Compartir a través de


Configurar la seguridad y los permisos de cuenta en SharePoint 2013

SE APLICA A:yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

En este artículo se describen los permisos de cuentas administrativas y de servicios de SharePoint para las áreas siguientes: Microsoft SQL Server, el sistema de archivos, los recursos compartidos de archivos y las entradas del Registro.

Importante

No use nombres de cuenta de servicio que contengan el símbolo $ con la excepción de usar una cuenta de servicio administrada de grupo para SQL Server.

Acerca de la configuración de la seguridad y los permisos de cuenta

El Asistente para configuración de SharePoint (psconfig) y el Asistente para la creación de granjas de servidores, que se ejecutan durante una instalación completa, configuran muchos de los permisos de cuenta de línea base de SharePoint y las opciones de seguridad.

Cuentas administrativas de SharePoint

Uno de los siguientes componentes de SharePoint configura automáticamente la mayoría de los permisos para cuentas administrativas de SharePoint durante el proceso de instalación:

  • El asistente para la configuración de SharePoint (Psconfig).

  • El asistente para la creación de una granja de servidores.

  • El sitio web Administración central de SharePoint.

  • PowerShell.

Cuenta de usuario del administrador de la granja de servidores

Esta cuenta es una cuenta de identificación única asignada al administrador de SharePoint y se usa para configurar cada servidor de la granja mediante la ejecución del Asistente para configuración de SharePoint, el Asistente para la creación de granja de servidores inicial y PowerShell. La cuenta debe ser un usuario de dominio. Para los ejemplos de este artículo, la cuenta de administrador de la granja de servidores se usa para la administración de granjas de servidores y puede usar Administración central para administrarla. Algunas opciones de configuración, como la configuración del servidor de consultas de búsqueda de SharePoint 2013, requieren permisos de administración local. La cuenta de usuario del administrador de la granja de servidores requiere los permisos siguientes:

  • Debe ser miembro del grupo Administradores locales en cada servidor de la granja de servidores de SharePoint.

  • Esta cuenta debe tener acceso a las bases de datos de SharePoint.

  • Si usa cualquier operación de PowerShell que afecte a una base de datos, la cuenta de administrador de usuario de instalación debe ser miembro del rol db_owner o del rol fijo de servidor sysadmin .

  • Esta cuenta debe asignarse a los roles fijos de servidor securityadmin y dbcreator durante la instalación y configuración o al rol fijo de servidor sysadmin en SQL Server.

Nota:

Los roles de seguridad securityadmin y dbcreator de SQL Server pueden ser necesarios para esta cuenta durante una actualización completa de una versión a otra, ya que es posible que se deban crear y proteger bases de datos para los servicios.

Después de ejecutar los asistentes para la configuración, los permisos de nivel de equipo para la cuenta de administrador de usuarios del programa de instalación incluyen:

  • Pertenencia al grupo de seguridad WSS_ADMIN_WPG de Windows.

  • Pertenencia al rol WSS_WPG.

Después de ejecutar los asistentes para configuración, los permisos de base de datos incluyen:

  • db_owner en la base de datos de configuración de la granja de servidores de SharePoint.

  • db_owner en la base de contenidos Administración central de SharePoint.

Precaución

Si la cuenta que usa para ejecutar los asistentes para configuración no tiene el rol especial apropiado de SQL Server ni acceso a las bases de datos como db_owner, los asistentes para configuración no funcionarán correctamente.

Cuenta de servicio de la granja de servidores de SharePoint

La cuenta de la granja de servidores se llama también cuenta de acceso a la base de datos y se usa como identidad del grupo de aplicaciones de SharePoint Foundation 2013 y como cuenta de proceso del servicio de temporizador de Administración central. La cuenta de granja de servidores debe ser una cuenta de usuario de dominio.

Los permisos se conceden automáticamente a la cuenta de granja de servidores en servidores web y servidores de aplicaciones que están unidos a una granja de servidores.

Después de ejecutar los asistentes para configuración, los permisos de SQL Server y base de datos incluyen:

  • Pertenencia al grupo de seguridad de Windows WSS_ADMIN_WPG para el servicio de temporizador de SharePoint Foundation 2013.

