SharePoint : Attention aux droits sur les sites SharePoint Extranet
Dans le cadre de la gestion de site SharePoint, il convient de préter une attention particulière pour un type de site particulier.
En effet, dans une ferme SharePoint destinée à un Intranet, il est courant de voir une organisation via collections de sites comme suit :
- Le site racine ouvert à tous avec la présentation du projet ou les documents non confidentiels du projet
- Les données confidentielles sont alors placés dans des sous-sites (avec séccurisation) ou des listes sécurisée
On utilise donc la notion de droits et d’héritage (conservé si rien de confidentiel, ou cassé sur confidentiel) de ces droits pour les listes ou sous-sites.
Ainsi pour permettre à tous les collaborateurs d’accéder à cette page d’accueil (du site racine) on ajoute le compte “NT AUTHORITY\authenticated users” en lecteur de ce site.
En revanche, une ferme Extranet est totalement différente dans l’esprit et le compte "“NT AUTHORITY\authenticated users”, ne doit pas être utilisé, car l’esprit n’est pas le même.
Le but d’un site Extranet est de permettre la communication et l’échange d’information entre les collaborateurs (internes de l’entreprise ou de l’organisation) et d’autres personnes (clients, partenaire ou fournisseurs externes à l’organisation).
Il existe différentes solutions pour créer cela avec SharePoint et l’utilisation d’un second domaine Active Directory dédié aux comptes externes en est une. Dans ce cadre, le compte “NT AUTHORITY\authenticated users” ajoute automatiquement les compte de ce domaine externe sur le site.
On peut donc se retrouver avec une collection de site “CollA” avec le client A dans laquelle on ajoute des informations confidentielles accessible par un Client B.
Il faut donc faire un contrôle de ce paramètre afin de ne pas laisser de collection de sites ouverte à tous. Pour cela un script PowerShell est disponible sur CodePlex afin de lister toutes les collections qui ont des permissions pour ce compte particulier :
Lorsqu’une collection est dans ce cas, il faut aller dans le site racine de celui-ci, cliquer sur “Site Actions” > “Sites Settings” et cliquer sur “People and Groups” :
Choisir ensuite “Groups” sur le menu de gauche, on retrouve alors le groupe NT de base “NT AUTHORITY\authenticated users” :
Il suffit alors de cliquer sur le nom afin d’avoir le détail de ce groupe, on trouve alors surtout le lien pour supprimer ce groupe :
Cela aura pour effèt de supprimer tout ce qui est associé avec ce groupe et donc ses permissions.
Il faut donc ensuite communiquer aux administrateurs de site SharePoint ce point important que beaucoup ne réalisent pas totalement.
Romelard Fabrice [MVP]
Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
