Verrouillage de SharePoint Designer

Bonjour à tous, c’est à nouveau Stephen. Je suis rédacteur sur SharePoint Designer. Comme vous le savez, SharePoint Designer 2007 est un outil puissant qui permet d’éditer des sites SharePoint, si puissant, en fait, que vous avez probablement dans votre organisation des scénarios dans lesquels vous aimeriez contrôler où et comment les personnes utilisent SharePoint Designer 2007.

Dans ce billet, je vais essayer de répondre à une question très courante : « Comment verrouiller SharePoint Designer au sein de mon organisation ? ». Et je vais essayer de répondre au revers de cette question, qui se présente dans un environnement où SharePoint Designer a été verrouillé et où l’utilisateur demande : « Pourquoi ce message apparaît-il lorsque j’essaie d’éditer un site dans SharePoint Designer ? ».

Options de verrouillage de SharePoint Designer

Le tableau suivant répertorie les différentes façons de verrouiller SharePoint Designer dans votre organisation. Parmi ces informations, certaines ont déjà été publiées à plusieurs endroits (Office Online, TechNet, MSDN, Base de connaissances, etc.), mais j’ai pensé que vous les rassembler pourrait vois aider.

ÉTENDUE OPTION AUTORISATIONS REQUISES POUR ACTIVER OU DÉSACTIVER
Au niveau du serveur par définition de site ONET.XML — Empêcher tous les utilisateurs d’ouvrir tout site créé à partir d’une définition de site spécifique (par exemple, tous les sites d’équipe et tous les sites de publication) en modifiant ONET.XML pour cette définition de site. Administrateur de serveur — Vous devez avoir un compte administrateur sur le serveur pour modifier ce fichier.
Au niveau de l’application Web pour tous les utilisateurs Autorisations dans Administration centrale — Empêcher tous les utilisateurs d’ouvrir ou de modifier tout site dans une application Web en supprimant des autorisations dans l’Administration centrale. Administrateur de collection de sites — Vous devez être administrateur de collection de sites pour ajouter ou supprimer des autorisations dans l’Administration centrale.
Au niveau de l’application Web par utilisateur ou par groupe Stratégie dans Administration centrale — Empêcher des utilisateurs et des groupes spécifiques d’ouvrir ou de modifier tout site dans une application Web en supprimant des autorisations dans l’Administration centrale. Administrateur de collection de sites — Vous devez être administrateur de collection de sites pour gérer les stratégies d’autorisation dans l’Administration centrale.
Au niveau du site par utilisateur ou par groupe Autorisations de site — Empêcher des utilisateurs et des groupes spécifiques d’ouvrir ou de modifier des sites au niveau du site en supprimant des autorisations de leur niveau d’autorisation. Les autorisations de site ne peuvent pas remplacer les paramètres d’autorisation de l’Administration centrale. Propriétaire de site — Vous devez disposer de l’autorisation Gérer les autorisations pour configurer les autorisations de site. Dans SharePoint Server 2007, par défaut seuls les niveaux d’autorisation Contrôle total et Gérer la hiérarchie incluent cette autorisation.
Au niveau du site par utilisateur ou par groupe

(ce n’est pas une fonction de sécurité)

Paramètres de collaboration — Orienter les utilisateurs approuvés à effectuer les tâches appropriées au bon endroit en désactivant des fonctionnalités et l’interface utilisateur dans SharePoint Designer 2007. Les paramètres de collaboration ne peuvent pas remplacer les paramètres d’autorisation au niveau du site ou dans l’Administration centrale. Propriétaire de site — Vous devez disposer de l’autorisation Gérer les autorisations pour activer ou désactiver les paramètres de collaboration. Dans SharePoint Server 2007, par défaut seuls les niveaux d’autorisation Contrôle total et Gérer la hiérarchie incluent cette autorisation.
Par ordinateur ou par utilisateur Stratégie de groupe — Utiliser les paramètres de stratégie pour désactiver des commandes de menu et leurs boutons de barre d’outils correspondants dans l’interface utilisateur des programmes Office, y compris SharePoint Designer. Vous pouvez également désactiver les raccourcis clavier. Ces paramètres peuvent être appliqués à un ordinateur ou un utilisateur spécifique. Administrateur Windows — Vous devez être membre du groupe de sécurité Administrateurs de domaines, Administrateurs d’entreprise ou Propriétaires créateurs de stratégie de groupe.

