Gérer les autorisations sur le site d’administration des services partagés
Mise à jour : 2007-08-30
Le site d’administration des services partagés est la collection de sites qui contient les pages d’administration pour les paramètres de services partagés d’un fournisseur de services partagés. L’autorisation Affichage seul sur le site est nécessaire pour administrer l’un des services partagés de Microsoft Office SharePoint Server 2007, et un groupe Visualiseurs est créé par défaut avec cette autorisation. Les administrateurs de la collection de sites et d’autres utilisateurs disposant de l’autorisation Contrôle total sur le site peuvent ajouter d’autres utilisateurs sur le site et gérer leurs autorisations de site. Les administrateurs de la collection de sites peuvent également ajouter les autorisations Conception et Collaboration pour les utilisateurs qui personnalisent des pages d’administration et tout autre contenu sur la collection de sites.
En règle générale, un utilisateur ou un petit nombre d’utilisateurs est administrateur d’une collection de sites ou dispose des autorisations Contrôle total. Un administrateur d’une collection de sites sélectionne un ou plusieurs utilisateurs supplémentaires avec l’autorisation Affichage seul dans le groupe Visualiseurs en tant qu’administrateurs d’un ou plusieurs services partagés.
Dans cet article :
Autorisations par défaut sur le site d’administration des services partagés
Gestion des autorisations après l’installation
Utiliser le compte de l’Administration centrale pour ajouter des utilisateurs au site d’administration des services partagés
Conditions requises
Autorisations par défaut sur le site d’administration des services partagés
Le site d’administration des services partagés est créé pendant l’installation de Microsoft Office SharePoint Server 2007. Dans une installation de base, un seul compte est utilisé pendant l’installation en tant que compte d’administrateur de batterie par défaut et d’administrateur du site Web d’administration des services partagés. L’installation de base crée automatiquement le fournisseur de services partagés et le site d’administration des services partagés à l’aide du compte d’administrateur de batterie par défaut.
Remarque : |
---|
Dans une installation de base, le compte administrateur de batterie est transformé en administrateur de collection de sites pour le site d’administration des services partagés. |
Dans une installation de batterie de serveurs, ces comptes administrateur peuvent être affectés à deux comptes uniques, comme suit :
Le compte administrateur de batterie par défaut est utilisé pour créer des applications Web lors de l’installation, y compris l’application Web et le pool d’applications pour le site d’administration des services partagés. Le compte administrateur de batterie doit être membre du groupe Administrateurs local sur le serveur qui héberge le site d’administration des services partagés. Si le compte administrateur de batterie n’est pas également membre du groupe Administrateurs local, aucune application Web ne peut être créée.
Un administrateur de batterie peut ajouter un autre compte administrateur de batterie, et ce compte distinct peut être utilisé pour créer le fournisseur de services partagés, y compris la base de données SSP, et la collection de sites pour le site d’administration des services partagés. Ce compte est ensuite transformé en administrateur de collection de sites pour le site d’administration des services partagés. Il dispose de l’autorisation Contrôle total activée pour le site d’administration des services partagés. Ce compte bénéficie également de toutes les autorisations de services pour à la fois les services de personnalisation et le catalogue de données métiers.
Remarque : La création de ces deux comptes uniques est recommandée. Dans la plupart des installations de batterie de serveurs, différents utilisateurs seront chargés de l’administration de la batterie de serveurs et de l’administration des services partagés, et l’utilisation de deux comptes distincts aide à améliorer la sécurité en limitant les autorisations d’un compte.
Afin de préserver la sécurité, le compte administrateur de site pour le site d’administration des services partagés ne peut pas accéder au site Web Administration centrale de SharePoint et ne peut pas écrire dans la base de données de configuration.
Les comptes administrateur de batterie ont un accès complet en lecture et écriture à la base de données de configuration, l’Administration centrale et la base de données SSP, mais ne disposent d’aucune autorisation sur le site d’administration des services partagés. Le compte administrateur de batterie utilisé pour créer le fournisseur de services partagés dispose de l’autorisation Contrôle total sur le site d’administration des services partagés. D’autres comptes ajoutés au groupe d’administrateurs de batterie de serveurs n’ont aucune autorisation pour le site d’administration des services partagés. Ces autorisations sont récapitulées dans le tableau suivant.
