Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Comprendre les permissions SharePoint

Comprendre les permissions SharePoint

Dec 26, 2018

Le but des permissions SharePoint

Les permissions SharePoint contrôlent l'accès que les employés, partenaires, fournisseurs tiers et autres ont à votre contenu SharePoint. Vous pouvez choisir qui peut lire des informations spécifiques et qui ne le peut pas. Les permissions SharePoint s'étendent non seulement à l'affichage des données dans les listes et les bibliothèques de documents, mais aussi aux résultats de recherche et même à l'interface utilisateur. Par exemple, si vous n'avez pas les permissions pour une liste de documents spécifique, alors dans les résultats d'une recherche, vous ne verrez aucun document de cette liste. Ce modèle de permissions aide à protéger les données sensibles des personnes qui ne devraient pas les voir ou les distribuer.

Contenu connexe sélectionné

Rôles d'administration SharePoint

La figure suivante montre quels composants du système chacun des principaux rôles d'admin SharePoint peut gérer :

Image

Voici les composants du serveur SharePoint et les rôles d'administration correspondants :

Rôles de serveur et de ferme

  • Administrateurs Windows — Lorsque SharePoint est installé sur un serveur Windows, le groupe des administrateurs locaux de ce serveur est automatiquement ajouté au groupe des administrateurs de la ferme SharePoint. En conséquence, ces administrateurs locaux (Administrateurs Windows) disposent de permissions de contrôle total sur la ferme SharePoint — ils peuvent installer des applications et des logiciels et gérer les sites web du service d'informations Internet (IIS) et les services Windows. Mais, par défaut, ils n'ont aucun accès au contenu du site.
  • Administrateurs de la ferme — Les membres du groupe des Administrateurs de la ferme disposent de permissions de contrôle total sur toutes les fermes SharePoint ; c'est-à-dire qu'ils peuvent effectuer toutes les tâches administratives dans l'Administration centrale de SharePoint pour la ferme de serveurs. Par exemple, ils peuvent assigner des administrateurs pour gérer les applications de service, les fonctionnalités et les collections de sites. Ce groupe n'a pas accès aux sites individuels, aux collections de sites et à leur contenu, mais un Administrateur de la ferme peut facilement prendre possession de n'importe quelle collection de sites et obtenir un accès complet à son contenu simplement en s'ajoutant lui-même au groupe des Administrateurs de la collection de sites sur la page de Gestion des applications.

Contenu connexe sélectionné

Rôles de services partagés

  • Les administrateurs d'application de service — Ces administrateurs sont sélectionnés par l'administrateur de la ferme. Ils peuvent configurer les paramètres pour une application de service spécifique dans une ferme. Cependant, ils ne peuvent pas créer d'applications de service, accéder à d'autres applications de service dans la ferme, ou effectuer des opérations au niveau de la ferme, telles que des changements de topologie. Par exemple, l'administrateur d'application de service pour une application de recherche dans une ferme peut configurer les paramètres pour cette application uniquement.
  • Administrateurs de fonctionnalités — Un administrateur de fonctionnalités est associé à une ou plusieurs fonctionnalités spécifiques d'une application de service. Ces administrateurs peuvent gérer un sous-ensemble des paramètres de l'application de service, mais pas l'application de service entière. Par exemple, un administrateur de fonctionnalités pourrait gérer la fonctionnalité Audiences de l'application de service User Profile.

Contenu connexe sélectionné

Rôles d'application web

Le niveau de l'application web n'a pas de groupe d'administrateurs unique, mais les administrateurs de la ferme ont le contrôle sur les applications web dans leur portée. Les membres du groupe des Administrateurs de la Ferme et les membres du groupe des Administrateurs sur le serveur local peuvent définir une politique pour accorder des permissions individuelles aux utilisateurs au niveau de l'application web. Les politiques suivantes sont disponibles :

