Planifier les rôles de sécurité (Windows SharePoint Services)
Mise à jour : 2009-04-23
Dans cet article :
Administration au niveau de la batterie
Administration au niveau du site
Feuille
Une des nouvelles fonctionnalités de Windows SharePoint Services 3.0 est un modèle d'administration à deux niveaux qui centralise les tâches de configuration et de gestion, permet de différencier les rôles d'administrateurs, et de déléguer et d'attribuer les tâches administratives aux personnes appropriées dans votre entreprise. Les améliorations du modèle d'administration peuvent aider les sociétés informatiques à effectuer des tâches administratives plus efficacement. Vous pouvez utiliser le modèle d'administration et les groupes SharePoint pour donner uniquement les autorisations qui sont nécessaires à l'exécution des tâches spécifiques en fonction des rôles spécifiques de votre entreprise. Pour optimiser encore davantage l'utilisation du modèle d'administration à deux niveaux, de nombreuses entreprises désignent des rôles d'administrateurs spécifiques dans chaque niveau. Cet article décrit les rôles d'administrateurs de chaque niveau que vous pouvez utiliser pour administrer votre solution.
La liste suivante décrit chaque niveau d'administrateur.
Niveau 1 : administrateurs au niveau de la batterie Les administrateurs de ce niveau sont les administrateurs de niveau supérieur et possèdent les autorisations sur tous les serveurs de la batterie de serveurs, ainsi que la responsabilité de ces serveurs. Les membres peuvent effectuer toutes les tâches administratives dans le site Web Administration centrale de SharePoint pour le serveur ou la batterie de serveurs.
Niveau 2 : administrateurs de collections de sites Les administrateurs de collections de sites disposent du niveau d'autorisation Contrôle total sur leurs collections de sites.
Windows SharePoint Services 3.0 offre une grande souplesse dans le mode d'attribution des rôles d'administrateurs. Dans un modèle de gestion centralisé, vous pouvez attribuer de nombreux rôles à une ou deux personnes de votre entreprise. Ou bien dans un modèle de gestion distribuée, vous pouvez déléguer des rôles spécifiques à différentes personnes de votre entreprise.
Administration au niveau de la batterie
L'administration au niveau de la batterie est généralement réalisée par les rôles suivants :
Administrateurs de batterie
Administrateurs au niveau du serveur
Administrateurs de batterie
L'administrateur de batterie possède les autorisations sur tous les serveurs de la batterie de serveurs, ainsi que la responsabilité de ces serveurs. Le groupe SharePoint Administrateurs de batterie remplace le groupe Administrateurs SharePoint qui était utilisé dans la version 2.0 de Windows SharePoint Services. Il n'est pas nécessaire d'ajouter les membres du groupe Administrateurs de batterie au groupe Administrateurs de chaque serveur. Les administrateurs de batterie sont membres des groupes WSS_WPG et WSS_RESTRICTED_WPG sur l'ordinateur sur lequel l'administration centrale est hébergée et disposent du niveau d'autorisation Contrôle total sur tous les serveurs de l'environnement. Par défaut, les membres du groupe Administrateurs sont membres du groupe SharePoint Administrateurs de batterie.
Les membres du groupe Administrateurs de batterie disposent d'une grande latitude pour gérer le site Administration centrale, mais sont limités pour effectuer certaines actions (c'est-à-dire, pour créer des sites Web IIS (Internet Information Services), créer ou supprimer des applications Web SharePoint, mettre à jour des mots de passe de comptes ou des services Windows) en raison de certaines contraintes liées à IIS et Microsoft .NET Framework. Les membres du groupe Administrateurs de batterie n'ont aucun accès administratif à des sites individuels ou à leur contenu, par défaut. En revanche, ils peuvent prendre le contrôle d'une collection de sites spécifiques pour afficher un contenu. Par exemple, si un administrateur de collections de sites quitte l'entreprise et qu'un nouvel administrateur doit être ajouté, les administrateurs de batterie peuvent s'ajouter eux-mêmes en tant qu'administrateurs de collections de sites (cette action est enregistrée dans les journaux d'audit). En tant que méthode conseillée, nous vous recommandons de supprimer les autorisations des administrateurs de batterie sur la collection de sites une fois l'activité au niveau du site requise terminée. Le groupe Administrateurs de batterie est utilisé dans l'administration centrale uniquement et n'est pas disponible pour tous les sites.
Remarque : |
---|
Bien que quiconque disposant du niveau d'autorisation Contrôle total sur le site Administration centrale puisse supprimer l'application Web SSP du site Administration centrale, cette opération est fortement déconseillée car elle rend le fournisseur de services partagés (SSP) non fonctionnel. Si l'application Web est supprimée, la seule solution consiste à restaurer le fournisseur de services partagés à partir d'une sauvegarde récente. Pour plus d'informations sur la restauration à partir d'une sauvegarde, voir Administration de la sauvegarde et de la récupération pour la technologie Windows SharePoint Services 3.0. |
Remarque : |
---|
Choisissez avec soin à qui vous accordez l'appartenance au groupe Administrateurs sur l'ordinateur serveur local de la base de données et à qui vous accordez l'appartenance aux rôles de base de données fixes et aux rôles serveur fixes dans Microsoft SQL Server. En effet, ce groupe et ces rôles ont le niveau d'autorisation Contrôle total sur la base de données de configuration des produits et technologies SharePoint. |
Le tableau suivant répertorie les tâches que les membres du groupe Administrateurs de batterie peuvent effectuer.