  • Pertenencia a WSS_RESTRICTED_WPG para los grupos de aplicaciones de servicio de temporizador y Administración central.

  • Pertenencia a WSS_WPG para el grupo de aplicaciones de Administración central.

  • Rol fijo de servidor Dbcreator

  • Rol fijo de servidor Securityadmin.

  • db_owner para todas los bases de datos de SharePoint.

  • Pertenencia al rol WSS_CONTENT_APPLICATION_POOLS para la base de datos de configuración de la granja de servidores de SharePoint.

  • Pertenencia al rol WSS_CONTENT_APPLICATION_POOLS para la base de datos de contenido SharePoint.

Cuentas de aplicación de servicio de SharePoint

En esta sección se describen las cuentas de aplicación de servicio que se configuran de forma predeterminada durante la instalación.

Cuenta del grupo de aplicaciones

La cuenta del grupo de aplicaciones se usa para la identidad del grupo de aplicaciones. La cuenta del grupo de aplicaciones debe ser una cuenta de usuario de dominio.

El siguiente permiso de nivel de equipo se configura automáticamente:

  • La cuenta del grupo de aplicaciones es miembro de WSS_WPG.

Los siguientes permisos de SQL Server y base de datos se configuran automáticamente para esta cuenta:

  • Las cuentas del grupo de aplicaciones para las aplicaciones web se asignan al rol SP_DATA_ACCESS de las bases de datos de contenido.

  • Esta cuenta se asigna al rol WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de configuración de la granja.

  • Esta cuenta se asigna al rol WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de contenido SharePoint_Admin.

Cuenta de acceso al contenido predeterminada

Importante

La información de esta sección solo se aplica a SharePoint Server 2016.

La cuenta predeterminada de acceso al contenido se usa en una aplicación de servicio específica para rastrear el contenido, a menos que se especifique un método de autenticación diferente mediante una regla de rastreo para una dirección URL o un patrón de URL. Esta cuenta requiere las siguientes opciones de configuración de permisos:

  • La cuenta predeterminada de acceso al contenido debe ser una cuenta de usuario de dominio que tenga acceso de lectura en los orígenes de contenido seguro o externo que se deseen rastrear con esta cuenta.

  • En el caso de los sitios de SharePoint Server que no formen parte de una granja de servidores, deberá conceder explícitamente a esta cuenta permisos de lectura completos para las aplicaciones web que hospedan los sitios.

  • Esta cuenta no debe ser miembro del grupo Administradores de la granja de servidores.

Cuentas de acceso al contenido

Importante

La información de esta sección solo se aplica a SharePoint Server 2016.

Las cuentas de acceso al contenido se configuran para tener acceso a contenido mediante la característica de reglas de rastreo de la administración de búsquedas. Este tipo de cuenta es opcional y se puede configurar al crear una nueva regla de rastreo. Por ejemplo, el contenido externo (como un recurso compartido de archivos) puede requerir esta cuenta de acceso al contenido independiente. Esta cuenta requiere las siguientes opciones de configuración de permisos:

  • La cuenta de acceso al contenido debe tener acceso de lectura a los orígenes de contenido externo o seguro para los que se ha configurado el acceso mediante esta cuenta.

  • La cuenta de acceso al contenido debe contener el derecho Administrar registro de auditoría y seguridad en la directiva de usuario local en los servidores de archivos de Windows que está configurado para rastrear.

  • En el caso de los sitios de SharePoint Server que no formen parte de una granja de servidores, deberá conceder explícitamente a esta cuenta permisos de lectura completos para las aplicaciones web que hospedan los sitios.

Cuenta de servicio desatendida de Servicios de Excel

Importante

La información de esta sección solo se aplica a SharePoint Server 2016.

