Compartir a través de


Permisos de cuenta y configuración de seguridad en servidores de SharePoint

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

En este artículo se describen los permisos de cuentas administrativas y de servicios de SharePoint para las áreas siguientes: Microsoft SQL Server, el sistema de archivos, los recursos compartidos de archivos y las entradas del Registro.

Importante

No use nombres de cuenta de servicio que contengan el símbolo $ con la excepción de usar una cuenta de servicio administrada de grupo para SQL Server.

Obtenga más información sobre el rol de administrador de SharePoint en Microsoft 365.

Acerca de los permisos de cuenta y la configuración de seguridad en servidores de SharePoint

Tanto el Asistente para la configuración de productos de SharePoint (Psconfig) como el Asistente para creación de granjas de servidores se ejecutan durante una instalación completa y permiten configurar muchos de los parámetros de seguridad y permisos de línea base para cuentas de SharePoint.

Recomendaciones de cuenta de servicio

En las secciones siguientes se describen las recomendaciones sobre las cuentas de servicio de SharePoint.

Recomendaciones de cuenta de servicio

Microsoft recomienda usar un número mínimo de cuentas de grupo de aplicaciones de servicio en la granja de servidores. Esta recomendación consiste en reducir el uso de memoria y aumentar el rendimiento, a la vez que se mantiene el nivel de seguridad adecuado.

  • Use una cuenta de identificación personal con privilegios elevados para la instalación, el mantenimiento y las actualizaciones de SharePoint. Esta cuenta contendrá los roles necesarios como se describe en la cuenta de administrador de la granja de servidores de SharePoint. Cada administrador de SharePoint debe usar una cuenta independiente para que su actividad realizada en la granja de servidores se identifique claramente.

  • Si es posible, use un grupo de seguridad, Grupos de administradores de granja de servidores de SharePoint, para unificar todas las cuentas individuales de administrador de granja de servidores de SharePoint y conceder permisos como se describe en la cuenta de administrador de granja de servidores de SharePoint. Este uso de un grupo de seguridad simplifica considerablemente la administración de las cuentas de administrador de la granja de servidores de SharePoint.

  • La cuenta de servicio de granja de servidores de SharePoint solo debe ejecutar el servicio de temporizador de SharePoint, SharePoint Insights (si procede), los grupos de aplicaciones de IIS para administración central, el sistema de Servicios web de SharePoint (que se usa para el servicio de topología) y SecurityTokenServiceApplicationPool (que se usa para el servicio de token de seguridad).

  • Se debe usar una sola cuenta para todas las aplicaciones de servicio, denominada cuenta de grupo de aplicaciones de servicio. Este uso de una sola cuenta permite al administrador usar un único grupo de aplicaciones de IIS para todas las aplicaciones de servicio. Además, esta cuenta debe ejecutar los siguientes servicios de Windows: Controlador de host de búsqueda de SharePoint, Búsqueda de SharePoint Server y Caché distribuida (AppFabric Caching Service).

  • Se debe usar una sola cuenta para todas las aplicaciones web, denominada cuenta de grupo de aplicaciones web. Este uso de una sola cuenta permite al administrador usar un único grupo de aplicaciones de IIS para todas las aplicaciones web, excepto la aplicación web de administración central que ejecuta la cuenta de servicio de granja de servidores de SharePoint.

  • Excepto para la cuenta de servicio de notificaciones de token de Windows, ninguna cuenta del grupo de aplicaciones de servicio debe tener acceso de administrador local a cualquier servidor de SharePoint, ni a ningún rol de SQL Server con privilegios elevados, por ejemplo, el rol fijo sysadmin . La cuenta de administrador de la granja de servidores de SharePoint requerirá los roles fijos dbcreator y securityadmin a menos que aprovisione previamente bases de datos de SharePoint y asigne manualmente permisos a cada base de datos.

  • Las cuentas del grupo de aplicaciones de servicio, excepto la cuenta que ejecuta el servicio de notificaciones de token de Windows, deben tener denegar el inicio de sesión localmente y denegar el inicio de sesión a través de servicios de Escritorio remoto en la directiva de seguridad local\Asignación de derechos de usuario. Estos valores se establecen a través de secpol.msc.

  • Use cuentas independientes para el acceso al contenido (rastreador de búsqueda), el super lector del portal, el superusuario del portal y la sincronización de aplicaciones del servicio de perfiles de usuario, si procede.

  • La cuenta De notificaciones al servicio de token de Windows es una cuenta con privilegios elevados en la granja de servidores. Antes de implementar este servicio, compruebe si es necesario. Si es necesario, use una cuenta independiente para este servicio.

