Déterminer les niveaux d’autorisation et les groupes dans SharePoint Server
S’APPLIQUE À :
2013 2016 2019 Édition d’abonnement 
SharePoint dans Microsoft 365
Un groupe SharePoint est un ensemble d’utilisateurs qui peuvent être gérés ensemble. Un niveau d’autorisation est un ensemble d’autorisations qui peuvent être affectées à un groupe spécifique pour un objet sécurisable spécifique. Les groupes et les niveaux d’autorisation SharePoint sont définis au niveau de la collection de sites et sont hérités de l’objet parent par défaut. Cet article décrit les groupes et niveaux d’autorisation par défaut et vous permet de déterminer si vous devez les utiliser tels quels, les personnaliser ou en créer d’autres.
La décision la plus importante concernant la sécurité de votre site et de votre contenu dans SharePoint Server est la façon de regrouper vos utilisateurs et les niveaux d’autorisation à attribuer.
Découvrez les groupes SharePoint par défaut dans Microsoft 365.
Passer en revue les groupes par défaut disponibles
Les groupes SharePoint vous permettent de gérer des ensembles d’utilisateurs au lieu d’utilisateurs individuels. Ces groupes peuvent contenir de nombreux utilisateurs individuels ou inclure le contenu de n’importe quel système d’identité d’entreprise, y compris services de domaine Active Directory (AD DS), des répertoires LDAPv3, des bases de données spécifiques à l’application et de nouveaux modèles d’identité centrés sur l’utilisateur, tels que Windows Live ID. Les groupes SharePoint n’accordent pas de droits spécifiques sur le site ; ils servent à désigner un ensemble d’utilisateurs. Vous pouvez organiser vos utilisateurs en un nombre quelconque de groupes, en fonction de la taille et de la complexité de votre organisation ou de votre site web. Les groupes SharePoint ne peuvent pas être imbriqués.
Le tableau suivant affiche les groupes par défaut créés pour les sites d’équipe dans SharePoint Server. À chaque groupe par défaut est affecté un niveau d'autorisation par défaut.
| Nom du groupe | Niveau d'autorisation par défaut | Description |
|---|---|---|
| Visiteurs |
Lecture |
Utilisez ce groupe pour octroyer aux utilisateurs des autorisations de lecture sur le site SharePoint. |
| Membres |
Modification |
Utilisez ce groupe pour octroyer aux utilisateurs des autorisations de modification sur le site SharePoint. |
| Propriétaires |
Contrôle total |
Utilisez ce groupe pour octroyer aux utilisateurs des autorisations de contrôle total sur le site SharePoint. |
| Utilisateurs qui affichent simplement des données |
Vue seule |
Utilisez ce groupe pour octroyer aux utilisateurs des autorisations d’affichage seul sur le site SharePoint. |
Si vous utilisez un modèle de site autre que le modèle de site d’équipe, une autre liste de groupes SharePoint par défaut apparaît. Par exemple, le tableau suivant présente les autres groupes fournis par un modèle de site de publication.
| Nom du groupe | Niveau d'autorisation par défaut | Description |
|---|---|---|
| Lecteurs restreints |
Lecture restreinte sur le site et Accès limité à des listes spécifiques |
Les membres de ce groupe peuvent afficher des pages et des documents, mais ils ne peuvent pas afficher des versions historiques ni consulter les informations sur les droits des utilisateurs. |
| Lecteurs de ressources de style |
Lecture sur la galerie de pages maîtres et Lecture restreinte sur la bibliothèque de styles |
Les membres de ce groupe reçoivent une autorisation de lecture sur la galerie de pages maîtres et une autorisation de lecture restreinte sur la bibliothèque de styles. Par défaut, tous les utilisateurs authentifiés sont membres de ce groupe. |
| Concepteurs |
Conception, Accès limité |
Les membres de ce groupe peuvent afficher, ajouter, mettre à jour, supprimer, approuver et personnaliser la disposition des pages de site à l’aide du navigateur ou de SharePoint Designer 2013. |
| Approbateurs |
Approbation et Accès limité |
Les membres de ce groupe peuvent modifier et approuver des pages, des éléments de liste et des documents. |
| Gestionnaires de hiérarchies |
Gérer la hiérarchie et Accès limité |
Les membres de ce groupe peuvent créer des sites, des listes, des éléments de liste et des documents. |
Remarque
Ne supprimez pas tous les utilisateurs authentifiés du groupe Lecteurs de ressources de style, car la galerie de pages maîtres et la bibliothèque de styles sont partagées entre tous les sites de la collection de sites et doivent être accessibles à tous les utilisateurs de tous les sites. Si vous supprimez tous les utilisateurs authentifiés du groupe, toute personne disposant de ce niveau d’autorisation sur un sous-site ne pourra pas afficher le site. SharePoint n’ajoute pas ou ne supprime pas automatiquement les utilisateurs des sous-sites vers ou à partir de ce groupe en fonction des besoins.