Servicios de Excel usa la cuenta de servicio desatendida de Servicios de Excel para conectar a orígenes de datos externos que requieren un nombre de usuario y contraseña que se basan en sistemas operativos distintos de Windows para la autenticación. Si no se configura esta cuenta, Servicios de Excel no intentará conectarse a estos tipos de orígenes de datos. Aunque las credenciales de la cuenta se usan para conectar a orígenes de datos de sistemas operativos distintos de Windows, si la cuenta no es un miembro del dominio, Servicios de Excel no puede tener acceso a ella. Esta cuenta debe ser una cuenta de usuario de dominio.

Cuenta del grupo de aplicaciones de Mis sitios

Importante

La información de esta sección solo se aplica a SharePoint Server 2016.

La cuenta del grupo de aplicaciones de Mis sitios debe ser una cuenta de usuario de dominio. Esta cuenta no debe pertenecer al grupo Administradores de la granja de servidores.

El siguiente permiso de nivel de equipo se configura automáticamente:

  • Esta cuenta es miembro de WSS_WPG.

Los siguientes permisos de base de datos y SQL Server se configuran automáticamente:

  • Esta cuenta se asigna al rol WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de configuración de la granja.

  • Esta cuenta se asigna al rol WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de contenido SharePoint_Admin.

  • Las cuentas del grupo de aplicaciones para las aplicaciones web se asignan al rol SP_DATA_ACCESS de las bases de datos de contenido.

Otras cuentas del grupo de aplicaciones

La otra cuenta del grupo de aplicaciones debe ser una cuenta de usuario de dominio. Esta cuenta no debe pertenecer al grupo de administradores en ningún equipo de la granja de servidores.

El siguiente permiso de nivel de equipo se configura automáticamente:

  • Esta cuenta es miembro de WSS_WPG.

Los siguientes permisos de base de datos y SQL Server se configuran automáticamente:

  • Esta cuenta se asigna al rol SP_DATA_ACCESS de las bases de datos de contenido.

  • Esta cuenta se asigna al rol SP_DATA_ACCESS de la base de datos de búsqueda asociada a la aplicación web.

  • Esta cuenta debe tener acceso de lectura y escritura a la base de datos de la aplicación de servicio asociada.

  • Esta cuenta se asigna al rol WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de configuración de la granja.

  • Esta cuenta se asigna al rol WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de contenido SharePoint_Admin.

Nota:

Se recomienda usar una sola cuenta de grupo de aplicaciones web para todas las aplicaciones web de la granja de servidores, incluida la aplicación web Mis sitios. La excepción es la aplicación web de administración central que usa la cuenta de servicio de la granja de servidores.

Roles de bases de datos de SharePoint

En esta sección se describen los roles de bases de datos que la instalación configura de manera predeterminada o que usted puede configurar de manera opcional.

Rol de base de datos WSS_CONTENT_APPLICATION_POOLS

El rol de base de datos WSS_CONTENT_APPLICATION_POOLS se aplica a la cuenta del grupo de aplicaciones para cada aplicación web registrada en una granja de servidores de SharePoint. De esta manera quedan habilitadas las aplicaciones web para consultar y actualizar el mapa del sitio y para tener acceso de solo lectura a otros elementos de la base de datos de configuración. El programa de instalación asigna el rol WSS_CONTENT_APPLICATION_POOLS a las siguientes bases de datos:

  • La base de datos SharePoint_Config (la base de datos de configuración).

  • Base de datos de contenido SharePoint_Admin.

Los miembros del rol de base de datos WSS_CONTENT_APPLICATION_POOLS cuentan con permiso de ejecución para un subconjunto de procedimientos almacenados de la base de datos. Además, los miembros de este rol tienen el permiso select para la tabla Versions (dbo). Versiones) en la base de datos de contenido SharePoint_Admin. Para otras bases de datos, la herramienta de planeación de cuentas indica que el acceso de lectura a estas bases de datos se configura automáticamente. En algunos casos, también se configura automáticamente el acceso de escritura limitado a una base de datos. Para proporcionar este acceso, se configuran permisos para los procedimientos almacenados.

