Contrôle de l'accès aux sites et au contenu

Dans cet article

En tant que propriétaire de site, lorsque vous créez la structure d'autorisations pour votre site ou pour un groupe de sites, vous devez tenir compte de la facilité d'administration sans négliger le besoin de contrôler des autorisations spécifiques pour des objets sécurisables en particulier. Pour tout site Web, il est également important de respecter le principe du privilège minimum lors de l'octroi des droits d'accès.

Pour une plus grande facilité d'administration, commencez par utiliser les groupes SharePoint standard (Propriétaires Nom du site, Membres Nom du site et Visiteurs Nom du site) et accordez les autorisations au niveau du site. Nous recommandons de faire en sorte que le plus grand nombre possible d'utilisateurs soient membres des groupes SharePoint Visiteurs Nom du site ou Membres Nom du site. N'ajoutez pas tous les utilisateurs en tant que membres du groupe SharePoint Propriétaires Nom du site. Par défaut, les membres du site peuvent collaborer au site, ajouter ou supprimer des éléments ou des documents, mais ils ne peuvent pas modifier la structure du site ou en modifier des paramètres ou l'apparence. Vous pouvez créer d'autres groupes SharePoint et d'autres niveaux d'autorisation si vous souhaitez exercer un contrôle d'un niveau plus affiné sur les actions des utilisateurs.

S'il existe des listes, des bibliothèques, des dossiers en particulier dans une liste ou une bibliothèque, des éléments de listes ou des documents qui contiennent des données sensibles et qui doivent donc être davantage sécurisés, vous pouvez utiliser des autorisations affinées pour accorder des autorisations à un groupe SharePoint spécifique ou à un utilisateur en particulier. Notez cependant, que la gestion des autorisations affinées peut prendre beaucoup de temps.

Affectation des éléments de sécurité à un objet sécurisable

Vous pouvez accorder des autorisations spécifiques aux utilisateurs et aux groupes SharePoint (qui contiennent des utilisateurs) pour un objet sécurisable, tel qu'un site, une liste, une bibliothèque, un dossier dans une liste ou une bibliothèque, un élément ou un document. Étant donné qu'il n'est pas efficace de gérer des comptes d'utilisateur directement, utilisez autant que possible des groupes SharePoint pour gérer les utilisateurs.

La figure suivante montre comment des utilisateurs et des groupes SharePoint reçoivent des niveaux d'autorisation spécifiques pour un site ou un objet sécurisable dans un site SharePoint.

Utilisateurs et groupes avec des niveaux d'autorisation spécifiques pour une zone en particulier.

* Un utilisateur peut recevoir une autorisation directement sans être membre d'un groupe SharePoint.

Notez que l'octroi d'une autorisation se crée pour un objet sécurisable en particulier. Cet accord inclut un utilisateur ou un groupe SharePoint et un niveau d'autorisation. Chaque niveau d'autorisation contient un ensemble spécifique d'autorisations.

Vous pouvez attribuer à des utilisateurs et des groupes SharePoint différents des niveaux d'autorisation différents pour un site, une liste, une bibliothèque, un dossier dans une liste ou une bibliothèque, un élément de liste ou un document spécifique. Chaque utilisateur ou groupe SharePoint peut recevoir des niveaux d'autorisation différents pour des objets sécurisables différents.

  • Toutes les personnes qui disposent de l'autorisation Gérer les autorisations peuvent créer des groupes SharePoint et attribuer des niveaux d'autorisation pour un site en général. Notez cependant, qu'elles risquent de ne pas pouvoir ajouter ou supprimer des utilisateurs ou des groupes de domaines dans un groupe SharePoint. Les administrateurs de collections de sites et les propriétaires de sites possèdent cette autorisation par défaut.
  • Les administrateurs de listes ou de bibliothèques peuvent spécifier des autorisations plus ou moins restrictives pour leurs listes ou leurs bibliothèques (ou pour un dossier dans la liste ou la bibliothèque) en ajoutant ou en supprimant des utilisateurs ou des groupes SharePoint ou bien, en modifiant les niveaux d'autorisation des utilisateurs ou des groupes SharePoint.
  • Les administrateurs d'éléments de listes ou de documents peuvent spécifier des autorisations plus ou moins restrictives pour un élément ou un document en ajoutant ou en supprimant des utilisateurs ou des groupes SharePoint ou bien, en modifiant les niveaux d'autorisation des utilisateurs ou des groupes SharePoint.

Haut de la page Haut de la page

Hiérarchie et héritage

Par défaut, les autorisations définies sur les listes, les bibliothèques, les dossiers dans les listes et les bibliothèques, les éléments et les documents sont héritées des sites parents. Toutefois, vous pouvez supprimer cet héritage pour tout objet sécurisable à un niveau inférieur dans la hiérarchie en modifiant les autorisations (en d'autres termes, en créant une autorisation unique) pour cet objet sécurisable. Par exemple, vous pouvez modifier les autorisations pour une bibliothèque de documents, ce qui supprime l'héritage du site.

Les sites Web sont eux-mêmes des objets sécurisables sur lesquels des autorisations peuvent être définies. Vous pouvez configurer des sous-sites qui héritent des autorisations d'un site parent ou supprimer cet héritage et créer des autorisations uniques pour un site en particulier. L'héritage d'autorisations est un moyen simple de gérer un groupe de sites Web. Toutefois, si un sous-site hérite des autorisations de son parent, cet ensemble d'autorisations est partagé.

