Créer un site SharePoint 2010 [résolu]

Cette vidéo explique comment créer une application web dans SharePoint 2010.

La création d’une application web nécessite au minimum la création d’un site web dans IIS (Internet Information Server) et d’une base de données dans SQL Server. Vous pouvez avoir plusieurs applications web dans une ferme SharePoint.

L’application web est la « brique » de base des sites SharePoint. Ensuite, il faut créer une collection de sites dans l’application web. Vous pouvez avoir plusieurs collections de sites dans une seule application web.

Une collection de sites est toujours constituée d’un site racine et éventuellement de sous-sites, qui eux-mêmes peuvent avoir des sous-sites et ainsi de suite.

La vidéo commence par montrer la création de l’application web et ensuite de la première collection de sites.

Téléchargez la vidéo : Créer un site SharePoint 2010 [résolu].

Livre pour créer des flux de travail pour les sites SharePoint 2010 avec SharePoint Designer 2010

L’objectif du livre Workflows SharePoint Designer 2010: Concepts et Travaux Pratiques appliqués (391 pages) est de vous rendre rapidement autonome et opérationnel dans la conception de workflows avec SharePoint Designer 2010.

Ils commencent par des manipulations simples. Puis, progressivement, vous apprendrez des usages plus complexes comme par exemple, la gestion des tâches et des processus de tâches, ou la modification des workflows natifs, l’utilisation des colonnes d’associations, les jointures de listes, etc.

Vous apprendrez aussi les bonnes pratiques et les erreurs à éviter !

Chaque exercice est composé d’un descriptif de l’objectif avec une copie d’écran qui affiche le résultat attendu. Si nécessaire, des instructions précises expliquent les prérequis pour l’exercice. Puis la solution est présentée et commentée, étape par étape, jusqu’à l’atteinte de l’objectif. Afin de vous assurer d’être sur la bonne voie, des copies d’écrans illustrent la solution. Enfin, un récapitulatif vous rappelle ce que venez d’apprendre.

Tout le long des exercices vous êtes guidé pas-à-pas afin de mettre en pratique l’objectif avec succès.

Ces exercices seront aussi l’occasion de comprendre l’intérêt pratique de ces manipulations à l’aide de nombreuses explications. Au fur et à mesure, vous verrez comment vous arriverez à construire un workflow riche et complet.

Afin de tenir compte de l’absence du formateur, plus de 400 illustrations ont été insérées, notamment à l’occasion des passages les plus délicats.

Ce recueil d’exercices a aussi été rédigé en gardant en permanence à l’esprit les questions soulevées par les stagiaires qui ont déjà pratiqués ces exercices.

Livre Apprendre InfoPath 2010 par la pratique

L’objectif du livre Apprendre InfoPath 2010 par la pratique (270 pages) est de vous rendre rapidement autonome et opérationnel dans l’utilisation d’InfoPath Designer 2010.

Conçus dans un réel souci pédagogique, les 44 travaux pratiques commencent par des manipulations simples (ajouter un tableau, ajouter un champ, etc.).

Progressivement, vous apprendrez des usages plus complexes comme par exemple, le masquage conditionnel des zones, ou encore comment créer un formulaire extensible, etc.

Chaque exercice est composé d’un descriptif de l’objectif avec une copie d’écran qui affiche le résultat attendu. Si nécessaire, des instructions précises expliquent les prérequis pour l’exercice. Puis la solution est présentée et commentée, étape par étape, jusqu’à l’atteinte de l’objectif. Afin de vous assurer d’être sur la bonne voie, des copies d’écrans illustrent la solution. Enfin, un récapitulatif vous rappelle ce que venez d’apprendre.

Tout le long des exercices vous êtes guidé pas-à-pas afin de mettre en pratique l’objectif avec succès.

Ces exercices seront aussi l’occasion de comprendre l’intérêt pratique de ces manipulations à l’aide de nombreuses explications. Au fur et à mesure, vous verrez comment vous arriverez à construire un formulaire riche et complet.

Afin de tenir compte de l’absence du formateur, presque 200 illustrations ont été insérées, notamment à l’occasion des passages les plus délicats. La correction de tous les travaux pratiques est en téléchargement avec les instructions pour ne jamais se sentir perdu!

Ce recueil d’exercices a aussi été rédigé en gardant en permanence à l’esprit les questions soulevées par les stagiaires qui ont déjà pratiqués ces exercices.

SharePoint: Le suivi de l’historique des versions

Le suivi des versions (ou contrôle de versions ou versionning en mauvais franglais) d’une liste ou d’une bibliothèque dans SharePoint peut être à la source de nombreux contresens. Le suivi des versions permet d’avoir plusieurs versions d’un même document. Les

Lors de la création d’une liste ou d’une bibliothèque avec l’interface graphique du navigateur Web, le suivi des versions n’est généralement pas activé par défaut. C’est vrai aussi lors de la création d’une liste ou d’une bibliothèque avec SharePoint Designer.

Il existe toutefois des exceptions. Les bibliothèques de connexions de données, de pages wiki et de rapports ont le suivi des versions activé par défaut mais il est possible de le désactiver.

De même, le suivi des versions est activé par défaut pour les listes de suivi de problèmes, les listes Mémo des appels téléphoniques et Circulations. Ces deux derniers types de liste sont accessibles lorsque la fonctionnalité de site Listes Travail de groupe est activée.

Il y a des différences dans le suivi des versions entre une liste et une bibliothèque.

