Déterminer les niveaux d’autorisation et les groupes à utiliser (Office SharePoint Server)
Mise à jour : 2009-02-26
Dans cet article :
Passer en revue les groupes par défaut disponibles
Passer en revue les niveaux d’autorisation disponibles
Déterminer si des niveaux d’autorisation ou de groupes supplémentaires sont nécessaires
Fiche
La décision la plus importante concernant la sécurité de votre site et de votre contenu dans Microsoft Office SharePoint Server 2007 porte sur le classement de vos utilisateurs et sur les niveaux d’autorisation à affecter.
Il existe plusieurs groupes SharePoint par défaut destinés à vous aider à classer vos utilisateurs en fonction des types d’actions qu’ils doivent effectuer, mais vous pouvez avoir vos propres besoins ou votre propre approche des ensembles d’utilisateurs. De même, il existe des niveaux d’autorisation par défaut, mais il est possible qu’ils ne correspondent pas exactement aux tâches que vos groupes ont besoin d’effectuer.
Dans cet article, vous passez en revue les groupes et les niveaux d’autorisation par défaut et décidez s’il faut les utiliser tels quels, les personnaliser ou créer d’autres groupes et niveaux d’autorisation.
Passer en revue les groupes par défaut disponibles
Avec les groupes SharePoint, vous gérez des ensembles d’utilisateurs plutôt que des utilisateurs individuels. Les groupes SharePoint peuvent être composés de nombreux utilisateurs individuels, contenir un seul groupe de sécurité Windows ou être une combinaison des deux. Les groupes SharePoint n’accordent aucun droit spécifique sur le site ; ils sont simplement un moyen de regrouper un ensemble d’utilisateurs. En fonction de la taille et de la complexité de votre organisation ou de votre site Web, vous pouvez organiser vos utilisateurs en une série de groupes, voire en quelques-uns seulement.
Les groupes SharePoint par défaut qui sont créés pour les sites dans Office SharePoint Server 2007 figurent dans le tableau suivant.
| Nom du groupe | Niveau d’autorisation par défaut |
|---|---|
Lecteurs restreints |
Lecture restreinte sur le site (et Accès limité à des listes spécifiques) |
Lecteurs de ressources de style |
Lecture sur la galerie de pages maîtres et Lecture restreinte sur la bibliothèque de styles. |
Utilisateurs qui affichent simplement des données |
Affichage seul |
Visiteurs de Accueil |
Lecture |
Membres de Accueil |
Collaboration |
Utilisateurs du déploiement rapide |
Collaboration à la bibliothèque d’éléments de déploiement rapide (et Accès limité au reste du site) |
Approbateurs |
Approbation (et Accès limité) |
Concepteurs |
Création |
Gestionnaires de hiérarchies |
Gérer la hiérarchie (et Accès limité) |
Propriétaires de Accueil |
Contrôle total |
.gif "Note") Remarque : |
|---|
Le niveau d’autorisation Accès limité sert à donner aux groupes l’accès à une liste, une bibliothèque de documents, un élément ou un document spécifique, sans toutefois leur permettre d’accéder au site entier. Ne supprimez pas ce niveau d’autorisation des groupes répertoriés ci-dessus. Si ce niveau est supprimé, les groupes risquent de ne pas pouvoir parcourir le site pour obtenir des éléments spécifiques avec lesquels ils doivent interagir. |
En outre, les utilisateurs et les groupes spéciaux suivants sont disponibles pour les tâches d’administration de niveau supérieur :
Administrateurs de collections de sites Vous pouvez désigner un ou plusieurs utilisateurs comme administrateurs de collections de sites principaux et secondaires. Ces utilisateurs sont enregistrés dans la base de données en tant que contacts pour la collection de sites, ont un contrôle total de tous les sites dans la collection de sites et peuvent auditer l’ensemble du contenu de site et recevoir n’importe quelles alertes d’administration (par exemple, une alerte visant à déterminer si le site est en cours d’utilisation). En règle générale, vous désignez les administrateurs de la collection de sites lorsque vous créez le site, mais vous pouvez les modifier au besoin à l’aide du site Administration centrale ou des pages Paramètres du site.
**Administrateurs de la batterie **Détermine les utilisateurs habilités à gérer les paramètres de serveur et de batterie de serveurs. Grâce au groupe Administrateurs de la batterie, il n’est plus nécessaire d’ajouter des utilisateurs au groupe Administrateurs pour le serveur ou au groupe Administrateurs SharePoint qui était utilisé dans Windows SharePoint Services version 2.0. Les administrateurs de la batterie n’ont pas accès au contenu de site par défaut ; ils doivent prendre possession du site pour afficher du contenu. Pour ce faire, ils s’ajoutent en tant qu’administrateurs de la collection de sites et cette action est enregistrée dans les journaux d’audit. Le groupe Administrateurs de la batterie est utilisé dans l’administration centrale uniquement et n’est disponible pour aucun site.