Rol de base de datos WSS_SHELL_ACCESS

El rol de base de datos WSS_SHELL_ACCESS seguro de la base de datos de configuración elimina la necesidad de agregar una cuenta de administración como db_owner en la base de datos de configuración. De forma predeterminada, la cuenta de administrador de la granja de servidores que ejecutó inicialmente el Asistente para configuración se asigna al rol de base de datos WSS_SHELL_ACCESS. Puede usar un comando PowerShell para conceder o quitar pertenencias a este rol. El programa de instalación asigna el rol WSS_SHELL_ACCESS a las siguientes bases de datos:

  • La base de datos SharePoint_Config (la base de datos de configuración).

  • Una o varias bases de datos de contenido de SharePoint. Esto se puede configurar mediante el comando de PowerShell que administra la pertenencia y el objeto asignado a este rol.

Los miembros del rol WSS_SHELL_ACCESS cuentan con permiso de ejecución para todos los procedimientos almacenados de la base de datos. Además, los miembros de este rol cuentan con permisos de lectura y escritura en todas las tablas de base de datos.

Rol de base de datos SP_READ_ONLY

El rol SP_READ_ONLY debe usarse en vez de la opción sp_dboption para configurar la base de datos en modo de solo lectura. Tal como indica su nombre, este rol debe usarse siempre que se requiera acceso de solo lectura, por ejemplo, para datos de uso y telemétricos.

Nota:

El procedimiento almacenado sp_dboption no está disponible en SQL Server 2012. Para obtener más información sobre sp_dboption, vea sp_dboption (Transact-SQL).

El rol SP_READ_ONLY SQL tendrá los siguientes permisos:

  • Conceder SELECT en todas las funciones y procedimientos almacenados de SharePoint

  • Conceder SELECT en todas las tablas de SharePoint

  • Conceder EXECUTE en los tipos definidos por el usuario que tengan el esquema dbo

Rol de base de datos SP_DATA_ACCESS

El rol SP_DATA_ACCESS es el predeterminado para acceso a bases de datos y debe usarse para todos los accesos de nivel de modelo de objetos a las bases de datos. Agregue la cuenta de grupo de aplicaciones a este rol durante las actualizaciones y nuevas implementaciones.

Nota:

El rol SP_DATA_ACCESS sustituye al rol db_owner en SharePoint 2013.

El rol SP_DATA_ACCESS tendrá los siguientes permisos:

  • Conceder EXECUTE o SELECT en todas las funciones y procedimientos almacenados de SharePoint

  • Conceder SELECT en todas las tablas de SharePoint

  • Conceder EXECUTE en los tipos definidos por el usuario que tengan el esquema dbo

  • Conceder INSERT en la tabla AllUserDataJunctions

  • Conceder UPDATE en la vista Sites

  • Conceder UPDATE en la vista UserData

  • Conceder UPDATE en la tabla AllUserData

  • Conceder INSERT y DELETE en las tablas NameValuePair

  • Conceder permisos de creación de tablas

Permisos de grupo

En esta sección se describen los permisos de grupos que se crean con las herramientas de configuración e instalación de SharePoint 2013.

WSS_ADMIN_WPG

WSS_ADMIN_WPG tiene acceso de lectura y escritura a los recursos locales. Las cuentas del grupo de aplicaciones para los servicios de temporizador y Administración central se incluyen en WSS_ADMIN_WPG. En la siguiente tabla se muestran los permisos de la entrada del Registro WSS_ADMIN_WPG.

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
Control total
No aplicable
No aplicable
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration{90150000-110D-0000-1000-0000000FF1CE}
Leer, Escribir
No aplicable
No aplicable
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server
Lectura
No
Esta clave es la raíz del árbol de valores del registro de SharePoint 2013. Si se modifica, se producirá un error en la funcionalidad de SharePoint 2013.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Control total
No
Esta clave es la raíz de la configuración del registro de SharePoint 2013.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Leer, Escribir
No
Esta clave contiene la configuración del servicio de conversión de documentos. La modificación de esta clave anulará la funcionalidad de conversión de documentos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Leer, Escribir
No
Esta clave contiene la configuración del servicio de conversión de documentos. La modificación de esta clave anulará la funcionalidad de conversión de documentos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search
Control total
No aplicable
No aplicable
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search
Control total
No aplicable
No aplicable
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Control total
No
Esta clave contiene la cadena de conexión y el identificador de la base de datos de configuración a la que está unido el equipo. Si se modifica esta clave, la instalación de SharePoint 2013 en el equipo no funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Control total

Esta clave contiene configuraciones usadas durante la instalación. Si se modifica esta clave, puede producirse un error en el registro de diagnóstico y en la configuración de la instalación o posterior a la instalación.