Suivi des versions d’une bibliothèque

Si le suivi des versions n’est pas actif pour votre bibliothèque, vous pouvez l’activer en allant sur les paramètres de la bibliothèque (Ruban Bibliothèque) puis vous cliquez sur Paramètres de contrôle de version.

Dans la section Document – Historique des versions:

Paramètres de l'historique des versions

Versions principales

Si vous sélectionnez uniquement l’option Créer des versions principales, l’ajout d’un nouveau document, ou sa création,lui donne la version 1.0. Ensuite, à chaque fois que vous modifierez et enregistrerez les propriétés du document, la version va s’incrémenter de 1 : 2.0, 3.0, 4.0 etc.

L’incrémentation dépend aussi de l’intégration des outils clients utilisés (par exemple suite Office, notepad, autre) et donc du type de documents. Par exemple, le numéro de version d’un fichier texte sera incrémenté à chaque enregistrement du document.

Historique des versions d'un fichier texte

Les fichiers d’images fonctionnement comme les fichiers de type texte.

S’il s’agit d’un document Office (Word par exemple), modifié avec le client Office correspondant (Microsoft Word), le numéro de version sera incrémenté uniquement à sa fermeture. les enregistrements successifs n’incrémenteront pas le numéro de version. Par exemple, les fichiers ci-dessous ont été chargés une première fois puis modifiés et enregistrés 4 fois de suite. L’application cliente a été fermée.

Historique des versions d'un fichier Office

Nombre de versions principales à conserver

Dans les paramètres de la bibliothèque, vous pouvez aussi indiquer le nombre maximal de versions principales à conserver. C’est souvent une source de confusion.

En effet, si vous indiquez le chiffre 4, vous pourrez quand même avoir des versions 5.0, 6.0, 7.0 etc. En revanche, vous ne pourrez jamais avoir un historique de plus de 4 versions simultanément. Autrement dit, quand le document atteindra la version 7.0, SharePoint aura gardé la version principale courante (7.0) et les 4 dernières (6.0, 5.0, 4.0, 3.0). Il aura supprimé les plus anciennes versions: 1.0 et 2.0. Lorsque le document passera à la version 8.0, la version la plus ancienne (3.0) sera supprimée et il restera les versions: 8.0 (courante), 7.0, 6.0, 5.0 et 4.0. Et ainsi de suite.

Lorsque vous limitez le nombre de versions principales à conserver en indiquant un chiffre, SharePoint n’opère pas immédiatement pour réduire le nombre de versions. Il supprime les versions supplémentaires (si elles existent) uniquement lorsque vous serez amené à créer une nouvelle version. Ce comportement s’explique pour des raisons de performances car cela lui évite de parcourir une bibliothèque qui comporte parfois des milliers de fichiers pour détecter uniquement ceux qui sont en trop.

Toutefois si votre principale préoccupation est le gain de place disque, la solution est d’utiliser un script PowerShell qui supprime l’historique de version des bibliothèques SharePoint, en indiquant une valeur maximale. Attention, testez sérieusement ce script.

Restaurer une version

Grâce à l’historique des versions, vous pouvez restaurer une version précédente. C’est aussi parfois une source de confusion.

Restaurer une version

La confusion vient du fait, que comme la version 7.0 est restaurée, nous imaginons, instinctivement,  que la prochaine version devrait être la 7.0. Cela donnerait une numérotation : 10.0 puis 11.0 puis 7.0 etc. S’il est possible d’avoir des ruptures dans la numérotation (cf. plus bas), il n’est pas possible d’avoir une numérotation qui ne va pas en croissant.

Il vaut mieux imaginer l’acte de restauration comme la copie intégrale du contenu de la version 7.0 et son collage dans la version 11.0 pour venir remplacer tout le contenu existant. Autrement dit, vous créez une version 12.0 dont le contenu provient de la 7.0. Vous pouvez l’indiquer dans les commentaires afin de mieux suivre l’historique du document.

Versions principales et secondaires

Si, dans les paramètres, vous sélectionnez uniquement l’option Créer des versions principales et secondaires (brouillons), non seulement la case Conserver des brouillons pour le nombre suivant de versions principales se libère mais de plus la section Sécurité des éléments de brouillon se libère aussi, au moins partiellement.

Sécurité des éléments de brouillonLa section Sécurité des éléments de brouillon permet de mieux comprendre l’intérêt des versions secondaires. En particulier, si vous sélectionnez l’option Uniquement les utilisateurs pouvant modifier des éléments.

Pour mieux comprendre, supposez qu’Alice a le droite de créer ou modifier des documents dans cette bibliothèque et Bob a uniquement le droit de lire les documents sans pouvoir les modifier. Si l’option Uniquement les utilisateurs pouvant modifier des éléments est cochée, Bob ne pourra voir que les versions principales. Il ne verra pas les versions secondaires.

Dans l’exemple ci-dessous, Alice a créé le 10/6 un nouveau document dans une bibliothèque où les versions principales et secondaires avaient été préalablement activées. La première version est donc la version 0.1. Le 13/6, elle modifie et enregistre le même document qui passe en version 0.2. Elle le modifie encore le 14/6, il passe en version 0.3.

Le 17/6, Alice décide de passer son document en version principale car elle considère qu’il est terminé ou parce qu’il a été validé. Le passage en version principale s’appelle une publication. Étymologiquement, publier signifie « rendre public ». Le document passe donc en version 1.0. Finalement, Alice modifie encore son document le 20/6, le document se retrouve en version secondaire 1.1. Puis le 21 juin, elle publie une nouvelle version principale, c’est la version 2.0. Enfin, le 23/6 Alice procède à une ultime modification qu’elle ne publiera jamais: le document est en version 2.1.

