Estrategia de control de acceso a contenidos

Hola a todos,

Estoy un poco confuso en cuanto a un tema de seguridad y control de acceso a
contenidos de MOSS, y me gustaría que alguien me orientara al respecto,
aunque igual el mero hecho de redactar este mensaje igual me ayuda a calarar
las ideas. A continuación expongo el caso.

Tengo una serie de intranets departamentales montadas en MOSS 2007. Los
perfiles de usuarios se importan de diversos controladores de dominio, y en
ellos están organizados en grupos. Ello ha permitido basar la seguridad de
los diferentes contenidos en grupos de Sharepoint, de modo que el único
miembro de un determinado grupo es su grupo homónimo en el dominio. De este
modo cualquier cambio de grupo de un miembro de la organización quedar
reflejado automáticamente en Sharepoint.

Ahora el departamento de sistemas planea un cambio en la organización de los
dominios y unirlos todos en un dominio global. Dado el volumen de usuarios,
van a dejar de organizarlos en grupos, aunque sí se organizarán en base a
sus propiedades de Directorio Activo. Los grupos que hasta ahora asignaba a
grupos de Sharepoint dejarán de existir, y si he de mantener el mismo patrón
de seguridad será necesario asignar los miembros individualmente a los
grupos, con el trabajo y dedicación que ello requiere (estamos hablando de
cientos de usuarios). Este modelo de seguridad deja de ser eficaz.

Veo que la única manera que Sharepoint tiene de acceder a propiedades de
Directorio Activo es a partir de la compilación de audiencias desde perfiles
de usuario importados del Directorio Activo. Sin embargo, por el concepto de
audiencias y de grupos de seguridad de Sharepoint, no es posible basar la
seguridad en audiencias. Una conexión entre audiencias y grupos de seguridad
de Sharepoint sería lo ideal.

He encontrado en Codeplex un proyecto que consiste en crear trabajos de
temporizador que se encargan de crear y mantener grupos de seguridad a
partir de audiencias, pero no he conseguido que funcione. Aunque el autor no
aporta mucha documentación, sí ofrece el código fuente, aunque yo no
dispongo de tiempo para desarrollar en base al mismo. Es una pena...

La única solución que veo al problema es un cambio de estrategia de acceso
al contenido de las intranets, y dar mayor protagonismo a las audiencias.
Veo que con ellas se puede decidir si un usuario ve o no un elemento Web,
una opción de menú de navegación, o un elemento de una lista o de una
biblioteca, pero no el nivel de acceso, y quedan fuera de esto los sitios y
las listas y bibliotecas. A estas alturas se me plantean las siguientes
dudas:

1.- Un usuario que tiene permisos de acceso pero no pertenece a una
determinada audiencia, ¿qué ve si entra en una biblioteca/lista cuyos
elementos no puede ver? ¿Nada, la cabecera de la biblioteca/lista o un
mensaje de error?
2.- El mismo usuario de la pregunta anterior entra en un sitio, pero los
elementos Web de la página de bienvenida están asignados a otras audiencias.
¿Qué ve? ¿La página en blanco o un error?
3.- Seguimos con el mismo usuario, pero en este caso la página de bienvenida
del sitio está asignada a otras audiencias. ¿Se le muestra un error?
4.- ¿Este mismo usuario puede llegar a acceder mediante la URL a un
contenido asignado a otras audiencias?
5.- Si este usuario se configura una alerta a un contenido destinado a su
audiencia y posteriormente cambia de audiencia, ¿seguirá recibiendo alertas?
Y si las recibe ¿podrá acceder a los contenidos enlazados en la alerta?

En resumen, ahora tendríamos importados todos los perfiles de usuarios (no
grupos) del Directorio Activo y un conjunto de audiencias compiladas a
partir de estos perfiles y en base a unas determinadas características de
dichos perfiles. Estos grupos determinarían quien ve o no los diferentes
contenidos.

Por otro lado tendríamos una serie de grupos de seguridad de Sharepoint para
controlar los niveles de acceso. Un único grupo de visitantes cuyos miembros
serían todos los usuarios autentificados, un grupo de administradores para
cada intranet que sería mantenido por el administrador global de MOSS (o los
administradores de las colecciones de sitios), y otro de colaboradores para
cada intranet que sería mantenido por el administrador de la intranet
correspondiente. De esta manera se evita el mantenimiento de grupos de
visitantes por cada intranet.

Ahora viene cuando hay que unir las dos cosas. Para ello entiendo que todo
contenido de una intranet debe ir dirigido a sus audiencias
correspondientes. Los visitantes (grupo único) podrían acceder a todas las
intranets, pero sólo verían los contenidos dirigidos a sus audiencias. ¿Voy
bien así?

Y ahora las últimas dudas:

6.- Si un administrador de una intranet añade al grupo de colaboradores de
su intranet a un miembro de otra audiencia, ¿tendrá acceso al contenido?
7.- Si un colaborador publica contenido para una audiencia que no es la
suya, ¿podrá acceder de nuevo a él para editarlo o eliminarlo?
8.- Si un contenido destinado a una audiencia entra en un flujo de trabajo
de aprobación y el usuario aprobador pertenece a otra audiencia, ¿podrá
revisar y aprobar o rechazar ese contenido?
9.- ¿Se pueden asignar audiencias a un elemento de lista/biblioteca desde un
flujo de trabajo de Sharepoint Designer?

Ya es complicado separar los conceptos de audiencias y seguridad como para
tener que acabar uniéndolos para suplir lo que yo considero una carencia de
Sharepoint.

Enhorabuena al que haya llegado hasta aquí.

Saludos.