Situation:
Ein MOSS Site Collection Owner wendet sich mit folgendem Problem an uns: Das Team eines abteilungsinternen Projekts wurde um einen externen Mitarbeiter ergänzt; dieser Benutzer, dem eine explizite Berechtigung auf die Projekt-Subsite eingeräumt wurde, während er keinen Zugriff auf die übergeordneten Seiten hat, bekommt eine “Access Denied”-Meldung.

Hintergrund:
Die Sehnsucht nach Sicherheit trägt manchmal seltsame Früchte. In diesem Fall hat sie dazu geführt, dass der o.g. Administrator, von den Möglichkeiten der Rechteverwaltung in SharePoint fasziniert, versuchte, in seinem MOSS-Bereich restriktiven rechtepolitischen Regime zu etablieren. In den vordersten Reihen fielen diesem Tatendrang die Berechtigungen für die vordefinierten Gruppen wie Designer und Approver zum Opfer, als kritischer Treffer erwies sich jedoch das Entmachten von Style Resource Reader Gruppe, die per default alle authentifizierten Benutzer enthält und Leseberechtigung lediglich für die Masterpage-Gallery und Styles-Bibliothek hat. Somit war das Anzeigen einer Seite für den externen Benutzer nicht mehr möglich, da bei ihrem Aufruf die Masterpage vom Top der Site Collection – wo er ja keine Rechte mehr hatte – nicht gelesen werden konnte. Die Berechtigungen für die jeweiligen Libs mussten manuell wiederhergestellt werden.

Lessons Learned:
1. Wenn schon Full Control, dann nicht ohne ein kurzes Interview mit dem zukünftigen Owner. Insbesondere wenn in seinen Adern das Blut eines geschäftstüchtigen Admins fliesst.
2. Bei der Suche nach Problemen in Systemen mit dezentraler Rechteverwaltung ist das kartesische Produkt aller wildesten Aktionen aller gegebenen Administratoren gleich mitzubedenken.