Conseil
Le niveau d’autorisation Accès limité permet d’accorder à des groupes l’accès à une liste, une bibliothèque, un dossier, un document ou un élément spécifique, sans leur donner accès au site tout entier. Ne supprimez pas ce niveau d’autorisation des groupes répertoriés ci-dessus. Si ce niveau d’autorisation est supprimé, les groupes risquent de ne pas être en mesure de parcourir le site afin d’obtenir les éléments spécifiques avec lesquels ils ont besoin d’interagir.
Définissez la plupart des utilisateurs en tant que membres des groupes Visiteurs ou Membres. Par défaut, les utilisateurs figurant dans le groupe Membres peuvent collaborer au site, ajouter ou supprimer des éléments ou des documents, mais ils ne peuvent pas modifier la structure, les paramètres ou l'apparence du site. Le groupe Visiteurs dispose d'un accès en lecture seule au site, ce qui signifie que ses membres peuvent afficher les pages et les éléments, ainsi qu'ouvrir des éléments et des documents, mais qu'ils ne peuvent pas ajouter ou supprimer de pages, d'éléments ou de documents.
Si les groupes par défaut ne correspondent pas aux groupes d'utilisateurs exacts au sein de votre organisation, vous pouvez créer des groupes personnalisés.
Outre les groupes SharePoint ci-dessus, il existe également des groupes d’administrateurs pour les tâches administratives de niveau supérieur. Il s'agit des administrateurs Windows, des administrateurs de la batterie SharePoint et des administrateurs de collections de sites.
Pour plus d'informations, voir Choisir des administrateurs et des propriétaires pour la hiérarchie d'administration dans SharePoint 2013.
Passer en revue les niveaux d’autorisation disponibles
La capacité à afficher, modifier ou gérer un site est déterminée par le niveau d’autorisation que vous affectez à un utilisateur ou groupe. Ce niveau d'autorisation contrôle toutes les autorisations pour le site et les objets enfants qui héritent des autorisations du site. Sans les niveaux d'autorisation appropriés, les utilisateurs peuvent ne pas être en mesure d'effectuer leurs tâches ou risquent d'effectuer des tâches que vous ne leur avez pas destinées.
Par défaut, les niveaux d’autorisation suivants sont disponibles :
Afficher uniquement Inclut des autorisations qui permettent aux utilisateurs d’afficher des pages, des éléments de liste et des documents.
Accès limité Inclut des autorisations qui permettent aux utilisateurs d’afficher des listes, des bibliothèques de documents, des éléments de liste, des dossiers ou des documents spécifiques, sans donner accès à tous les éléments d’un site. Vous ne pouvez pas modifier ce niveau d’autorisation directement.
Remarque
Si ce niveau d’autorisation est supprimé, les membres du groupe peuvent ne pas être en mesure de naviguer sur le site pour accéder aux éléments, même s’ils disposent des autorisations adéquates sur un élément dans le site.
Lire Inclut des autorisations qui permettent aux utilisateurs d’afficher des éléments sur les pages du site.
Modifier Inclut des autorisations qui permettent aux utilisateurs d’ajouter, de modifier et de supprimer des listes ; peut afficher, ajouter, mettre à jour et supprimer des éléments de liste et des documents.
Contribuer Inclut des autorisations qui permettent aux utilisateurs d’ajouter ou de modifier des éléments sur les pages du site ou dans des listes et des bibliothèques de documents.
Conception Inclut des autorisations qui permettent aux utilisateurs d’afficher, d’ajouter, de mettre à jour, de supprimer, d’approuver et de personnaliser la mise en page des pages de site à l’aide du navigateur ou de SharePoint Designer 2013.
Contrôle total Inclut toutes les autorisations.
Pour plus d'informations sur les autorisations incluses dans les niveaux d'autorisation par défaut, voir Autorisations utilisateur et niveaux d'autorisation dans SharePoint 2013.
Les niveaux d’autorisation supplémentaires suivants sont fournis avec le modèle de publication par défaut :
Approuver Inclut des autorisations pour modifier et approuver des pages, des éléments de liste et des documents.
Gérer la hiérarchie Inclut des autorisations sur des sites et des pages, des éléments de liste et des documents.
Lecture restreinte Inclut des autorisations pour afficher des pages et des documents, mais pas des versions historiques ou des informations d’autorisation.
