Kontoberechtigungen und Sicherheitseinstellungen in SharePoint 2013
**Gilt für:**SharePoint 2013, SharePoint Foundation 2013, SharePoint Server 2013
**Letztes Änderungsdatum des Themas:**2017-09-08
Zusammenfassung: Hier erfahren Sie mehr über die Berechtigungs- und Sicherheitseinstellungen, die in einer SharePoint 2013-Bereitstellung verwendet werden.
In diesem Artikel werden SharePoint-Administrator- und Dienstkontoberechtigungen für die folgenden Bereiche erläutert: Microsoft SQL Server, das Dateisystem, Dateifreigaben und Registrierungseinträge.
Wichtig
Verwenden Sie keine Dienstkontonamen, die das Symbol $ enthalten.
Inhalt dieses Artikels:
Informationen zu Kontoberechtigungen und Sicherheitseinstellungen
SharePoint-Administratorkonten
SharePoint-Dienstanwendungskonten
SharePoint-Datenbankrollen
Gruppenberechtigungen
Informationen zu Kontoberechtigungen und Sicherheitseinstellungen
Zahlreiche SharePoint-Basiskontoberechtigungen und -sicherheitseinstellungen werden durch den SharePoint-Konfigurations-Assistenten (Psconfig) und den Farmerstellungs-Assistenten konfiguriert, die beide während einer vollständigen Installation ausgeführt werden.
SharePoint-Administratorkonten
Während des Setupvorgangs werden die meisten SharePoint-Administratorkontoberechtigungen von einer folgenden Komponenten automatisch konfiguriert:
Vom SharePoint-Konfigurations-Assistenten (Psconfig)
Vom Farmerstellungs-Assistenten
Von der Website mit der SharePoint-Zentraladministration
Von PowerShell
Setup-Benutzeradministratorkonto
Dieses Konto wird zum Einrichten der einzelnen Server in der Farm mithilfe des SharePoint-Konfigurations-Assistenten, des Farmerstellungs-Assistenten und mithilfe von PowerShell verwendet. Für die Beispiele in diesem Artikel wird das Setup-Benutzeradministratorkonto für die Farmverwaltung verwendet. Es kann mithilfe der Zentraladministration verwaltet werden. Für einige Konfigurationsoptionen sind lokale Administratorberechtigungen erforderlich, beispielsweise für die Konfiguration des SharePoint 2013-Suchabfrageservers. Für das Setup-Benutzeradministratorkonto sind die folgenden Berechtigungen erforderlich:
Es muss über Domänenbenutzer-Kontoberechtigungen verfügen.
Es muss Mitglied der lokalen Administratorgruppe auf jedem Server in der SharePoint-Farm sein.
Dieses Konto muss auf die SharePoint-Datenbanken zugreifen können.
Wenn Sie PowerShell-Vorgänge verwenden, die eine Datenbank betreffen, muss das Setup-Benutzeradministratorkonto Mitglied der Rolle db_owner sein.
Dieses Konto muss während der Einrichtung und Konfiguration den SQL Server-Sicherheitsrollen securityadmin und dbcreatorSQL Server zugewiesen sein.
Hinweis
Die SQL Server-Sicherheitsrollen securityadmin und dbcreator sind u. U. während eines vollständigen Updates von Version zu Version für dieses Konto erforderlich, da möglicherweise neue Datenbanken für Dienste erstellt und gesichert werden müssen.
Nach dem Ausführen der Konfigurations-Assistenten sind für das Setup-Benutzeradministratorkonto u. a. die folgenden Berechtigungen auf Computerebene konfiguriert:
Mitgliedschaft in der Windows-Sicherheitsgruppe WSS_ADMIN_WPG
Mitgliedschaft in der Rolle IIS_WPG
Nach dem Ausführen der Konfigurations-Assistenten sind u. a. die folgenden Datenbankberechtigungen konfiguriert:
db_owner auf der Konfigurationsdatenbank der SharePoint-Serverfarm
db_owner auf der Inhaltsdatenbank der SharePoint -Zentraladministration
Warnung
Wenn das Konto, das Sie zum Ausführen der Konfigurations-Assistenten verwenden, nicht über die entsprechende besondere SQL Server-Rollenmitgliedschaft oder über Zugriff auf die Datenbanken als db_owner verfügt, werden die Konfigurations-Assistenten nicht ordnungsgemäß ausgeführt.