  • Politiques anonymes — Définit la restriction d'accès à appliquer aux utilisateurs non autorisés dans le domaine : aucune politique, refuser l'accès en écriture ou refuser tout accès.
  • Politiques de permission — Définit un ensemble d'autorisations qui peuvent être accordées aux utilisateurs ou aux groupes SharePoint pour un site, une bibliothèque, une liste, un dossier, un élément, un document ou une autre entité. Vous pouvez utiliser les politiques de permissions par défaut ou en créer des personnalisées.
  • Politiques utilisateur — Un ensemble de permissions de haut niveau qui est appliqué à une application web et hérité par toutes les collections de sites. En utilisant la politique utilisateur, vous pouvez accorder à tout utilisateur ou groupe AD des permissions uniques pour une application web particulière et toutes les collections de sites à l'intérieur.
  • Autorisations des utilisateurs — Définit quelles permissions avancées les administrateurs de collection de sites peuvent utiliser pour créer des permissions uniques pour une certaine application web. (Je ne sais pas pourquoi Microsoft ne l'a pas appelé aussi une « politique », puisque cela fonctionne comme une politique.)

Je parlerai davantage de ces politiques plus tard, lors de la discussion sur l'héritage.

Rôles de collection de sites

  • Administrateurs de la collection de sites — Ces administrateurs disposent du niveau de permission Contrôle total sur tous les sites d'une collection de sites. Ils ont un accès Contrôle total à tout le contenu du site dans cette collection de sites, même s'ils n'ont pas de permissions explicites sur ce site. Ils peuvent auditer tout le contenu du site et recevoir tout message administratif. Un administrateur principal et un administrateur secondaire de la collection de sites peuvent être spécifiés lors de la création d'une collection de sites.
  • Propriétaires du site — Par défaut, les membres du groupe des Propriétaires pour un site disposent du niveau de permission Contrôle total sur ce site. Ils peuvent effectuer des tâches administratives sur le site, ainsi que sur toute liste ou bibliothèque au sein du site. Ils reçoivent des notifications par e-mail pour des événements, tels que la suppression automatique imminente de sites inactifs et les demandes d'accès au site.

Contenu connexe sélectionné

Types de permissions par défaut SharePoint

Par défaut, SharePoint définit les types de permissions utilisateur suivants :

  • Accès complet — L'utilisateur peut gérer les paramètres du site, créer des sous-sites et ajouter des utilisateurs aux groupes.
  • Conception — L'utilisateur peut voir, ajouter, mettre à jour et supprimer des approbations et des personnalisations, ainsi que créer et modifier de nouvelles bibliothèques de documents et listes sur le site, mais ne peut pas gérer les paramètres pour l'ensemble du site.
  • Contribuer — L'utilisateur peut voir, ajouter, mettre à jour et supprimer des éléments de liste et des documents. Ces droits sont les plus courants pour les utilisateurs réguliers de SharePoint, leur permettant de gérer des documents et des informations sur un site.
  • Lire — L'utilisateur peut consulter les éléments de la liste, les pages et télécharger des documents.
  • Modifier — L'utilisateur peut gérer des listes et des éléments de liste et attribuer des autorisations.
  • Affichage uniquement — L'utilisateur peut consulter des pages, des éléments de liste et des documents. Les documents peuvent être consultés uniquement dans le navigateur ; ils ne peuvent pas être téléchargés d'un serveur SharePoint vers un ordinateur local.
  • Accès limité — L'utilisateur peut accéder aux ressources partagées et à des actifs spécifiques. L'Accès limité est conçu pour être combiné avec des autorisations précises (non héritées, permissions uniques) afin de permettre aux utilisateurs d'accéder à une liste spécifique, bibliothèque de documents, dossier, élément de liste ou document sans leur donner accès à l'ensemble du site. La permission Accès limité ne peut pas être modifiée ou supprimée.

Groupes SharePoint

Il existe deux manières d'attribuer des autorisations à un site SharePoint via des groupes : La première consiste à ajouter
un utilisateur à un groupe SharePoint, et la seconde consiste à donner à un groupe AD security un accès direct au site ou à le placer dans un groupe SharePoint qui dispose d'autorisations sur le site.

