Accéder au contenu principal

SharePoint : Problématique de modification des noms de groupe dans l'AD

 Une question m'a été posé récemment concernant la problématique du changement de nom d'un Groupe dans Active Directory pour la sécurité des Librairies Documentaires.

En effet :

    • Que se passe-t'il si je renomme un groupe dans l'AD pour les librairies documentaires dont des sécurités spécifiques ont été définies pour ces mêmes groupes ?

 

 

Je me suis donc attardé à chercher la réponse à cette question en testant directement ce cas.

J'ai donc ouvert ma console "AD Users and Computers", et me suis placé dans une OU de test (ne voulant quand même pas mettre le souc).

A partir de cet OU, j'ai donc créé un Group de Sécurité (Bouton Droit > New > Group).

Création Group

J'ai donné a ce groupe le même nom pour le champ "Group name" (correspond au champ CN) et le second champ "Gruop Name (pre-Windows 2000)"  : GroupeDeTestPourModification

On ne crée pas de boite mail dans Exchange pour ce groupe et on valide. On voit alors ce groupe apparaître dans la liste des objets de cette OU dans l'AD.

Liste Objets dans l'AD

Notre test doit donc expliquer comment se comporte l'AD lors du renommage des groupes. Nous allons donc renommer ce groupe en ajoutant des " " entre chaque mot. Pour cela, nous devons cliquer avec le bouton droit de la souris sur l'objet (le groupe) et sélectionner "Rename".

On obtient alors la possibilité de changer directement le nom du groupe. Une fois validé par "Entrée", une fenêtre s'ouvre demandant les champs name à modifier :

Rename Group

On voit du coup apparaître à nouveau le champ "Group name (pre-windows 2000)", qui lui n'est pas modifié, contrairement au champ "Group name" qui a déjà la modification de renseignée.

 

Ces deux champs correspondent dans les variables internes de l'AD à (on visionne cela avec l'outil ADSIEDIT.MSC) :

  • Group name (pre-windows 2000) : SAMAccountName

SamAccountName

  • Group name : CN

CN

 

Donc on sait que SharePoint utilise les logins du type DOMAINAD\LoginUser ou DOMAINAD\LoginGroupe.

 

 

 

 

On en conclue donc, que tant que les SAMAccountName ne sont pas modifiés, les modification des noms de groupes n'entrainent aucun problème sur les sécurités personnalisées des Librairies documentaires

Ceci nous est bien confirmé dans SharePoint sur une vision des autorisations personnalisées pour une librairie documentaire :

Secu Personnalisée

 

 

La suite au prochain épisode

Romelard Fabrice

 

 

UPDATE :

Après le commentaire posté, voila un peu plus d'information sur ce thème.

On trouve le stockage des informations concernant la sécurité personnalisées des librairies documentaires dans la base SharePoint (pour le cas d'un SPS) :

  • xxxxx_SITE

Cette base possède une table UserInfo qui stocke les informations :

  • tp_SiteID (ID du site que vous retrouvez dans la table Sites) : GUID interne
  • tp_DomainGroup : Type d'objet (groupe ou non)
  • tp_GUID : ID créé lors de la création de cette sécurité personnalisée
  • tp_Login : Login NT (Le fameux SAMAccountName)
  • tp_Title : Le nom de cet objet (le CN)
  • ....
  • tp_systemID (champ de type personnalisé tSystemID sur 128 caracteres en varbinary)

Il s'agit donc de ce champs qui stocke le GUID provenant d'Active Directory, il suffit pour s'en convaincre de faire la recherche avec ADSIEDIT de l'objet en question :

Object AD In SharePoint

Dans ADSIEDIT on trouve le champs ObjectSID qui est exactement celui tp_SystemID de la base :

Object SID

 

Ainsi, on peut conclure que le renommage du groupe ou des comptes utilisateurs n'a aucun impact sur les sécurités personnalisées appliquées dans les librairies documentaires de SharePoint.

En revanche, la modification éventuelle dans l'AD ne sera pas mise à jour dans la vision de SharePoint et de ce fait, on verra toujours le nom d'origine.

 

 

Romelard Fabrice

 

UPDATE N° 2 :

Voila 2 liens très intéressant fournis par Renaud Comte (L'inTTegrateur Suisse et accessoirement collègue) :

Je pense que l'ensemble de ces données devrait aider ceux qui se posaient les questions sur ces relations entre l'AD et les sécurité des librairies documentaires de SharePoint.

Romelard Fabrice

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Série de vidéos sur le montage d'une serre horticole ACD

 Episode 1: Préparation du terrain Episode 2: Montage de la serre en elle même Episode 3: Finalisation avec le montage électrique alimentant la serre Bon visionnage Fab
Enregistrer un commentaire
Lire la suite

Présentation des outils utiles pour l'entretien de ses haies vives

Afin de gérer les haies vives, il est nécessaire d'avoir recourt à un matériel adapté. Les solutions à batteries sont bien adaptées pour un usage personnel avec des dimensions raisonnables. Ainsi dans mon cas précis, j'utilise les outils suivants de la Gamme Ryobi 18V ONE+ électroportatif: Petit taille-haies simple mais efficace -  RYOBI OHT1855R Un modèle plus puissant qui fonctionne très bien -  RYOBI RY18HTX60A Pour les parties hautes de vos haies, voici un outil très utile -  RYOBI OPT1845 Enfin lorsque vous devez élaguer certains arbres ou certaines partie hautes de vos haies, ce dernier outil est très utile -  RYOBI OPP1820 Ces outils font parti maintenant de mon arsenal de base pour maintenir notre maison chaque saison de taille. Fab
Enregistrer un commentaire
Lire la suite

Série de Videos sur Home Assistant intégrant la production Photovoltaïque

 Un certain nombre de vidéos sont en ligne pour intégrer sa production photovoltaïque dans Home Assistant en partant de la base. Installation de Home Assistant: On peut ensuite intégrer les composant des Micro-Onduleurs Enphase, mais aussi les batteries Enphase: Ou encore le composant de contrôle Ecojoko: Ce qui permet alors de faire des comparaisons entre les valeurs capturées: Des videos seront encore publiés dans les prochaines semaines sur différents aspects de cette solution. Fab
Enregistrer un commentaire
Lire la suite