En la siguiente tabla se muestran los permisos del sistema de archivos de WSS_ADMIN_WPG.

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%AllUsersProfile%\ Microsoft\SharePoint
Control total
No
Este directorio contiene la memoria caché copiada en el sistema de archivos de la configuración de la granja de servidores. Si se modifica o elimina este directorio, puede que no se inicien los procesos y puede producirse un error en las acciones administrativas.
C:\Inetpub\wwwroot\wss
Control total
No
Este directorio (o el directorio correspondiente de la raíz de Inetpub en el servidor) se usa como ubicación predeterminada para los sitios web de IIS. Si se modifica o elimina este directorio, los sitios de SharePoint no estarán disponibles y puede producirse un error en las acciones administrativas, a menos que se proporcionen rutas de acceso personalizadas de sitio web de IIS para todos los sitios web de IIS extendidos con SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Control total
No
Este directorio es la ubicación de instalación para los archivos binarios y datos de SharePoint 2013. El directorio se puede cambiar durante la instalación. Si este directorio se quita, modifica o mueve después de la instalación, se producirá un error en toda la funcionalidad de SharePoint 2013. Para que algunos servicios de SharePoint 2013 puedan almacenar datos en disco, se requiere la pertenencia al grupo de seguridad de Windows WSS_ADMIN_WPG.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Leer, Escribir
No
Es el directorio raíz en el que se hospedan los servicios web back-end (por ejemplo, Excel y Búsqueda). Si se quita o modifica este directorio, se producirá un error en las características de SharePoint 2013 que dependen de estos servicios.
%ProgramFiles%\Microsoft Office Servers\15.0\Data
Control total
No
Este directorio es la ubicación raíz donde se almacenan los datos locales, incluidos los índices de búsqueda. Se producirá un error en la funcionalidad de búsqueda si se quita o se modifica este directorio. Para que la búsqueda pueda guardar y proteger los datos de esta carpeta, se necesitan permisos del grupo de seguridad de Windows WSS_ADMIN_WPG.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Control total

Este directorio es la ubicación donde se genera el registro de diagnóstico en tiempo de ejecución. Si se quita o modifica este directorio, la funcionalidad de registro no se ejecutará correctamente.
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server
Control total

Igual que la carpeta principal.
%windir%\System32\drivers\etc\HOSTS
Leer, Escribir
No aplicable
No aplicable
%windir%\Tasks
Control total
No aplicable
No aplicable
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15
Modificar

Es el directorio de instalación de los archivos principales de SharePoint 2013. Si se modifica la lista de control de acceso (ACL), la activación de características, la implementación de soluciones y otras características dejarán de funcionar correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Control total

Este directorio contiene los servicios SOAP para Administración central. Si se modifica este directorio, la creación de sitios remotos y otros métodos expuestos en el servicio no funcionarán correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Control total

Este directorio contiene los archivos que se usan para extender los sitios web de IIS con SharePoint 2013. Si se modifica este directorio o su contenido, el aprovisionamiento de aplicaciones web no funcionará correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Control total
No
Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica este directorio, el registro de diagnóstico no funcionará correctamente.
%windir%\temp
Control total

Este directorio lo usan los componentes de la plataforma de los que depende SharePoint 2013. Si se modifica la lista de control de acceso, puede producirse un error en la presentación de elementos web y otras operaciones de deserialización.
%windir%\System32\logfiles\SharePoint
Control total
No
SharePoint Server usa este directorio para el registro de uso. Si se modifica este directorio, el registro de uso no funcionará correctamente.
Esta clave de registro solo se aplica a SharePoint Server.
Carpeta %systemdrive\program files\Microsoft Office Servers\15 en los servidores de índice
Control total
No aplicable
Este permiso se concede para una carpeta %systemdrive\Archivos de programa\Microsoft Office Servers\15 en servidores de índices.