SharePoint-Farmdienstkonto
Das Serverfarmkonto, das auch als Datenbankzugriffskonto bezeichnet wird, wird als Anwendungspoolidentität für die Zentraladministration und als Prozesskonto für den SharePoint Foundation 2013-Timerdienst verwendet. Für das Serverfarmkonto sind die folgenden Berechtigungen erforderlich:
- Es muss über Domänenbenutzer-Kontoberechtigungen verfügen.
Dem Serverfarmkonto werden auf Webservern und Anwendungsservern, die einer Serverfarm hinzugefügt werden, automatisch zusätzliche Berechtigungen erteilt.
Nach dem Ausführen des Setup sind u. a. die folgenden Berechtigungen auf Computerebene konfiguriert:
Mitgliedschaft in der Windows-Sicherheitsgruppe WSS_ADMIN_WPG für den SharePoint Foundation 2013-Timerdienst
Mitgliedschaft in WSS_RESTRICTED_WPG für die Anwendungspools der Zentraladministration und des Timerdiensts
Mitgliedschaft in WSS_WPG für den Anwendungspool der Zentraladministration
Nach dem Ausführen der Konfigurations-Assistenten sind u. a. die folgenden SQL Server- und Datenbankberechtigungen konfiguriert:
Feste Serverrolle Dbcreator
Feste Serverrolle Securityadmin
db_owner für alle SharePoint-Datenbanken
Mitgliedschaft in der Rolle WSS_CONTENT_APPLICATION_POOLS für die Konfigurationsdatenbank der SharePoint-Serverfarm
Mitgliedschaft in der Rolle WSS_CONTENT_APPLICATION_POOLS für die SharePoint_Admin -Inhaltsdatenbank
SharePoint-Dienstanwendungskonten
In diesem Abschnitt werden die Dienstanwendungskonten beschrieben, die standardmäßig während der Installation eingerichtet werden.
Anwendungspoolkonto
Das Anwendungspoolkonto wird als Anwendungspoolidentität verwendet. Das Anwendungspoolkonto erfordert die folgenden Berechtigungskonfigurationseinstellungen:
Die folgende Berechtigung auf Computerebene wird automatisch konfiguriert: Das Anwendungspoolkonto ist Mitglied von WSS_WPG.
Die folgenden SQL Server- und Datenbankberechtigungen für dieses Konto werden automatisch konfiguriert:
Die Anwendungspoolkonten für Webanwendungen werden der Rolle SP_DATA_ACCESS für die Inhaltsdatenbanken zugewiesen.
Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der der Farmkonfigurationsdatenbank zugeordnet ist.
Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der SharePoint_Admin -Inhaltsdatenbank zugeordnet ist.
Standardkonto für den Inhaltszugriff
Wichtig
Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.
Das Standardkonto für den Inhaltszugriff wird innerhalb einer bestimmten Dienstanwendung zum Durchforsten von Inhalt verwendet, sofern keine andere Authentifizierungsmethode durch eine Durchforstungsregel für eine URL oder für ein URL-Muster angegeben ist. Dieses Konto erfordert die folgenden Berechtigungskonfigurationseinstellungen:
Das Standardkonto für den Inhaltszugriff muss ein Domänenbenutzerkonto sein, das über Lesezugriff auf externe oder sichere Inhaltsquellen verfügt, die Sie unter Verwendung dieses Kontos durchforsten möchten.
Für SharePoint Server-Websites, die nicht Teil der Serverfarm sind, müssen Sie diesem Konto explizit vollständige Leseberechtigungen für die Webanwendungen erteilen, von denen die Websites gehostet werden.
Dieses Konto darf kein Mitglied der Gruppe Farmadministratoren sein.
Inhaltszugriffskonten
Wichtig
Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.
Inhaltszugriffskonten sind Konten, die für den Zugriff auf Inhalte mithilfe des Features der Durchforstungsregeln für die Suchverwaltung konfiguriert werden. Dieser Kontotyp ist optional und kann beim Erstellen einer neuen Durchforstungsregel konfiguriert werden. Beispielsweise könnte für externe Inhalte (z. B. eine Dateifreigabe) ein solches separates Inhaltszugriffskonto erforderlich sein. Für dieses Konto sind die folgenden Berechtigungskonfigurationseinstellungen erforderlich:
Für das Inhaltszugriffskonto ist Lesezugriff auf externe oder sichere Inhaltsquellen erforderlich, auf die gemäß Konfiguration mithilfe dieses Kontos zugegriffen werden kann.