Dates ALICE
(droit de modifier)
BOB
(droit de lecture)
10/06 0.1 /
13/06 0.2 /
14/06 0.3 /
17/06 1.0 1.0
20/06 1.1 1.0
21/06 2.0 2.0
23/06 2.1 2.0

Lorsque Bob se connecte à la bibliothèque, le 10 juin, il ne voie pas le document car l’option Uniquement les utilisateurs pouvant modifier des éléments (ULUPMDE) a été activée. C’est la même situation le 13 et 14 juin.

Ce n’est qu’à partir du 17 juin que Bob peut lire pour la première fois le document qui est en version principale 1.0. C’est d’ailleurs la seule version qu’il verra aussi le 20/6, bien qu’il existe une version secondaire. En effet, cette version secondaire lui est inaccessible à cause de l’option ULUPMDE activée.

Le 22 juin, Bob peut voir la version 2.0 et c’est la dernière version qu’il pourra lire en l’état car Alice ne fera plus de publication.

Limiter le nombre de versions secondaires à conserver

Ce paramètre est probablement le moins évident à comprendre dans le suivi de l’historique des versions. En effet, une lecture rapide pourrait vous faire croire qu’il est l’équivalent du nombre de versions principales à conserver.

Limiter le nombre de versions secondaires à conserver

Ce n’est pas le cas.

Il indique le nombre de versions principales qui auront des versions secondaires. Il ne limite pas le nombre de versions secondaires qui peut être illimité, si la place disque le permet.

Si, par exemple, vous avez saisi 7 pour le nombre maximal de versions principales et 2 pour le nombre de brouillons.

Limiter le nombre de versions principales à conserver

Cela signifie que SharePoint gardera un nombre illimité de versions secondaires pour les 2 dernières versions principales (6.0 et 7.0 mais aussi 18.0 et 19.0). Les versions secondaires (ou brouillons) des versions principales inférieures seront supprimées (1.0 à 5.0 ou 12.0 à 17.0). Rappelez-vous qu’il faut ajouter la version courant au nombre maximal de versions principales pour obtenir le nombre total maximum de versions d’un document.

Les suppressions réalisées par SharePoint ne vont pas dans la corbeille de site. Une sauvegarde réalisée par un opérateur de sauvegarde permet de restaurer.

Supprimer manuellement des versions

Lors de la consultation de l’historique des versions, SharePoint affiche la possibilité de supprimer des versions principales et secondaires antérieures.

Supprimer manuellement des versions

Si vous cliquez sur Supprimer les versions secondaires, toutes les versions secondaires seront supprimées sauf la dernière version secondaire (si elle existe).

Si vous cliquez sur Supprimer toutes les versions, toutes les versions principales et secondaires seront supprimées sauf la dernière version principale et la dernière version secondaire.

Les versions supprimées principales ou secondaires sont envoyées dans la corbeille du site. Il est donc facile de les restaurer en cas d’erreur.

Restaurer des versions

A la suite d’une suppression manuelle d’une version, la corbeille récupère les versions sous forme de fichiers élémentaires. Il est donc possible de restaurer un fichier dans une version précise sans avoir à tout restaurer. Cela explique pourquoi,  il y a parfois des ruptures dans la numérotation des versions.

Les ruptures dans la numérotation peuvent aussi venir de suppressions manuelles der versions faites à des époques différentes.

Rupture de numérotation des versions

Mécanisme d’approbation

Le mécanisme d’approbation des documents permet de mieux contrôler le risque documentaire. En effet, ce mécanisme permet de s’assurer que le document ne sera visible qu’une fois qu’il sera approuvé.

Lorsque vous cochez à oui l’option Demander une approbation du contenu pour les éléments soumis, la section Sécurité des éléments de brouillon se libère et l’option Uniquement les utilisateurs pouvant approuver des éléments (et l’auteur de l’élément) est activée par défaut.

Approbation de contenu

Comme vous pouvez le constater le mécanisme d’approbation est indépendant de l’historique des versions.

Lors de l’ajout d’un document, si l’approbation de contenu a été activée, la colonne État d’approbation s’affiche.

Approbation de contenu

Le fichier Word a été rajouté après que l’option de contenu ait été activée. Son état d’approbation est en cours.

Si l’option Uniquement les utilisateurs pouvant approuver des éléments (et l’auteur de l’élément) est toujours activée alors un utilisateur qui ne dispose que des droits de lecture et modification ne voit pas le fichier. Pour qu’ils puissent voir le fichier, sans modifier leurs droits, il faut que le fichier soit approuvé par un approbateur.

L’approbation est faite par sélection du document puis clic sur Approuver/refuser dans le ruban, par exemple.

L’état d’approbation peut être annulé: le document peut être par la suite rejeté ou suspendu. Toutefois, ce n’est que dans l’état Approuvé qu’il sera visible de tous les utilisateurs autorisés à le lire.

Si des documents sont présents dans la bibliothèque et que l’approbation du contenu est activé ensuite, les documents présents bénéficient automatiquement du statut Approuvé. les utilisateurs autorisés auront donc accès à ces documents.

Suivi des versions d’une liste

Le suivi de versions d’une liste n’est pas exactement similaire à celui d’une bibliothèque car la notion de versions secondaires a été remplacée par la notion d’approbation.

