Discussion :

[st_vinja]

Quel est la meilleure manière de sécuriser l'accès à des sous-sites d'une même collection ?

Mon besoin est d'avoir plusieurs sous sites basés sur le même modèle avec les mêmes noms de groupe d'utilisateur, mais une liste différentes d'utilisateurs pour chaque site.

Je pensais que les groupes étaient gérés en local au niveau du sous-site, mais en fait ils sont globaux à toute la collection. Donc avec un nom unique pour toute la collection.

Peut-on limiter la liste des membres d'un groupe dans un sous-site ?

[stephane eyskens]

Je pensais que les groupes étaient gérés en local au niveau du sous-site, mais en fait ils sont globaux à toute la collection. Donc avec un nom unique pour toute la collection.

Pour gérer cela tu dois utiliser des permissions uniques au niveau de ton site, soit au moment de la création de celui-ci soit post-création via les Site Permissions => Edit Permissions

[st_vinja]

Merci pour ton retour.

Si l'on crée des sous-sites avec des permissions unique (sans héritage), est-ce que l'on peut avoir des groupes avec le même nom dans chacun de ces sites ?

Et des utilisateurs distincts d'un site à l'autre ?

Est-ce que le fait de ne pas hériter des permissions du site parent, implique une dissociation des utilisateurs du groupe d'un sous-site à l'autre ?

[dnt91]

Ici, ce n'est pas de groupe dont tu as besoin.
De manière générale, tu vas utiliser un groupe pour regrouper un ensemble d'utilisateurs et les gérer de manière identique, ce qui signifie que 1 groupe correspond à chaque fois aux meme utilisateurs; ca n'a pas de sens d'avoir un groupe, mais des utilisateurs différents à chaque fois.

Par contre, avec SharePoint, tu as la possibilité de définir des niveaux de permissions, que l'on pourrait définir comme des groupes de permissions, dans ce sens que tu vas définir un niveau de permission pour regrouper un ensemble d'autorisations et les attribuer (toutes les autorisations du niveau de permission) de manière atomique à un utilisateur ou un groupe sous SharePoint.

Voici donc la solution que je te propose :

1) Crées ta collection de sites, et au niveau de tes sous-sites, accepte d'utiliser l'héritage des permissions du site parent.

2) Au niveau de ton site parent, crées autant de niveaux de permission qu'il t'en faut pour gérer chacun de tes sites. Par ex. sur ton site parent, crées les niveaux de permissions perm pour ton site parent, perm1 pour ton 1er site enfant, perm2 pour ton 2ème site enfant, perm3 pour ton 3ème site enfant.

3) Au niveau de la mmc utilisateurs et ordinateurs AD, crées autant de groupes d'utilisateurs qu'il t'en faut pour l'ensemble de tes sous-sites. Par ex. au niveau AD, crées les groupes gp avec les utilisateurs du site parent, gp1 avec les utilisateurs de ton 1er site enfant, gp2 avec les utilisateurs de ton 2ème site enfant, gp3 avec les utilisateurs de ton 3ème site enfant.

4) Au niveau de chacun des sites, attribues le niveau de permission adequate ou groupe adéquate. Par ex. sur le site parent, assigne à gp le niveau de permission perm, sur le site enfant 1, assigne gp1 au niveu de permission per1, etc...

Le fait de définir tes autorisations au niveau du site parent et ensuite de passer par l'héritage te permet de tout gérer de manière centralisée.

[stephane eyskens]

4) Au niveau de chacun des sites, attribues le niveau de permission adequate ou groupe adéquate. Par ex. sur le site parent, assigne à gp le niveau de permission perm, sur le site enfant 1, assigne gp1 au niveu de permission per1, etc...

Euh...pour faire ça faut casser l'héritage...sinon tous les groupes définis au niveau du parent auront automatiquement un accès au niveau du site enfant....Donc ok, la gestion est centralisée dans la mesure où tous tes groupes sont au niveau du top level site mais tu as néanmoins casser l'héritage quand même.

[dnt91]

Euh...pour faire ça faut casser l'héritage...sinon tous les groupes définis au niveau du parent auront automatiquement un accès au niveau du site enfant....Donc ok, la gestion est centralisée dans la mesure où tous tes groupes sont au niveau du top level site mais tu as néanmoins casser l'héritage quand même.

Ah mince, j'oubliais qu'on ne pouvais pas supprimer des autorisations spécifiques qui héritent du parent. en effet, faudras casser l'héritage et définir directement chacune des associations niveaux de perm/group au niveau de chacun des sites; désolé pour la mauvaise info :s

[st_vinja]

Merci pour vos différentes réponses.

Petite demande de confirmation :
L'héritage porte bien uniquement sur les niveaux d'autorisation (permission) et pas sur les groupes, car les groupes restent visibiles dans tous les sites de la collection, puisqu'il sont gérés en global à la collection ?

Par contre je ne vois plus bien à quoi vont me servir les niveaux d'autorisations spécifiques, puisque en fait j'ai des sites avec "génériquement" les mêmes profil d'accès aux éléments de site mais des groupes d'utilisateurs différents.
Est-ce que je peux construire ma sécurité de la manière suivante :
Site 1 / Groupe 1.1 / perm = "Collaborateur"
Site 2 / Groupe 2.1 / perm = "Collaborateur"
Si oui, les utilisateurs du "Groupe 1.1" n'auront pas accès au Site 2, uniquement si je crée les sites en mode autorisation unique ?

[stephane eyskens]

Bon, alors voici pour l'héritage comment ça fonctionne. Imaginons que tu aies créé la structure de sites suivante en ayant rien changé au niveau des permissions


- Collection de sites => (col visiteurs (lecture),col membres (contribution),col propriétaires (full control))
- Site 1 => col visiteurs, col membres, col propriétaires
- Site 2 => col visiteurs, col membres, col propriétaires
- Bibliothèque => col visiteurs, col membres, col propriétaires
- Site 3 => col visiteurs, col membres, col propriétaires
- Sous Site 3 => col visiteurs, col membres, col propriétaires

Bref, comme tu le vois, tous les objects que tu as créé au sein de ta collection sont accessibles de la même manière par les groupes définis au niveau de la collection. Les visiteurs pourront par ex lire les documents de la bibliothèque se trouvant dans "site 2" et les membres pourront écrire/modifier/supprimer des documents de cette biblithèque. Les propriétaires de la collection pourront créer d'autres objets dans la collection et dans les sites (site 1, site 2 et Site 3).

Ceci est le comportement automatique de Sharepoint. Si par exemple, tu souhaites que le site "Site 3" ne soient pas accessible pour tous les visiteurs de la collection, tu dois casser l'héritage (edit permissions) et virer le groupe "col visiteurs" en le remplacement par un groupe qui correspond à ce que tu veux en lui attribuant le rôle "read".

En gros, chaque objet créé l'est toujours au sein d'un autre et hérite par défaut des permissions définies au niveau du parent. Tu peux casser cet héritage à tous les niveaux (site, bibliothèque et même document, répertoire etc...)

Voilà, j'espère que c'est plus clair

[st_vinja]

Merci pour toutes ces explications.
C'est très clair.