Für SharePoint Server-Websites, die nicht Teil der Serverfarm sind, müssen Sie diesem Konto explizit vollständige Leseberechtigungen für die Webanwendungen erteilen, von denen die Websites gehostet werden.
Unbeaufsichtigtes Excel Services-Dienstkonto
Wichtig
Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.
Von Excel Services wird das unbeaufsichtigte Excel Services-Dienstkonto verwendet, um eine Verbindung mit externen Datenquellen herzustellen, für die ein Benutzername und ein Kennwort erforderlich sind, die für die Authentifizierung auf anderen Betriebssystemen als Windows basieren. Ist dieses Konto nicht konfiguriert, wird von Excel Services nicht versucht, eine Verbindung mit diesen Arten von Datenquellen herzustellen. Es werden zwar Kontoanmeldeinformationen zum Herstellen einer Verbindung mit Datenquellen von anderen Betriebssystemen als Windows verwendet, jedoch wenn das Konto kein Mitglied der Domäne ist, kann Excel Services nicht darauf zugreifen. Dieses Konto muss ein Domänenbenutzerkonto sein.
Meine Websites-Anwendungspoolkonto
Wichtig
Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.
Das Anwendungspoolkonto für Meine Websites muss ein Domänenbenutzerkonto sein. Dieses Konto darf kein Mitglied der Gruppe Farmadministratoren sein.
Die folgende Berechtigung auf Computerebene wird automatisch konfiguriert: Dieses Konto ist Mitglied in WSS_WPG.
Die folgenden SQL Server- und Datenbankberechtigungen werden automatisch konfiguriert:
Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der Farmkonfigurationsdatenbank zugeordnet ist.
Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der SharePoint_Admin -Inhaltsdatenbank zugeordnet ist.
Die Anwendungspoolkonten für Webanwendungen werden der Rolle SP_DATA_ACCESS für die Inhaltsdatenbanken zugewiesen.
Andere Anwendungspoolkonten
Das andere Anwendungspoolkonto muss ein Domänenbenutzerkonto sein. Dieses Konto darf auf keinem Computer in der Serverfarm Mitglied der Administratorengruppe sein.
Die folgende Berechtigung auf Computerebene wird automatisch konfiguriert: Dieses Konto ist Mitglied in WSS_WPG.
Die folgenden SQL Server- und Datenbankberechtigungen werden automatisch konfiguriert:
Dieses Konto wird der Rolle SP_DATA_ACCESS für die Inhaltsdatenbanken zugewiesen.
Dieses Konto wird der Rolle SP_DATA_ACCESS für die Suchdatenbank zugewiesen, die der Webanwendung zugeordnet ist.
Dieses Konto muss über Lese- und Schreibzugriff auf die zugeordnete Dienstanwendungsdatenbank verfügen.
Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der Farmkonfigurationsdatenbank zugeordnet ist.
Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der SharePoint_Admin -Inhaltsdatenbank zugeordnet ist.
SharePoint-Datenbankrollen
In diesem Abschnitt werden die Datenbankrollen beschrieben, die entweder standardmäßig während der Installation eingerichtet werden oder die optional konfiguriert werden können.
Datenbankrolle "WSS_CONTENT_APPLICATION_POOLS"
Die Datenbankrolle WSS_CONTENT_APPLICATION_POOLS gilt für das Anwendungspoolkonto für jede in einer SharePoint-Farm registrierte Webanwendung. Dadurch können Webanwendungen die Websiteübersicht abfragen und aktualisieren, und sie besitzen schreibgeschützten Zugriff auf andere Elemente in der Konfigurationsdatenbank. Vom Setupprogramm wird die Rolle WSS_CONTENT_APPLICATION_POOLS den folgenden Datenbanken zugewiesen:
Der SharePoint_Config -Datenbank (Konfigurationsdatenbank)
Der SharePoint_Admin -Inhaltsdatenbank
Mitglieder der Rolle WSS_CONTENT_APPLICATION_POOLS verfügen über die Berechtigung zum Ausführen für eine Teilmenge der gespeicherten Prozeduren für die Datenbank. Zudem verfügen Mitglieder dieser Rolle über die Berechtigung zum Auswählen für die Versionstabelle (dbo.Versions) in der SharePoint_Admin -Inhaltsdatenbank. Für andere Datenbanken wird vom Kontoplanungstool angegeben, dass der Lesezugriff auf diese Datenbanken automatisch konfiguriert wird. In manchen Fällen wird auch beschränkter Zugriff zum Schreiben in eine Datenbank automatisch konfiguriert. Damit dieser Zugriff bereitgestellt werden kann, werden Berechtigungen für gespeicherte Prozeduren konfiguriert.
