Share via

Déterminer les niveaux d’autorisation et les groupes (SharePoint Foundation)

  • Article

 

S’applique à : SharePoint Foundation 2010

Dernière rubrique modifiée : 2016-11-30

Cet article passe en revue les groupes par défaut et les niveaux d’autorisation, et vous aide à déterminer si vous devez les utiliser, les personnaliser ou ajouter de nouveaux groupes et niveaux d’autorisation pour accroître la sécurité.

Dans cet article :

  • Passer en revue les groupes par défaut disponibles

  • Passer en revue les niveaux d’autorisation disponibles

  • Déterminer si vous avez besoin de niveaux d'autorisation ou de groupes supplémentaires

La décision la plus importante concernant la sécurité de votre site et de votre contenu dans Microsoft SharePoint Foundation 2010 porte sur le classement de vos utilisateurs et sur les niveaux d’autorisation à affecter.

Il existe plusieurs groupes SharePoint par défaut destinés à vous aider à classer vos utilisateurs en fonction des types d’actions qu’ils doivent effectuer, mais vous pouvez avoir vos propres besoins ou votre propre approche des ensembles d’utilisateurs. De même, il existe des niveaux d’autorisation par défaut, mais il est possible qu’ils ne correspondent pas exactement aux tâches que vos groupes doivent effectuer.

Dans cet article, vous passez en revue les groupes et les niveaux d’autorisation par défaut et décidez s’ils doivent être utilisés tels quels, être personnalisés ou si vous devez créer d’autres groupes et niveaux d’autorisation.

Passer en revue les groupes par défaut disponibles

Avec les groupes SharePoint, vous gérez des ensembles d’utilisateurs au lieu d’utilisateurs individuels. Les groupes SharePoint peuvent être composés de nombreux utilisateurs individuels, contenir un seul groupe de sécurité Windows ou être une combinaison des deux. Les groupes SharePoint n’accordent aucun droit spécifique sur le site ; ils sont simplement un moyen de regrouper un ensemble d’utilisateurs. Vous pouvez organiser les utilisateurs en une série de groupes dont le nombre dépend de la taille et de la complexité de votre organisation ou de votre site Web.

Le tableau suivant montre les groupes par défaut créés pour les sites dans SharePoint Foundation 2010.

Nom du groupe Niveau d’autorisation par défaut

Visiteurs de <nom du site>

Lecture

Membres de <nom du site>

Collaboration

Propriétaires de <nom du site>

Contrôle total

En outre, les utilisateurs et les groupes spéciaux ci-dessous sont disponibles pour les tâches d’administration de niveau supérieur :

  • Administrateurs de collections de sites    Vous pouvez désigner un ou plusieurs utilisateurs comme administrateurs de collections de sites principaux et secondaires. Ces utilisateurs sont enregistrés dans la base de données en tant que contacts pour la collection de sites, possèdent un contrôle total de tous les sites dans la collection de sites et peuvent auditer l’ensemble du contenu de site et recevoir des alertes d’administration (par exemple, une alerte visant à déterminer si le site est en cours d’utilisation). En règle générale, vous désignez les administrateurs de la collection de sites lorsque vous créez le site, mais vous pouvez les modifier au besoin à l’aide du site Administration centrale ou des pages Paramètres du site.

  • Administrateurs de la batterie : détermine les utilisateurs habilités à gérer les paramètres de serveur et de batterie de serveurs. Grâce au groupe Administrateurs de la batterie, il n’est plus nécessaire d’ajouter des utilisateurs au groupe Administrateurs pour le serveur. Les administrateurs de batterie n’ont pas accès au contenu de site par défaut. Ils doivent prendre possession du site pour afficher du contenu. À cet effet, ils s’ajoutent en tant qu’administrateurs de la collection de sites et cette action est enregistrée dans les journaux d’audit. Le groupe Administrateurs de la batterie n’est utilisé que dans l’Administration centrale et n’est disponible pour aucun site.

  • Administrateurs : les membres du groupe Administrateurs sur le serveur local peuvent effectuer toutes les actions des administrateurs de batterie ainsi que d’autres actions, par exemple :

    • installation de nouveaux produits ou de nouvelles applications ;

    • déploiement de composants WebPart et de nouvelles fonctionnalités dans le Global Assembly Cache ;

    • création d'applications Web et de sites Web IIS ;

    • démarrage des services.

    Comme le groupe Administrateurs de batterie, les membres du groupe Administrateurs sur le serveur local n’ont pas accès au contenu du site, par défaut.

Une fois que vous avez déterminé les groupes dont vous avez besoin, déterminez les niveaux d’autorisation à affecter à chaque groupe sur votre site.

Passer en revue les niveaux d’autorisation disponibles

La capacité à afficher, modifier ou gérer un site particulier est déterminée par le niveau d’autorisation que vous affectez à un utilisateur ou groupe. Ce niveau d’autorisation contrôle toutes les autorisations pour le site et pour les sous-sites, listes, bibliothèques de documents, dossiers et éléments ou documents éventuels, qui héritent des autorisations du site. Sans les niveaux d’autorisation appropriés, les utilisateurs peuvent ne pas être en mesure d’effectuer leurs tâches ou risquent d’effectuer des tâches que vous ne leur avez pas destinées.

Par défaut, les niveaux d’autorisation disponibles sont les suivants :

  • Accès limité : comprend les autorisations qui permettent aux utilisateurs d’afficher des listes, des bibliothèques de documents, des éléments de liste, des dossiers ou des documents spécifiques lorsqu’elles leur sont accordées.

  • Lecture : comprend les autorisations qui permettent aux utilisateurs d’afficher des éléments dans les pages du site.