Les groupes SharePoint vous permettent de gérer des ensembles d'utilisateurs au lieu d'utilisateurs individuels. Un groupe peut inclure des utilisateurs individuels créés dans SharePoint, ainsi que des utilisateurs ou des groupes de tout système de gestion des identités ou de services de domaine, tels que Active Directory Domain Services (AD DS), des annuaires basés sur LDAPv3, des bases de données spécifiques à des applications et des modèles d'identité tels que Windows Live ID.

Les groupes SharePoint définis par l'utilisateur n'ont pas de droits d'accès spécifiques au site. Vous pouvez organiser vos utilisateurs en autant de groupes que nécessaire, en fonction de la taille et de la complexité de votre organisation ou site. Une chose importante à mentionner est que les groupes SharePoint ne peuvent pas être imbriqués.

Toutefois, il existe également des groupes SharePoint prédéfinis qui accordent aux membres des permissions d'accès spécifiques. Un ensemble de groupes prédéfinis dépend du modèle de site que vous utilisez. Voici les groupes prédéfinis pour un site d'équipe et ses permissions par défaut sur le site SharePoint :

  • VisiteursDroit de lecture
  • MembresModifier les autorisations
  • Propriétairescontrôle total des autorisations
  • SpectateursPermissions de consultation uniquement

Et voici les groupes prédéfinis pour le modèle de site de publication et leurs permissions par défaut :

  • Lecteurs restreints — Peuvent consulter des pages et des documents, mais ne peuvent pas voir les versions historiques ni les informations sur les autorisations.
  • Style Resource Readers — Ont la permission Read pour la galerie de pages maîtresses et la permission Restricted Read pour la bibliothèque de styles. Par défaut, tous les utilisateurs authentifiés sont membres de ce groupe.
  • Les concepteurs — Peuvent afficher, ajouter, mettre à jour, supprimer, approuver et personnaliser la mise en page des pages du site à l'aide d'un navigateur ou de SharePoint Designer.
  • Approbateurs — Peuvent modifier et approuver des pages, des éléments de liste et des documents.
  • Gestionnaires de hiérarchie — Peuvent créer des sites, des listes, des éléments de liste et des documents.

Notez que tous ces groupes et leurs permissions peuvent être modifiés.

La meilleure pratique consiste à ajouter des utilisateurs réguliers qui ont seulement besoin de lire des informations au groupe Visitors et à ajouter des utilisateurs qui ont besoin de créer ou modifier des documents au groupe Members. Cela est dû au fait que les utilisateurs du groupe Members peuvent ajouter, modifier ou supprimer des éléments ou documents, mais ils ne peuvent pas changer la structure du site, les paramètres ou l'apparence. De même, les utilisateurs du groupe Visitors peuvent voir des pages, des documents et des éléments mais ne peuvent pas effectuer d'opérations d'ajout ou de suppression.

Attribution des permissions sur les objets

Les autorisations peuvent être définies sur une variété d'éléments SharePoint :

  • SharePoint farm — Permissions administratives
  • Application web — Politique anonyme, politique utilisateur, permissions utilisateur
  • Services partagés — Permissions administratives pour l'application de service et les fonctionnalités
  • Collection de sites — Permissions administratives de collection de sites, permissions
  • Sous-site — Permissions
  • Bibliothèque de documents ou liste — Permissions de partage
  • Dossier dans la bibliothèque de documents ou la liste — Permissions de partage
  • Fichier séparé — Permissions de partage

Meilleures pratiques pour l'attribution des permissions

Vous avez la possibilité de réguler les droits d'accès à différents niveaux. Si nécessaire, vous pouvez créer des exceptions (autorisations uniques) lors de la définition des autorisations sur les niveaux inférieurs de la hiérarchie, et vous pouvez également arrêter l'héritage des autorisations. Par exemple, vous pouvez créer des autorisations uniques pour une bibliothèque de documents particulière et empêcher qu'elle hérite des autorisations de son parent.