WSS_SHELL_ACCESS-Datenbankrolle
Bei Vorhandensein der sicheren Datenbankrolle WSS_SHELL_ACCESS in der Konfigurationsdatenbank muss kein Administratorkonto als db_owner zur Konfigurationsdatenbank hinzugefügt werden. Standardmäßig wird das Setupkonto der Datenbankrolle WSS_SHELL_ACCESS zugewiesen. Mithilfe eines PowerShell-Befehls können Sie die Mitgliedschaft in dieser Rolle gewähren oder aufheben. Vom Setupprogramm wird die WSS_SHELL_ACCESS -Rolle den folgenden Datenbanken zugewiesen:
Der SharePoint_Config -Datenbank (Konfigurationsdatenbank).
Mindestens einer SharePoint-Inhaltsdatenbank. Dies kann mithilfe des PowerShell-Befehls zum Verwalten der Mitgliedschaft und des Objekts, das dieser Rolle zugewiesen ist, konfiguriert werden.
Mitglieder der Rolle WSS_SHELL_ACCESS verfügen über die Ausführungsberechtigung für alle gespeicherten Prozeduren für die Datenbank. Zudem verfügen die Mitglieder dieser Rolle über die Lese- und Schreibberechtigung für alle Datenbanktabellen.
Datenbankrolle "SP_READ_ONLY"
Die Rolle SP_READ_ONLY sollte anstelle von "sp_dboption" verwendet werden, um den schreibgeschützten Modus für die Datenbank zu aktivieren. Wie der Name der Rolle verrät sollte sie nur verwendet werden, wenn für Daten wie etwa Verwendungs- und Telemetriedaten ausschließlich schreibgeschützter Zugriff erforderlich ist.
Hinweis
Die gespeicherte Prozedur „sp_dboption“ ist in SQL Server 2012 nicht verfügbar. Weitere Informationen zu „sp_dboption“ finden Sie unter sp_dboption (Transact-SQL).
Die Rolle "SP_READ_ONLY SQL" verfügt über die folgenden Berechtigungen:
AUSWÄHLEN gewähren für alle gespeicherten SharePoint-Prozeduren und -Funktionen
AUSWÄHLEN gewähren für alle SharePoint-Tabellen
AUSFÜHREN gewähren für benutzerdefinierte Typen mit Schema "dbo"
Datenbankrolle "SP_DATA_ACCESS"
Die Rolle SP_DATA_ACCESS ist die Standardrolle für den Datenbankzugriff und sollte für alle Datenbankzugriffe auf der Objektmodellebene verwendet werden. Fügen Sie dieser Rolle während Upgrades oder neuen Bereitstellungen das Anwendungspoolkonto hinzu.
Hinweis
Die Rolle "SP_DATA_ACCESS" ersetzt die Rolle "db_owner" in SharePoint 2013.
Die Rolle "SP_DATA_ACCESS" verfügt über die folgenden Berechtigungen:
AUSFÜHREN oder AUSWÄHLEN gewähren für alle gespeicherten SharePoint-Prozeduren und -Funktionen
AUSWÄHLEN gewähren für alle SharePoint-Tabellen
AUSFÜHREN gewähren für benutzerdefinierte Typen mit Schema "dbo"
EINFÜGEN gewähren für Tabelle "AllUserDataJunctions"
AKTUALISIEREN gewähren für Website-Ansicht
AKTUALISIEREN gewähren für Ansicht "UserData "
AKTUALISIEREN gewähren für Tabelle "AllUserData"
EINFÜGEN und LÖSCHEN gewähren für "NameValuePair"-Tabellen
Berechtigung zum Erstellen von Tabellen gewähren
Gruppenberechtigungen
In diesem Abschnitt werden die Berechtigungen der Gruppen beschrieben, die von den SharePoint 2013-Setup- und Konfigurationstools erstellt werden.
WSS_ADMIN_WPG
WSS_ADMIN_WPG verfügt über Lese- und Schreibzugriff auf lokale Ressourcen. Die Anwendungspoolkonten für die Zentraladministration und die Timerdienste befinden sich in WSS_ADMIN_WPG. In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für WSS_ADMIN_WPG aufgeführt:
Schlüsselname | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
Vollzugriff |
Nicht zutreffend |
Nicht zutreffend |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration\{90150000-110D-0000-1000-0000000FF1CE} |
Lesen, Schreiben |
Nicht zutreffend |
Nicht zutreffend |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
Lesen |
Nein |
Dieser Schlüssel ist der Stamm in der Struktur der SharePoint 2013-Registrierungseinstellungen. Wenn dieser Schlüssel geändert wird, tritt für die SharePoint 2013-Funktionalität ein Fehler auf. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0 |
Vollzugriff |
Nein |
Dieser Schlüssel ist der Stamm der SharePoint 2013-Registrierungseinstellungen. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
Lesen, Schreiben |
Nein |
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
Lesen, Schreiben |
Nein |
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search |
Vollzugriff |
Nicht zutreffend |
Nicht zutreffend |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search |
Vollzugriff |
Nicht zutreffend |
Nicht zutreffend |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Vollzugriff |
Nein |
Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint 2013-Installation auf dem Computer nicht mehr funktionsfähig. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Vollzugriff |
Ja |
Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten. |
In der folgenden Tabelle sind die Dateisystemberechtigungen für WSS_ADMIN_WPG aufgeführt.
Dateisystempfad | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Vollzugriff |
Nein |
Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird. |
C:\Inetpub\wwwroot\wss |
Vollzugriff |
Nein |
Dieses Verzeichnis (oder das entsprechende Verzeichnis im Stammverzeichnis Inetpub auf dem Server) wird als Standardspeicherort für IIS-Websites verwendet. SharePoint-Websites sind nicht verfügbar, und für Verwaltungsvorgänge tritt möglicherweise ein Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird, außer benutzerdefinierte IIS-Websitepfade werden für alle mit SharePoint 2013 erweiterte IIS-Websites verwendet. |
%ProgramFiles%\Microsoft Office Servers\15.0 |
Vollzugriff |
Nein |
Dieses Verzeichnis ist der Installationspfad für SharePoint 2013-Binärdateien und -Daten. Das Verzeichnis kann während der Installation geändert werden. Wenn dieses Verzeichnis nach der Installation entfernt, geändert oder verschoben wird, kann die gesamte SharePoint 2013-Funktionalität nicht mehr verwendet werden. Für einige SharePoint 2013-Dienste ist zum Speichern von Daten auf dem Datenträger die Mitgliedschaft in der Windows-Sicherheitsgruppe WSS_ADMIN_WPG erforderlich. |
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices |
Lesen, Schreiben |
Nein |
Dieses Verzeichnis ist das Stammverzeichnis, in dem Back-End-Webdienste gehostet werden, z. B. Excel und Suche. Bei den von diesen Diensten abhängigen SharePoint 2013-Features treten Fehler auf, wenn dieses Verzeichnis entfernt oder geändert wird. |
%ProgramFiles%\Microsoft Office Servers\15.0\Data |
Vollzugriff |
Nein |
Dieses Verzeichnis ist das Stammverzeichnis, in dem lokale Daten einschließlich Suchindizes gespeichert werden. Die Suchfunktionalität schlägt fehl, wenn dieses Verzeichnis entfernt oder geändert wird. Berechtigungen der Windows-Sicherheitsgruppe WSS_ADMIN_WPG sind erforderlich, um das Speichern und Sichern von Suchdaten in diesem Ordner zu ermöglichen. |
%ProgramFiles%\Microsoft Office Servers\15.0\Logs |
Vollzugriff |
Ja |
In diesem Verzeichnis wird zur Laufzeit die Diagnoseprotokollierung generiert. Die Protokollierungsfunktionalität kann nicht ordnungsgemäß ausgeführt werden, wenn dieses Verzeichnis entfernt oder geändert wird. |
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server |
Vollzugriff |
Ja |
Identisch mit dem übergeordneten Ordner. |
%windir%\System32\drivers\etc\HOSTS |
Lesen, Schreiben |
Nicht zutreffend |
Nicht zutreffend |
%windir%\Tasks |
Vollzugriff |
Nicht zutreffend |
Nicht zutreffend |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15 |
Ändern |
Ja |