Groupe SharePoint | Le rôle existe-t-il par défaut ? | Peut | Ne peut pas |
---|---|---|---|
Administrateurs de batterie |
Oui |
Effectuer des tâches administratives dans l'administration centrale Prendre possession d'un site de contenu. |
Administrer des sites individuels ou du contenu de site, sauf s'ils prennent possession du site. |
Pour plus d'informations sur le groupe Administrateurs de batterie, voir Choisir les administrateurs et les propriétaires pour la hiérarchie d'administration (Windows SharePoint Services).
Administrateurs au niveau du serveur
Les membres du groupes Administrateurs sur l'ordinateur serveur local sont automatiquement ajoutés au groupe Administrateurs de batterie et peuvent effectuer toutes les actions autorisées pour ces derniers. Le groupe Administrateurs est un groupe Windows, et non un groupe SharePoint, mais le groupe Administrateurs sur l'ordinateurs local effectue certaines tâches administratives dans Windows SharePoint Services 3.0. Comme les administrateurs de batterie, les membres du groupe Administrateurs sur l'ordinateur local n'ont aucun accès administratif au contenu de site, par défaut. En revanche, ils peuvent prendre le contrôle de collections de sites spécifiques, si nécessaire. Pour prendre le contrôle, ils peuvent s'ajouter eux-mêmes en tant qu'administrateurs de collections de sites dans la page des administrateurs de collections de sites de l'administration centrale.
Le tableau suivant décrit le rôle d'administrateur au niveau du serveur.
Groupe | Le rôle existe-t-il par défaut ? | Peut | Ne peut pas |
---|---|---|---|
Administrateurs |
Oui. Groupe Windows qui existe par défaut ; ce n'est pas un groupe SharePoint. |
Installer des produits. Créer de nouvelles applications Web et de nouveaux sites Web IIS. Démarrer des services. Déployer des composants WebPart et des nouvelles fonctionnalités sur le Global Assembly Cache. Effectuer toutes les tâches au niveau de la batterie dans l'administration centrale (à condition que le site Administration centrale se trouve sur l'ordinateur local). Exécuter l’outil en ligne de commande Stsadm. Notes Pour exécuter l’outil en ligne de commande Stsadm, il est nécessaire d’être administrateur au niveau du serveur. En fonction de la commande que vous exécutez, vous pouvez avoir besoin d’autorisations supplémentaires. Par exemple, si vous exécutez stsadm.exe –o deleteweb, la commande requiert que le compte dispose de l’accès en écriture à la base de données de contenu qui contient l’application Web. |
Administrer des sites individuels ou du contenu du site. Administrer des bases de données. |
Administration au niveau du site
L'administration au niveau du site comprend les rôles suivants :
Administrateurs de collections de sites
Propriétaires de sites
Administrateurs de collections de sites
Les administrateurs de collections de sites disposent du niveau d’autorisation Contrôle total sur tous les sites Web et tout le contenu d’une collection de sites. Au niveau de la collection de sites, les administrateurs de collections de sites gèrent les paramètres (tels que les fonctionnalités de collections de sites, les paramètres d’audit de collections de sites et les stratégies de collections de sites) dans la page Paramètres du site du site de niveau supérieur. Lorsque vous créez une collection de sites, vous pouvez spécifier les administrateurs de la collection de sites principale et secondaire. Un administrateur de collections de sites est un utilisateur doté d’un indicateur dans la base de données de contenu qui indique qu’il peut effectuer toutes les tâches au sein d’une collection de sites, y compris toutes les tâches pour des sites spécifiques d’une collection de sites. Cet indicateur peut être modifié dans la page Administrateurs de collections de sites dans l’administration centrale, dans la page Paramètres du site dans un site de niveau supérieur ou en faisant appel à l’opération de propriétaire du site avec l’outil en ligne de commande Stsadm. En règle générale, vous désignez les administrateurs de collections de sites lors de la création du site, mais vous pouvez les modifier selon les besoins dans l’Administration centrale ou dans les pages de paramètres du site.
Le tableau suivant décrit le rôle d'administrateur de collections de sites.
Groupe SharePoint | Le rôle existe-t-il par défaut ? | Peut | Ne peut pas |
---|---|---|---|
Administrateur de collections de sites |
Oui |
|
Accéder au site Administration centrale. |
Propriétaires de site
Les propriétaires de site sont ceux qui bénéficient spécifiquement du niveau d'autorisation Contrôle total sur le site, directement ou par leur appartenance à un groupe SharePoint, par exemple le groupe Propriétaires qui dispose du niveau d'autorisation Contrôle total sur le site. Les propriétaires de site peuvent effectuer des tâches liées au site uniquement, et non à l'intégralité de la collection de sites.
Remarque : |
---|
L'utilisateur qui crée le site est automatiquement ajouté au groupe Propriétaires pour le site. |
Le tableau suivant illustre les tâches que les propriétaires de sites peuvent effectuer.
Groupe SharePoint | Le rôle existe-t-il par défaut ? | Peut | Ne peut pas |
---|---|---|---|
Propriétaires *Nom du site* |
Oui |
Effectuer l'administration du site uniquement, et non de l'intégralité de la collection de sites. Effectuer des tâches administratives pour des documents, des listes et des bibliothèques. |
Accéder au site Administration centrale. Effectuer des tâches administratives de collection de site, telles que la restauration d'éléments à partir de la Corbeille secondaire ou la gestion de la hiérarchie de sites. |
Pour plus d'informations sur l'administration au niveau du site, voir Choisir les administrateurs et les propriétaires pour la hiérarchie d'administration (Windows SharePoint Services).
Feuille
- Feuille destinée aux administrateurs et propriétaires (https://go.microsoft.com/fwlink/?linkid=73128&clcid=0x40C)
Télécharger ce livre
Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :
Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.
Voir aussi
Concepts
Déterminer les niveaux d’autorisation et les groupes à utiliser (Windows SharePoint Services)