Choisir les groupes de sécurité (SharePoint Server 2010)

  • Article

 

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Cet article décrit les groupes de sécurité et de distribution qui constituent les services de domaine Active Directory® (AD DS). En outre, il fournit des recommandations pour l’utilisation de ces groupes dans le but d’organiser les utilisateurs des sites SharePoint.

Dans cet article :

  • Déterminer s’il est nécessaire d’ajouter des groupes de sécurité

  • Déterminer les groupes de sécurité à utiliser pour l’octroi de l’accès aux sites

  • Décider s’il faut autoriser l’accès à tous les utilisateurs authentifiés

  • Décider s’il faut autoriser l’accès aux utilisateurs anonymes

Introduction

La gestion des utilisateurs des sites SharePoint est plus facile si vous attribuez des niveaux d’autorisation à des groupes plutôt qu’à des utilisateurs spécifiques. Le groupe SharePoint est un ensemble d’utilisateurs individuels et peut également comprendre des groupes Active Directory. Dans les services de domaine Active Directory (AD DS), les groupes suivants sont couramment utilisés pour organiser les utilisateurs :

  • Groupe de distribution   Ce groupe, uniquement utilisé pour la distribution de courrier électronique, n’est pas sécurisé. Les groupes de distribution ne peuvent pas être répertoriés dans les listes de contrôle d’accès discrétionnaires, qui sont utilisées pour définir des autorisations sur les ressources et les objets.

  • Groupe de sécurité   Ce groupe peut être répertorié dans les listes de contrôle d’accès discrétionnaires. Un groupe de sécurité peut également servir d’entité de messagerie.

Vous pouvez utiliser les groupes de sécurité pour contrôler les autorisations pour votre site en ajoutant des groupes de sécurité aux groupes SharePoint et en accordant les autorisations aux groupes SharePoint. Vous ne pouvez pas ajouter des groupes de distribution aux groupes SharePoint, mais vous pouvez développer un groupe de distribution et ajouter des membres individuels à un groupe SharePoint. Si vous utilisez cette méthode, vous devez conserver manuellement la synchronisation entre le groupe SharePoint et le groupe de distribution. Si vous utilisez des groupes de sécurité, il est inutile de gérer les utilisateurs individuels dans l’application SharePoint. Étant donné que vous avez inclus le groupe de sécurité au lieu des membres individuels du groupe, AD DS gère les utilisateurs pour vous.

Notes

Pour une gestion aisée de la sécurité, les actions suivantes ne sont pas recommandées dans le cadre de la gestion des groupes Active Directory :

  • Affecter des niveaux d’autorisation directement à des groupes Active Directory.

  • Ajouter des groupes de sécurité qui contiennent des groupes de sécurité imbriqués, des contacts ou des listes de distribution.

Déterminer s’il est nécessaire d’ajouter des groupes de sécurité

L’ajout de groupes de sécurité à des groupes SharePoint permet de gérer les groupes et la sécurité de façon centralisée. Le groupe de sécurité est l’emplacement unique auquel vous gérez les utilisateurs individuels. Une fois que vous avez ajouté le groupe de sécurité à un groupe SharePoint, vous n’avez plus besoin de gérer les membres du groupe de sécurité dans ce groupe SharePoint. Si un utilisateur est supprimé du groupe de sécurité, il est automatiquement supprimé du groupe SharePoint.

Toutefois, l’utilisation de groupes de sécurité dans les sites SharePoint ne procure pas une visibilité complète de ce qui se passe. Par exemple, lorsqu’un groupe de sécurité est ajouté à un groupe SharePoint pour un site spécifique, ce site n’apparaît pas dans les sites Mon site des utilisateurs. La liste des informations utilisateur n’affiche pas les utilisateurs individuels tant qu’ils n’ont pas contribué au site. En outre, les groupes de sécurité dont la structure est fortement imbriquée risquent d’affecter l’intégrité des sites SharePoint.

Compte tenu des avantages et des inconvénients indiqués ci-dessus, voici les recommandations :

  • Pour les sites intranet largement visités par vos utilisateurs, utilisez des groupes de sécurité, car vous n’êtes pas intéressé par l’idée de savoir quels sont les utilisateurs individuels qui ont accédé à la page d’accueil du site intranet.

  • Pour les sites de collaboration auxquels accède un groupe réduit d’utilisateurs, ajoutez les utilisateurs directement à des groupes SharePoint. Dans ce cas, il peut s’avérer nécessaire de savoir qui est membre afin que chaque membre du groupe connaisse l’adresse de messagerie des autres membres et qu’il sache comment les contacter.

Déterminer les groupes de sécurité à utiliser pour l’octroi de l’accès aux sites

Chaque organisation configure ses groupes de sécurité différemment. Pour faciliter la gestion des autorisations, les groupes de sécurité doivent être :

  • suffisamment grands et stables pour que vous ne soyez pas constamment obligé d’ajouter des groupes de sécurité à vos sites SharePoint ;

  • suffisamment petits pour que vous puissiez attribuer les autorisations appropriées.