En tant que meilleure pratique, vous devriez concevoir la structure des permissions de plus haut niveau avec autant de détails que possible et minimiser le nombre d'exceptions. Plus vous créez de permissions uniques à différents niveaux, plus il sera difficile d'auditer et de contrôler les droits d'accès. Gardez à l'esprit qu'il existe des outils tiers qui simplifient l'audit et la surveillance des permissions. Par exemple, Netwrix Auditor for SharePoint peut rapporter sur l'état actuel de vos permissions SharePoint, ainsi que sur l'état à un moment antérieur, et vous alerter lorsque quelqu'un modifie les permissions.

Contenu connexe sélectionné

Héritage des permissions

Par défaut, les sous-sites, bibliothèques et listes héritent des autorisations du site dans lequel ils ont été créés (le site parent). De plus, il y a les politiques définies au niveau de l'application web que j'ai décrites plus tôt. Toutes les collections de sites héritent des autorisations de la politique utilisateur et de la politique anonyme de l'application web, qui accordent ou refusent l'accès aux comptes utilisateurs. Les applications web héritent également des autorisations utilisateur, qui définissent quels niveaux d'autorisation peuvent être utilisés pour créer des autorisations uniques pour les collections de sites. Le niveau de l'application web a également une politique d'autorisation, qui définit les types d'autorisation de haut niveau pour la politique utilisateur.

Si vous rompez l'héritage des autorisations, le sous-site, la bibliothèque de documents, le site web ou le fichier pourra former ses propres autorisations uniques, mais, comme mentionné précédemment, seuls les niveaux d'autorisations régulés par les permissions utilisateur de l'application web seront disponibles.

Par conséquent, nous avons deux types d'héritage, qui sont liés aux politiques configurées au niveau de l'application web :

  1. Politique utilisateur, qui est héritée par toutes les collections de sites de niveau inférieur.
  2. Les autorisations des utilisateurs, qui sont héritées par toutes les collections de sites avec des autorisations avancées ; cette héritage ne peut pas être rompu à des niveaux inférieurs.

Toute modification des autorisations au niveau du site parent (liste d'éléments, bibliothèque de documents) n'affectera pas les éléments enfants disposant de permissions uniques, et les permissions uniques prévaudront toujours lorsqu'elles sont en conflit avec celles du parent.

Meilleures pratiques pour l'héritage des permissions

Il est beaucoup plus facile de gérer les autorisations lorsqu'il existe une hiérarchie claire des autorisations qui sont héritées du parent. Cela devient plus difficile lorsque certaines listes dans un site ont des autorisations fines (uniques) appliquées, et lorsque certains sites ont des sous-sites avec des autorisations uniques et d'autres avec des autorisations héritées. Ainsi, il est recommandé, autant que possible, d'organiser les sites et sous-sites, les listes et les bibliothèques afin qu'ils puissent hériter de la plupart des autorisations du parent.

Voici une structure de permission SharePoint complexe rendue simple pour vous :

Image

Permissions avancées

Les groupes par défaut et les niveaux de permission dans SharePoint offrent un cadre général pour les permissions qui est utile pour de nombreux types d'organisation. Cependant, ils ne correspondent pas toujours exactement à la façon dont les utilisateurs sont organisés ou aux différentes tâches qu'ils effectuent sur vos sites. Si les niveaux de permission par défaut ne conviennent pas à votre organisation, vous pouvez créer des groupes personnalisés, modifier les permissions incluses dans des niveaux de permission spécifiques ou créer des niveaux de permission personnalisés.

Permissions des sites SharePoint

Ces autorisations affectent les paramètres du site et personnels, l'interface web, l'accès et la configuration du site :

