Planifier les autorisations des sites (SharePoint Server 2010)
S’applique à : SharePoint Foundation 2010, SharePoint Server 2010
Dernière rubrique modifiée : 2016-11-30
Cet article vous aide à planifier le contrôle d’accès aux niveaux de la collection de sites, du site, du sous-site et du contenu de site (liste ou bibliothèque, dossier, élément ou document). En outre, il décrit les concepts relatifs à l’héritage des autorisations et aux autorisations affinées.
Cet article n’aborde pas la planification de la sécurité de l’ensemble du serveur ou de la batterie de serveurs. Pour plus d’informations sur la planification des autres aspects de la sécurité, tels que les méthodes d’authentification et les modes d’authentification, voir Planifier des méthodes d’authentification (SharePoint Server 2010).
Dans cet article :
À propos des autorisations de site
À propos de l’héritage des autorisations
Planifier les autorisations des sites
Planifier l’héritage des autorisations
Introduction
Vous pouvez contrôler l’accès à un site et à un contenu de site en affectant des autorisations à des utilisateurs ou à des groupes pour ce site ou contenu aux niveaux suivants dans une collection de sites :
site ;
bibliothèque ou liste ;
dossier ;
document ou élément.
Avant de développer votre plan pour l’accès au site et au contenu, vous devez prendre en considération les questions suivantes :
Avec quel niveau de granularité souhaitez-vous contrôler les autorisations pour le site ou le contenu du site ? Par exemple, vous pouvez souhaiter contrôler l’accès au niveau du site ou avoir besoin de paramètres de sécurité plus restrictifs pour une liste, un dossier ou un élément spécifique.
Comment souhaitez-vous classer et gérer les utilisateurs à l’aide de groupes SharePoint ? Les groupes n’ont pas d’autorisations tant qu’un niveau d’autorisation ne leur a pas été affecté pour un site ou un contenu de site spécifique. Lorsque vous affectez des niveaux d’autorisation à des groupes SharePoint au niveau de la collection de sites, par défaut, la totalité des sites et leur contenu héritent de ces niveaux d’autorisation.
Pour plus d’informations sur l’utilisation de groupes pour gérer les autorisations, voir Choisir les groupes de sécurité (SharePoint Server 2010).
À propos des autorisations de site
Vous devez comprendre les concepts suivants avant de concevoir votre plan des autorisations.
Autorisations Les autorisations accordent à un utilisateur la possibilité d’exécuter des actions spécifiques. Par exemple, l’autorisation Afficher les éléments permet à l’utilisateur d’afficher des éléments dans une liste ou un dossier, mais pas d’ajouter ou de supprimer des éléments. Les autorisations peuvent être accordées à des utilisateurs spécifiques aux niveaux du site ou du contenu de site.
Pour plus d’informations sur les autorisations disponibles, voir Autorisations utilisateur et niveaux d’autorisation (Office SharePoint Server).
Permissions affinées Les permissions affinées sont des autorisations uniques sur des objets sécurisables qui se situent à un niveau inférieur dans une hiérarchie de site, telles que des autorisations sur une liste, une bibliothèque, un dossier, un élément ou un document. Les permissions affinées autorisent une granularité et une personnalisation plus grandes des autorisations utilisateur dans une collection de sites.
Niveau d’autorisation Les niveaux d’autorisation sont des collections d’autorisations qui permettent aux utilisateurs d’effectuer un ensemble de tâches connexes. Par exemple, le niveau d’autorisation Lecture comprend, entre autres, les autorisations Afficher les éléments, Ouvrir les éléments, Afficher les pages et Afficher les versions, qui sont toutes nécessaires pour l’affichage des pages, des documents et des éléments dans un site SharePoint. Les autorisations peuvent être incluses dans plusieurs niveaux d’autorisation.
Les niveaux d’autorisation sont définis au niveau de la collection de sites et peuvent être personnalisés par n’importe quel utilisateur ou groupe dont le niveau d’autorisation comprend l’autorisation Gérer les autorisations. Pour plus d’informations sur la personnalisation des niveaux d’autorisation, voir Configurer des autorisations personnalisées (SharePoint Server 2010).
Les niveaux d’autorisation par défaut sont : Accès limité, Lecture, Collaboration, Conception et Contrôle total. Pour plus d’informations sur les niveaux d’autorisation par défaut et sur les autorisations incluses dans chaque niveau, voir Autorisations utilisateur et niveaux d’autorisation (Office SharePoint Server).
Groupe SharePoint Un groupe SharePoint est un groupe d’utilisateurs qui sont définis au niveau de la collection de sites, ce qui permet de gérer facilement leurs autorisations. À chaque groupe SharePoint est affecté un niveau d’autorisation par défaut. Par exemple, les groupes SharePoint par défaut sont Propriétaires, Visiteurs et Membres, dont les niveaux d’autorisation par défaut sont respectivement Contrôle total, Lecture et Collaboration. Tout utilisateur possédant l’autorisation Contrôle total peut créer des groupes personnalisés.
Utilisateur Un utilisateur peut être une personne qui a un compte d’utilisateur émanant d’un fournisseur d’authentification pris en charge par l’application Web. Il est recommandé d’affecter des autorisations à des groupes plutôt qu’à des utilisateurs, bien que vous puissiez accorder directement à des utilisateurs spécifiques des autorisations sur un site ou sur un contenu spécifique. Étant donné qu’il n’est pas efficace de gérer des comptes d’utilisateurs individuels, vous ne devez affecter des autorisations à un utilisateur spécifique qu’à titre exceptionnel.
Objet sécurisable Un objet sécurisable est un site, une liste, une bibliothèque, un dossier, un document ou un élément pour lesquels des niveaux d’autorisation peuvent être affectés à des utilisateurs ou à des groupes. Par défaut, toutes les listes et bibliothèques au sein d’un site héritent les autorisations de ce site. Vous pouvez utiliser des autorisations au niveau de la liste, du dossier et de l’élément pour contrôler davantage les utilisateurs pouvant afficher ou manipuler le contenu du site. Vous devez interrompre l’héritage des autorisations avant de modifier ou d’affecter les autorisations associées à cet objet sécurisable. Vous pouvez restaurer l’héritage des autorisations de la liste ou du site parent à tout moment.
Vous pouvez affecter à un utilisateur ou à un groupe des autorisations pour un objet sécurisable spécifique. Des utilisateurs individuels ou des groupes peuvent avoir différentes autorisations pour différents objets sécurisables. Le diagramme suivant illustre les relations entre les autorisations, les utilisateurs, les groupes et les objets sécurisables.
.gif "Niveaux d’autorisations spécifiques")
À propos de l’héritage des autorisations
Les autorisations sur les objets sécurisables au sein d’un site sont héritées de l’objet parent par défaut. Vous pouvez interrompre l’héritage et utiliser les autorisations affinées — autorisations uniques au niveau de la liste, de la bibliothèque, du dossier ou du document — pour contrôler davantage les actions que les utilisateurs peuvent effectuer sur votre site. Pour plus d’informations sur les meilleures pratiques en matière d’utilisation des autorisations affinées, voir Meilleures pratiques pour l’utilisation des autorisations affinées.
L’arrêt de l’héritage des autorisations copie les groupes, les utilisateurs et les niveaux d’autorisation depuis l’objet parent vers l’objet enfant, puis interrompt l’héritage. Lorsque l’héritage des autorisations est interrompu, toutes les autorisations sont explicites et aucune modification de l’objet parent n’affecte l’objet enfant. Si vous restaurez les autorisations héritées, l’objet enfant hérite ses utilisateurs, ses groupes et ses niveaux d’autorisation de l’objet parent de nouveau et vous perdez les utilisateurs, les groupes ou les niveaux d’autorisation qui étaient propres à l’objet enfant.
Pour faciliter la gestion, utilisez l’héritage des autorisations chaque fois que cela est possible.
Conseil
Si vous choisissez d’interrompre l’héritage et que vous utilisez des autorisations affinées, vous devez utiliser des groupes pour ne pas avoir à effectuer le suivi des utilisateurs individuels. Les personnes pouvant intégrer ou quitter les équipes et changer de responsabilité fréquemment, le suivi de ces modifications et la mise à jour des autorisations associées à des objets sécurisés de manière unique prendraient beaucoup de temps et seraient source d’erreur.
Planifier les autorisations des sites
Lorsque vous créez des autorisations, vous devez rechercher le meilleur compromis entre, d’une part, la facilité d’administration et les performances et, d’autre part, la nécessité de contrôler l’accès à des éléments spécifiques. Si vous utilisez des autorisations affinées de manière intensive, vous allez consacrer plus de temps à la gestion des autorisations et les utilisateurs peuvent faire face à une baisse des performances lorsqu’ils essaient d’accéder au contenu du site.
Suivez les recommandations suivantes pour planifier les autorisations de site :
Suivez le principe des privilèges minimum : les utilisateurs ne doivent bénéficier que des niveaux d’autorisation ou des autorisations spécifiques dont ils ont besoin pour effectuer les tâches qui leur ont été affectées.
Utilisez des groupes standard (tels que Membres, Visiteurs et Propriétaires) et contrôlez les autorisations au niveau du site.