Sécurité des accès dans SharePoint 2010

La sécurité des accès dans SharePoint 2010 est un sujet vaste, où il est aisé de s’y perdre. En plus des aspects sécuritaires, l’enjeu de la sécurité des accès dans SharePoint 2010 est son administrabilité à long terme.

Mettre en place des droits dans SharePoint 2010 est simple et même rapide. La difficulté vient avec le temps: évolution des sites (contenu, structure), mutation du personnel, changement de fonctions, etc.

Cette difficulté s’accroît aussi avec, globalement, la taille de l’entreprise et le nombre de documents à gérer, la dispersion géographique du personnel, le nombre d’utilisateurs, les fonctionnalités activées et l’usage.

Il n’est pas rare – c’est un doux euphémisme – qu’un audit de sécurité révèle des brèches béantes. Celles-ci sont dues à une méconnaissance du fonctionnement des mécanismes de sécurité dans SharePoint 2010.

Cet article essaye d’éclaircir ces fameux mécanismes.

Administrateurs de la ferme

Lors de l’installation, SharePoint Server crée au niveau de l’administration centrale le groupe SharePoint Administrateurs de la batterie (« Farm Administrators »).

Ce groupe a un contrôle total sur les serveurs de la ferme. Il sert à l’administration  technique de SharePoint : Gérer les serveurs, Gérer les services, Gérer les fonctionnalités des batteries de serveurs, Gérer les applications Web, Créer des collections de sites, Gérer les applications de service, Gérer les bases de données de contenu, Sauvegarder / restaurer, Analyser le fonctionnement, etc.

Par défaut, les membres de ce groupe n’ont pas accès aux collections de sites. Autrement dit, un administrateur de la ferme peut créer une collection de sites mais il ne peut pas la gérer, à moins qu’il se soit désigné comme administrateur de la collection de sites.

Microsoft a donc bien distingué l’administration « technique » de l’administration « fonctionnelle ».

Même si l’administrateur de la ferme n’est pas administrateur de la collection de sites, il peut décider des niveaux d’autorisations administrables par l’administrateur de la collection de sites. En particulier, l’administrateur de la ferme peut restreindre la liste des autorisations de l’application web qui porte les collections de sites.

Ainsi, seuls un nombre restreint d’autorisations seront accordés aux utilisateurs des collections de site de l’application web. Comme ces restrictions s’appliquent aussi aux administrateurs de la collection de sites, il est plus efficace que le compte d’administration de la ferme soit différent du compte d’administration de la collection de site.

Par exemple, l’administrateur de la ferme peut désactiver l’autorisation de supprimer des éléments. Dans ce cas, l’administrateur de la collection de sites et les utilisateurs ne pourront plus supprimer un élément d’une liste ou d’une bibliothèque. En revanche, ils pourront toujours à ajouter ou modifier les éléments sous réserve de disposer des droits ad’hoc.

En fonction de la zone de provenance d’un utilisateur (« intranet », « internet », etc.), l’administrateur de la ferme peut lui attribuer des autorisations différentes grâce à une stratégie de sécurité sur l’application web. La stratégie de sécurité concerne les demandes effectuées à travers la zone spécifiée.

Par exemple, si Alice se connecte en interne (zone « par défaut »), elle dispose d’un accès de collaborateur. Par contre, si elle se connecte via Internet, elle ne dispose plus que d’un accès en lecture seule.

Les permissions issues d’une stratégie de sécurité l’emportent toujours sur les autres autorisations.

Administrateurs de la collection de sites

Lors de la création d’une collection de site, l’administrateur de la ferme doit obligatoirement désigner au moins un administrateur de la collection.

Bien qu’au moment de créer une collection de sites, l’interface de l’Administration centrale de SharePoint 2010 ne propose la saisie que de deux administrateurs de la collection (« principal », « secondaire »), il sera possible par la suite d’en rajouter d’autres.

Il n’existe pas de différences entre un administrateur « Principal » et « Secondaire ». Il s’agit d’une simple aide pédagogique.

L’administrateur d’une collection de sites dispose du contrôle total sur tous les sites web de la collection de sites. L’inverse n’est pas vrai, si vous disposez du contrôle total « uniquement », cela ne fait pas de vous un administrateur de la collection de sites.

Dans ce cas, vous ne pourrez pas :

  • modifier les administrateurs de la collection de site,
  • avoir accès aux paramètres de la collection de sites: Paramètres de recherche, Étendues de recherche, Mots clés de recherche, Mots clés FAST Search, Promotion et rétrogradation du site FAST Search, Contexte utilisateur FAST Search, Corbeille, Fonctionnalités de la collection de sites, Hiérarchie des sites, Navigation dans la collection de sites, Paramètres d’audit des collections de sites, Rapports du journal d’audit, Connexion au site portail, Stratégies de collections de sites, Profils de cache de la collection de sites, Cache d’objets de la collection de sites, Cache de sortie de la collection de sites, Publication de type de contenu, Variantes, Étiquettes de variante, Colonnes à traduire, Journaux de variante, Emplacements de navigateur de contenu suggérés, Paramètres de SharePoint Designer, Mise à niveau visuelle, Paramètres de l’aide,
  • avoir accès à certains paramètres de site: Flux de travail, Paramètres d’étendue des liens connexes, Contenu et structure, Journaux Contenu et structure.

L’administrateur de la collection de sites gère aussi les demandes d’accès à la collection de sites.

