none
SHAREPOINT 2013 - Problème permissions accès sur un site ou sous site RRS feed

  • Question

  • Bonjour,

    Je suis en train de créer des sites et sous-sites dans mon SharePoint foundation 2013.

    Pas de soucis pour créer ou donner des droits à un utilisateurs ou via des groupes internes SharePoint alimentés avec des utilisateurs de mon AD.

    par contre j'ai mis en place des groupes de sécurité dans l'AD avec 10-15 utilisateurs et donné des permissions dans mes sites SharePoint à ces groupes.

    Et là j'ai la mauvaise surprise en testant via les boutons "vérifier les autorisations" : une partie de mes utilisateurs ont accès et d'autres non, alors qu'ils sont tous membre du même groupe...

    Je précise que tous mes controlleurs de domaine sont synchronisés et à jour.

    J'ai aussi redémarré le serveur SharePoint sans que ça ne change quoi que ce soit.

    Y-aurait-il un service de synchronisation avec l'AD à relancer ou autre chose ? J'avoue être un peu stupéfait de ces symptômes.

    merci par avance pour votre aide.


    yak

    vendredi 30 septembre 2016 12:59

Toutes les réponses

  • C'est assez étrange, il semblerait que les permissions évoluent un peu aléatoirement :

    - après quelques heures j'avais notamment une autre personne qui n'avait pas accès à un site qui subitement avait bien l'accès opérationnel via mon groupe AD

    - sur une bibliothèque d'un site avec les permissions déshéritées et mes groupes AD spécifiés dans les autorisations d'accès, j'ai manuellement ajouté les utilisateurs AD pour qui l'accès n'était pas opérationnel (malgré la présence dans le groupe AD ajouté au même niveau) : là c'est OK pour un accès "accordé directement". Par contre au niveau des fichiers de ma bibliothèque, j'ai forcé l'activation des permissions héritées de l'objet parent et là je rencontre à nouveau des bugs d'accès pour certaines personnes de mon groupe AD (pas les mêmes vu que les comptes spécifiés directement n'ont pas ce bug : j'ai toujours un droit accordé directement pour eux).

    Personne n'aurait une piste pour ce phénomène ?

    Faut-il redémarrer un service ou plutôt reforcer une synchro à un niveau dans sharepoint pour mettre à jour les droits de manière propre et efficace. J'avoue n'y rien comprendre du tout c'est tout bonnement illogique ce qui se passe...


    yak

    vendredi 30 septembre 2016 22:43
  • Bonjour,

    Il est difficile de vous répondre sans des exemples précis.

    L'origine de ce comportement ne semble pas venir de l'AD, ni de SharePoint.

    Mon sentiment est qu'il est possible que vous ayez fait une fausse manipulation dans l'attribution des droits (?).


    Les conseils, informations ou suggestions proposés sont fournis sans aucune garantie.

    samedi 1 octobre 2016 10:23
  • Bonjour,

    euh alors pour donner un exemple d'arbo :

    site principal = accueil  // sous site = EST  // bibliothèque = NANCY  // fichier = projet_nancy.xlsx

    j'ai créé un groupe de sécurité dans mon AD qui s'appelle SP_EST_Nancy et j'y ai ajouté 15 utilisateurs membres.

    Sur sharepoint j'ai partagé Accueil en ajoutant le grooupe AD SP_EST_Nancy (détecté lors de la saisie du groupe donc l'AD est bien lue) et idem sur mon sous-site EST et sur ma bibliothèque NANCY (héritage désactivé).

    J'ai des utilisateurs de mon groupe AD qui ont droit d'accéder au site, sous-site etc et d'autres qui n'y ont pas droit de manière inexplicable...

    J'utilise la fonctionnalité "vérifier les permissions d'accès" au niveau du site, du sous-site ou de la bibliothèque pour tester. Pour ceux qui ont accès je vois bien permission accordée via le groupe SP_EST_Nancy et pour les autres utilisateurs j'ai "aucun droit" alors que j'ai juste défini un groupe AD donc c'est pas logique vu que le groupe est bien reconnu...