Dieses Verzeichnis ist das Installationsverzeichnis für SharePoint 2013-Kerndateien. Wenn die Zugriffssteuerungsliste (Access Control List, ACL) geändert wird, sind die Featureaktivierung, Lösungsbereitstellung und andere Features nicht ordnungsgemäß funktionsfähig. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Vollzugriff |
Ja |
Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Vollzugriff |
Ja |
Dieses Verzeichnis enthält Dateien zum Erweitern von IIS-Websites mit SharePoint 2013. Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Vollzugriff |
Nein |
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig. |
%windir%\temp |
Vollzugriff |
Ja |
Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint 2013 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten. |
%windir%\System32\logfiles\SharePoint |
Vollzugriff |
Nein |
Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, ist die Verwendungsprotokollierung nicht mehr ordnungsgemäß funktionsfähig. Dieser Registrierungsschlüssel gilt nur für SharePoint Server. |
Ordner %systemdrive\Programme\Microsoft Office Servers\15 auf Indexservern |
Vollzugriff |
Nicht zutreffend |
Die Berechtigung wird für den Ordner %systemdrive%\Programme\Microsoft Office Servers\15 auf Indexservern erteilt. |
WSS_WPG
WSS_WPG besitzt Lesezugriff auf lokale Ressourcen. Alle Anwendungspool- und Dienstkonten befinden sich in WSS_WPG. In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für WSS_WPG aufgeführt:
Schlüsselname | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0 |
Lesen |
Nein |
Dieser Schlüssel ist der Stamm der SharePoint 2013-Registrierungseinstellungen. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics |
Lesen, Schreiben |
Nein |
Dieser Schlüssel enthält Einstellungen für die SharePoint 2013-Diagnoseprotokollierung. Durch Ändern dieses Schlüssels wird die Protokollierungsfunktionalität beschädigt. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
Lesen, Schreiben |
Nein |
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
Lesen, Schreiben |
Nein |
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Lesen |
Nein |
Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint 2013-Installation auf dem Computer nicht mehr funktionsfähig. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Lesen |
Ja |
Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten. |
In der folgenden Tabelle sind die Dateisystemberechtigungen für WSS_WPG aufgeführt:
Dateisystempfad | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Lesen |
Nein |
Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird. |
C:\Inetpub\wwwroot\wss |
Lesen, Ausführen |
Nein |
Dieses Verzeichnis (oder das entsprechende Verzeichnis im Stammverzeichnis Inetpub auf dem Server) wird als Standardspeicherort für IIS-Websites verwendet. SharePoint-Websites sind nicht verfügbar, und für Verwaltungsvorgänge tritt möglicherweise ein Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird, außer benutzerdefinierte IIS-Websitepfade werden für alle mit SharePoint 2013 erweiterte IIS-Websites verwendet. |
%ProgramFiles%\Microsoft Office Servers\15.0 |
Lesen, Ausführen |
Nein |
Dieses Verzeichnis ist der Installationspfad für die SharePoint 2013-Binärdateien und -Daten. Es kann während der Installation geändert werden. Wenn dieses Verzeichnis nach der Installation entfernt, geändert oder verschoben wird, ist die gesamte SharePoint 2013-Funktionalität nicht mehr funktionsfähig. Zum Laden von SharePoint 2013-Binärdateien auf IIS-Websites sind WSS_WPG -Berechtigungen zum Lesen und Ausführen erforderlich. |
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices |
Lesen |
Nein |
Dieses Verzeichnis ist das Stammverzeichnis, in dem Back-End-Webdienste gehostet werden, z. B. Excel und Suche. Bei den von diesen Diensten abhängigen SharePoint 2013-Features treten Fehler auf, wenn dieses Verzeichnis entfernt oder geändert wird. |
%ProgramFiles%\Microsoft Office Servers\15.0\Logs |
Lesen, Schreiben |
Ja |
In diesem Verzeichnis wird zur Laufzeit die Diagnoseprotokollierung generiert. Die Protokollierungsfunktionalität kann nicht ordnungsgemäß ausgeführt werden, wenn dieses Verzeichnis entfernt oder geändert wird. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Lesen |
Ja |
Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Lesen |
Ja |
Dieses Verzeichnis enthält Dateien zum Erweitern von IIS-Websites mit SharePoint 2013. Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Ändern |
Nein |