Introducción a las recomendaciones de cuentas de servicio

Nombre de la cuenta de servicio ¿Para qué se usa? ¿Cuántos se deben usar?
Cuenta de administrador de granja de servidores de SharePoint Cuenta de identificación personal para un administrador de SharePoint 1-n
Cuenta de servicio de granja de servidores de SharePoint Timer Service, Insights, IIS App for CA, SP Web Services System, Security Token Service App Pool 1
Cuenta predeterminada de acceso al contenido Búsqueda de orígenes internos y externos de rastreo 1
Cuentas de acceso al contenido Búsqueda de orígenes internos y externos de rastreo 1-n
Cuenta del grupo de aplicaciones web Todas las aplicaciones web sin administración central 1
Cuenta del grupo de aplicaciones de SharePoint Service Todas las aplicaciones de servicio 1
Super lector del portal Almacenamiento en memoria caché de objetos 1
Superusuario del portal Almacenamiento en memoria caché de objetos 1
Sincronización de aplicaciones del servicio de perfil de usuario Se usa para la importación de Active Directory 1-n

Cuentas administrativas de SharePoint

Uno de los siguientes componentes de SharePoint configura automáticamente la mayoría de los permisos para cuentas administrativas de SharePoint durante el proceso de instalación:

  • El Asistente para la configuración de productos de SharePoint (Psconfig).

  • El asistente para la configuración de granjas de servidores.

  • El sitio web de Administración central de SharePoint.

  • PowerShell de Microsoft.

Cuenta de administrador de granja de servidores de SharePoint

Esta cuenta se usa para configurar cada servidor de la granja mediante la ejecución del Asistente para configuración de productos de SharePoint (Psconfig), el Asistente para configuración de granja de servidores inicial y PowerShell. Para los ejemplos de este artículo, la cuenta de administrador de granja de servidores de SharePoint se usa para la administración de granjas de servidores y puede usar Administración central para administrarla. Algunas opciones de configuración, por ejemplo, la configuración del servidor de consultas de Búsqueda de SharePoint Server, requieren permisos de administración local. La cuenta de administrador de la granja de servidores de SharePoint tiene los siguientes requisitos:

  • Debe tener permisos de cuenta de usuario del dominio.

  • Debe ser miembro del grupo administradores local en cada servidor de la granja de SharePoint.

  • Esta cuenta debe tener acceso a las bases de datos de SharePoint.

  • Si usa cualquier operación de PowerShell que afecte a una base de datos, la cuenta de administrador de la granja de servidores de SharePoint debe ser miembro del rol db_owner .

  • Esta cuenta debe estar asignada a los roles de seguridad securityadmin y dbcreator de SQL Server durante la instalación y la configuración.

Nota:

Los roles de seguridad securityadmin y dbcreator de SQL Server pueden ser necesarios para esta cuenta durante una actualización completa de una versión a otra, ya que es posible que se deban crear y proteger bases de datos para los servicios.

Después de ejecutar los asistentes de configuración, los permisos de nivel de máquina para la cuenta de administrador de granja de servidores de SharePoint incluyen:

  • Pertenencia al grupo de seguridad WSS_ADMIN_WPG Windows.

Después de ejecutar los asistentes para configuración, los permisos de base de datos incluyen:

  • db_owner en la base de datos de configuración de la granja de servidores de SharePoint.

  • db_owner en la base de contenidos Administración central de SharePoint.

Precaución

Si la cuenta que usa para ejecutar los asistentes de configuración no tiene el acceso o pertenencia a roles especiales de SQL Server adecuados como db_owner en las bases de datos, los asistentes de configuración no se ejecutarán correctamente.

Cuenta de servicio de granja de servidores de SharePoint

La cuenta de servicio de la granja de servidores de SharePoint, a la que también se hace referencia como cuenta de acceso a la base de datos, se usa como la identidad del grupo de aplicaciones para Administración central y como la cuenta de proceso para el servicio de temporizador de SharePoint. La cuenta de granja de servidores tiene el siguiente requisito:

  • Debe tener permisos de cuenta de usuario del dominio.

Los permisos adicionales se conceden automáticamente a la cuenta de servicio de granja de servidores de SharePoint en servidores de SharePoint que están unidos a una granja de servidores.

Después de ejecutar el programa de instalación, los permisos de nivel de equipo incluyen:

  • Pertenencia al grupo de seguridad WSS_ADMIN_WPG Windows para el servicio de temporizador de SharePoint.

