SharePoint 2010: Choisir entre des groupes AD et des groupes SharePoint (fr-FR)

Quelle route devriez-vous emprunter en vous dirigeant vers une infrastructure de sécurité pour SharePoint : utiliser Active Directory (AD) ou des groupes SharePoint ?

Pour: les groupes AD

 

• Des règles dans la société peuvent dicter l'utilisation de groupes AD dès que vous pouvez le faire, comme base de structure d'autorisations.
• Les entreprises peuvent convenir d'utiliser les groupes AD ou des groupes SharePoint au sein de leur portail comme base d'infrastructure de sécurité, mais pas les deux. Dans ce cas, il est difficile de ne pas utiliser AD.
• AD fournit un magasin centralisé pour vos besoins de sécurité qui peuvent être réutilisés maintes et maintes fois, qui est plus transparente.
• Pour rendre la pareille aux différences entre AD et SharePoint, vous pouvez créer une unité organisationnelle (OU) dédiée à SharePoint. Cela induit d'avoir des groupes en double dans l'AD : un pour une utilisation normale, l'autre dédié à SharePoint.
• Des « règles métier » basées sur des groupes AD assurent la sécurité sur la base de certains attributs (par exemple le centre de coût, la Business Unit etc.) qui contribuent à une gestion facile.

Pour: les groupes SharePoint

• AD est créé pour des réseaux sûrs. Les groupes AD peuvent correspondre à des applications personnalisées telles que SharePoint, ils peuvent aussi avoir un sens totalement différent. Par exemple, il est peu probable que vous trouverez des groupes AD correspondants aux propriétaires de sites, aux membres du site, aux visiteurs de site, etc. SharePoint est une bête à part, tenez-en compte.
• Les groupes AD ne seront peut-être pas assez fins pour votre application SharePoint. Par exemple: tous les employés d'un département peuvent être membres du même groupe, mais les autorisations qu'ils obtiennent dans SharePoint peuvent être plus granulaires que çà.
• En général, dans les grandes organisations, en raison de la délégation de contrôle, il est facile d'avoir un nouveau groupe SharePoint créé. Ce n'est généralement pas si facile pour un groupe AD, où vous devrez passer par un processus d'approbation avec un résultat incertain, ou constaterez un décalage dans le timing parce que les admins AD sont occupés. Ainsi, les groupes SharePoint ont tendance à être plus pratiques. En choisissant uniquement des groupes AD, vous sacrifierez la commodité du contrôle des appartenances et des processus des groupes SharePoint.
• Au sein de SharePoint, vous ne pouvez pas vérifier quels sont les membres d'un groupe AD, alors qu'avec les membres d'un groupe SharePoint, vous pouvez le faire. Cela peut conduire à des problèmes qui sont plus difficiles à diagnostiquer (comme un utilisateur censé appartenir à un groupe AD alors qu'en fait ce n'est pas le cas, et il faudra plus de temps pour contacter les administrateurs pour vérifier ceci).
• Un groupe SharePoint peut être synchronisé à un groupe AD de distribution de courrier en activant le service de gestion d'annuaire SharePoint, qui permet de relier les deux concepts de plus près. Il permet de gérer des groupes SharePoint et les utilisateurs au sein de SharePoint et de conserver les modifications synchronisées avec Active Directory.
• Les structures AD n'ont pas été conçus en ayant SharePoint en tête, ils servent un but différent. À savoir, fournir une structure pour la sécurisation de votre réseau.

Best practices

• Réutiliser des groupes AD au sein de groupes SharePoint dès que vous le pouvez.
• Utiliser des groupes SharePoint pour un contrôle précis des accès uniques, réutiliser des groupes AD de département quand vous le pouvez.
• Synchroniser un groupe SharePoint à un groupe AD de distribution de courriel en activant le Service gestion d'annuaire SharePoint quand vous le pouvez (cf. http://technet.microsoft.com/en-us/library/cc288433.aspx  ) :
  • Un administrateur de collection de sites crée un nouveau groupe SharePoint.
  • L'administrateur choisit de créer une liste de distribution à associer à tel groupe SharePoint et attribue une adresse de messagerie à cette liste de distribution.
  • Au fil du temps, l'administrateur ajoute et supprime des utilisateurs de ce groupe SharePoint. Comme les utilisateurs sont ajoutés et supprimés du groupe, le service de gestion d'annuaire SharePoint les ajoute et les supprime automatiquement de la liste de distribution, qui est stockée dans le service d'annuaire Active Directory. Du fait que les listes de distribution sont associées à un groupe SharePoint, cette liste de distribution est disponible à tous les membres de ce groupe SharePoint.

Veuillez noter :
Vous pouvez uniquement assigner des autorisations aux groupes de sécurité AD, et non aux des groupes de distribution AD.

Sujets connexes

• SharePoint 2010 Installation – Adhere to the security practice of least privilege
• Authentication Claims : http://sharepointdragons.com/2012/01/30/claims-in-sharepoint-2010/  andhttp://sharepointdragons.com/2012/04/26/claims-in-sharepoint-2010-the-sequel/ 
• ForeFront Identity Manager 2010 (FIM): http://www.microsoft.com/en-us/server-cloud/forefront/identity-manager-overview.aspx 
• Informations à propos de l'AD: http://technet.microsoft.com/en-us/library/bb727067.aspx 
• Informations à propos des autorisations SharePoint : http://technet.microsoft.com/en-us/library/cc263239.aspx 

**Veuillez noter : **Cette page Wiki a été inspirée par forum de discussions : http://social.technet.microsoft.com/Forums/en-US/sharepoint2010general/thread/1791d4f4-35bd-40d4-8bf1-0553f713af11
 

Vue d'ensemble des best practices

Consultez également la page "SharePoint 2010 Best Practices overview" :http://social.technet.microsoft.com/wiki/contents/articles/8666.sharepoint-2010-best-practices-en-us.aspx

Autres langues disponibles

Cet article est également disponible dans les langues suivantes :

• en-US : SharePoint 2010: Best Practices - Choosing Between AD Groups or SharePoint Groups