Déterminer les niveaux d’autorisation et les groupes à utiliser (SharePoint Server 2010)

  • Article

 

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Cet article décrit les groupes et les niveaux d’autorisation par défaut et vous aide à décider s’ils doivent être utilisés tels quels, être personnalisés ou si vous devez créer d’autres groupes et niveaux d’autorisation.

Dans cet article :

  • Passer en revue les groupes par défaut disponibles

  • Passer en revue les niveaux d’autorisation disponibles

  • Déterminer si des niveaux d'autorisation ou de groupes supplémentaires sont nécessaires

La décision la plus importante concernant la sécurité de votre site et de votre contenu dans Microsoft SharePoint Server 2010 porte sur le classement de vos utilisateurs et sur les niveaux d’autorisation à affecter.

Passer en revue les groupes par défaut disponibles

Les groupes SharePoint vous permettent de gérer des ensembles d’utilisateurs au lieu d’utilisateurs individuels. Ces groupes peuvent contenir de nombreux utilisateurs individuels ou comporter le contenu de n’importe quel système d’identité d’entreprise, notamment les services de domaine Active Directory (AD DS), les annuaires basés sur LDAPv3, les bases de données propres aux applications et les nouveaux modèles d’identité centrés sur l’utilisateur, tels que LiveID. Les groupes SharePoint n’accordent pas de droits spécifiques sur le site ; ils servent à désigner un ensemble d’utilisateurs. Vous pouvez organiser les utilisateurs en un nombre quelconque de groupes, en fonction de la taille et de la complexité de votre organisation ou de votre site Web. Les groupes SharePoint ne peuvent pas être imbriqués.

Le tableau suivant indique les groupes par défaut créés pour les sites d’équipes dans SharePoint Server 2010.

Nom du groupe Niveau d’autorisation par défaut

Utilisateurs qui affichent simplement des données

Affichage seul

Visiteurs

Lecture

Membres

Collaboration

Concepteurs

Création

Propriétaires

Contrôle total

Si vous utilisez un modèle de site autre que le modèle de site d’équipe, une autre liste de groupes SharePoint par défaut apparaît. Par exemple, le tableau suivant indique les groupes supplémentaires fournis par un modèle de site de publication.

Nom du groupe Niveau d’autorisation par défaut

Lecteurs restreints

Lecture restreinte sur le site et Accès limité à des listes spécifiques

Lecteurs de ressources de style

Lecture sur la galerie de pages maîtres et Lecture restreinte sur la bibliothèque de styles

Utilisateurs du déploiement rapide

Collaboration à la bibliothèque d’éléments de déploiement rapide et Accès limité au reste du site

Approbateurs

Approbation et Accès limité

Gestionnaires de hiérarchies

Gérer la hiérarchie et Accès limité

En outre, les utilisateurs et les groupes spéciaux suivants sont disponibles pour les tâches d’administration de niveau supérieur :

  • Administrateurs de collections de sites    Vous pouvez désigner un ou plusieurs utilisateurs comme administrateurs de collections de sites principaux et secondaires. Ces utilisateurs sont enregistrés dans la base de données en tant que contacts pour la collection de sites, possèdent un contrôle total de tous les sites dans la collection de sites et peuvent auditer l’ensemble du contenu de site et recevoir des alertes d’administration (par exemple, une alerte visant à déterminer si le site est en cours d’utilisation). Les administrateurs de la collection de sites sont désignés lors de la création d’un site, mais vous pouvez les modifier au besoin à l’aide du site Administration centrale ou des pages Paramètres du site de la collection de sites. Les groupes et les rôles AD DS ne peuvent pas être ajoutés en tant qu’administrateurs de collection de sites.

    Notes

    Les administrateurs de collection de sites disposent des droits complets sur la totalité des sites au sein d’une collection de sites. Ils peuvent ajouter ou supprimer des sites ou modifier les paramètres de tout site au sein d’une collection de sites. En outre, ils peuvent afficher, ajouter, supprimer ou modifier tout le contenu de ces sites. Ils peuvent ajouter et supprimer des utilisateurs dans les sites et envoyer des invitations à ces sites. Les propriétaires de collection de sites sont les seuls utilisateurs qui reçoivent des notifications par messagerie au sujet d’événements, tels que la suppression automatique en attente de sites inactifs. Par défaut, les propriétaires de collection de sites reçoivent également des demandes d’accès de la part d’utilisateurs auxquels l’accès a été refusé.

  • **Administrateurs de batterie   **Ce groupe détermine les utilisateurs habilités à gérer les paramètres de serveur et de batterie de serveurs. Les administrateurs de la batterie n’ont pas accès au contenu de site par défaut ; ils doivent prendre possession du site s’ils souhaitent afficher du contenu. Le groupe Administrateurs de batterie est utilisé dans l’Administration centrale uniquement et n’est disponible pour aucun site.

  • Administrateurs : les membres du groupe Administrateurs sur le serveur local peuvent effectuer toutes les actions des administrateurs de batterie ainsi que d’autres actions, notamment les suivantes :

    • installation de nouveaux produits ou applications ;

    • déploiement de composants WebPart et de nouvelles fonctionnalités sur le Global Assembly Cache ;

    • création de nouvelles applications Web et de nouveaux sites Web IIS ;

    • démarrage des services.

    Comme le groupe Administrateurs de batterie, les membres du groupe Administrateurs sur le serveur local n’ont pas accès au contenu du site par défaut.

Une fois que vous avez déterminé les groupes dont vous avez besoin, déterminez les niveaux d’autorisation à affecter à chaque groupe sur votre site.

Passer en revue les niveaux d’autorisation disponibles

La capacité à afficher, modifier ou gérer un site est déterminée par le niveau d’autorisation que vous affectez à un utilisateur ou groupe. Ce niveau d’autorisation contrôle toutes les autorisations pour le site et pour les sous-sites, listes, bibliothèques de documents, dossiers et éléments ou documents éventuels, qui héritent des autorisations du site. Sans les niveaux d’autorisation appropriés, les utilisateurs peuvent ne pas être en mesure d’effectuer leurs tâches ou risquent d’effectuer des tâches que vous ne leur avez pas destinées.

Par défaut, les niveaux d’autorisation suivants sont disponibles :

  • **Accès limité   **Comprend les autorisations qui permettent aux utilisateurs d’afficher des listes, bibliothèques de documents, éléments de liste, dossiers ou documents spécifiques sans bénéficier de l’accès à tous les éléments d’un site. Vous ne pouvez pas modifier ce niveau d’autorisation directement.

    Notes

    Si ce niveau d’autorisation est supprimé, les membres du groupe peuvent ne pas être en mesure de naviguer dans le site pour accéder aux éléments, même s’ils disposent des autorisations adéquates sur un élément dans le site.

  • Lecture   Comprend les autorisations qui permettent aux utilisateurs d’afficher des éléments dans les pages du site.

  • Collaboration   Comprend les autorisations qui permettent aux utilisateurs d’ajouter ou de modifier des éléments dans les pages du site ou dans les listes et les bibliothèques de documents.

  • Conception   Comprend les autorisations qui permettent aux utilisateurs de modifier la présentation des pages du site à l’aide du navigateur ou de Microsoft SharePoint Designer 2010.

  • **Contrôle total   **Comprend toutes les autorisations.

Les niveaux d’autorisation supplémentaires suivants sont fournis avec le modèle de publication par défaut :

  • **Vue seule   **Comprend les autorisations qui permettent aux utilisateurs d’afficher des pages, des éléments de liste et des documents.

  • **Approuver   **Comprend les autorisations qui permettent aux utilisateurs de modifier et d’approuver des pages, des éléments de liste et des documents.

  • **Gérer la hiérarchie   **Comprend les autorisations qui permettent aux utilisateurs de créer des sites et modifier des pages, des éléments de liste et des documents.

  • **Lecture restreinte   **Comprend les autorisations qui permettent aux utilisateurs d’afficher des pages et des documents, mais pas les versions historiques ni les informations sur les droits des utilisateurs.

Déterminer si des niveaux d’autorisation ou de groupes supplémentaires sont nécessaires

Les groupes et les niveaux d’autorisation par défaut fournissent une infrastructure générale pour les autorisations, couvrant de nombreux types d’organisations et rôles différents dans ces organisations. Toutefois, il est possible qu’ils ne correspondent pas exactement à la façon dont vos utilisateurs sont organisés ou aux nombreuses tâches différentes que vos utilisateurs effectuent sur vos sites. Si les groupes et les niveaux d’autorisation par défaut ne correspondent pas à votre organisation, vous pouvez créer des groupes personnalisés, modifier les autorisations incluses dans des niveaux d’autorisation spécifiques ou créer des niveaux d’autorisation personnalisés.