**Administrateurs **Les membres du groupe Administrateurs sur le serveur local peuvent effectuer toutes les actions des administrateurs de batterie ainsi que d’autres, notamment les suivantes :
installation de nouveaux produits ou applications ;
déploiement de composants WebPart et de nouvelles fonctionnalités sur le Global Assembly Cache ;
création de nouvelles applications Web et de nouveaux sites Web IIS ;
démarrage des services.
Comme le groupe Administrateurs de batterie, les membres du groupe Administrateurs sur le serveur local n’ont pas accès au contenu du site, par défaut.
Une fois que vous avez identifié les groupes dont vous avez besoin, déterminez les niveaux d’autorisation à affecter à chaque groupe sur votre site.
| Action |
|---|
Utilisez la fiche relative aux groupes et aux niveaux d’autorisation personnalisés (en anglais) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x40C) (en anglais) pour enregistrer tous les groupes que vous devez créer. |
Passer en revue les niveaux d’autorisation disponibles
La capacité à afficher, modifier ou gérer un site particulier est déterminée par le niveau d’autorisation que vous affectez à un utilisateur ou groupe. Ce niveau d’autorisation contrôle toutes les autorisations pour le site et pour n’importe quels sous-sites, listes, bibliothèques de documents, dossiers et éléments ou documents qui héritent des autorisations du site. Sans les niveaux d’autorisation appropriés, vos utilisateurs peuvent ne pas être en mesure d’effectuer leurs tâches ou risquent d’effectuer des tâches que vous ne leur avez pas destinées.
Par défaut, les niveaux d’autorisation suivants sont disponibles :
**Accès limité **Comprend les autorisations qui permettent aux utilisateurs d’afficher des listes, bibliothèques de documents, éléments de liste, dossiers ou documents spécifiques lorsqu’elles leur sont accordées.
**Lecture **Comprend les autorisations qui permettent aux utilisateurs d’afficher des éléments dans les pages du site.
**Collaboration **Comprend les autorisations qui permettent aux utilisateurs d’ajouter ou de modifier des éléments dans les pages du site ou dans les listes et bibliothèques de documents.
**Conception **Comprend les autorisations qui permettent aux utilisateurs de modifier la présentation des pages du site à l’aide du navigateur ou de Microsoft Office SharePoint Designer 2007.
**Approuver **Comprend les autorisations qui permettent aux utilisateurs de modifier et d’approuver des pages, des éléments de liste et des documents.
**Gérer la hiérarchie **Comprend les autorisations qui permettent aux utilisateurs de créer des sites et modifier des pages, des éléments de liste et des documents.
**Lecture restreinte **Comprend les autorisations qui permettent aux utilisateurs d’afficher des pages et des documents, mais pas les versions historiques ni les informations sur les droits des utilisateurs.
**Contrôle total **Comprend toutes les autorisations.
Pour plus d’informations sur les autorisations qui figurent dans les niveaux d’autorisation par défaut, voir User permissions and permission levels.
Déterminer si des niveaux d’autorisation ou de groupes supplémentaires sont nécessaires
Les groupes et les niveaux d’autorisation par défaut sont conçus afin de fournir une infrastructure générale pour les autorisations, couvrant une large gamme de types d’organisations et de rôles dans ces organisations. Toutefois, il est possible qu’ils ne correspondent pas exactement à la façon dont vos utilisateurs sont organisés ou à la diversité des tâches que vos utilisateurs effectuent sur vos sites. Si les groupes et les niveaux d’autorisation par défaut ne correspondent pas à votre organisation, vous pouvez créer des groupes personnalisés, modifier les autorisations incluses dans des niveaux d’autorisation spécifiques ou créer des niveaux d’autorisation personnalisés.
Avez-vous besoin de groupes personnalisés ?
La décision de créer des groupes personnalisés est relativement simple et a peu d’impact sur la sécurité de votre site. Pour l’essentiel, vous devez créer des groupes personnalisés au lieu d’utiliser les groupes par défaut si l’une des conditions suivantes s’applique :
Il existe plus (ou moins) de rôles utilisateur au sein de votre organisation qu’il en apparaît dans les groupes par défaut. Par exemple, si en plus des Approbateurs, Concepteurs et Gestionnaires de hiérarchies, un ensemble de personnes est chargé de publier le contenu du site, vous pouvez souhaiter créer un groupe Éditeurs.
