Choisir les groupes de sécurité à utiliser (Office SharePoint Server)

Article
06/12/2012

Mise à jour : 2009-02-26

Dans cet article :

Déterminer les groupes de sécurité et les comptes Windows à utiliser pour l’octroi de l’accès aux sites
Décider s’il faut utiliser tous les utilisateurs authentifiés
Décider s’il faut autoriser l’accès aux utilisateurs anonymes
Feuille

Pour faciliter la gestion des utilisateurs, nous vous recommandons d’attribuer des autorisations de site à des groupes plutôt qu’à des utilisateurs individuels. Dans le service d’annuaire Microsoft Active Directory, les deux types de groupes suivants sont couramment utilisés pour organiser les utilisateurs :

Groupe de distribution Ce groupe, uniquement utilisé pour la distribution de courrier électronique, n’est pas sécurisé. Les groupes de distribution ne peuvent pas être répertoriés dans les listes de contrôle d’accès discrétionnaires utilisées pour définir des autorisations sur les ressources et les objets.
Groupe de sécurité Ce groupe peut être répertorié dans les listes de contrôle d’accès discrétionnaires utilisées pour définir des autorisations sur les ressources et les objets. Un groupe de sécurité peut également servir d’entité de messagerie.

Vous pouvez utiliser les groupes de sécurité pour contrôler les autorisations pour votre site en ajoutant directement le groupe de sécurité et en accordant les autorisations à l’ensemble du groupe. Vous ne pouvez pas utiliser les groupes de distribution de cette manière ; toutefois, vous pouvez développer une liste de distribution et ajouter des utilisateurs individuels à un groupe SharePoint. Si vous utilisez cette méthode, vous devez veiller à conserver la synchronisation entre le groupe SharePoint et le groupe de distribution. Si vous utilisez des groupes de sécurité, il est inutile de gérer les utilisateurs individuels dans l’application SharePoint. Étant donné que vous avez inclus le groupe de sécurité lui-même et non les membres individuels du groupe, Active Directory gère les utilisateurs pour vous.

Déterminer les groupes de sécurité et les comptes Windows à utiliser pour l’octroi de l’accès aux sites

Chaque organisation configure ses groupes de sécurité Windows différemment. Pour simplifier la gestion des autorisations, les groupes de sécurité doivent être :

suffisamment grands et stables pour que vous ne soyez pas constamment obligé d’ajouter des groupes à vos sites SharePoint ;
suffisamment petits pour que vous puissiez attribuer les autorisations appropriées.

Par exemple, un groupe de sécurité nommé « tous les utilisateurs du bâtiment 2 » n’est probablement pas assez petit pour attribuer des autorisations, sauf s’il se trouve que tous les utilisateurs du bâtiment 2 ont la même fonction, telle que secrétaires à la comptabilité clients. Ceci étant rarement le cas, vous devez rechercher un ensemble d’utilisateurs plus petit tel que « Comptabilité clients » ou un autre groupe plus petit extrêmement proche.

Décider s’il faut utiliser tous les utilisateurs authentifiés

Si vous souhaitez que tous les utilisateurs de votre domaine soient en mesure d’afficher le contenu de votre site, envisagez d’accorder l’accès à tous les utilisateurs authentifiés (le groupe de sécurité Windows Utilisateurs du domaine). Ce groupe spécial autorise tous les membres de votre domaine à accéder à un site Web (au niveau d’autorisation que vous choisissez), sans qu’il soit nécessaire d’activer l’accès anonyme.

Décider s’il faut autoriser l’accès aux utilisateurs anonymes

Vous pouvez activer l’accès anonyme pour autoriser les utilisateurs à afficher les pages de façon anonyme. La plupart des sites Web Internet autorisent l’affichage anonyme du site, mais peuvent exiger une authentification lorsqu’un utilisateur souhaite modifier le site ou acheter un élément sur un site d’achat. L’accès anonyme doit être accordé au niveau de l’application Web au moment de la création de celle-ci. Si l’accès anonyme est autorisé pour l’application Web, les administrateurs de sites peuvent alors décider s’il faut :

accorder l’accès anonyme à un site ;
accorder l’accès anonyme uniquement à des listes et des bibliothèques ;
bloquer l’accès anonyme à l’ensemble d’un site.