Par exemple, un groupe de sécurité nommé « tous les utilisateurs du bâtiment 2 » n’est probablement pas assez petit pour attribuer des autorisations, sauf si tous les utilisateurs du bâtiment 2 ont la même fonction, telle que secrétaires à la comptabilité clients. Ceci étant rarement le cas, vous devez rechercher un ensemble d’utilisateurs plus petit et plus spécifique tel que « Comptabilité clients ».

Décider s’il faut autoriser l’accès à tous les utilisateurs authentifiés

Si vous souhaitez que tous les utilisateurs de votre domaine soient en mesure d’afficher le contenu de votre site, envisagez d’accorder l’accès à tous les utilisateurs authentifiés (le groupe de sécurité Windows Utilisateurs du domaine). Ce groupe spécial permet à tous les membres de votre domaine d’accéder à un site Web (au niveau d’autorisation que vous choisissez), sans qu’il soit nécessaire d’activer l’accès anonyme.

Décider s’il faut autoriser l’accès aux utilisateurs anonymes

Vous pouvez activer l’accès anonyme pour permettre aux utilisateurs d’afficher les pages de façon anonyme. La plupart des sites Web Internet autorisent l’affichage anonyme d’un site, mais peuvent exiger une authentification lorsqu’un utilisateur souhaite modifier le site ou acheter un élément sur un site d’achat. L’accès anonyme est désactivé par défaut et doit être accordé au niveau de l’application Web au moment de la création de celle-ci.

Si l’accès anonyme est autorisé pour l’application Web, les administrateurs de site peuvent décider s’il convient d’accorder l’accès anonyme à un site ou à une partie du contenu de ce site.

L’accès anonyme repose sur le compte d’utilisateur anonyme sur le serveur Web. Ce compte est créé et géré par Microsoft Internet Information Services (IIS), et non par votre site SharePoint. Par défaut, dans IIS, le compte d’utilisateur anonyme est IUSR. Lorsque vous activez l’accès anonyme, vous octroyez en effet à ce compte l’accès au site SharePoint. L’autorisation d’accès à un site, ou à des listes et des bibliothèques, accorde l’autorisation Afficher les éléments au compte d’utilisateur anonyme. Toutefois, même avec l’autorisation Afficher les éléments, il existe des restrictions aux tâches que les utilisateurs anonymes peuvent effectuer. Les utilisateurs anonymes ne peuvent pas :

  • Ouvrir des sites pour les modifier dans Microsoft Office SharePoint Designer.

  • Afficher des sites dans les Favoris réseau.

  • Télécharger ou modifier des documents dans les bibliothèques de documents, y compris dans les bibliothèques Wiki.

    Important

    Pour améliorer la sécurité des sites, des listes ou des bibliothèques, n’activez pas l’accès anonyme. L’activation de l’accès anonyme permet aux utilisateurs de contribuer aux listes, aux discussions et aux enquêtes, ce qui peut se traduire par la consommation de l’espace disque sur le serveur et d’autres ressources. En outre, l’accès anonyme permet aux utilisateurs anonymes de découvrir des informations de site, notamment les adresses de messagerie des utilisateurs et du contenu publié dans les listes, les bibliothèques et les discussions.

Les stratégies d’autorisation permettent de configurer et de gérer de façon centralisée un ensemble d’autorisations qui concerne uniquement un sous-ensemble d’utilisateurs ou de groupes dans une application Web. Vous pouvez gérer la stratégie d’autorisation pour les utilisateurs anonymes en activant ou en désactivant l’accès anonyme pour une application Web. Si vous activez l’accès anonyme pour une application Web, les administrateurs de site peuvent accorder ou refuser l’accès anonyme au niveau de la collection de sites, du site ou de l’élément. Si l’accès anonyme est désactivé pour une application Web, aucun site au sein de cette application Web n’est accessible par les utilisateurs anonymes.

  • Aucune   Aucune stratégie. Il s’agit de l’option par défaut. Aucune restriction ou aucun ajout d’autorisation supplémentaire n’est appliqué aux utilisateurs anonymes des sites.

  • Refuser l’accès en écriture   Les utilisateurs anonymes ne peuvent pas écrire du contenu, même si l’administrateur de site tente spécifiquement d’accorder cette autorisation au compte d’utilisateur anonyme.

  • Refuser tous les accès   Les utilisateurs anonymes n’ont aucun accès, même si les administrateurs de sites tentent spécifiquement d’accorder au compte d’utilisateur anonyme un accès à leurs sites.

Pour plus d’informations sur les stratégies d’autorisation, voir Gérer des stratégies d’autorisation pour une application Web (SharePoint Server 2010).