    De plus, si mon utilisateur HECTOR membre du groupe SP_EST_Nancy et qui n'a pas d'accès, est ajouté directement au niveau du site par exemple, là je vois bien l'accès via le vérificateur de permissions et si je réactive l'héritage des permissions au niveau de mon sous-site, il se peut que d'autres personnes membre de mon groupe AD ait "aucun accès" au niveau du sous-site (alors que leur accès est fonctionnel au niveau du site principal et que les droits sont hérités).

    Franchement je n'y comprends rien c'est pas logique 


    yak


    samedi 1 octobre 2016 10:37
  • Pouvez-vous faire des copies d'écrans  des autorisations accordées sur le site et sous-site ?

    Merci.


    Les conseils, informations ou suggestions proposés sont fournis sans aucune garantie.

    samedi 1 octobre 2016 16:02
  • pour simplifier on peut déjà voir les soucis tout en bas de l'arbo au niveau du fichier (car permissions déshéritées). De toute manière les symptômes sont les mêmes à tous les niveaux de l'arbo

    Photo des permissions accordées sur un fichier Excel :

    KPI - Propriétaires (groupe sharepoint, non AD) possède des droits controle total et un utilisateur spécifié en dur (utilisateur AD) ==> RAS sur ce groupe

    6 éléments masqués sont des utlisateurs AD que j'ai du ajouter en direct ici sinon pas d'accès au fichier excel. Ces 6 utilisateurs sont pourtant membre du groupe AD  DOMAINE\sp_kpi_ra_nord_se_w que l'on voit en haut de ma copie d'écran (permissions de type modifications liste pour les utilisateurs ajoutés en direct et pour le groupe AD).

    Le problème se situe au niveau de la quinzaine de membres de mon groupe AD dont 6 ne sont pas "vus" par sharepoint et j'ai donc du les rajouter en direct ici.

    Le vérificateur de permissions donne ceci aujourd'hui sur 2 des 6 utilisateurs ajoutés en dur :

    C'est comme s'il y avait une sorte de latence car hier soir ces 2 personnes avait juste l'accès "octroyée directement" et aujourd'hui ils récupérent bien l'accès via le groupe AD.

    C'est donc actuellement fonctionnel mais pas propre. J'attends de pouvoir simplement gérer mes permissions via des groupes AD que je peux alimenter et désalimenter à ma guise.

    D'où ma question s'il n'y aurait pas une tâche de synchro à lancer ou autre afin que celà fonctionne ?

    mon utilisateur AD de test hector a été ajouté au groupe AD hier également et pourtant lui ne possède qu'un accès "octroyé directement" ce qui n'est pas logique. comme si sharepoint n'arrivait pas à lire et voir tous les utilisateurs de mon groupe AD.

    Plus grave, j'ai du tester manuellement les permissions de mes users AD membre du groupe DOMAINE\SP_kpi.....  à chaque niveau en partant du site principal, sous-site, bibliothèque et fichier car ce ne sont pas les mêmes utilisateurs qui étaient bloqués selon que l'on soit à un niveau de l'arbo ou à un autre.

    exemple :

    mon sous-site autorise DOMAIN\sp_kpi... tout comme ma bibliothèque.

    hector et toto sont membre de ce groupe AD

    hector accède au sous-site et pas à la bibliothèque ==> j'ai ajouté hector en direct au niveau de la bibliothèque pour solutionner temporairement

    pour toto c'est l'inverse : il n'a pas accès au sous-site mais en dessous c'est OK une fois ajouté directement toto au sous-site.

    C'est à n'y rien comprendre


    yak

    samedi 1 octobre 2016 17:55
  • bon je viens encore de faire des tests et ça semble être réellement un problème d'actualisation / lecture des groupes AD par Sharepoint.