L’accès anonyme repose sur le compte d’utilisateur anonyme sur le serveur Web. Ce compte est créé et géré par Microsoft Internet Information Services (IIS), et non par votre site SharePoint. Par défaut, dans IIS, le compte d’utilisateur anonyme est IUSR_ NomOrdinateur. Lorsque vous activez l’accès anonyme, vous octroyez en effet à ce compte l’accès au site SharePoint. L’autorisation d’accès à un site, ou à des listes et des bibliothèques, accorde l’autorisation Afficher les éléments au compte d’utilisateur anonyme. Même avec l’autorisation Afficher les éléments, cependant, il existe des restrictions aux tâches que les utilisateurs anonymes peuvent effectuer. Les utilisateurs anonymes ne peuvent pas :

Utiliser l’appel de procédure distante (RPC, Remote Procedure Call) de Microsoft Office SharePoint Designer ; en d’autres termes, ils ne peuvent pas ouvrir des sites pour les modifier dans Office SharePoint Designer. Ils ne peuvent pas non plus utiliser le protocole DAV (le protocole des dossiers Web dans Windows) ; autrement dit, ils ne peuvent pas afficher le site dans les Favoris réseau.

Télécharger ou modifier des documents dans les bibliothèques de documents, y compris dans les bibliothèques Wiki.

Important :
Pour créer des sites, des listes ou des bibliothèques plus sécurisés, n’activez pas l’accès anonyme. L’activation de l’accès anonyme permet aux utilisateurs de contribuer aux listes, aux discussions et aux enquêtes, en consommant éventuellement de l’espace disque sur le serveur et d’autres ressources. En outre, cela leur permet de découvrir des informations de site, notamment les adresses de messagerie des utilisateurs et du contenu publié dans les listes et les bibliothèques et les discussions.

Pour créer des sites, des listes ou des bibliothèques plus sécurisés, n’activez pas l’accès anonyme. L’activation de l’accès anonyme permet aux utilisateurs de contribuer aux listes, aux discussions et aux enquêtes, en consommant éventuellement de l’espace disque sur le serveur et d’autres ressources. En outre, cela leur permet de découvrir des informations de site, notamment les adresses de messagerie des utilisateurs et du contenu publié dans les listes et les bibliothèques et les discussions.

Vous pouvez également définir des stratégies d’autorisation pour l’utilisateur anonyme pour différentes zones (Internet, extranet, intranet ou autre) si une même application traite du contenu dans ces différentes zones. Les stratégies sont décrites dans la liste suivante :

Aucune Aucune stratégie. Il s’agit de l’option par défaut. Aucune restriction ou aucun ajout d’autorisation supplémentaire n’est appliqué aux utilisateurs anonymes des sites.
Lecture Les utilisateurs anonymes peuvent lire le contenu, à moins que l’administrateur du site ne désactive l’accès anonyme.
Refuser l’accès en écriture Les utilisateurs anonymes ne peuvent pas écrire du contenu, même si l’administrateur de site tente spécifiquement d’accorder cette autorisation au compte d’utilisateur anonyme.
Refuser tous les accès Les utilisateurs anonymes n’ont aucun accès, même si les administrateurs de sites tentent spécifiquement d’accorder au compte d’utilisateur anonyme un accès à leurs sites.

Feuille

Dans la feuille relative à la sécurité des sites et du contenu (https://go.microsoft.com/fwlink/?linkid=73135&clcid=0x40C) (en anglais) , répertoriez les groupes de sécurité que vous allez utiliser et les niveaux d’autorisation dont ils auront besoin à chaque niveau de votre hiérarchie de site.

Télécharger ce livre

Cette rubrique est incluse dans le livre à télécharger suivant pour une lecture et une impression plus faciles :

Planification et architecture pour Office SharePoint Server 2007, partie 1

Vous trouverez la liste complète des livres disponibles sur Livres à télécharger pour Office SharePoint Server 2007.