  • Pertenencia a WSS_RESTRICTED_WPG para los grupos de aplicaciones del servicio de temporizador y administración central.

  • Pertenencia a WSS_WPG para el grupo de aplicaciones de Administración central.

Después de ejecutar los asistentes para configuración, los permisos de SQL Server y base de datos incluyen:

  • Rol fijo de servidor Dbcreator

  • Rol fijo de servidor Securityadmin.

  • db_owner para todas los bases de datos de SharePoint.

  • Pertenencia al rol de WSS_CONTENT_APPLICATION_POOLS para la base de datos de configuración de granja de servidores de SharePoint.

  • Pertenencia al rol de WSS_CONTENT_APPLICATION_POOLS para la base de datos de contenido de SharePoint_Admin.

Cuentas del grupo de aplicaciones de SharePoint

En esta sección se describen las cuentas del grupo de aplicaciones de SharePoint que se configuran de forma predeterminada durante la instalación.

Cuenta predeterminada de acceso al contenido

La cuenta predeterminada de acceso al contenido se usa en una aplicación de servicio específica para rastrear el contenido, a menos que se especifique un método de autenticación diferente mediante una regla de rastreo para una dirección URL o un patrón de URL. Esta cuenta requiere las siguientes opciones de configuración de permisos:

  • La cuenta de acceso al contenido predeterminada debe ser una cuenta de usuario de dominio que tenga acceso de lectura a orígenes de contenido externos o seguros que quiera rastrear mediante esta cuenta.

  • Para los sitios de SharePoint Server que no forman parte de la granja de servidores, debe conceder explícitamente a esta cuenta permiso de lectura completo a las aplicaciones web que hospedan los sitios.

  • Esta cuenta no debe ser miembro del grupo Administradores de la granja de servidores.

Cuentas de acceso al contenido

Las cuentas de acceso al contenido se configuran para tener acceso a contenido mediante la característica de reglas de rastreo de la administración de búsquedas. Este tipo de cuenta es opcional y se puede configurar al crear una nueva regla de rastreo. Por ejemplo, el contenido externo (como un recurso compartido de archivos) puede requerir esta cuenta de acceso al contenido independiente. Esta cuenta requiere las siguientes opciones de configuración de permisos:

  • La cuenta de acceso al contenido debe tener acceso de lectura a orígenes de contenido externos o seguros a los que esta cuenta está configurada para acceder.

  • Para los sitios de SharePoint Server que no forman parte de la granja de servidores, debe conceder explícitamente a esta cuenta permiso de lectura completo a las aplicaciones web que hospedan los sitios.

Cuenta del grupo de aplicaciones web

La cuenta del grupo de aplicaciones web debe ser una cuenta de usuario de dominio. Esta cuenta no debe ser miembro del grupo Administradores de la granja de servidores.

Esta cuenta debe usarse para todas las aplicaciones web sin Administración central.

El siguiente permiso de nivel de equipo se configura automáticamente:

  • Esta cuenta es miembro de WSS_WPG.

Los siguientes permisos de base de datos y SQL Server se configuran automáticamente:

  • Esta cuenta se asigna al rol de WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de configuración de la granja de servidores.

  • Esta cuenta se asigna al rol de WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de contenido administrador de SharePoint.

  • Las cuentas del grupo de aplicaciones para aplicaciones web se asignan al rol SPDataAccess para las bases de datos de contenido.

Cuenta del grupo de aplicaciones de SharePoint Service

La cuenta del grupo de aplicaciones del servicio SharePoint debe ser una cuenta de usuario de dominio. Esta cuenta no debe pertenecer al grupo de administradores en ningún equipo de la granja de servidores.

El siguiente permiso de nivel de equipo se configura automáticamente:

  • Esta cuenta es miembro de WSS_WPG.

Los siguientes requisitos o permisos de SQL Server y bases de datos se configuran automáticamente:

  • Esta cuenta se asigna al rol SPDataAccess para las bases de datos de contenido.

  • Esta cuenta se asigna al rol SPDataAccess para una base de datos de búsqueda asociada a la aplicación web.

  • Esta cuenta debe tener acceso de lectura y escritura a la base de datos de aplicación de servicio asociada.

  • Esta cuenta se asigna al rol de WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de configuración de la granja de servidores.

  • Esta cuenta se asigna al rol de WSS_CONTENT_APPLICATION_POOLS asociado a la base de datos de contenido de SharePoint_Admin.