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig. |
%windir%\temp |
Lesen |
Ja |
Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint 2013 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten. |
%windir%\System32\logfiles\SharePoint |
Lesen |
Nein |
Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, ist die Verwendungsprotokollierung nicht mehr ordnungsgemäß funktionsfähig. Der Registrierungsschlüssel gilt nur für SharePoint Server. |
%systemdrive\Programme\Microsoft Office Servers\15 |
Lesen, Ausführen |
Nicht zutreffend |
Die Berechtigung wird für den Ordner %systemdrive%\Programme\Microsoft Office Servers\15 auf Indexservern erteilt. |
Lokaler Dienst
In der folgenden Tabelle ist die Registrierungseintragsberechtigung für den lokalen Dienst aufgeführt:
Schlüsselname | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
Lesen |
Nein |
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt. |
In der folgenden Tabelle ist die Dateisystemberechtigung für den lokalen Dienst aufgeführt:
Dateisystempfad | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\15.0\Bin |
Lesen, Ausführen |
Nein |
Dieses Verzeichnis ist der Installationsort der SharePoint 2013-Binärdateien. Wenn dieses Verzeichnis nach der Installation entfernt oder geändert wird, ist die gesamte SharePoint 2013-Funktionalität nicht mehr funktionsfähig. |
Lokales System
In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für das lokale System aufgeführt:
Schlüsselname | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
Lesen |
Nein |
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt. Dieser Registrierungsschlüssel gilt nur für SharePoint Server. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Vollzugriff |
Nein |
Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint 2013-Installation auf dem Computer nicht mehr funktionsfähig. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
Vollzugriff |
Nein |
Dieser Schlüssel enthält den Verschlüsselungsschlüssel zum Speichern von Schlüsseln in der Konfigurationsdatenbank. Wenn dieser Schlüssel geändert wird, treten bei der Dienstbereitstellung und anderen Features Fehler auf. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Vollzugriff |
Ja |
Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten. |
In der folgenden Tabelle sind die lokalen Dateisystemberechtigungen aufgeführt:
Dateisystempfad | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Vollzugriff |
Nein |
Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird. |
C:\Inetpub\wwwroot\wss |
Vollzugriff |
Nein |
Dieses Verzeichnis (oder das entsprechende Verzeichnis im Stammverzeichnis Inetpub auf dem Server) wird als Standardspeicherort für IIS-Websites verwendet. SharePoint-Websites sind nicht verfügbar, und für Verwaltungsvorgänge tritt möglicherweise ein Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird, außer benutzerdefinierte IIS-Websitepfade werden für alle mit SharePoint 2013 erweiterte IIS-Websites verwendet. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Vollzugriff |
Ja |
Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Vollzugriff |
Ja |
Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Vollzugriff |
Nein |
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig. |
%windir%\temp |
Vollzugriff |
Ja |
Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint 2013 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten. |
%windir%\System32\logfiles\SharePoint |
Vollzugriff |
Nein |
Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, kann die Verwendungsprotokollierung nicht mehr ordnungsgemäß verwendet werden. Dieser Registrierungsschlüssel gilt nur für SharePoint Server. |
Netzwerkdienst
In der folgenden Tabelle ist die Registrierungseintragsberechtigung für den Netzwerkdienst aufgeführt:
Schlüsselname | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup |
Lesen |
Nicht zutreffend |
Nicht zutreffend |
Administratoren
In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für Administratoren aufgeführt:
Schlüsselname | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Vollzugriff |
Nein |
Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint 2013-Installation auf dem Computer nicht mehr funktionsfähig. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
Vollzugriff |
Nein |