WSS_WPG

WSS_WPG tiene acceso de lectura a los recursos locales. Todas las cuentas de servicio y grupos de aplicaciones se incluyen en WSS_WPG. En la siguiente tabla se muestran los permisos de la entrada del Registro WSS_WPG.

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Lectura
No
Esta clave es la raíz de la configuración del registro de SharePoint 2013.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics
Leer, Escribir
No
Esta clave contiene la configuración para el registro de diagnóstico de SharePoint 2013. La modificación de esta clave interrumpirá la funcionalidad de registro.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Leer, Escribir
No
Esta clave contiene la configuración del servicio de conversión de documentos. La modificación de esta clave anulará la funcionalidad de conversión de documentos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Leer, Escribir
No
Esta clave contiene la configuración del servicio de conversión de documentos. La modificación de esta clave anulará la funcionalidad de conversión de documentos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Lectura
No
Esta clave contiene la cadena de conexión y el identificador de la base de datos de configuración a la que está unido el equipo. Si se modifica esta clave, la instalación de SharePoint 2013 en el equipo no funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Lectura

Esta clave contiene configuraciones que se usan durante la instalación. Si se modifica esta clave, puede producirse un error en el registro de diagnóstico y en la configuración de la instalación o posterior a la instalación.

En la siguiente tabla se muestran los permisos del sistema de archivos de WSS_WPG.

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%AllUsersProfile%\ Microsoft\SharePoint
Lectura
No
Este directorio contiene la memoria caché copiada en el sistema de archivos de la configuración de la granja de servidores. Si se modifica o elimina este directorio, puede que no se inicien los procesos y puede producirse un error en las acciones administrativas.
C:\Inetpub\wwwroot\wss
Leer, Ejecutar
No
Este directorio (o el directorio correspondiente de la raíz de Inetpub en el servidor) se usa como ubicación predeterminada para los sitios web de IIS. Si se modifica o elimina este directorio, los sitios de SharePoint no estarán disponibles y puede producirse un error en las acciones administrativas, a menos que se proporcionen rutas de acceso personalizadas de sitio web de IIS para todos los sitios web de IIS extendidos con SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Leer, Ejecutar
No
Este directorio es la ubicación de instalación para los archivos binarios y datos de SharePoint 2013. Se puede cambiar durante la instalación. Si este directorio se quita, modifica o mueve después de la instalación, se producirá un error en toda la funcionalidad de SharePoint 2013. Se requieren permisos de lectura y ejecución de WSS_WPG para que los sitios de IIS carguen archivos binarios de SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Lectura
No
Es el directorio raíz en el que se hospedan los servicios web back-end (por ejemplo, Excel y Búsqueda). Si se quita o modifica este directorio, se producirá un error en las características de SharePoint 2013 que dependen de estos servicios.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Leer, Escribir

Este directorio es la ubicación donde se genera el registro de diagnóstico en tiempo de ejecución. Si se quita o modifica este directorio, la funcionalidad de registro no se ejecutará correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Lectura

Este directorio contiene los servicios SOAP para Administración central. Si se modifica este directorio, la creación de sitios remotos y otros métodos expuestos en el servicio no funcionarán correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Lectura

Este directorio contiene los archivos que se usan para extender los sitios web de IIS con SharePoint 2013. Si se modifica este directorio o su contenido, el aprovisionamiento de aplicaciones web no funcionará correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Modificación
No
Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica este directorio, el registro de diagnóstico no funcionará correctamente.
%windir%\temp
Lectura

Este directorio lo usan los componentes de la plataforma de los que depende SharePoint 2013. Si se modifica la lista de control de acceso, puede producirse un error en la presentación de elementos web y otras operaciones de deserialización.
%windir%\System32\logfiles\SharePoint
Lectura
No
SharePoint Server usa este directorio para el registro de uso. Si se modifica este directorio, el registro de uso no funcionará correctamente.
Esta clave del Registro solo se aplica a SharePoint Server.
%systemdrive\program files\Microsoft Office Servers\15
Leer, Ejecutar
No aplicable
El permiso se concede para una carpeta %systemdrive\Archivos de programa\Microsoft Office Servers\15 en servidores de índices.