Roles de bases de datos de SharePoint

En esta sección se describen los roles de bases de datos que la instalación configura de manera predeterminada o que usted puede configurar de manera opcional.

Rol de base de datos WSS_CONTENT_APPLICATION_POOLS

El rol de base de datos WSS_CONTENT_APPLICATION_POOLS se aplica a la cuenta del grupo de aplicaciones para cada aplicación web registrada en una granja de servidores de SharePoint. Esta aplicabilidad de roles permite a las aplicaciones web consultar y actualizar el mapa del sitio y tener acceso de solo lectura a otros elementos de la base de datos de configuración. El programa de instalación asigna el rol de WSS_CONTENT_APPLICATION_POOLS a las bases de datos siguientes:

  • La base de datos de configuración de SharePoint (la base de datos de configuración)

  • La base de datos de contenido de administración de SharePoint

Los miembros del rol WSS_CONTENT_APPLICATION_POOLS tienen el permiso de ejecución para un subconjunto de los procedimientos almacenados para la base de datos. Además, los miembros de este rol tienen el permiso select para la tabla Versions (dbo). Versiones) en la base de datos SharePoint_AdminContent. Para otras bases de datos, la herramienta de planeación de cuentas indica que el acceso de lectura a estas bases de datos se configura automáticamente. En algunos casos, también se configura automáticamente el acceso de escritura limitado a una base de datos. Para proporcionar este acceso, se configuran permisos para los procedimientos almacenados.

rol de base de datos SharePoint_SHELL_ACCESS

El rol de base de datos de SharePoint_SHELL_ACCESS segura en la base de datos de configuración reemplaza la necesidad de agregar una cuenta de administración como db_owner en la base de datos de configuración. De forma predeterminada, la cuenta de instalación se asigna al rol de base de datos SharePoint_SHELL_ACCESS . Puede usar un comando PowerShell para conceder o quitar pertenencias a este rol. El programa de instalación asigna el rol de SharePoint_SHELL_ACCESS a las bases de datos siguientes:

  • La base de datos SharePoint_Config (la base de datos de configuración).

  • Una o varias bases de datos de contenido de SharePoint. Esta base de datos se puede configurar mediante el comando de PowerShell que administra la pertenencia y el objeto asignado a este rol.

Los miembros del rol SharePoint_SHELL_ACCESS tienen el permiso de ejecución para todos los procedimientos almacenados de la base de datos. Además, los miembros de este rol tienen los permisos de lectura y escritura en todas las tablas de base de datos.

Rol de base de datos SPREADONLY

El rol SPREADONLY debe usarse para establecer la base de datos en modo de solo lectura en lugar de usar sp_dboption. Este rol, como sugiere su nombre, debe usarse cuando solo se necesita acceso de lectura para los datos de telemetría y uso.

Nota:

El procedimiento almacenado sp_dboption no está disponible en SQL Server 2012. Para obtener más información sobre sp_dboption, vea sp_dboption (Transact-SQL).

El rol DE SQL SPREADONLY tendrá los permisos siguientes:

  • Conceder SELECT en todas las funciones y procedimientos almacenados de SharePoint.

  • Conceder SELECT en todas las tablas de SharePoint.

  • Conceda a EXECUTE en los tipos definidos por el usuario donde el esquema es dbo.

Rol de base de datos SPDataAccess

El rol SPDataAccess es el rol predeterminado para el acceso a la base de datos y se debe usar para todo el acceso de nivel de modelo de objetos a las bases de datos. Agregue la cuenta del grupo de aplicaciones a este rol durante las actualizaciones o las nuevas implementaciones.

Nota:

El rol SPDataAccess reemplazó el rol de db_owner en SharePoint Server 2016.

El rol SPDataAccess tendrá los permisos siguientes:

  • Conceder EXECUTE o SELECT en todas las funciones y procedimientos almacenados de SharePoint.

  • Conceder SELECT en todas las tablas de SharePoint.

  • Conceda a EXECUTE en los tipos definidos por el usuario donde el esquema es dbo.

  • Conceder INSERT en la tabla AllUserDataJunctions.

  • Conceder UPDATE en la vista Sites.

  • Conceder UPDATE en la vista UserData.

  • Conceder UPDATE en la tabla AllUserData.

  • Conceder INSERT y DELETE en las tablas NameValuePair.

  • Conceder permisos de creación de tablas.

Permisos de grupo

En esta sección se describen los permisos de los grupos que crean las herramientas de configuración y configuración de SharePoint Server 2016 y 2019.