Les propriétaires de sous-sites qui héritent d'autorisations à partir du site parent peuvent modifier les autorisations du parent. Vérifiez que les modifications apportées aux autorisations sur le site parent sont appropriées pour le site parent et tous les sous-sites qui héritent de ces autorisations.

La figure suivante montre la hiérarchie d'une collection de sites avec un site Web de niveau supérieur et des sous-sites qui héritent d'autorisations à partir de leur site parent ainsi qu'un sous-site avec des autorisations uniques.

Hiérarchie d'une collection de sites avec des sous-sites héritant d'autorisations et un sous-site avec des autorisations uniques.

Dans la figure, le sous-site 1 hérite des autorisations à partir du site Web de niveau supérieur. Cela signifie que les modifications apportées aux groupes SharePoint et aux niveaux d'autorisation sur le site de niveau supérieur ont également une incidence sur le sous-site 1.

Le sous-site 2 hérite également des autorisations de son parent (le sous-site 1). Cependant, étant donné que le sous-site 1 hérite également des autorisations de son parent, les modifications apportées aux groupes SharePoint et aux niveaux d'autorisation sur le site de niveau supérieur affectent également le sous-site 2. Cela est dû au fait que vous ne pouvez pas gérer des autorisations sur un sous-site qui hérite d'autorisations. Vous devez au contraire, soit gérer les autorisations du parent (qui est le site Web de niveau supérieur du sous-site 1 et du sous-site 2), soit supprimer l'héritage et créer des autorisations uniques.

Notez que le sous-site 3 possède des autorisations uniques. Cela signifie qu'il n'hérite d'aucune autorisation de son site parent. Par conséquent, toutes les modifications apportées aux niveaux d'autorisation et aux groupes SharePoint sur le sous-site 3 n'affectent pas son site parent. Étant donné que le sous-site 4 hérite des autorisations du sous-site 3, les modifications apportées aux niveaux d'autorisation ou aux groupes SharePoint sur le sous-site 3 affectent les deux sites.

Chaque site contient d'autres objets sécurisables qui ont un emplacement particulier dans la hiérarchie de site, comme l'illustre la figure ci-dessous.

Hiérarchie d'étendue

Les objets sécurisables de niveau inférieur héritent automatiquement des autorisations de leurs parents. Par exemple, une liste ou une bibliothèque hérite des autorisations du site et les éléments de liste et les documents héritent des autorisations de la liste, la bibliothèque ou le dossier qui les contient. Vous pouvez supprimer cet héritage à tout moment dans la hiérarchie et affecter des autorisations uniques. Lorsque vous supprimez l'héritage du parent, l'objet sécurisable pour lequel vous avez supprimé cet héritage reçoit une copie des autorisations des parents. Vous pouvez alors modifier ces autorisations pour qu'elles soient uniques, ce qui signifie qu'aucune modification apportée aux autorisations sur l'objet sécurisable n'affecte le parent.

Organisation de l'héritage des autorisations

Si cela est possible, il est plus facile de gérer des autorisations au niveau du site seulement. Cela signifie que vous devez créer votre hiérarchie de site d'une manière qui vous permet d'attribuer des autorisations aux sites appropriés à tous les objets sécurisables du site tels que les listes, les bibliothèques, les dossiers dans des listes ou les bibliothèques, les documents et les éléments. Bien que vous puissiez affecter des autorisations uniques à n'importe quel objet sécurisable dans la hiérarchie de site, cette opération est plus fastidieuse que l'héritage des autorisations. Elle se complique en effet lorsque certaines listes ou bibliothèques d'un site disposent d'autorisations affinées et lorsque certains sites contiennent des sous-sites avec des autorisations uniques et d'autres des autorisations héritées. Organisez autant que possible les sites, les sous-sites, les listes et les bibliothèques afin qu'ils puissent hériter de la plupart des autorisations. Placez les données sensibles dans des sous-sites, des listes, des bibliothèques distincts, etc.

Par exemple, il est beaucoup plus facile de gérer les autorisations en utilisant une hiérarchie similaire à celle illustrée dans l'exemple suivant, plutôt que de mélanger des données sensibles et non sensibles dans les mêmes sites, listes et bibliothèques.

  • Site A    Page d'accueil
    • Liste A    Données non sensibles (autorisations héritées)
    • Bibliothèque de documents A    Données non sensibles (autorisations héritées)
    • Sous-site B    Données sensibles (autorisations uniques)
      • Liste B    Données sensibles (autorisations uniques)
      • Bibliothèque de documents B    Données sensibles (autorisations uniques)

Notez que la liste et la bibliothèque du Site A contiennent des données non sensibles et que le Sous-site B a été créé sous le Site A pour contenir une liste et une bibliothèque qui stockent des données sensibles. Dans ce scénario, vous pouvez attribuer des autorisations au Site A qui sont appropriées à la Liste A et à la Bibliothèque de documents A et créer des autorisations uniques pour le Sous-site B qui sont appropriées pour la Liste B et la Bibliothèque de documents B.

Haut de la page Haut de la page

 
 
S'applique à :
SharePoint Server 2007, Windows SharePoint Services 3.0