Choisir les groupes de sécurité (SharePoint Foundation 2010)

  • Article

 

S’applique à : SharePoint Foundation 2010

Dernière rubrique modifiée : 2016-11-30

Cet article décrit les groupes de sécurité et de distribution qui comprennent les services de domaine Active Directory (AD DS). En outre, il fournit des recommandations pour l’utilisation de ces groupes dans le but d’organiser les utilisateurs des sites SharePoint.

Dans cet article :

  • Décider si ajouter ou non des groupes de sécurité

  • Déterminer les groupes de sécurité à utiliser pour l’octroi de l’accès aux sites

  • Décider s’il faut autoriser l’accès à tous les utilisateurs authentifiés

  • Décider s’il faut autoriser l’accès aux utilisateurs anonymes

Introduction

La gestion des utilisateurs des sites SharePoint est plus facile si vous attribuez des niveaux d’autorisation à des groupes plutôt qu’à des utilisateurs individuels. Une groupe SharePoint est un ensemble d’utilisateurs individuels, qui peut également inclure des groupes Active Directory. Dans les services de domaine Active Directory (AD DS), les groupes suivants sont généralement utilisés pour organiser les utilisateurs :

  • Groupe de distribution   Ce groupe, uniquement utilisé pour la distribution de courrier électronique, n’est pas sécurisé. Les groupes de distribution ne peuvent pas être répertoriés dans les listes de contrôle d’accès discrétionnaires, qui sont utilisées pour définir des autorisations sur les ressources et les objets.

  • Groupe de sécurité   Ce groupe peut être répertorié dans les listes de contrôle d’accès discrétionnaires. Un groupe de sécurité peut également servir d’entité de messagerie.

Vous pouvez utiliser les groupes de sécurité afin de contrôler les autorisations pour votre site en ajoutant des groupes de sécurité aux groupes SharePoint et en accordant des autorisations aux groupes SharePoint. Vous ne pouvez pas ajouter des groupes de distribution aux groupes SharePoint, mais vous pouvez développer un groupe de distribution et ajouter des membres individuels à un groupe SharePoint. Si vous utilisez cette méthode, vous devez maintenir manuellement la synchronisation entre le groupe SharePoint et le groupe de distribution. Si vous utilisez des groupes de sécurité, il est inutile de gérer les utilisateurs individuels dans l’application SharePoint. Étant donné que vous avez inclus le groupe de sécurité au lieu des membres individuels du groupe, AD DS gère les utilisateurs pour vous.

Notes

Pour faciliter la gestion de la sécurité, les opérations suivantes sont déconseillées dans la gestion des groupes Active Directory.

  • Attribuer des niveaux d’autorisation directement aux groupes Active Directory.

  • Ajouter des groupes de sécurité qui contiennent des contacts, des listes de diffusion ou des groupes de sécurité imbriqués.

Décider si ajouter ou non des groupes de sécurité

L’ajout de groupes de sécurité aux groupes SharePoint offre la gestion centralisée des groupes et de la sécurité. Le groupe de sécurité est le seul endroit où gérer des utilisateurs individuels. Après l’ajout du groupe de sécurité à un groupe SharePoint, vous n’avez pas à gérer les membres du groupe de sécurité dans ce groupe SharePoint. Si un utilisateur est supprimé du groupe de sécurité, il est automatiquement supprimé du groupe SharePoint.

Cependant, l’utilisation de groupes de sécurité dans des sites SharePoint n’offre pas une visibilité totale de ce qui se passe. Par exemple, si un groupe de sécurité est ajouté à un groupe SharePoint pour un site spécifique, le site n’apparaît pas dans Mes sites pour les utilisateurs. La Liste d’informations utilisateur n’affichera aucun utilisateur individuel tant que celui-ci n’a pas contribué au site. De plus, les groupes de sécurité ayant une structure imbriquée profonde sont susceptibles de bloquer les sites SharePoint.

Partant des avantages et inconvénients précédents, voici les recommandations à suivre :

  • Pour les sites intranet largement accessibles à vos utilisateurs, utilisez des groupes de sécurité car vous ne vous souciez pas des utilisateurs individuels ayant accédé à la page d’accueil du site intranet.

  • Pour les sites collaboration accessibles à un petit groupe d’utilisateurs, ajoutez les utilisateurs directement aux groupes SharePoint. Dans ce cas, il est vraiment nécessaire de savoir qui est membre afin que les membres du groupe connaissent chacun les adresses de messagerie des autres et sachent comment se contacter.

Déterminer les groupes de sécurité à utiliser pour l’octroi de l’accès aux sites

Chaque organisation configure ses groupes de sécurité différemment. Pour faciliter la gestion des autorisations, les groupes de sécurité doivent être :

  • Suffisamment grands et stables pour que vous ne soyez pas constamment obligé d’ajouter des groupes de sécurité supplémentaires à vos sites SharePoint.