Déterminer si des niveaux d’autorisation ou groupes personnalisés sont nécessaires
Les groupes et les niveaux d’autorisation par défaut fournissent une infrastructure générale pour les autorisations, couvrant de nombreux types d’organisations et rôles différents dans ces organisations. Toutefois, il est possible qu’ils ne correspondent pas exactement à la façon dont les utilisateurs sont organisés ou aux nombreuses tâches différentes que vos utilisateurs effectuent sur vos sites. Si les groupes et les niveaux d’autorisation par défaut ne correspondent pas à votre organisation, vous pouvez créer des groupes personnalisés, modifier les autorisations incluses dans des niveaux d’autorisation spécifiques ou créer des niveaux d’autorisation personnalisés.
Avez-vous besoin de groupes personnalisés ?
La décision de créer des groupes personnalisés est relativement simple et a peu d’effet sur la sécurité de votre site. Créez des groupes personnalisés au lieu d’utiliser les groupes par défaut si l’une des situations suivantes s’applique :
Il existe plus (ou moins) de rôles utilisateur au sein de votre organisation qu’il en semble évidents dans les groupes par défaut. Par exemple, si en plus des Approbateurs, Concepteurs et Gestionnaires de hiérarchies, un ensemble de personnes est chargé de publier le contenu du site, vous pouvez souhaiter créer un groupe Éditeurs.
Il existe des noms bien connus pour les rôles uniques au sein de votre organisation qui effectuent différentes tâches dans les sites. Par exemple, si vous créez un site public pour vendre les produits de votre organisation, vous pouvez souhaiter créer un groupe Clients qui remplace le groupe Visiteurs ou Visualiseurs.
Vous souhaitez conserver une relation un à un entre les groupes de sécurité Windows et les groupes SharePoint. Par exemple, si votre organisation possède un groupe de sécurité nommé Responsables de site web, vous pouvez utiliser ce nom en tant que nom de groupe pour faciliter l’identification lorsque vous gérez le site.
Vous préférez d’autres noms de groupes.
Avez-vous besoin de niveaux d’autorisation personnalisés ?
La décision de personnaliser les niveaux d’autorisation est moins simple que la décision de personnaliser les groupes SharePoint. Si vous personnalisez les autorisations affectées à un niveau d’autorisation, vous devez effectuer le suivi de cette modification, vérifier qu’elle fonctionne pour tous les groupes et sites affectés par la modification, et vous assurer que la modification n’affecte pas votre sécurité, la capacité ou les performances de votre serveur.
Par exemple, si vous personnalisez le niveau d’autorisation Collaboration pour inclure l’autorisation Créer des sous-sites qui fait généralement partie du niveau d’autorisation Contrôle total, les membres du groupe Collaborateurs peuvent créer et posséder des sous-sites, avec le risque potentiel d’inviter des utilisateurs malveillants à visiter leurs sous-sites ou de publier du contenu non approuvé. Si vous personnalisez le niveau d’autorisation Lecture pour inclure l’autorisation Afficher les données d’utilisation qui fait généralement partie du niveau d’autorisation Contrôle total, tous les membres du groupe Visiteurs peuvent afficher les données d’utilisation, ce qui peut nuire aux performances.
Personnalisez les niveaux d’autorisation par défaut si l’une des situations suivantes s’applique :
Un niveau d’autorisation par défaut inclut toutes les autorisations sauf celle dont les utilisateurs ont besoin pour effectuer leur travail, et vous souhaitez ajouter cette autorisation.
Un niveau d’autorisation par défaut inclut une autorisation que les utilisateurs n’ont pas besoin d’avoir.
Remarque
Ne personnalisez pas les niveaux d’autorisation par défaut si votre organisation a des problèmes de sécurité ou d’autres problèmes concernant une autorisation spécifique qui fait partie du niveau d’autorisation. Si vous souhaitez rendre cette autorisation indisponible pour tous les utilisateurs affectés au ou aux niveaux d’autorisation qui incluent cette autorisation, désactivez l’autorisation pour toutes les applications Web de votre batterie de serveurs, au lieu de modifier tous les niveaux d’autorisation Pour gérer les autorisations d’une application web, voir Gérer les autorisations d’une application web dans SharePoint Server.
Si vous devez apporter plusieurs modifications à un niveau d’autorisation, créez un niveau d’autorisation personnalisé, qui inclut toutes les autorisations dont vous avez besoin.
Vous pouvez créer d’autres niveaux d’autorisation si l’une des conditions suivantes est remplie :
Vous souhaitez exclure plusieurs autorisations d’un niveau d’autorisation spécifique.
Vous voulez définir un ensemble unique d’autorisations pour un nouveau niveau d’autorisation.
Pour créer un niveau d’autorisation, vous pouvez le créer, puis sélectionner les autorisations à inclure.
Remarque
Certaines autorisations dépendent d’autres autorisations. Si vous désactivez une autorisation dont dépend une autre autorisation, l’autre autorisation est également désactivée.