Compte | Base de données de configuration | Site Administration centrale SharePoint | Base de données SSP | Site d’administration des services partagés |
---|---|---|---|---|
Administrateur de batterie |
Contrôle total |
Contrôle total |
Contrôle total |
Aucun accès (à l’exception du compte utilisé pour créer le fournisseur SSP, ou si une stratégie de l’application Web est créée) |
Administrateur SSP |
Aucun accès |
Aucun accès |
Contrôle total |
Contrôle total |
Remarque : |
---|
Bien que quiconque disposant du niveau d’autorisation Contrôle total sur le site Web Administration centrale de SharePoint (y compris les administrateurs de batterie de serveurs) puisse supprimer l’application Web SSP de l’Administration centrale, cette opération est fortement déconseillée car elle rend le fournisseur de services partagés non fonctionnel. Si l’application Web est supprimée, la seule solution consiste à restaurer le fournisseur de services partagés à partir d’une sauvegarde récente. Pour plus d’informations sur la restauration à partir d’une sauvegarde, voir Sauvegarder et restaurer une batterie de serveurs entière (Office SharePoint Server 2007). |
Après l’installation, l’administrateur de collection de sites par défaut pour le site d’administration des services partagés peut accorder l’autorisation Affichage seul aux administrateurs d’un ou plusieurs services partagés sur le site. Tout utilisateur disposant de l’autorisation Affichage seul sur le site peut gérer les liens ciblés dans les services de personnalisation et administrer la recherche et les services Excel. Les utilisateurs avec des autorisations de services supplémentaires peuvent gérer les autorisations, les profils utilisateur, Mes sites, les audiences et les rapports d’utilisation. Notez qu’aucune de ces tâches d’administration ne requiert des autorisations d’administrateur de site. L’administrateur de la collection de sites accorde également des autorisations de services à d’autres utilisateurs après l’installation. Pour plus d’informations sur les autorisations de services, voir Gérer les autorisations des services de personnalisation et Gérer l'autorisation pour le catalogue de données métier.
Gestion des autorisations après l’installation
Les administrateurs de la collection de sites et d’autres utilisateurs disposant de l’autorisation Contrôle total peuvent ajouter d’autres administrateurs de collection de sites à tout moment. Ils peuvent également créer et gérer des groupes SharePoint, ajouter ou supprimer des utilisateurs dans les groupes et ajouter ou supprimer des autorisations directement, tout comme les administrateurs de la collection de sites pour n’importe quel autre site. Les autorisations disponibles sont Contrôle total, Création, Collaboration, Lecture et Affichage seul.
Les méthodes suivantes sont conseillées :
L’autorisation Contrôle total doit être accordée aux administrateurs de la collection de sites uniquement. Le moins de personnes possibles doivent avoir le contrôle total sur le site.
Remarque : Les nouveaux administrateurs de la collection de sites ne disposent pas des autorisations de services tant qu’un utilisateur disposant de l’autorisation Gérer les autorisations ne leur accorde pas ces autorisations. Les exceptions à cette règle incluent le compte administrateur de batterie qui a été utilisé pour créer le fournisseur SSP et la collection de sites pour le site d’administration des services partagés, ainsi que n’importe quel compte qui dispose de l’autorisation Contrôle total dans une stratégie de l’application Web pour le site d’administration des services partagés. Toutes les autorisations de services sont accordées à ces comptes.
Vous devez accorder l’autorisation Affichage seul à la plupart des autres utilisateurs. Elle est suffisante pour accéder aux pages d’administration, si l’utilisateur dispose également des autorisations de services nécessaires.
Les autorisations Création et Collaboration doivent être utilisées uniquement pour les comptes utilisés pour personnaliser des pages d’administration ou approuver du contenu sur le site, si ces comptes sont différents du compte administrateur de collection de sites. Si aucune approbation de personnalisation ou de contenu n’est requise, n’utilisez pas ces groupes.
Des groupes supplémentaires ne sont généralement pas nécessaires et doivent être créés uniquement s’il existe des besoins métiers spécifiques pour un ensemble différent d’autorisations qui sont fournies dans les groupes par défaut pour le site d’administration des services partagés.
Notez que tout utilisateur disposant au moins de l’autorisation Affichage seul sur le site d’administration des services partagés peut gérer les paramètres des services partagés pour le service de recherche, les services de calcul Excel et la configuration de liens ciblés. Les utilisateurs doivent disposer d’autorisations de services supplémentaires pour gérer les connexions d’importation, les profils utilisateur, les audiences ou les rapports d’utilisation. Pour plus d’informations sur les autorisations de services, voir Gérer les autorisations des services de personnalisation et Gérer l'autorisation pour le catalogue de données métier.
Utiliser le compte administrateur de batterie pour ajouter des utilisateurs au site d’administration des services partagés
Les administrateurs de collection de sites pour le site d’administration des services partagés peuvent ajouter ou supprimer n’importe quel compte d’un groupe, y compris leurs propres comptes personnels. Cela peut entraîner une situation dans laquelle aucun utilisateur n’est administrateur de la collection de sites et les autorisations pour le site ne peuvent plus être gérées. Cela peut même provoquer une situation dans laquelle aucun utilisateur ne dispose d’autorisations sur le site. Les administrateurs de collection de sites doivent veiller à éviter cette situation. Toutefois, si cela se produit, un compte administrateur de batterie peut être utilisé pour ajouter un administrateur de collection de sites pour le site. L’administrateur de batterie peut également ajouter des autorisations de services sur le site si l’autorisation Gérer les autorisations est supprimée de tous les utilisateurs.
Conditions requises
Les conditions suivantes sont requises pour effectuer les procédures de cette tâche.
- Les administrateurs doivent être des administrateurs de site sur le site d’administration des services partagés.
Pour gérer des autorisations sur le site d’administration des services partagés, vous pouvez effectuer les procédures suivantes :
Voir aussi
Concepts
Gérer les autorisations des services de personnalisation
Gérer l'autorisation pour le catalogue de données métier