Pour un aperçu visuel des divers niveaux, voir MSDN : Architecture de serveur et de site : présentation du modèle objet.

Aperçu des autorisations

Pour les options ci-dessus qui utilisent des autorisations, que ce soit au niveau du site ou dans l’Administration centrale, vous devez considérer trois autorisations.

AUTORISATION DESCRIPTION IMPACT SUR L’ÉDITION AVEC SHAREPOINT DESIGNER
Ajouter et personnaliser des pages Ajouter, modifier ou supprimer des pages HTML ou des pages de composants WebPart, et modifier le site Web à l’aide d’un éditeur compatible avec Windows SharePoint Services. Sans cette autorisation, vous ne pouvez pas éditer des fichiers à la racine du site (comme default.aspx dans un site d’équipe) ou des fichiers qui résident dans des dossiers à l’extérieur de listes et de bibliothèques.
Parcourir les répertoires Énumérer les fichiers et les dossiers dans un site Web en utilisant SharePoint Designer et les interfaces Web DAV. Sans cette autorisation, vous ne pouvez pas ouvrir un site dans SharePoint Designer.
Gérer les listes Créer et supprimer des listes, ajouter ou supprimer des colonnes dans une liste, et ajouter ou supprimer des affichages publics d’une liste. Sans cette autorisation, vous ne pouvez pas supprimer des bibliothèques, des listes, ni des formulaires ou des affichages de liste (comme AllItems.aspx) dans SharePoint Designer. Cependant, si une liste n’hérite pas des autorisations du site, les autorisations de liste s’appliquent à cette liste spécifique. Notez que par défaut, la bibliothèque de documents Flux de travail n’hérite pas des autorisations du site ; vous devez gérer ces autorisations séparément.

Option 1 — Désactiver l’autorisation Ajouter et personnaliser des pages

Si vous craignez que des utilisateurs éditent des fichiers dans un site, vous pouvez désactiver la case à cocher Ajouter et personnaliser des pages. Cela désactive également la case à cocher d’une autorisation dépendante, Gérer le site Web.

clip_image002

Lorsque vous supprimez ces autorisations, les utilisateurs peuvent toujours ouvrir un site dans SharePoint Designer, puis ouvrir et modifier des pages qui peuvent se trouver à la racine du site, comme default.aspx. Mais lorsqu’ils essaient d’enregistrer ces modifications, ils obtiennent le message suivant.

clip_image004

Sans l’autorisation Ajouter et personnaliser des pages, un utilisateur ne peut pas enregistrer la page modifiée vers la racine du site ni dans aucun des dossiers du site, par exemple il ne peut pas enregistrer les modifications apportées à default.aspx dans la racine du site. En revanche, l’utilisateur peut enregistrer la page modifiée dans une bibliothèque du site pour laquelle il dispose des autorisations ou dans un emplacement extérieur au site actuel. Souvenez-vous que les autorisations de liste sont distinctes des autorisations de site ; en fait, ces deux jeux d’autorisations ont des sections distinctes dans la liste des autorisations. Donc, empêcher des utilisateurs d’enregistrer des modifications dans des fichiers qui résident en dehors de listes ou de bibliothèques ne les empêche pas d’ouvrir le site dans SharePoint Designer et d’effectuer des opérations comme supprimer des flux de travail de la bibliothèque de documents Flux de travail ou supprimer une liste entière. Les autorisations pour ces listes et bibliothèques sont gérées séparément (voir la section suivante).

Voici une autre considération : si vous avez toutes les autorisations (le niveau d’autorisation par défaut Contrôle total), vous voyez toutes les options de la page Paramètres du site (image du haut, ci-dessous). Si vous n’avez pas l’autorisation Gérer le site Web (dépendante de Ajouter et personnaliser des pages), de nombreuses options de la page Paramètres du site sont retirées (image du bas, ci-dessous). Prenez donc cela en compte lors de la gestion des autorisations utilisateur, surtout au niveau de l’Administration centrale, car vous pourriez empêcher beaucoup de personnes d’effectuer des tâches administratives sur leur site.

clip_image006

clip_image008

Option 2 — Désactiver l’autorisation Gérer les listes

Comme mentionné ci-dessus, si des utilisateurs peuvent ouvrir un site dans SharePoint Designer, ils peuvent, selon leurs autorisations de liste, supprimer du contenu dans des listes et des bibliothèques tel que des flux de travail, des formulaires de liste ou même des listes entières. Pour empêcher cela, vous devez désactiver l’autorisation Gérer les listes.