Autorisations et niveaux d’autorisations

En matière d’autorisations, il existe deux notions qu’il ne faut pas confondre:

  • Autorisations
  • Niveaux d’autorisations

Une autorisation est la particule la plus élémentaire en matière de droits.

Exemples d’autorisations de site : Gérer les autorisations, Créer des sous-sites, Ajouter et personnaliser des pages, Appliquer des thèmes, Appliquer des feuilles de styles, Gérer les alertes, Utiliser les interfaces WebDav, Etc.

Exemples d’autorisations pour une liste : Gérer les listes, Remplacer l’extraction, Ajouter des éléments, Modifier des éléments, Supprimer des éléments, Afficher des éléments, Approuver des éléments, Ouvrir des éléments, Afficher les versions, Supprimer les versions, Créer des alertes, Etc.

Toutefois, et malgré ce que l’interface graphique présente, vous n’attribuez pas directement une autorisation. Dans SharePoint, vous accordez les autorisations à travers les niveaux d’autorisation.

Un niveau d’autorisation est une combinaison d’autorisations.

Vous trouverez ci-dessous les niveaux d’autorisation fournis par défaut, avec une illustration de qu’il est possible de faire:

  • Contrôle total : gérer les droits,
  • Conception : modifier les pages,
  • Collaboration : déposer un document dans une bibliothèque,
  • Lecture : lire un document sans pouvoir l’enregistrer dans la bibliothèque d’origine,
  • Vue seule : afficher la liste des documents sans pouvoir les lire.

Dans le détail, un niveau d’autorisation donné correspond à une liste précise d’autorisations accordées. Par exemple, il existe un niveau d’autorisation par défaut intitulé Lecture. Pour une liste, il correspond aux autorisations : afficher les éléments, ouvrir les éléments, afficher les versions, créer des alertes et afficher les pages des applications. Le niveau d’autorisation Vue seule a les mêmes autorisations que Lecture sauf ouvrir les éléments.

Vous pouvez personnaliser les niveaux d’autorisation par défaut. Vous pouvez modifier les autorisations rattachées au niveau ou créer des niveaux supplémentaires.

En termes de bonnes pratiques, je vous recommande vivement de ne pas modifier les autorisations accordées aux niveaux d’autorisation par défaut. Si besoin est, créez vos propres niveaux d’autorisations. Ce cas de figure se présente dans les organisations importantes.

Un niveau d’autorisation peut être accordé à un compte utilisateur. Ce n’est pas recommandé. Il est préférable de rattacher cet utilisateur à un groupe puis d’accorder un niveau d’autorisation au groupe.

Reconnaissez que vous accordez un droit à une fonction ou un rôle de l’utilisateur dans l’organisation, et non à un utilisateur qui changera de fonction, un jour ou l’autre.

La question qui va surgir concerne l’utilisation de groupes SharePoint ou ceux de l’annuaire, comme Active Directory. Avant de donner des éléments de réponse à cette question épineuse, examinons le fonctionnement des groupes dans SharePoint.

Groupes SharePoint

Une collection de site SharePoint comprend au moins 4 groupes par défaut (entre crochets figure le niveau d’autorisations accordé):

  • Groupe Propriétaires [Contrôle total]
  • Groupe Membres [Collaboration]
  • Groupe Visiteurs [Lecture]
  • Groupe Visualiseurs [Vue seule]

Selon les fonctionnalités activées sur votre collection de site, vous pouvez obtenir d’autres groupes: Approbateurs, Concepteurs, etc.

Lorsqu’un nouvel utilisateur est ajouté à un groupe, il hérite automatiquement des autorisations accordées au groupe.

Tous ces groupes se personnalisent. Vous pouvez modifier les niveaux d’autorisation attachés aux groupes par défaut ou créer des groupes supplémentaires.

Les groupes SharePoint ont une particularité un peu perturbante au départ. Lorsque vous créez un groupe, il est disponible pour tous les sites de la collection de sites, quel que soit l’endroit à partir duquel vous le créez. Même si vous créez le groupe dans un site adjacent ou dans une sous-arborescence, il est visible par tous les sites. Même si dans le site où vous créez le groupe, l’héritage est rompu.

Une fois que ce comportement est assimilé, il reste à définir les critères qui président au choix d’un groupe SharePoint ou d’un groupe Active Directory (AD).

Souvent les administrateurs de l’AD ne veulent pas que les applications viennent « polluer » l’AD. Autrement dit, ils ne veulent pas créer de groupes spécifiques dans l’AD pour SharePoint.  Dans certaines organisations, la situation est bloquée et les utilisateurs n’ont pas d’autres choix que d’utiliser des groupes SharePoint.

Pourtant la gestion des droits à l’aide de groupes AD présente un intérêt certain et à ma préférence.

Le rôle de l’AD est de définir un référentiel unique et commun des identités de l’entreprise. Hors, l’utilisation des groupes SharePoint entraine une surcharge administrative supplémentaire qui est parfois importante. Notamment, si cette administration est déléguée aux utilisateurs. Dans ce cas, non seulement il n’y a pas d’automatismes, mais les risques liées à la sécurité d’accès sont élevés car il n’y a pas de contrôles à posteriori.

En outre, si vous utilisez des groupes AD, vous pourrez nativement utiliser l’outil de requête de l’AD qui permet de faire des recherches personnalisées avec la norme Lightweight Directory Access Protocol (LDAP). De plus, ces recherches sont facilitées grâce à l’assistant intégré.

Toutes ces raisons militent pour privilégier l’utilisation des groupes de l’AD.

Sécurité des rôles

La sécurité dans SharePoint n’est pas monolithique. Au contraire, vous accordez un droit (un niveau d’autorisations) à un utilisateur (à travers un groupe) sur un objet.

Les objets sécurisables sont:

  • Site,
  • Liste ou bibliothèque,
  • Dossier d’une bibliothèque
  • Elément d’une liste ou document d’une bibliothèque.

Autrement dit, un utilisateur peut avoir des droits différents sur un même site.

Par exemple, Alice peut avoir le droit d’accéder en lecture à un site. Sur le même site, elle pourra accéder en mise à jour sur la bibliothèque ‘Documents partagés’. Notez que c’est possible malgré le fait qu’un droit de mise à jour est « plus important » qu’un droit de lecture.

C’est ce qu’on appelle la sécurité des rôles. SharePoint utilise la sécurité des rôles pour vérifier la permission d’un groupe ou d’un utilisateur par rapport à un objet.

La liste des objets sécurisables est limitée.

En particulier, il n’est pas possible actuellement de donner des droits différents sur une partie d’une page SharePoint, ni même sur un composant de WebPart.

Les audiences seront traitées dans un autre article mais, en aucun cas, ils ne sont un élément pour gérer les droits.

Héritage

Par défaut, un nouveau site dans une collection de site hérite des autorisations du site parent. Un sous-site d’un site hérite donc des droits du site parent.

Les objets héritent aussi par défaut des sécurités de l’objet parent. Par exemple, une liste par rapport à son site.

Tant que l’héritage n’est pas rompu, il maintient un lien dynamique avec les droits du parent direct. Si l’héritage est cassé, les droits du parent sont recopiés sur l’enfant sans lien dynamique. Les droits de l’enfant deviennent alors modifiables.

Cela peut être aussi une source de confusion au début. Si vous n’y prenez pas garde, vous risquez de modifier les droits du parent. En effet, avant de modifier les droits d’un enfant, il faut casser l’héritage. Si vous oubliez de rompre cet héritage, vous modifierez les droits du parent.

La bonne nouvelle c’est qu’un héritage rompu peut être rétabli à chaque instant. Dans ce cas, tous les droits modifiés de l’enfant sont perdus.

Autorisations des listes ou des bibliothèques

Tout comme les droits sur les sites, vous avez la possibilité de restreindre l’accès à des listes ou des bibliothèques.

Pour la gestion des droits d’une liste, affichez les paramètres de celle-ci. Dans les paramètres, cliquez sur « Autorisations pour le composant : liste ».

Pour la gestion des droits d’une bibliothèque, affichez les paramètres de celle-ci. Dans les paramètres, cliquez sur « Autorisations pour le composant : bibliothèque de documents ».

Si vous voulez aller plus loin, dans une bibliothèque ou une liste, vous avez la possibilité de donner des droits différents à des objets qui en font partie. Par exemple, donner des droits à un fichier Word d’une bibliothèque de documents.

Droits sur les documents

Pour donner des droits sur n’importe quel document, afficher le contenu de la liste ou de la bibliothèque et cliquez sur le menu d’édition du document pour en afficher le menu contextuel.

Bonnes pratiques de sécurité

Dans la pratique, l’expérience m’a montré que la gestion des droits est structurante sur le design des sites. Ce qui signifie que vous devez tenir compte du modèle de droits SharePoint pour votre conception: si, par exemple, vous aviez prévu de donner des droits différents au milieu d’une page.

En termes de méthode, il n’est évidemment pas possible de donner un algorithme systématique pour réussir la mise en oeuvre de la sécurité des accès dans SharePoint 2010.

D’autant que la sécurité des accès n’est qu’une partie de la sécurité globale:

Pour configurer les paramètres antivirus ou gérer les types de fichiers bloqués, reportez-vous au site de Microsoft.

Vous trouverez ci-dessous quelques pistes pour avancer.

Pour chaque site: 1) Listez les futurs utilisateurs par fonction dans chaque service ; 2) Distinguez les utilisateurs selon leurs droits : auteurs, lecteurs, autres.

Pour ‘Mon Site’: Utilisez des groupes de sécurité pour gérer les autorisations des sites Mon site.

Niveaux d’autorisations: 1) Créez des niveaux supplémentaires afin de tenir compte des dérogations ; 2) Définissez un niveau d’autorisation par combinaison des autorisations.

Ciblage d’audiences: 1) L’audience n’est pas un droit ; 2) Utilisez les audiences pour masquer un objet (WebPart, etc.).

Utilisateurs: 1) Ne donnez pas des droits à un utilisateur ; 2) Donnez un droit à un groupe de l’AD ou à un groupe SharePoint.

Groupes: 1) Créez des groupes pour factoriser les droits ; 2) Assignez un niveau d’autorisation aux groupes ; 3) Attachez le groupe SharePoint à un des quatre objets à sécuriser: Site, Liste / Bibliothèque, Dossier, Elément / Document

Pour aller plus loin

Gérer les utilisateurs et les autorisations avec Microsoft. Vous saurez donner des autorisations et niveaux d’autorisation puis gérer les autorisations par le biais d’une stratégie et gérer les autorisations pour une application Web. Vous apprendrez aussi comment prendre possession d’une collection de sites et gérer les administrateurs de collection de sites.

Pour apprendre à Configurer les fournisseurs d’authentification avec Microsoft.

Annexes

Les informations ci-dessous sont issues de la documentation Microsoft.