Servicio local

En la siguiente tabla se muestra el permiso de la entrada del Registro del servicio local:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lectura
No
Esta clave contiene la configuración del servicio de conversión de documentos. La modificación de esta clave anulará la funcionalidad de conversión de documentos.

En la siguiente tabla se muestra el permiso del sistema de archivos del servicio local:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Leer, Ejecutar
No
Este directorio es la ubicación de instalación de los archivos binarios de SharePoint 2013. Se producirá un error en la funcionalidad de SharePoint 2013 si se quita o se modifica este directorio.

Sistema local

En la siguiente tabla se muestran los permisos de la entrada del Registro del sistema local:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lectura
No
Esta clave contiene la configuración del servicio de conversión de documentos. La modificación de esta clave anulará la funcionalidad de conversión de documentos.
Esta clave de registro solo se aplica a SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Control total
No
Esta clave contiene la cadena de conexión y el identificador de la base de datos de configuración a la que está unido el equipo. Si se modifica esta clave, la instalación de SharePoint 2013 en el equipo no funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Control total
No
Esta clave contiene la clave de cifrado que se usa para almacenar secretos en la base de datos de configuración. Si se modifica esta clave, se producirá un error en el aprovisionamiento de servicios y otras características.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Control total

Esta clave contiene configuraciones que se usan durante la instalación. Si se modifica esta clave, puede producirse un error en el registro de diagnóstico y en la configuración de la instalación o posterior a la instalación.

En la siguiente tabla se muestran los permisos del sistema de archivos local:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%AllUsersProfile%\ Microsoft\SharePoint
Control total
No
Este directorio contiene la memoria caché copiada en el sistema de archivos de la configuración de la granja de servidores. Si se modifica o elimina este directorio, puede que los procesos no se inicien y puede producirse un error en las acciones administrativas.
C:\Inetpub\wwwroot\wss
Control total
No
Este directorio (o el directorio correspondiente de la raíz de Inetpub en el servidor) se usa como ubicación predeterminada para los sitios web de IIS. Si se modifica o elimina este directorio, los sitios de SharePoint no estarán disponibles y puede producirse un error en las acciones administrativas, a menos que se proporcionen rutas de acceso personalizadas de sitio web de IIS para todos los sitios web de IIS extendidos con SharePoint 2013.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Control total

Este directorio contiene los servicios SOAP para Administración central. Si se modifica este directorio, la creación de sitios remotos y otros métodos expuestos en el servicio no funcionarán correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Control total

Si se modifica este directorio o su contenido, no funcionará correctamente el aprovisionamiento de la aplicación web.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Control total
No
Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica este directorio, el registro de diagnóstico no funcionará correctamente.
%windir%\temp
Control total

Este directorio lo usan los componentes de la plataforma de los que depende SharePoint 2013. Si se modifica la lista de control de acceso, puede producirse un error en la presentación de elementos web y otras operaciones de deserialización.
%windir%\System32\logfiles\SharePoint
Control total
No
SharePoint Server usa este directorio para el registro de uso. Si se modifica este directorio, el registro de uso no funcionará correctamente.
Esta clave de registro solo se aplica a SharePoint Server.

Servicio de red

En la siguiente tabla se muestra el permiso de la entrada del Registro del servicio de red:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup
Lectura
No aplicable
No aplicable

Administradores

En la siguiente tabla se muestran los permisos de la entrada del Registro de los administradores:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Control total
No
Esta clave contiene la cadena de conexión y el identificador de la base de datos de configuración a la que está unido el equipo. Si se modifica esta clave, la instalación de SharePoint 2013 en el equipo no funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Control total
No
Esta clave contiene la clave de cifrado que se usa para almacenar secretos en la base de datos de configuración. Si se modifica esta clave, se producirá un error en el aprovisionamiento de servicios y otras características.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Control total

Esta clave contiene configuraciones que se usan durante la instalación. Si se modifica esta clave, puede producirse un error en el registro de diagnóstico y en la configuración de la instalación o posterior a la instalación.