clip_image010

Une fois cette autorisation supprimée, lorsqu’un utilisateur ouvre un site dans SharePoint Designer et essaie de supprimer une liste (ou un fichier de la liste) qui hérite des autorisations du site, il obtient le message d’avertissement standard « Accès refusé ».

clip_image004[1]

Notez que cette autorisation peut être remplacée au niveau d’une liste ou d’une bibliothèque spécifique si cette liste ou bibliothèque annule l’héritage. Par exemple, la bibliothèque de documents Flux de travail est une bibliothèque masquée du site, qui par défaut n’hérite pas des autorisations du site. Lorsque vous créez un site, la bibliothèque Flux de travail obtient la même configuration d’autorisations que le site, mais les changements d’autorisations que vous faites par la suite au niveau du site, comme désactiver Gérer les listes, ne sont pas automatiquement répercutés sur la bibliothèque Flux de travail.

Pour gérer les autorisations de la bibliothèque Flux de travail, ouvrez le site dans SharePoint Designer >> cliquez avec le bouton droit sur la bibliothèque Flux de travail >> cliquez sur Propriétés >> cliquez sur l’onglet Sécurité >> cliquez sur le lien Gérer les autorisations au moyen du navigateur.

clip_image012

Notez qu’en désactivant Gérer les listes pour des utilisateurs, vous les empêchez également d’ajouter des colonnes à une liste ou de créer des affichages publics.

Option 3 — Désactiver l’autorisation Parcourir les répertoires

Les options précédentes empêchent les utilisateurs de modifier ou supprimer des objets dans un site après avoir ouvert le site dans SharePoint Designer. Vous pouvez également empêcher les utilisateurs d’ouvrir un site dans SharePoint Designer, en premier lieu, en désactivant l’autorisation Parcourir les répertoires.

La désactivation de cette autorisation désactive également quatre autorisations dépendantes : les deux abordées ci-dessus (Ajouter et personnaliser des pages et Gérer le site Web) plus deux autres, Gérer les autorisations et Énumérer les autorisations.

clip_image014

Lorsqu’un utilisateur ne disposant pas de l’autorisation Parcourir les répertoires pour un site (ou une application Web) essaie d’utiliser SharePoint Designer pour ouvrir ce site (ou un site quelconque dans cette application Web), il obtient le message suivant.

clip_image016

Ensuite, l’invite demandant de nouvelles informations d’identification est présentée à l’utilisateur. Si l’identification échoue, le message suivant apparaît.

clip_image018

Option inefficace - Désactiver l’autorisation Utiliser les interfaces distantes

En regardant la liste des autorisations, vous pouvez être tenté de désactiver l’autorisation Utiliser les interfaces distantes parce qu’elle mentionne l’utilisation d’interfaces SharePoint Designer pour accéder au site Web ; conclusion correcte, mais à ne pas faire car cette autorisation a une autorisation dépendante, Utiliser les fonctionnalités d’intégration des clients, et la suppression de cette autorisation désactive toute intégration SharePoint avec les programmes Office comme Word, Excel et PowerPoint.

clip_image020

Par exemple, si vous désactivez Utiliser les interfaces distantes, vous remarquerez que l’option Modifier dans Microsoft Office Word disparaît du menu d’élément dans une liste ou une bibliothèque.

clip_image022

Ou bien, lorsque vous essayez d’afficher l’historique des versions d’un document dans Word (bouton Office >> menu Serveur >> Afficher l’historique des versions), vous obtenez le message suivant.

clip_image024

Et toutes sortes de fonctions appréciables comme l’intégration des flux de travail sont également désactivées, donc désactiver Utiliser les interfaces distantes ne constitue pas un moyen de contrôler l’accès avec SharePoint Designer.

Au niveau du serveur par définition de site — ONET.XML

Si vous êtes administrateur de serveur, vous pouvez empêcher les utilisateurs d’ouvrir des sites dans SharePoint Designer 2007 en modifiant le fichier ONET.XML sur le serveur. Chaque définition de site inclut un fichier ONET.XML, et la modification de ce fichier affecte tous les sites basés sur cette définition de site. Par exemple, vous pouvez modifier ONET.XML pour la définition de site « sts », ce qui empêchera tous les utilisateurs d’ouvrir dans SharePoint Designer tous les sites d’équipe créés à partir de cette définition de site. Il n’y a pas de fichier « super-ONET.XML » qui contrôle toutes les définitions de site.