  • Collaboration : comprend les autorisations qui permettent aux utilisateurs d’ajouter ou de modifier des éléments dans les pages du site ou dans les listes et les bibliothèques de documents.

  • Conception : comprend les autorisations qui permettent aux utilisateurs de modifier la présentation des pages du site à l’aide du navigateur ou de Microsoft Office SharePoint Designer 2007 ;.

  • Contrôle total : comprend toutes les autorisations.

Déterminer si vous avez besoin de niveaux d’autorisation ou de groupes supplémentaires

Les groupes et les niveaux d’autorisation par défaut fournissent une infrastructure générale pour les autorisations, couvrant de nombreux types d’organisations et rôles différents dans ces organisations. Toutefois, il est possible qu’ils ne correspondent pas exactement à la façon dont vos utilisateurs sont organisés ou aux nombreuses tâches différentes que vos utilisateurs effectuent sur vos sites. Si les groupes et les niveaux d’autorisation par défaut ne correspondent pas à votre organisation, vous pouvez créer des groupes personnalisés, modifier les autorisations incluses dans des niveaux d’autorisation spécifiques ou créer des niveaux d’autorisation personnalisés.

Avez-vous besoin de groupes personnalisés ?

La décision de créer des groupes personnalisés est relativement simple et a peu d’effet sur la sécurité de votre site. Pour l’essentiel, vous devez créer des groupes personnalisés au lieu d’utiliser les groupes par défaut si l’une des conditions ci-dessous s’applique :

  • Vous avez plus (ou moins) de rôles utilisateur au sein de votre organisation qu’il paraît dans les groupes par défaut. Par exemple, outre les concepteurs, si un ensemble de personnes est chargé de publier du contenu sur le site, vous pouvez souhaiter créer un groupe Éditeurs.

  • Il existe des noms connus pour des rôles uniques au sein de votre organisation qui exécutent des tâches très différentes dans les sites. Par exemple, si vous créez un site public pour vendre les produits de votre organisation, vous pouvez souhaiter créer un groupe Clients qui remplace le groupe Visiteurs ou Visualiseurs.

  • Vous souhaitez conserver une relation un à un entre les groupes de sécurité Windows et les groupes SharePoint (par exemple, votre organisation possède un groupe de sécurité Responsables de site Web et vous souhaitez utiliser ce nom en tant que nom de groupe pour faciliter l’identification lors de la gestion du site).

  • Vous préférez d’autres noms de groupes.

Avez-vous besoin de niveaux d’autorisation personnalisés ?

La décision de personnaliser les niveaux d’autorisation est moins simple que la décision de personnaliser les groupes SharePoint. Si vous personnalisez les autorisations affectées à un niveau d’autorisation, vous devez effectuer le suivi de cette modification, vérifier que l’opération fonctionne pour tous les groupes et sites affectés par cette modification et vous assurer que celle-ci n’affecte pas la sécurité ni la capacité ou les performances de votre serveur.

Par exemple, en ce qui concerne la sécurité, si vous personnalisez le niveau d’autorisation Collaboration pour inclure l’autorisation Créer des sous-sites qui fait généralement partie du niveau d’autorisation Contrôle total, les collaborateurs peuvent créer et posséder des sous-sites, avec le risque d’inviter des utilisateurs malveillants à visiter leurs sous-sites ou de publier du contenu non approuvé. Par ailleurs, en ce qui concerne la capacité, si vous modifiez le niveau d’autorisation Lecture pour inclure l’autorisation Créer des alertes qui fait généralement partie du niveau d’autorisation Collaboration, tous les membres du groupe Visiteurs peuvent créer des alertes, ce qui peut entraîner une surcharge pour vos serveurs.

Vous devez personnaliser les niveaux d’autorisation par défaut si l’une des situations ci-dessous s’applique :

  • Un niveau d’autorisation par défaut inclut toutes les autorisations sauf celle dont vos utilisateurs ont besoin pour effectuer leur travail et vous souhaitez ajouter cette autorisation.

  • Un niveau d’autorisation par défaut inclut une autorisation dont vos utilisateurs n’ont pas besoin.

    Notes

    Vous ne devez pas personnaliser les niveaux d’autorisation par défaut si votre organisation doit faire face à des problèmes liés à la sécurité ou à d’autres aspects concernant une autorisation en particulier et souhaite rendre cette autorisation non disponible pour tous les utilisateurs affectés aux niveaux d’autorisation comprenant cette autorisation. Dans ce cas, il est conseillé de désactiver cette autorisation pour toutes les applications Web dans la batterie de serveurs, plutôt que de modifier tous les niveaux d’autorisation.

Si vous avez devez apporter plusieurs modifications à un niveau d’autorisation en particulier, il est préférable de créer un niveau d’autorisation personnalisé, qui inclut toutes les autorisations dont vous avez besoin.

Vous pouvez souhaiter créer des niveaux d’autorisation supplémentaires si l’une des deux situations ci-dessous s’applique :

  • Vous souhaitez exclure plusieurs autorisations d’un niveau d’autorisation en particulier.

  • Vous voulez définir un ensemble unique d’autorisations pour un nouveau niveau d’autorisation.

Pour élaborer un niveau d’autorisation, vous pouvez copier un niveau d’autorisation existant, puis apporter les modifications de votre choix, ou vous pouvez créer un niveau d’autorisation, puis sélectionner les autorisations que vous souhaitez inclure.

Notes

Certaines autorisations dépendent d’autres autorisations. Si vous désactivez une autorisation dont dépend une autre autorisation, l’autre autorisation est également désactivée.