Autorisations des listes ou bibliothèques

Gérer les listes  –  Créer et supprimer des listes, ajouter des colonnes à une liste ou en supprimer, et ajouter des affichages publics à une liste ou en supprimer.

Remplacer l’extraction  –  Ignorer ou archiver un document qui est extrait pour un autre utilisateur.

Ajouter des éléments  –  Ajouter des éléments à des listes, et des documents à des bibliothèques de documents.

Modifier des éléments  –  Modifier des éléments dans des listes, des documents dans des bibliothèques de documents, et personnaliser des pages de composants WebPart dans des bibliothèques de documents.

Supprimer des éléments  –  Supprimer des éléments d’une liste, et des documents d’une bibliothèque de documents.

Afficher les éléments  –  Afficher des éléments dans des listes et des documents dans des bibliothèques de documents.

Approuver des éléments  –  Approuver une version secondaire d’un élément de liste ou d’un document.

Ouvrir les éléments  –  Afficher la source des documents avec des gestionnaires de fichiers côté serveur.

Afficher les versions  –  Afficher les versions antérieures d’un élément de liste ou d’un document.

Supprimer les versions  –  Supprimer les versions antérieures d’un élément de liste ou d’un document.

Créer des alertes  –  Créer des alertes.

Afficher les pages des applications  –  Afficher les formulaires, les affichages et les pages des applications. Énumérer les listes.

Autorisations des sites

Gérer les autorisations  –  Créer et modifier des niveaux d’autorisation sur le site Web, et affecter des autorisations à des utilisateurs et à des groupes.

Afficher les données Web Analytics  –  Afficher les rapports sur l’utilisation du site Web.

Créer des sous-sites  –  Créer des sous-sites, tels que des sites d’équipes, des sites Espace de travail de réunion et Espace de travail de document.

Gérer le site Web  –  Donner la capacité d’effectuer toutes les tâches d’administration sur ce site Web et de gérer le contenu.

Ajouter et personnaliser des pages  –  Ajouter, modifier ou supprimer des pages HTML ou de composants WebPart, et modifier le site Web à l’aide d’un éditeur compatible avec Microsoft SharePoint Foundation.

Appliquer des thèmes et des bordures  –  Appliquer un thème ou des bordures à l’ensemble du site Web.

Appliquer des feuilles de style  –  Appliquer une feuille de style (fichier .CSS) au site Web.

Créer des groupes  –  Créer un groupe d’utilisateurs pouvant être utilisé partout dans la collection de sites.

Parcourir les répertoires  –  Énumérer les fichiers et les dossiers d’un site Web à l’aide des interfaces SharePoint Designer et Web DAV.

Utiliser la création de sites libre-service  –  Créer un site Web à l’aide de la fonctionnalité de création de sites libre-service.

Afficher les pages  –  Afficher les pages d’un site Web.

Énumérer les autorisations  –  Énumérer les autorisations pour ce site Web (liste, dossier, document ou élément de liste).

Parcourir les informations utilisateur  –  Afficher les informations sur les utilisateurs du site Web.

Gérer les alertes  –  Gérer les alertes pour tous les utilisateurs de ce site Web.

Utiliser les interfaces distantes  –  Utiliser l’interface SOAP, Web DAV, SharePoint Designer ou du modèle objet client pour accéder au site Web.

Utiliser les fonctionnalités d’intégration des clients  –  Utilise des fonctionnalités qui permettent de lancer des applications clientes. Sans ce droit, l’utilisateur doit utiliser les documents en local et télécharger ses modifications.

Ouvrir  –  Autorise les utilisateurs à ouvrir un site Web, une liste ou un dossier pour accéder aux éléments de ce conteneur.

Modifier les informations personnelles de l’utilisateur  –  Autorise un utilisateur à modifier ses informations d’utilisateur, notamment ajouter une photo

Autorisations personnelles

Gérer les affichages personnels  –  Créer, modifier et supprimer des affichages personnels de listes.

Ajouter/Supprimer des composants WebPart personnels  –  Ajouter ou supprimer des composants WebPart personnels sur une page de composants WebPart.

Mettre à jour des composants WebPart personnels  –  Mettre à jour les composants WebPart pour qu’ils affichent des informations personnalisées.

SharePoint: Word Automation Services

Word Automation Services est une application de service de SharePoint Server 2010.

Cette application de service assure la conversion de documents dans des formats pris en charge par l’application cliente Microsoft Word.

Les formats pris en charge par Word Automation Services sont :

  • Documents au format de fichier Open XML (.docx, .docm, .dotx, .dotm): ouverture,
  • Documents Word 97-2003 (.doc, .dot): ouverture,
  • Fichiers RTF (.rtf): ouverture,
  • Page Web à fichier unique (.mht, .mhtml): ouverture,
  • Documents Word 2003 XML (.xml): ouverture,
  • Document XML Word (.xml): ouverture,
  • Fichiers PDF (Portable Document Format): enregistrement,
  • Fichiers XPS (XML Paper Specification): enregistrement.

Autrement dit Word Automation Services sait ouvrir un document de type .docx, et il sait aussi enregistrer un document au format PDF d’Acrobat.

Avec Word Automation Services, il n’est pas nécessaire d’avoir l’application cliente Word pour produire des fichiers avec ses formats.

Pour activer le service

Allez dans l’Administration centrale puis dans les Paramètres système. Sous la section Serveurs, cliquez sur Gérer les services sur le serveur.

Gérer les services sur le serveur

Cliquez sur le lien Démarrer en face du nom du service Word Automation Services. Cette manipulation active le service.