Intégrez la plupart des utilisateurs aux groupes Membres ou Visiteurs. Par défaut, les utilisateurs figurant dans le groupe Membres peuvent collaborer au site, ajouter ou supprimer des éléments ou des documents, mais ils ne peuvent pas modifier la structure, les paramètres ou l’apparence du site. Le groupe Visiteurs dispose d’un accès en lecture seule au site, ce qui signifie que ses membres peuvent afficher les pages et les éléments, ainsi qu’ouvrir des éléments et des documents, mais qu’ils ne peuvent pas ajouter ou supprimer de pages, d’éléments ou de documents.
Limitez le nombre de personnes dans le groupe Propriétaires. Seuls les utilisateurs dont vous estimez qu’ils peuvent modifier la structure, les paramètres ou l’apparence du site doivent être membres du groupe Propriétaires.
Privilégiez l’utilisation de niveaux d’autorisation à l’affectation d’autorisations individuelles.
Notes
-
Vous pouvez créer des niveaux d’autorisation et des groupes SharePoint supplémentaires si vous devez contrôler davantage les actions que vos utilisateurs peuvent effectuer. Par exemple, si vous ne souhaitez pas que le niveau d’autorisation Lecture sur un sous-site spécifique inclue l’autorisation Créer des alertes, interrompez l’héritage et personnalisez le niveau d’autorisation Lecture pour ce sous-site.
-
Microsoft SharePoint Foundation 2010 et SharePoint Server 2010 mettent à votre disposition la fonction Vérifier les autorisations, qui vous permet de déterminer les autorisations d’un utilisateur ou d’un groupe sur toutes les ressources au sein d’une collection de sites. Vous pouvez désormais rechercher les autorisations directement affectées à l’utilisateur et les autorisations affectées à tous les groupes dont il est membre en vérifiant les autorisations pour un site ou contenu de site spécifique.
Planifier l’héritage des autorisations
Il est beaucoup plus facile de gérer les autorisations lorsqu’il existe une hiérarchie claire des autorisations et des autorisations héritées. Cela devient plus difficile lorsque des autorisations affinées sont appliquées à certaines listes au sein d’un site et que certains sites disposent de sous-sites auxquels sont associées des autorisations uniques, tandis que d’autres disposent de sous-sites auxquels sont associées des autorisations héritées. Dans la mesure du possible, organisez les sites, les sous-sites, les listes et les bibliothèques de manière à ce qu’ils puissent partager la plupart des autorisations. Isolez les données sensibles dans des listes, des bibliothèques ou des sous-sites qui leur sont propres.
Par exemple, il est beaucoup plus facile de gérer un site qui bénéficie de l’héritage des autorisations, comme indiqué dans le tableau ci-dessous.
| Objet sécurisable | Description | Autorisations uniques ou héritées |
|---|---|---|
Site_A |
Page d’accueil du groupe |
Uniques |
Site_A/Sous-site_A |
Groupe sensible |
Uniques |
Site_A/Sous-site_A/Liste_A |
Données sensibles |
Uniques |
Site_A/Sous-site_A/Bibliothèque_A |
Documents critiques |
Uniques |
Site_A/Sous-site_B |
Informations de projet partagées relatives au groupe |
Héritées |
Site_A/Sous-site_B/Liste_B |
Données non sensibles |
Héritées |
Site_A/Sous-site_B/Bibliothèque_B |
Documents non critiques |
Héritées |
Cependant, il n’est pas aussi facile de gérer un site qui bénéficie de l’héritage des autorisations, comme indiqué dans le tableau ci-dessous.
| Objet sécurisable | Description | Autorisations uniques ou héritées |
|---|---|---|
Site_A |
Page d’accueil du groupe |
Uniques |
Site_A/Sous-site_A |
Groupe sensible |
Uniques |
Site_A/Sous-site_A/Liste_A |
Données non sensibles |
Autorisations uniques, mais identiques à celles associées à Site_A |
Site_A/Sous-site_A/Bibliothèque_A |
Documents non critiques, mais existence d’un ou deux documents critiques |
Autorisations héritées et existence d’autorisations uniques au niveau du document |
Site_A/Sous-site_B |
Informations de projet partagées relatives au groupe |
Héritées |
Site_A/Sous-site_B/Liste_B |
Données non sensibles, mais existence d’un ou deux éléments sensibles |
Autorisations héritées et existence d’autorisations uniques au niveau de l’élément |
Site_A/Sous-site_B/Bibliothèque_B |
Documents non critiques, mais existence d’un dossier spécial contenant des documents critiques |
Autorisations héritées et existence d’autorisations uniques au niveau du dossier et du document |