La modification du fichier ONET.XML est un changement global qui affecte tous les sites sur le serveur.

1) Sur le serveur, ouvrez l’Explorateur Windows et accédez au dossier qui contient la définition de site :

<Lecteur:>\Program Files\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\SiteTemplates\<type_site>\XML

Voici les modèles de site pour un serveur exécutant SharePoint Server 2007. Windows SharePoint Services possède moins de modèles de site. Chaque modèle de site a son propre fichier ONET.xml.
clip_image026

Certains noms de dossier sont un peu sibyllins ; pour référence rapide, le tableau suivant les associe à des noms de site.

DOSSIER NOM DE SITE
BDR Centre de documents
BLANKINTERNET Site de publication avec flux de travail
BLANKINTERNETCONTAINER Portail de publication
Blog Blog
CENTRALADMIN Administration centrale
MPS Inclut les configurations de définition de site pour :
  • Espace de travail de réunion de base
  • Espace de travail de réunion vide
  • Espace de travail de réunion de décision
  • Espace de travail de réunion informelle
  • Espace de travail de réunion à plusieurs pages
offile Centre d’enregistrements
OSRV Administration de services partagés
PROFILES Profils
PUBLISHING Site de publication
SPS Site SharePoint Portal Server (héritage : ce modèle est obsolète)
SPSCOMMU Modèle de zone Communauté (héritage : ce modèle est obsolète)
SPSMSITE Site de personnalisation
SPSMSITEHOST Hôte de sites Mon site
SPSNEWS Site de News (héritage : ce modèle est obsolète)
SPSNHOME Site de News
SPSPERS Espace personnel SharePoint Portal Server
SPSPORTAL Portail de collaboration
SPSREPORTCENTER Centre de rapports
SPSSITES Annuaire de sites
SPSTOC Modèle de zone Sommaire (héritage : ce modèle est obsolète)
SPSTOPIC Modèle de zone Rubrique (héritage : ce modèle est obsolète)
SRCHCEN Centre de recherche avec onglets
SRCHENTERLITE Centre de recherche
sts Inclut les configurations de définition de site pour :
  • Site d’équipe
  • Site vide
  • Espace de travail de document
Wiki Wiki

2) Cliquez avec le bouton droit sur le fichier ONET.XML de définition de site et ouvrez-le dans Notepad.

3) Ajoutez la ligne suivante à l’intérieur de la balise Project ouvrante :
DisableWebDesignFeatures=wdfopensite
clip_image028

4) Enregistrez le fichier et fermez Notepad.

5) Sur le serveur, exécutez la commande iisreset.
(Cliquez sur Démarrer, cliquez sur Exécuter, tapez cmd, cliquez sur OK. À l’invite de commandes, tapez iisreset nom_ordinateur /restart, puis appuyez sur Entrée.)

6) Si vous avez un site de ce type ouvert dans SharePoint Designer, fermez SharePoint Designer.
Lorsque vous essayez d’ouvrir le site dans SharePoint Designer, vous devez voir le message suivant.
clip_image030

Pour plus d’informations

Base de connaissances 940958 : Comment empêcher les utilisateurs de SharePoint Designer 2007 de modifier un site Windows SharePoint Services 3.0 ou un site SharePoint Server 2007

TechNet : Répertoires et emplacements de stockage spéciaux (Office SharePoint Server)

MSDN : Définitions et configurations de sites

MSDN : Project, élément

Au niveau de l’application Web pour tous les utilisateurs — Autorisations dans Administration centrale

Dans l’Administration centrale, vous pouvez activer ou désactiver les autorisations pour tous les utilisateurs et les groupes dans une application Web. Cette gestion des autorisations de façon centralisée peut s’avérer utile car une application Web peut contenir 150 000 collections de sites. Lorsque vous désactivez la case à cocher d’une autorisation dans une application Web, il est impossible d’assigner cette autorisation à tout utilisateur ou groupe dans tout site de toute collection de sites dans l’application Web.

Accédez au site Administration centrale. Sur l’onglet Gestion des applications, cliquez sur Autorisations des utilisateurs de l’application Web.

clip_image032

Sur la page suivante, vous observez la même liste d’autorisations que celle affichée lorsque vous gérez les niveaux d’autorisation pour un site particulier (à une exception près : dans l’Administration centrale, il y a une autorisation supplémentaire appelée Utiliser la création de sites libre-service).

Les effets de la désactivation de certaines autorisations sont décrits plus haut, mais dans l’Administration centrale, la façon la plus simple d’empêcher les utilisateurs de modifier des sites dans SharePoint Designer est de désactiver l’autorisation Parcourir les répertoires afin qu’ils ne puissent pas ouvrir les sites du tout dans SharePoint Designer, avec la mise en garde que ces utilisateurs n’auront par conséquent pas accès dans le navigateur à toutes les options sur les pages Paramètres du site et ne pourront gérer les autorisations d’aucun site dans l’application Web.

Pour plus d’informations

TechNet : Gérer les autorisations pour une application Web (Office SharePoint Server)

Au niveau de l’application Web par utilisateur ou par groupe — Stratégie dans Administration centrale

L’option décrite dans la section précédente (autorisations pour l’application Web) est un paramétrage global qui couvre l’ensemble des utilisateurs et des groupes pour toutes les collections de sites dans une application Web. Si vous avez besoin d’une granularité plus fine, vous pouvez définir des autorisations pour des utilisateurs ou des groupes spécifiques dans une application Web. Pour cela, vous créez une stratégie pour l’application Web. Dans son blog, Joel Olson donne quelques bons exemples de cas où une stratégie d’application Web est utile.

Et comme le mentionne Joel, une stratégie d’application Web est un moyen de gérer les autorisations de façon centralisée qui est différent d’une stratégie de gestion des informations (audit, expiration, étiquettes, codes-barres) que vous utilisez pour gérer les donnée dans une liste ou une bibliothèque.

Accédez au site Administration centrale. Sur l’onglet Gestion des applications, cliquez sur Stratégie de l’application Web.

clip_image034

La gestion des stratégies d’autorisation dans l’Administration centrale ressemble beaucoup à la gestion des autorisations dans un site d’équipe SharePoint. Vous pouvez ajouter des utilisateurs, configurer des niveaux d’autorisation, puis assigner un niveau d’autorisation à des utilisateurs.

clip_image036

Excepté l’astuce de définir des autorisations dans une stratégie, le fait est qu’il y a deux case à cocher pour chaque autorisation, Accorder et Refuser. Si vous laissez ces deux cases vides, cela signifie que la stratégie n’accorde ni ne refuse explicitement cette autorisation, donc l’octroi ou non de cette autorisation aux utilisateurs est laissé à la discrétion des propriétaires de sites dans l’application Web. Si vous accordez explicitement une autorisation dans le cadre d’une stratégie d’application Web, cet utilisateur détient l’autorisation et celle-ci ne peut pas être remplacée par un propriétaire de site au niveau du site. De même, le refus explicite d’une autorisation empêche définitivement les utilisateurs de disposer de cette autorisation.

clip_image038

Vos choix ici d’utilisation des autorisations pour verrouiller SharePoint Designer sont les mêmes que ceux mentionnés plus haut. Pour référence rapide, le tableau suivant indique quels niveaux d’autorisation de stratégie par défaut accordent ou refusent ces autorisations. La méthode la plus simple ici de verrouillage de SharePoint Designer serait d’ajouter un nouveau niveau de stratégie d’autorisation qui refuse explicitement l’autorisation Parcourir les répertoires (avec la mise en garde à propos des dépendances notée plus haut), puis d’assigner cette stratégie à des utilisateurs ou des groupes spécifiques.

NIVEAU DE STRATÉGIE D’AUTORISATION AJOUTER ET PERSONNALISER DES PAGES PARCOURIR LES RÉPERTOIRES GÉRER LES LISTES
Contrôle total Accorde Accorde Accorde
Lecture totale Vide
(ni accorde ni refuse)
Accorde Vide
(ni accorde ni refuse)
Refuser l’écriture Refuse Vide
(ni accorde ni refuse)
Refuse
Refuser tout Refuse Refuse Refuse
Pour plus d’informations

TechNet : Gérer les autorisations par le biais d’une stratégie (Office SharePoint Server)

Au niveau du site par utilisateur ou par groupe — Autorisations de site

Un propriétaire de site peut définir des autorisations soit au niveau de l’utilisateur soit au niveau du site.

Si le site n’hérite pas d’autorisations :

· Cliquez sur le menu Actions du site >> Paramètres du site >> Autorisations avancées >> menu Paramètres >> Niveaux d’autorisation

Si le site hérite d’autorisations :

· Cliquez sur le menu Actions du site >> Paramètres du site >> Autorisations avancées >> menu Actions >> Modifier les autorisations >> cliquez sur OK >> menu Paramètres >> Niveaux d’autorisation

Au niveau du site, les mêmes autorisations vous sont proposées, avec les mêmes dépendances que celles mentionnées plus haut. Pour référence rapide, le tableau suivant indique quels niveaux d’autorisation par défaut dans SharePoint Server 2007 incluent ces autorisations.

NIVEAU D’AUTORISATION AJOUTER ET PERSONNALISER DES PAGES PARCOURIR LES RÉPERTOIRES GÉRER LES LISTES
Contrôle total (groupe Propriétaires) Oui Oui Oui
Création Oui Oui Oui
Gérer la hiérarchie Oui Oui Oui
Approuver Non Oui Non
Collaboration (groupe Membres) Non Oui Non
Lecture (groupe Visiteurs) Non Non Non
Vue seule (groupe Visualiseurs) Non Non Non
Accès limité Non Non Non

Voici les instructions simplifiées :

· Pour empêcher des utilisateurs d’ouvrir un site dans SharePoint Designer, ajoutez-les au groupe Visiteurs. Notez que les visiteurs ne peuvent pas modifier dans le navigateur des éléments ou des fichiers de listes ou de bibliothèques.

· Pour empêcher des utilisateurs de modifier un site dans SharePoint Designer, ajoutez-les au groupe Membres. Les membres peuvent modifier dans le navigateur des éléments ou des fichiers de listes ou de bibliothèques. Ils peuvent également ouvrir (mais pas modifier) un site dans SharePoint Designer.

· Pour permettre à des utilisateurs de modifier un site dans SharePoint Designer, mais pas d’effectuer des tâches comme celles du propriétaire de site (par ex. la gestion des autorisations), créez un groupe Concepteurs et assignez à ce groupe le niveau d’autorisation Création. Les utilisateurs ayant le niveau d’autorisation Création peuvent ouvrir et modifier un site dans SharePoint Designer, mais ne peuvent pas Gérer les autorisations.

Souvenez-vous que les autorisations au niveau du site sont remplacées par les autorisations au niveau de l’application Web. Même si vous assignez à un utilisateur le niveau d’autorisation Contrôle total sur votre site, cet utilisateur se verra refuser l’accès si les autorisations requises ont été supprimées ou refusées dans l’Administration centrale.

Pour plus d’informations

Office Online : Niveaux d’autorisations et autorisations

Office Online : Gérer les niveaux d’autorisation

Au niveau du site par utilisateur ou par groupe (pas une fonction de sécurité) — Paramètres de collaboration

Vous pouvez utiliser la fonctionnalité Paramètres de collaboration pour activer et configurer le mode Collaborateur, qui est un mode d’accès limité dans SharePoint Designer 2007. Les utilisateurs qui ouvrent un site pour le modifier dans SharePoint Designer 2007 ont accès à des commandes ou fonctions différentes, en fonction du groupe Collaborateur auquel ils appartiennent et des restrictions d’édition assignées à ce groupe.

Dans le menu Site, cliquez sur Paramètres de collaboration.

clip_image040

La fonctionnalité Paramètres de collaboration fournit un contrôle de fine granularité sur quels utilisateurs ont la possibilité d’effectuer quelles tâches dans SharePoint Designer 2007. Mais gardez à l’esprit les deux points importants suivants :

· Contrairement aux autorisations, les paramètres de collaboration ne constituent pas une fonction de sécurité. Le mode Collaborateur est conçu pour être utilisé dans un environnement où les propriétaires de site sont confiants quant aux intentions de leurs utilisateurs. Ce mode permet d’orienter les utilisateurs dans une direction particulière pour l’exécution de leurs tâches, ce qui évite des modifications accidentelles du site Web.

· Les paramètres de collaboration d’un utilisateur ne peuvent pas outrepasser ce que leurs autorisations leur donnent le droit de faire. Les autorisations constituent une fonction de sécurité, contrairement aux paramètres de collaboration ; en cas de conflit, les autorisations l’emportent toujours sur les paramètres de collaboration.

Pour activer ou désactiver les paramètres de collaboration, vous devez posséder l’autorisation Gérer les autorisations. Dans SharePoint Server 2007, par défaut seuls les niveaux d’autorisation Contrôle total et Gérer la hiérarchie incluent cette autorisation. Donc par défaut, seules les personnes du groupe Propriétaires peuvent désactiver les paramètres de collaboration.

clip_image042

Finalement, si un utilisateur essaie d’enregistrer un fichier dans un emplacement interdit par leurs paramètres de collaboration, ils obtiennent le message d’avertissement standard « Accès refusé ».

clip_image004[2]

Les paramètres de collaboration ne sont configurables qu’au niveau du site, et sont stockés dans un fichier .htm. Cependant, vous pouvez configurer ces paramètres sur un site temporaire, enregistrer le fichier .htm, puis inclure ce fichier dans une définition du site en utilisant l’élément File. De cette façon, tous les sites créés à partir de cette définition de site partageront les mêmes paramètres de collaboration.

clip_image044

Pour plus d’informations

Office Online : Introduction aux paramètres de collaboration

Office Online : Utiliser les paramètres de collaboration en tant que gestionnaire de site

Par ordinateur ou par utilisateur — Stratégie de groupe

Dans un réseau Windows, les administrateurs peuvent utiliser les paramètres de stratégie de groupe pour contrôler la façon dont les utilisateurs se servent de Microsoft Office 2007, y compris SharePoint Designer 2007. Les administrateurs peuvent utiliser les paramètres de stratégie de groupe pour définir et maintenir une configuration d’Office sur les ordinateurs des utilisateurs. Contrairement à d’autres personnalisations, par exemple, les paramètres par défaut distribués dans un fichier de personnalisation de l’installation (les paramètres de stratégie sont appliqués et peuvent être utilisés pour créer des configurations peu ou beaucoup gérées). Par exemple, les administrateurs peuvent utiliser les paramètres de stratégie pour désactiver dans l’interface utilisateur des commandes de menu et leurs boutons de barre d’outils et raccourcis clavier correspondants.

Vous pouvez créer des paramètres de stratégie qui s’appliquent à l’ordinateur local et à chaque utilisateur de cet ordinateur, ou qui s’appliquent seulement à des utilisateur particuliers :

· Les paramètres de stratégie par ordinateur sont appliqués la première fois qu’un utilisateur quelconque se connecte au réseau à partir de cet ordinateur.

· Les paramètres de stratégie par utilisateur sont appliqués lorsque l’utilisateur spécifié se connecte au réseau à partir de n’importe quel ordinateur.

Une stratégie de groupe est totalement distincte aussi bien d’une stratégie des autorisations dans l’Administration centrale que d’une stratégie de gestion des informations appliquée à une liste ou une bibliothèque. Une stratégie de groupe ne contrôle pas l’accès aux objets tels que les sites ou les collections de sites dans un déploiement SharePoint. Au lieu de cela, une stratégie de groupe peut désactiver des commandes et des boutons dans l’interface de SharePoint Designer 2007. Par exemple, pour que les utilisateurs ne puissent pas effectuer des tâches voraces en ressources telles que sauvegarder des sites durant les heures de fonctionnement de pointe, vous pouvez utiliser Stratégie de groupe pour désactiver la commande Sauvegarder le site Web dans SharePoint Designer pour des ordinateurs ou utilisateurs spécifiques.

Pour désactiver l’interface utilisateur, vous devez spécifier le TCID (ID de contrôle de barre d’outils) pour les contrôles d’Office 2007. Pour les programmes Office 2007 qui utilisent le ruban, vous pouvez télécharger la liste des TCID.

Dans SharePoint Designer 2007, vous pouvez obtenir les ID des contrôles en utilisant le même code VBA qui fonctionnait dans Office 2003. Vous pouvez trouver des procédures et des extraits de code VBA à la page suivante : Office Online : Gestion des configurations des utilisateurs par stratégie.

Pièce jointe

Pour référence rapide, la feuille de calcul jointe à ce billet liste les TCID de tous les menus et commandes de SharePoint Designer 2007.

Pour plus d’informations

TechNet : Appliquer des paramètres à l’aide de la stratégie de groupe dans Office System 2007

TechNet : Désactiver des éléments de l’interface utilisateur et des touches de raccourci

Gestion d’entreprise avec la console de gestion de stratégie de groupe

Office Online : Gestion des configurations des utilisateurs par stratégie

Ce billet de blog a été traduit de l’anglais. L’article d’origine est disponible ici : Locking Down SharePoint Designer