Service Word Automation Services

Ensuite, il est nécessaire de créer une application de services qui exploite ce service. Pour créer cette application de services, allez dans l’Administration centrale puis dans Gestion des applications. Sous la section Applications de service, cliquez sur Gérer les applications de service. Dans la fenêtre Gérer les applications de service, cliquez sur le bouton Nouveau du ruban puis Word Automation Services.

Renseignez les champs avec les valeurs suivantes (par exemple):

  • Nom: Word Automation Services
  • Pool d’applications: Pool Word Automation Services
  • Cochez : Ajoutez le proxy …

Créer l'application de service Word Automation Services

Laissez les autres paramètres intacts puis cliquez sur le bouton Suivant.

Indiquez le nom de l’instance du serveur de bases de données, ainsi que le nom de la base de données. Cette base de données sert à stocker la file d’attente de documents pour cette instance.

Créer la base de données de l'application de service Word Automation Services

Cliquez sur le bouton Terminer: l’application de services est créée.

Créer la base de données de l'application de service Word Automation Services

Pour configurer le service avec PowerShell

Dans une invite de commande PowerShell:

# Nom de l’application de service
$AppService = « Word Conversion Services »

# Nom du pool d’application qui hébergera l’application de service
$AppPoolNom = « Pool Word Automation Services »

# Nom du compte du pool d’application
$AdminCompte = « contosomonCompte »

# Nom de l’instance du serveur de base de données
$SGBDInstance = « monSGBD »

# Nom de la base de données
$BDDNom = « WAS_BDD »

# Pool d’application (objet)
$AppPool = $null

# Ajout du snapin SharePoint en mode silencieux (en cas d’erreur)
Add-pssnapin Microsoft.SharePoint.PowerShell -erroraction SilentlyContinue

# Récupère le pool d’application (s’il existe)
$AppPool = Get-SPServiceApplicationPool -Identity $AppPoolNom -erroraction SilentlyContinue

# Si le pool d’application n’existe pas, il est créé
if ($AppPool –eq $null) {$AppPool = New-SPServiceApplicationPool -Name $AppPoolNom -Account $AdminCompte}

# Création de l’application de service
New-SPWordConversionServiceApplication -Name $AppService -ApplicationPool $AppPool -DatabaseName $BDDNom -DatabaseServer $SGBDInstance

Comment classer automatiquement ses documents dans SharePoint 2010 ?

L’organisateur de contenu est une fonctionnalité d’un site SharePoint 2010 qui permet, par exemple, de faire un classement automatisé d’un document. Le classement est basé sur des règles de routage que vous définissez vous-même.

Dans le cas d’un routage sur un type de contenu document, l’organisateur de contenu analyse les métadonnées associées à chaque document individuel.

Imaginez un assureur qui a besoin de séparer les documents relatifs aux sinistres encore ouverts, des documents relatifs à des sinistres clos. Il dispose d’une éditique qui en fonction des actes de gestion (ouverture d’un sinistre, mise à jour des coordonnées bancaires, etc.) produit automatiquement des documents, ainsi qu’un site SharePoint.

Sur son site SharePoint intitulé SINISTRES, il créé 2 bibliothèques de documents: une bibliothèque nommée ACTIFS et une bibliothèque nommée INACTIFS. Ensuite, il active la fonctionnalité Organisateur de contenu par Actions du site > Paramètres du site > Gérer les fonctionnalités du site puis cliquer sur Activer en face de Organisateur de contenu.

L’activation de la fonctionnalité Organisateur de contenu crée une bibliothèque particulière intitulé par défaut Bibliothèque de remise. Ce nom peut se changer simplement.

Cette fonctionnalité donne accès aussi à de nouveaux paramètres pour définir les règles de routage: Actions du site > Paramètres du site > Paramètres de l’organisateur de contenu et Règles de l’organisateur de contenu.

En cliquant sur Règles de l’organisateur de contenu, notre assureur va ajouter une nouvelle règle qu’il créé lui-même : c’est la partie la plus importante.

Un exemple de règles: tous les documents produits par l’éditique dont l’état (qui est une métadonnée) a la valeur ‘ACTIF’ seront déplacés automatiquement dans la bibliothèque ACTIFS, tous ceux dont l’état a la valeur ‘INACTIF’ seront déplacés automatiquement dans la bibliothèque INACTIFS. Par défaut, les autres documents seront laissés dans la Bibliothèque de remise pour un traitement manuel.

Il ne lui reste plus qu’à alimenter la Bibliothèque de remise avec les documents générés par l’application d’éditique.

Les règles de routage mise en oeuvre permettent de déplacer automatiquement les documents produits par l’éditique.

Grâce aux paramètres de l’organisateur de contenu vous pouvez obliger vos utilisateurs à utiliser la Bibliothèque de remise lorsqu’ils essayent de déposer des documents dans une bibliothèque concernée par les règles de l’organisateur de contenu.

L’organisateur de contenu permet aussi de limiter le nombre maximum de documents pouvant être stockés à la racine d’une bibliothèque. Par exemple, vous avez mis une limite de 2000 documents maximum et votre bibliothèque a atteint cette limite. Lorsqu’un nouveau document est ajouté, l’organisateur de contenu crée automatiquement un nouveau dossier et déplace le document dans ce dossier.

Le format du nom du dossier est généré selon les paramètres que vous avez définis, y compris en incluant des éléments variables comme la date et heure de création du dossier.