    Mon sharepoint est connecté au controlleur de domaine DOM01

    Sur DOM01 j'ai supprimé un utilisateur de mon groupe SP_KPI... puis j'ai tout de même forcé une réplication avec mes autres controlleurs de domaine via Sites et Services AD (au cas où).

    De retour sur mon serveur sharepoint, je vérifie les droits de mon utilisateur toto : je vois toujours les permissions effectives basées sur mon groupe AD alors qu'il n'en est plus membre.

    Autre test : pour forcer une relecture des permissions j'ai ajouté en direct le groupe AD SP_KPI.... et j'ai vérifié les permissions de mon utilisateur hector qui n'était pas vu dans un autre sous-site et il ne l'est pas non plus dans le nouveau.

    ma question : comment forcer une sycnhro AD manuelle afin de pallier au problème car même après 24h c'est pas à jour...

    Si j'ai juste ça à faire c'est pas grave, on touche rarement aux permissions de notre sharepoint


    yak

    samedi 1 octobre 2016 18:28
  • personne n'a une idée comment forcer la resynchronisation (relecture) de l'AD depuis sharepoint ?

    Je suis toujours dans la même situation avec des droits attribués tantôt avec mes groupes tantôt avec des permissions directes pour les utilisateurs victimes du bug...


    yak

    vendredi 7 octobre 2016 16:56
  • Bonjour Yak,

    Via la console d'administration, tu as la possibilités de synchroniser directement le profile concerné à travers le service profile.

    Tu peux dans la même occasion, vérifier si les champs AD à travers le service profile sont bien remplis (il suffit d'une erreur pour que le compte en question ne soit pas sync).

    Par la suite, tu peux lancer une synchro manuelle des profiles AD.

    Younes,

    mercredi 12 octobre 2016 08:18
  • bonjour et merci pour cette réponse.

    je n'ai malheureusement pas trouvé l'emplacement de ce service profile dans l'administration centrale de mon sharepoint.

    Au niveau des services, j'ai ceci :

    Si tu peux me préciser comment accéder aux fonctionnalités évoquées ce serait top.

    Idem pour les vérifications des profils potentiellement erronés ou mal remplis.

    Merci par avance


    yak

    jeudi 13 octobre 2016 18:16
  • c'est à désespérer, en fait le service "user profile service" devrait se trouver dans le menu "gérer les applications de service" (manage service applications selon le lien ci-dessous) :

    https://technet.microsoft.com/fr-fr/library/ee721049.aspx?f=255&MSPPError=-2147217396#Phase0

    Mais moi j'ai juste ceci dans le menu :

    Je n'ai pas installé ce serveur et n'arrive pas à trouver à quel niveau le lien vers l'AD est réalisé et donc selon les pistes trouvées, comment effectuer une synchro et le debugging des profils...

    help


    yak

    jeudi 13 octobre 2016 18:38
  • C'est normal. Vous avez une version Foundation et l'article s'applique aux versions SharePoint Server 2013 Enterprise, SharePoint Server 2013 Standard.

    De toutes façons, il serait surprenant que le problème soit à ce niveau.


    Les conseils, informations ou suggestions proposés sont fournis sans aucune garantie.

    vendredi 14 octobre 2016 06:52
  • ok, et donc je dois faire comment pour suivre ce dont parlait Younès plus haut ?

    Via la console d'administration, tu as la possibilités de synchroniser directement le profile concerné à travers le service profile.
    
    Tu peux dans la même occasion, vérifier si les champs AD à travers le service profile sont bien remplis (il suffit d'une erreur pour que le compte en question ne soit pas sync).
    
    Par la suite, tu peux lancer une synchro manuelle des profiles AD.
    
    Younes,


    yak

    vendredi 14 octobre 2016 16:53
  • Bonjour,

    Avez vous résolu votre problème? En effet, je rencontre exactement la même problématique et souhaiterais savoir ce que vous avez fait pour résoudre le soucis.

    Merci

    Tempusus


    Tempusus

    mardi 6 décembre 2016 13:36