  • Suffisamment petits pour que vous puissiez attribuer les autorisations appropriées.

Par exemple, un groupe de sécurité nommé « tous les utilisateurs du bâtiment 2 » n’est probablement pas assez petit pour attribuer des autorisations, sauf si tous les utilisateurs du bâtiment 2 ont la même fonction, par exemple secrétaires à la comptabilité clients. Ceci étant rarement le cas, vous devez rechercher un ensemble d’utilisateurs plus petit et plus spécifique tel que « Comptabilité clients ».

Décider s’il faut autoriser l’accès à tous les utilisateurs authentifiés

Si vous souhaitez que tous les utilisateurs de votre domaine soient en mesure d’afficher le contenu de votre site, envisagez d’accorder l’accès à tous les utilisateurs authentifiés (le groupe de sécurité Windows Utilisateurs du domaine). Ce groupe spécial permet à tous les membres de votre domaine d’accéder à un site Web (au niveau d’autorisation que vous choisissez), sans qu’il soit nécessaire d’autoriser l’accès anonyme.

Décider s’il faut autoriser l’accès aux utilisateurs anonymes

Vous pouvez autoriser l’accès anonyme pour permettre aux utilisateurs d’afficher les pages de façon anonyme. La plupart des sites Web Internet autorisent l’affichage anonyme d’un site, mais peuvent exiger une authentification lorsqu’un utilisateur souhaite modifier le site ou acheter un élément sur un site d’achat. L’accès anonyme, qui est désactivé par défaut, doit être accordé au niveau de l’application Web au moment de la création de celle-ci.

Si l’accès anonyme est autorisé pour l’application Web, les administrateurs de sites peuvent décider s’il faut accorder l’accès anonyme à un site ou à un certain contenu de ce site.

L’accès anonyme repose sur le compte d’utilisateur anonyme sur le serveur Web. Ce compte est créé et géré par les services Microsoft IIS (Internet Information Services), et non par votre site SharePoint. Par défaut, dans IIS, le compte d’utilisateur anonyme est IUSR. Lorsque vous autorisez l’accès anonyme, vous octroyez en fait à ce compte l’accès au site SharePoint. L’autorisation d’accès à un site, ou à des listes et des bibliothèques, accorde l’autorisation Afficher les éléments au compte d’utilisateur anonyme. Même avec l’autorisation Afficher les éléments, il existe des restrictions aux tâches que les utilisateurs anonymes peuvent effectuer. Les utilisateurs anonymes ne peuvent pas :

  • Ouvrir des sites pour les modifier dans Microsoft Office SharePoint Designer.

  • Afficher des sites dans Favoris réseau.

  • Télécharger ou modifier des documents dans les bibliothèques de documents, y compris dans les bibliothèques Wiki.

    Important

    Pour renforcer la sécurité des sites, des listes ou des bibliothèques, interdisez l’accès anonyme. L’activation de l’accès anonyme permet aux utilisateurs de contribuer aux listes, aux discussions et aux enquêtes, en consommant éventuellement de l’espace disque et d’autres ressources du serveur. En outre, l’accès anonyme permet aux utilisateurs anonymes de découvrir des informations du site, notamment les adresses de messagerie des utilisateurs et le contenu publié dans les listes, les bibliothèques et les discussions.

Les stratégies d’autorisation permettent de configurer et de gérer de façon centralisée un ensemble d’autorisations qui concerne uniquement un sous-ensemble d’utilisateurs ou de groupes dans une application Web. Vous pouvez gérer la stratégie d’autorisation pour les utilisateurs anonymes en activant ou désactivant l’accès anonyme d’une application Web. Si vous activez l’accès anonyme pour une application Web, les administrateurs de site peuvent ensuite accorder ou refuser l’accès anonyme au niveau de la collection de sites, du site ou de l’élément. Si l’accès anonyme est désactivé pour une application Web, aucun site au sein de cette application Web n’est accessible par les utilisateurs anonymes.

  • Aucune   Aucune stratégie. Il s'agit de l'option par défaut. Aucune restriction ou aucun ajout d'autorisation supplémentaire n'est appliqué aux utilisateurs anonymes des sites.

  • Refuser l'accès en écriture   Les utilisateurs anonymes ne peuvent pas écrire du contenu, même si l'administrateur de site tente spécifiquement d'accorder cette autorisation au compte d'utilisateur anonyme.

  • Refuser tous les accès   Les utilisateurs anonymes n'ont aucun accès, même si les administrateurs de sites tentent spécifiquement d'accorder au compte d'utilisateur anonyme un accès à leurs sites.

Pour plus d’informations sur les stratégies d’autorisation, voir Gérer les stratégies d’autorisation pour une application Web (SharePoint Foundation 2010).