Dieser Schlüssel enthält den Verschlüsselungsschlüssel zum Speichern von Schlüsseln in der Konfigurationsdatenbank. Wenn dieser Schlüssel geändert wird, treten bei der Dienstbereitstellung und anderen Features Fehler auf. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Vollzugriff |
Ja |
Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten. |
In der folgenden Tabelle sind die Dateisystemberechtigungen für Administratoren aufgeführt:
Dateisystempfad | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Vollzugriff |
Nein |
Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird. |
C:\Inetpub\wwwroot\wss |
Vollzugriff |
Nein |
Dieses Verzeichnis (oder das entsprechende Verzeichnis im Stammverzeichnis Inetpub auf dem Server) wird als Standardspeicherort für IIS-Websites verwendet. SharePoint-Websites sind nicht verfügbar, und für Verwaltungsvorgänge tritt möglicherweise ein Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird, außer benutzerdefinierte IIS-Websitepfade werden für alle mit SharePoint 2013 erweiterte IIS-Websites verwendet. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Vollzugriff |
Ja |
Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Vollzugriff |
Ja |
Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Vollzugriff |
Nein |
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig. |
%windir%\temp |
Vollzugriff |
Ja |
Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint 2013 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten. |
%windir%\System32\logfiles\SharePoint |
Vollzugriff |
Nein |
Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, kann die Verwendungsprotokollierung nicht mehr ordnungsgemäß verwendet werden. Dieser Registrierungsschlüssel gilt nur für SharePoint Server. |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG kann den verschlüsselten Registrierungseintrag der Anmeldeinformationen für die Farmadministration lesen. WSS_RESTRICTED_WPG wird nur für die Ver- und Entschlüsselung von Kennwörtern verwendet, die in der Konfigurationsdatenbank gespeichert sind. In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für WSS_RESTRICTED_WPG aufgeführt:
Schlüsselname | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
Vollzugriff |
Nein |
Dieser Schlüssel enthält den Verschlüsselungsschlüssel zum Speichern von Schlüsseln in der Konfigurationsdatenbank. Wenn dieser Schlüssel geändert wird, treten bei der Dienstbereitstellung und anderen Features Fehler auf. |
Gruppe Benutzer
In der folgenden Tabelle sind die Dateisystemberechtigungen für die Gruppe Benutzer aufgeführt:
Dateisystempfad | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\15.0 |
Lesen, Ausführen |
Nein |
Dieses Verzeichnis ist der Installationspfad für SharePoint 2013-Binärdateien und -Daten. Es kann während der Installation geändert werden. Wenn dieses Verzeichnis nach der Installation entfernt, geändert oder verschoben wird, ist die gesamte SharePoint 2013-Funktionalität nicht mehr funktionsfähig. |
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root |
Lesen, Ausführen |
Nein |
Dieses Verzeichnis ist das Stammverzeichnis, in dem Back-End-Stammwebdienste gehostet werden. Der einzige Dienst, der zunächst in diesem Verzeichnis installiert wird, ist ein globaler Verwaltungsdienst für die Suche. Ein Teil der Verwaltungsfunktionen für die Suche, von denen die serverspezifische Zentraladministration-Einstellungsseite verwendet wird, ist nicht mehr funktionsfähig, wenn dieses Verzeichnis entfernt oder geändert wird. |
%ProgramFiles%\Microsoft Office Servers\15.0\Logs |
Lesen, Schreiben |
Ja |
In diesem Verzeichnis wird zur Laufzeit die Diagnoseprotokollierung generiert. Die Protokollierung kann nicht ordnungsgemäß ausgeführt werden, wenn dieses Verzeichnis entfernt oder geändert wird. |
%ProgramFiles%\Microsoft Office Servers\15.0\Bin |
Lesen, Ausführen |
Nein |
Dieses Verzeichnis ist der Installationsort der SharePoint 2013-Binärdateien. Wenn dieses Verzeichnis nach der Installation entfernt oder geändert wird, ist die gesamte SharePoint 2013-Funktionalität nicht mehr funktionsfähig. |
Alle SharePoint 2013-Dienstkonten
In der folgenden Tabelle ist die Dateisystemberechtigung für alle SharePoint 2013-Dienstkonten aufgeführt:
Dateisystempfad | Berechtigungen | Erben | Beschreibung |
---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Ändern |
Nein |
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn dieses Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig. Alle SharePoint 2013-Dienstkonten benötigen Schreibberechtigungen für dieses Verzeichnis. |