En la siguiente tabla se muestran los permisos del sistema de archivos de los administradores:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%AllUsersProfile%\ Microsoft\SharePoint
Control total
No
Este directorio contiene la memoria caché copiada en el sistema de archivos de la configuración de la granja de servidores. Si se modifica o elimina este directorio, puede que los procesos no se inicien y puede producirse un error en las acciones administrativas.
C:\Inetpub\wwwroot\wss
Control total
No
Este directorio (o el directorio correspondiente de la raíz de Inetpub en el servidor) se usa como ubicación predeterminada para los sitios web de IIS. Si se modifica o elimina este directorio, los sitios de SharePoint no estarán disponibles y puede producirse un error en las acciones administrativas, a menos que se proporcionen rutas de acceso personalizadas de sitio web de IIS para todos los sitios web de IIS extendidos con SharePoint 2013.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Control total

Este directorio contiene los servicios SOAP para Administración central. Si se modifica este directorio, la creación de sitios remotos y otros métodos expuestos en el servicio no funcionarán correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Control total

Si se modifica este directorio o su contenido, el aprovisionamiento de aplicaciones web no funcionará correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Control total
No
Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica este directorio, el registro de diagnóstico no funcionará correctamente.
%windir%\temp
Control total

A este directorio lo usan los componentes de la plataforma de los que depende SharePoint 2013. Si se modifica la lista de control de acceso (ACL), puede producirse un error en la presentación de elementos web y otras operaciones de deserialización.
%windir%\System32\logfiles\SharePoint
Control total
No
SharePoint Server usa este directorio para el registro de uso. Si se modifica este directorio, el registro de uso no funcionará correctamente.
Esta clave de registro solo se aplica a SharePoint Server.

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG puede leer la entrada del Registro de la credencial de administración de la granja de servidores cifrados. WSS_RESTRICTED_WPG solamente se usa para el cifrado y descifrado de las contraseñas almacenadas en la base de datos de configuración. En la siguiente tabla se muestra el permiso de la entrada del Registro WSS_RESTRICTED_WPG:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Control total
No
Esta clave contiene la clave de cifrado que se usa para almacenar secretos en la base de datos de configuración. Si se modifica esta clave, se producirá un error en el aprovisionamiento de servicios y otras características.

Grupo de usuarios

En la siguiente tabla se muestran los permisos del sistema de archivos del grupo de usuarios:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%ProgramFiles%\Microsoft Office Servers\15.0
Leer, Ejecutar
No
Este directorio es la ubicación de instalación para los archivos binarios y datos de SharePoint 2013. Se puede cambiar durante la instalación. Si este directorio se quita, modifica o mueve después de la instalación, se producirá un error en toda la funcionalidad de SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root
Leer, Ejecutar
No
Este es el directorio raíz donde se hospedan los servicios web raíz back-end. El único servicio que se instala inicialmente en este directorio es un servicio de administración global de la búsqueda. Si se quita o se modifica este directorio, dejará de funcionar parte de la funcionalidad de administración de búsqueda que usa la página de configuración de Administración central específica del servidor.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Leer, Escribir

Este directorio es la ubicación donde se genera el registro de diagnóstico en tiempo de ejecución. El registro no funcionará correctamente si se quita o modifica este directorio.
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Leer, Ejecutar
No
Este directorio es la ubicación de instalación de los archivos binarios de SharePoint 2013. Se producirá un error en la funcionalidad de SharePoint 2013 si se quita o se modifica este directorio.

Todas las cuentas de servicio de SharePoint 2013

En la siguiente tabla se muestra el permiso del sistema de archivos de las cuentas de servicio de SharePoint 2013:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Modificación
No
Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica este directorio, el registro de diagnóstico no funcionará correctamente. Todas las cuentas de servicio de SharePoint 2013 deben tener permiso de escritura en este directorio.

Vea también

Conceptos

Instalación y configuración de SharePoint Server 2016