Avez-vous besoin de groupes personnalisés ?

La décision de créer des groupes personnalisés est relativement simple et a peu d’effet sur la sécurité de votre site. Vous devez créer des groupes personnalisés au lieu d’utiliser les groupes par défaut si l’une des conditions ci-dessous s’applique :

  • Il existe plus (ou moins) de rôles utilisateur au sein de votre organisation qu’il en apparaît dans les groupes par défaut. Par exemple, si en plus des Approbateurs, Concepteurs et Gestionnaires de hiérarchies, un ensemble de personnes est chargé de publier le contenu du site, vous pouvez souhaiter créer un groupe Éditeurs.

  • Il existe des noms connus pour des rôles uniques au sein de votre organisation qui exécutent des tâches très différentes dans les sites. Par exemple, si vous créez un site public pour vendre les produits de votre organisation, vous pouvez souhaiter créer un groupe Clients qui remplace le groupe Visiteurs ou Visualiseurs.

  • Vous souhaitez conserver une relation un à un entre les groupes de sécurité Windows et les groupes SharePoint. Par exemple, si votre organisation possède un groupe de sécurité appelé Responsables de site Web, vous pouvez utiliser ce nom en tant que nom de groupe SharePoint pour faciliter l’identification lors de la gestion du site.

  • Vous préférez d’autres noms de groupes.

Avez-vous besoin de niveaux d’autorisation personnalisés ?

La décision de personnaliser les niveaux d’autorisation est moins simple que la décision de personnaliser les groupes SharePoint. Si vous personnalisez les autorisations affectées à un niveau d’autorisation, vous devez effectuer le suivi de cette modification, vérifier que l’opération fonctionne pour tous les groupes et sites affectés par la modification et vous assurer que celle-ci n’affecte pas la sécurité ni la capacité ou les performances de votre serveur.

Par exemple, si vous personnalisez le niveau d’autorisation Collaboration pour inclure l’autorisation Créer des sous-sites qui fait généralement partie du niveau d’autorisation Contrôle total, les membres du groupe Collaborateurs peuvent créer et posséder des sous-sites, avec le risque potentiel d’inviter des utilisateurs malveillants à visiter leurs sous-sites ou de publier du contenu non approuvé. Si vous personnalisez le niveau d’autorisation Lecture pour inclure l’autorisation Afficher les données d’utilisation qui fait généralement partie du niveau d’autorisation Contrôle total, tous les membres du groupe Visiteurs peuvent afficher les données d’utilisation, ce qui peut nuire aux performances.

Vous devez personnaliser les niveaux d’autorisation par défaut si l’une des deux situations ci-dessous s’applique :

  • Un niveau d’autorisation par défaut inclut toutes les autorisations sauf celle dont vos utilisateurs ont besoin pour effectuer leur travail, et vous souhaitez ajouter cette autorisation.

  • Un niveau d’autorisation par défaut inclut une autorisation dont vos utilisateurs n’ont pas besoin.

    Important

    Vous ne devez pas personnaliser les niveaux d’autorisation par défaut si votre organisation doit faire face à des problèmes, par exemple liés à la sécurité, que pose une autorisation spécifique faisant partie du niveau d’autorisation. Si vous souhaitez rendre cette autorisation non disponible pour tous les utilisateurs affectés au(x) niveau(x) d’autorisation comprenant cette autorisation, désactivez l’autorisation pour toutes les applications Web dans votre batterie de serveurs, au lieu de modifier tous les niveaux d’autorisation.

Si vous devez apporter plusieurs modifications à un niveau d’autorisation, créez un niveau d’autorisation personnalisé, qui inclut toutes les autorisations dont vous avez besoin.

Vous pouvez souhaiter créer des niveaux d’autorisation supplémentaires si l’une des deux situations ci-dessous s’applique :

  • Vous souhaitez exclure plusieurs autorisations d’un niveau d’autorisation particulier.

  • Vous voulez définir un ensemble unique d’autorisations pour un nouveau niveau d’autorisation.

Pour élaborer un niveau d’autorisation, vous pouvez copier un niveau d’autorisation existant, puis apporter les modifications de votre choix, ou vous pouvez créer un niveau d’autorisation, puis sélectionner les autorisations que vous souhaitez inclure.

Notes

Certaines autorisations dépendent d’autres autorisations. Si vous désactivez une autorisation dont dépend une autre autorisation, l’autre autorisation est également désactivée.