  • Gérer les autorisations — Créer et modifier les niveaux d'autorisation sur un sous-site et attribuer des autorisations aux utilisateurs et aux groupes.
  • Voir les données d'analyse Web — Voir les rapports d'utilisation du site
  • Créer des sous-sites — Créez des sous-sites tels que des sites d'équipe, des sites de publication et des sites de flux d'actualités
  • Gérez le site Web — Effectuez toutes les actions d'administration et de gestion de contenu pour le site
  • Ajoutez et personnalisez des pages — Ajoutez, modifiez et supprimez des pages HTML
  • Appliquer des thèmes et des bordures — Appliquez un thème ou des bordures au site
  • Appliquer des feuilles de style — Appliquez une feuille de style (.CSS) au site
  • Créer des groupes — Créez un groupe d'utilisateurs qui peut être utilisé partout dans la collection de sites
  • Parcourir les répertoires — Énumérer les fichiers et dossiers dans un site en utilisant SharePoint
  • Utilisez la création de site en libre-service — Créez un site en utilisant la création de site en libre-service
  • Afficher les pages — Afficher les pages d'un site
  • Énumérer les Permissions —Énumérer les permissions sur un site, une liste, un dossier, un document ou un élément de liste
  • Parcourir les informations utilisateur — Consulter les informations sur les utilisateurs du site
  • Gérer les alertes — Gérez les alertes pour tous les utilisateurs du site
  • Utilisez des interfaces distantes — Utilisez les interfaces SOAP, Web DAV, Client Object Model ou SharePoint Designer pour accéder au site
  • Utilisez les fonctionnalités d'intégration client — Utilisez les fonctionnalités qui lancent des applications clientes sur le site (les utilisateurs sans cette permission doivent télécharger les documents localement, travailler dessus puis télécharger les documents révisés)
  • Ouvrir — Ouvrez un site, une liste ou un dossier et accédez aux éléments à l'intérieur de ce conteneur
  • Modifier les informations personnelles de l'utilisateur — Changer ses propres informations utilisateur, comme en mettant à jour un numéro de téléphone ou un titre ou en ajoutant une photo

Permissions de liste SharePoint

Ces autorisations affectent la gestion des listes, des dossiers et des documents ainsi que la visualisation des éléments et des pages d'application :

  • Gérer les listes — Créer et supprimer des listes, des colonnes de liste et des vues publiques d'une liste
  • Modifier les comportements de liste — Ignorer ou enregistrer un document qui est extrait par un autre utilisateur
  • Ajouter des éléments — Ajoutez des éléments aux listes et des documents aux bibliothèques de documents
  • Modifier les éléments — Modifier les éléments dans les listes et les documents dans les bibliothèques de documents, et personnaliser les pages de composants Web dans les bibliothèques de documents
  • Supprimer des éléments — Supprimez des éléments des listes et des documents des bibliothèques de documents
  • Afficher les éléments — Afficher les éléments dans les listes et les documents dans les bibliothèques de documents
  • Approuver les éléments — Approuver ou rejeter une nouvelle version d'une liste, d'un élément ou d'un document
  • Éléments ouverts — Ouvrez les documents en utilisant les gestionnaires de fichiers côté serveur (les documents ne seront pas téléchargés sur l'ordinateur local)
  • Afficher les versions — Voir les versions antérieures d'un élément de liste ou d'un document
  • Supprimer les versions — Supprimez les versions antérieures d'un élément de liste ou d'un document
  • Créer des alertes — Créez des alertes pour suivre les modifications des listes, bibliothèques, dossiers, fichiers ou éléments de liste
  • Afficher les pages d'application — Afficher les formulaires, vues et pages d'application

Permissions personnelles SharePoint

Ces autorisations affectent la configuration et la gestion des pages personnelles :

  • Gérer les vues personnelles — Créer, modifier et supprimer des vues personnelles de liste
  • Ajouter/Supprimer des composants Web personnels — Ajouter ou supprimer des composants Web personnels
  • Mettre à jour les composants Web personnels — Ajouter ou modifier des informations personnalisées dans les composants web personnels.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Jeff Melnick

Directeur de l'ingénierie des systèmes

Jeff est un ancien directeur de l'ingénierie des solutions mondiales chez Netwrix. Il est un blogueur, conférencier et présentateur de longue date chez Netwrix. Dans le blog Netwrix, Jeff partage des astuces et des conseils qui peuvent améliorer de manière significative votre expérience en administration système.

En savoir plus sur ce sujet

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Du bruit à l'action : transformer le risque des données en résultats mesurables

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité