Partager via


Planifier des tâches administratives dans un environnement moins privilégié (SharePoint Foundation 2010)

 

S’applique à : SharePoint Foundation 2010

Dernière rubrique modifiée : 2016-11-30

Cet article indique comment configurer et maintenir une batterie de serveurs Microsoft SharePoint Foundation 2010 en utilisant une administration moins privilégiée.

Présentation

Le concept d’administration moins privilégiée affecte à l’utilisateur les autorisations minimales requises pour les utilisateurs pour exécuter des tâches autorisées. L’objectif de l’administration moins privilégiée est de configurer et de favoriser le maintien du contrôle sécurisé d’un environnement. Chaque service se voit ainsi octroyer uniquement les ressources qui sont absolument nécessaires. La mise en œuvre d’une administration moins privilégiée peut entraîner des coûts opérationnels accrus car des ressources supplémentaires pourraient être requises pour maintenir ce niveau d’administration. Par ailleurs, la possibilité de dépanner des problèmes de sécurité peut en être diminuée.

Note de sécuritéSecurity Note
Les organisations mettent en œuvre une administration moins privilégiée pour obtenir une meilleure sécurité que celle généralement recommandée. Seul un petit pourcentage d’organisations nécessite ce niveau renforcé de sécurité en raison du coût des ressources requises pour la maintenance de l’administration moins privilégiée. Cependant, certains déploiements pourraient nécessiter ce niveau renforcé de sécurité, notamment les agences gouvernementales, les organisations de sécurité et les organisations dans l’industrie des services financiers. La mise en œuvre d’un environnement moins privilégié ne doit pas être confondue avec de meilleures pratiques. Dans un environnement moins privilégié, les administrateurs mettent en œuvre de meilleures pratiques avec des niveaux de sécurité renforcés supplémentaires.

Environnement moins privilégié pour les comptes et les services

Pour planifier une administration moins privilégiée, vous devez considérer plusieurs comptes, rôles et services. Certains s’appliquent à SQL Server, d’autres à Produits SharePoint 2010. Comme les administrateurs verrouillent des comptes et services supplémentaires, les coûts opérationnels quotidiens sont susceptibles d’augmenter

Rôles Microsoft SQL Server

Dans un environnement d’administration moins privilégiée, nous vous recommandons de retirer les deux rôles de niveau serveur SQL Server suivants des comptes qui ne sont pas des comptes de services SharePoint, mais sont utilisés pour l’administration SharePoint :

  • dbcreator- Les membres du rôle de serveur fixe dbcreator peuvent créer, modifier, abandonner et restaurer n’importe quelle base de données.

  • securityadmin- Les membres du rôle de serveur fixe securityadmin gèrent des connexions et leurs propriétés. Ils peuvent OCTROYER, REFUSER ET RÉVOQUER des autorisations de niveau serveur. Ils peuvent également OCTROYER, REFUSER ET RÉVOQUER des autorisations au niveau base de données s’ils ont accès à une base de données. En outre, ils peuvent réinitialiser des mots de passe pour les connexions SQL Server.

    Note de sécuritéSecurity Note
    La possibilité de donner accès au moteur de base de données et de configurer des autorisations d’utilisateur permet à l’administration de sécurité d’affecter la plupart des autorisations de serveur. Le rôle securityadmin doit être considéré égal au rôle sysadmin et traité comme tel.

Pour plus d’informations sur les rôles de niveau serveur de SQL Server, voir Rôles de niveau serveur (https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0x40C)

La suppression d’un ou de plusieurs de ces rôles SQL Server pourrait entraîner l’affichage de messages d’erreur « Imprévus » sur le site Web Administration centrale. En outre, vous pourriez recevoir le message suivant dans le fichier journal du Service de journalisation unifiée (ULS) :

System.Data.SqlClient.SqlException… Autorisation <type d’opération> refusée dans la base de données <base de données>.  Table <Table>

En plus de recevoir un message d’erreur, l’utilisateur pourrait ne pas pouvoir exécuter l’une des tâches suivantes :

  • Restaurer une sauvegarde d’une batterie de serveurs en raison de l’impossibilité d’écrire dans une base de données

  • Fournir une instance de service ou une application Web

  • Configurer des comptes gérés

  • Changer des comptes gérés pour des applications Web

  • Toute opération de base de données, de compte géré ou de service qui nécessite l’utilisation du site Web Administration centrale

Dans certaines situations, les administrateurs de bases de données peuvent souhaiter opérer indépendamment des administrateurs SharePoint, et créer et gérer toutes les bases de données. Pour plus d’informations sur le mode de création et de gestion de toutes les bases de données par les administrateurs de bases de données, voir Déployer à l’aide de bases de données créées par des administrateurs de base de données (SharePoint Foundation 2010).

Rôles et services SharePoint Foundation 2010

En général, la possibilité de créer de nouvelles bases de données doit être retirée des comptes de service SharePoint. Aucun compte de service SharePoint ne doit avoir le rôle sysadmin sur l’instance de Microsoft SQL Server et aucun compte de service SharePoint ne doit être un administrateur local sur le serveur qui exécute Microsoft SQL Server.