Il existe des noms connus pour des rôles uniques au sein de votre organisation qui exécutent des tâches très différentes dans les sites. Par exemple, si vous créez un site public pour vendre les produits de votre organisation, vous pouvez souhaiter créer un groupe Clients qui remplace le groupe Visiteurs ou Visualiseurs.
Vous souhaitez conserver une relation un-à-un entre les groupes de sécurité Windows et les groupes SharePoint. (Par exemple, votre organisation possède un groupe de sécurité Responsables de site Web et vous souhaitez utiliser ce nom en tant que nom de groupe pour faciliter l’identification lors de la gestion du site).
Vous préférez d’autres noms de groupes.
Avez-vous besoin de niveaux d’autorisation personnalisés ?
La décision de personnaliser les niveaux d’autorisation est moins simple que la décision de personnaliser les groupes SharePoint. Si vous personnalisez les autorisations affectées à un niveau d’autorisation particulier, vous devez effectuer le suivi de cette modification, vérifier que l’opération fonctionne pour tous les groupes et sites affectés par cette modification et vous assurer que celle-ci n’affecte pas la sécurité, ni la capacité ou les performances de votre serveur.
Par exemple, en ce qui concerne la sécurité, si vous personnalisez le niveau d’autorisation Collaboration pour inclure l’autorisation Créer des sous-sites qui fait généralement partie du niveau d’autorisation Contrôle total, les membres du groupe Collaborateurs peuvent créer et posséder des sous-sites, avec le risque potentiel d’inviter des utilisateurs malveillants à visiter leurs sous-sites ou de publier du contenu non approuvé. Par ailleurs, en ce qui concerne la capacité, si vous personnalisez le niveau d’autorisation Lecture pour inclure l’autorisation Créer des alertes qui fait généralement partie du niveau d’autorisation Collaboration, tous les membres du groupe Visiteurs de Accueil peuvent créer des alertes, ce qui peut entraîner une surcharge des serveurs.
Vous devez personnaliser les niveaux d’autorisation par défaut si l’une des conditions suivantes s’applique :
Un niveau d’autorisation par défaut inclut toutes les autorisations sauf celle dont vos utilisateurs ont besoin pour effectuer leur travail, et vous souhaitez ajouter cette autorisation.
Un niveau d’autorisation par défaut inclut une autorisation dont vos utilisateurs n’ont pas besoin.
Remarque :Vous ne devez pas personnaliser les niveaux d’autorisation par défaut si votre organisation doit faire face à des problèmes, par exemple liés à la sécurité, que pose une autorisation particulière et si elle souhaite rendre cette autorisation non disponible pour tous les utilisateurs affectés au(x) niveau(x) d’autorisation comprenant cette autorisation. Dans ce cas, il est conseillé de désactiver cette autorisation pour toutes les applications Web dans votre batterie de serveurs, plutôt que de modifier tous les niveaux d’autorisation. Pour gérer les autorisations pour une application Web, dans l’administration centrale, dans la page Gestion des applications, dans la section Sécurité des applications, cliquez sur Autorisations des utilisateurs de l’application Web.
Si vous avez besoin d’apporter plusieurs modifications à un niveau d’autorisation particulier, il est préférable de créer un niveau d’autorisation personnalisé qui inclut toutes les autorisations dont vous avez besoin.
Vous pouvez souhaiter créer des niveaux d’autorisation supplémentaires si l’une des conditions suivantes s’applique :
Vous souhaitez exclure plusieurs autorisations d’un niveau d’autorisation particulier.
Vous voulez définir un ensemble unique d’autorisations pour un nouveau niveau d’autorisation.
Pour élaborer un niveau d’autorisation, vous pouvez copier un niveau d’autorisation existant, puis apporter les modifications de votre choix, ou vous pouvez créer un niveau d’autorisation, puis sélectionner les autorisations que vous souhaitez inclure.
| Remarque : |
|---|
Certaines autorisations sont dépendantes d’autres autorisations. Si vous désactivez une autorisation dont dépend une autre autorisation, l’autre autorisation est également désactivée. |
| Action |
|---|
Utilisez la fiche relative aux groupes et aux niveaux d’autorisation personnalisés (en anglais) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x40C) (en anglais) pour enregistrer tous les niveaux d’autorisation que vous souhaitez personnaliser ou créer. |
Fiche
Utilisez la fiche suivante pour déterminer les niveaux d’autorisation et les groupes à utiliser :
- Feuille relative aux groupes et aux niveaux d’autorisation personnalisés (en anglais) (https://go.microsoft.com/fwlink/?linkid=73134&clcid=0x40C) (en anglais)
Télécharger ce livre
Cette rubrique est incluse dans le livre à télécharger suivant pour une lecture et une impression plus faciles :
Vous trouverez la liste complète des livres disponibles sur Livres à télécharger pour Office SharePoint Server 2007.