten manuell über die Freigabemechanismen der SharePoint-Seite verwalten möchte (siehe Abbildung 20.25).
Abbildung 20.25 Standardeinstellung der Synchronisierungseinstellungen für Project-Berechtigungen
Projektwebsite-Berechtigungen
Wird die Synchronisation der Berechtigungen für Projektwebsites deaktiviert, so ist das Verhalten mit Project Server 2016 und Project Online so, dass bei der Erstellung der Website zumindest der Besitzer des Projekts auch in die Gruppe der Besitzer der Projektwebsite aufgenommen wird.
Es gibt 3 von der Synchronisation verwaltete Berechtigungsstufen (Administratoren, Projektleiter und Teammitglieder). So wird z.B. nicht wie in früheren Versionen (Version 2010 und älter) unterschieden, ob ein Benutzer eine Zuordnung in einem Projekt hat oder nicht. Ein Projektteammitglied bekommt auch ohne Zuordnung im Projekt die Rechte der Gruppe »Teammitglieder« an der SharePoint-Website.
20.1.9 Stellvertretungen verwalten (Projektberechtigungsmodus)
Ähnlich wie in Microsoft Outlook gibt es auch für den Microsoft Project Server/Project Online eine Möglichkeit, für einen bestimmten Zeitraum einen Stellvertreter für einen Benutzer zu definieren. Ist ein Stellvertreter definiert, so kann dieser die Rolle des zu Vertretenden einnehmen und agiert dann mit dem System, als wäre er mit dessen Benutzerdaten angemeldet. Das System verhält sich damit quasi genauso, als wenn sich der Stellvertreter mit den Anmeldedaten des zu Vertretenden an der Microsoft Project Web App anmeldete.
Die Standardstellvertreterregelung ist allerdings auf die Kernfunktionalitäten der Microsoft Project Web App begrenzt und hat damit einige Einschränkungen:
- Risiken, Probleme, Projektdokumente und alle anderen Inhalte der Projektwebsite können nicht im Sicherheitskontext desjenigen bearbeitet werden, der vertreten wird. Hier wird der Kern der Microsoft Project Web App verlassen, und ein Stellvertreter ist dann wieder mit seinem eigenen Benutzerkontext unterwegs, hat hier also nicht die Berechtigung desjenigen, den er vertritt.
- Den Kern komplett verlassen hat man bei der Verwendung von Project Professional: Ein Arbeiten mit Microsoft Project Professional im Kontext des zu Vertretenden ist nicht möglich.
- Die Stellvertretungsfunktion ist damit primär für das stellvertretende Genehmigen von Stundenbuchungen gedacht. Weniger häufig wird sie dagegen für das stellvertretende Buchen von Ist-Stunden oder das stellvertretende Bearbeiten des Projektplans in der Web App verwendet. Wie man eine Stellvertretung einrichtet, erfahren Sie in Abschnitt 13.5, »Stellvertretungsfunktion«. Für Sie als Fachadministrator besteht in Stellvertretungen verwalten die Möglichkeit, Stellvertretungen für andere Mitarbeiter zu definieren. Voraussetzung ist hierbei, dass dieser Benutzer über die globale Berechtigung Kommt als Stellvertretung in Frage verfügt.
Projektberechtigungen verwalten
Neben den durch die Fachadministration vorgegebenen Objektberechtigungen gibt es wie in der Vorgängerversion auch für den Projektleiter die Möglichkeit, anderen Benutzern oder Gruppen Berechtigungen an seinem Projektplan zu vergeben. Diese zusätzlichen Berechtigungen können standardmäßig von jedem Benutzer, der die Berechtigung hat, das Projekt mit der Microsoft Project Web App zu öffnen und zu speichern, vergeben werden.
Da durch diese Möglichkeit das von Ihnen als Fachadministration vorgegebene Sicherheitskonzept unterwandert werden kann, haben Sie auch die Option, den entsprechenden Gruppen diese Selbstverwaltung von Rechten zu verbieten. Deaktivieren Sie dazu bei den entsprechenden Gruppen die Projektkategorieberechtigung Grundlegende Projektsicherheit verwalten. Standardmäßig besitzen Projektleiter aber diese Berechtigung und können auf der Registerkarte Projekt in einer Projektdetailansicht oder im Project Center folgende Berechtigungen an Benutzer oder Gruppen vergeben:
- Das Projekt in Project Professional oder Project Web App öffnen
- Das Projekt in Project Professional oder Project Web App bearbeiten und speichern
- Projektsammelfelder in Project Professional oder Project Web App bearbeiten
- Das Projekt in Project Professional oder Project Web App veröffentlichen
- Projektzusammenfassung in Project Center anzeigen
- Projektplandetails in Project Web App anzeigen
- Projektwebsite anzeigen
Projektberechtigung konfigurieren
Um eine explizite Projektberechtigung für ein einzelnes Projekt zu vergeben, gehen Sie als Projektleiter folgendermaßen vor:
-
Wechseln Sie in der Microsoft Project Web App (mit Microsoft Project Professional können Sie keine Projektberechtigungen vergeben) in das Project Center. Markieren Sie dort das entsprechende Projekt, und klicken Sie auf der Registerkarte Projekte auf die Schaltfläche Projektberechtigungen (siehe Abbildung 20.26).
Abbildung 20.26 Projektberechtigung verwalten
-
Legen Sie nun eine neue Projektberechtigung über die Schaltfläche Neu an (siehe Abbildung 20.27).
Abbildung 20.27 Neue Projektberechtigung
- Vergeben Sie nun einem oder mehreren Benutzern oder Gruppen Berechtigungen an diesem Projekt (siehe Abbildung 20.28).
- Schließen Sie die Vergabe von Projektberechtigungen mit Speichern ab. Das Projekt muss nicht neu veröffentlicht werden, damit diese Berechtigungskonfiguration gültig wird.
Abbildung 20.28 Projektberechtigungen vergeben