Cependant, vous pourriez verrouiller plusieurs autres services et comptes SharePoint Foundation 2010 :

  • Rôle SharePoint_Shell_Access

    Lorsque ce rôle Microsoft SQL Server est retiré, la possibilité d’écrire des entrées dans la base de données de configuration et de contenu est supprimée. Pour plus d’informations sur ce rôle, voir Add-SPShellAdmin.

  • Service du minuteur SharePoint (SPTimerV4)

    Par défaut, ce service est installé et maintient les informations de cache de la configuration. Si le type de services est défini sur Désactivé, le comportement suivant peut se produire :

    • Aucun travail du minuteur ne s’exécute

    • Les règles de l’analyseur d’intégrité ne fonctionnent pas

    • La configuration de maintenance et de batterie de serveurs sera périmée

  • Service d’administration de SharePoint (SPAdminV4)

    Ce service exécute des modifications automatisées qui nécessitent l’autorisation d’administrateur local sur le serveur. Lorsque le service ne fonctionne pas, vous devez manuellement traiter les modifications administratives de niveau serveur. Si le type de service est réglé sur Désactivé, le comportement suivant pourrait se produire :

    • Les travaux du minuteur administratif ne fonctionnent pas

    • Les fichiers de configuration Web ne seront pas mis à jour

    • Les groupes de sécurité et locaux ne seront pas mis à jour

    • Les valeurs et clés du Registre ne seront pas écrites

    • Les services pourront s’avérer impossibles à démarrer ou à redémarrer

    • Le provisionnement de services pourrait ne pas aboutir

  • SPUserCodeV4 Service

    Ce service permet à un administrateur de collection de sites de télécharger des solutions de type sandbox dans la Galerie Solutions. Pour plus d’informations sur les solutions de type sandbox, voir Vue d’ensemble des solutions en bac à sable (SharePoint Foundation 2010).

Pour plus d’informations sur les services, voir Le service d’administration de SharePoint est désactivé.

Selon les besoins professionnels d’une organisation, si des services ou des rôles SharePoint Foundation 2010 sont mis en œuvre, les fonctionnalités suivantes pourraient présenter ce comportement :

  • Sauvegarde et restauration

    La possibilité d’effectuer une restauration à partir d’une sauvegarde peut être compromise si des autorisations de base de données ont été retirées.

  • Mise à niveau

    Le processus de mise à niveau démarre correctement, puis échoue car vous n’avez pas les autorisations adéquates sur les bases de données. Si votre organisation est déjà dans un environnement moins privilégié, la solution consiste à passer à un environnement de meilleures pratiques pour exécuter la mise à niveau, puis de revenir à un environnement moins privilégié.

  • Mise à jour

    La capacité d’appliquer une mise à jour logicielle à une batterie de serveurs réussit pour le schéma de la base de données de configuration, mais échoue sur la base de données de contenu et les services.

Autres conditions à considérer

Outre les considérations précédentes, vous devrez éventuellement prendre en compte d’autres opérations. La liste suivante n’est pas complète. Utilisez sélectivement les éléments à votre discrétion :

  • Configurer un compte d’administrateur d’utilisateurs- Ce compte est utilisé pour configurer chaque serveur dans une batterie de serveurs. Le compte doit être membre du groupe Administrateurs sur chaque serveur dans la batterie de serveurs Microsoft SharePoint Server 2010. Pour obtenir des informations supplémentaires sur ce compte, voir Comptes d’administration

  • Compte de pool d’applications hôtes Mon site- Il s’agit du compte sous lequel le pool d’applications Mon site s’exécute. Pour configurer ce compte, vous devez être membre du groupe Administrateurs de batterie de serveurs.

  • Groupe d’utilisateurs intégré-Le retrait du groupe de sécurité d’utilisateurs intégré ou la modification des autorisations pourrait avoir des conséquences non anticipées.

  • Autorisations de groupe-Par défaut, le groupe WSS_ADMIN_WPG SharePoint a un accès en lecture et en écriture aux ressources locales. Les emplacements de système de fichiers WSS_ADMIN_WPG suivants, %WINDIR%\System32\drivers\etc\HOSTS et %WINDIR%\Tasks sont nécessaires pour permettre à Microsoft SharePoint Foundation de fonctionner correctement. Si d’autres services ou d’autres applications s’exécutent sur un serveur, vous pourriez examiner leur mode d’accès aux emplacements des dossiers Tasks ou HOSTS. Pour des informations complémentaires sur les paramètres des comptes, voir Autorisations de compte et paramètres de sécurité (SharePoint Server 2010)

  • Modification de l’autorisation d’un service- Une modification d’autorisation d’un service peut avoir des conséquences non anticipées. Par exemple, si la clé de Registre suivante, HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters, a la valeur 0, le service Hôte de code utilisateur pourrait être désactivé, ce qui entraînerait l’arrêt du fonctionnement des solutions de type sandbox. Pour plus d’informations sur le non-fonctionnement du service Code utilisateur, voir Impossible de démarrer le service Hôte de code utilisateur de SharePoint 2010 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0x40C) (éventuellement en anglais)