WSS_ADMIN_WPG

WSS_ADMIN_WPG tiene acceso de lectura y escritura a los recursos locales. Las cuentas del grupo de aplicaciones para los servicios de administración central y temporizador están en WSS_ADMIN_WPG. En la tabla siguiente se muestran los permisos de entrada del Registro de WSS_ADMIN_WPG :

Nota:

SharePoint 2013 usa la ruta de acceso del Registro "15.0" en lugar de "16.0" y la ruta de acceso del sistema de archivos "15" en lugar de "16". Algunas rutas de acceso enumeradas en las tablas posteriores no se aplican a SharePoint Foundation 2013.

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS Control total No disponible No aplicable
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} Leer, Escribir No disponible No disponible
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server Lectura No Esta clave es la raíz del árbol de configuración del Registro de SharePoint Server. Si se modifica esta clave, se producirá un error en la funcionalidad de SharePoint Server.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 Control total No Esta clave es la raíz de la configuración del Registro de SharePoint Server 2016.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings Leer, Escribir No Esta clave contiene la configuración del servicio de conversión de documentos. La modificación de esta clave anulará la funcionalidad de conversión de documentos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings Leer, Escribir No Esta clave contiene la configuración del servicio de conversión de documentos. La modificación de esta clave anulará la funcionalidad de conversión de documentos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search Control total No disponible No disponible
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search Control total No disponible No disponible
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Control total No Esta clave contiene la cadena de conexión y el identificador de la base de datos de configuración a la que está unido el equipo. Si se modifica esta clave, la instalación de SharePoint Server en el equipo no funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Control total Esta clave contiene configuraciones usadas durante la instalación. Si se modifica esta clave, podría producirse un error en el registro de diagnóstico y en la configuración de la instalación o posterior a la instalación.

En la siguiente tabla se muestran los permisos del sistema de archivos de WSS_ADMIN_WPG.

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%AllUsersProfile%\ Microsoft\SharePoint Control total No Este directorio contiene la memoria caché copiada en el sistema de archivos de la configuración de la granja de servidores. Si este directorio se modifica o elimina, es posible que no se inicien los procesos y que se produzcan errores en las acciones administrativas.
C:\Inetpub\wwwroot\wss Control total No Este directorio (o el directorio correspondiente en la raíz de Inetpub en el servidor) se usa como ubicación predeterminada para los sitios web de IIS. Si este directorio se modifica o elimina, los sitios de SharePoint no estarán disponibles y es posible que se produzcan errores en las acciones administrativas, a menos que se proporcionen rutas de acceso del sitio web de IIS personalizadas para todos los sitios web de IIS extendidos con SharePoint Server.
%ProgramFiles%\Microsoft Office Servers\16.0 Control total No Este directorio es la ubicación de instalación para los archivos binarios y datos de SharePoint Server 2016. El directorio se puede cambiar durante la instalación. Si este directorio se quita, modifica o quita después de la instalación, se producirá un error en todas las funcionalidades de SharePoint Server. La pertenencia al grupo de seguridad de Windows WSS_ADMIN_WPG es necesaria para que algunos servicios de SharePoint Server puedan almacenar datos en el disco.
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices Leer, Escribir No Es el directorio raíz en el que se hospedan los servicios back-end web (por ejemplo, Excel y Búsqueda). Si se quita o modifica este directorio, se producirá un error en las características de SharePoint Server que dependen de estos servicios.
%ProgramFiles%\Microsoft Office Servers\16.0\Data Control total No Este directorio es la ubicación raíz donde se almacenan los datos locales, incluidos los índices de búsqueda. Si se quita o modifica este directorio, se producirá un error en la funcionalidad de búsqueda. WSS_ADMIN_WPG se necesitan permisos de grupo de seguridad de Windows para habilitar la funcionalidad de búsqueda para guardar y proteger los datos en esta carpeta.
%ProgramFiles%\Microsoft Office Servers\16.0\Logs Control total Este directorio es la ubicación donde se genera el registro de diagnóstico en tiempo de ejecución. Si se quita o modifica este directorio, la funcionalidad de registro no funcionará correctamente.
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server Control total Igual que la carpeta principal.
%windir%\System32\drivers\etc\HOSTS Leer, Escribir No disponible No disponible
%windir%\Tasks Control total No disponible No disponible
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 Modificar Yes Este directorio es el directorio de instalación de los archivos principales de SharePoint Server. Si se modifica la lista de control de acceso (ACL), la activación de características, la implementación de soluciones y otras características no funcionarán correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Control total Este directorio contiene los servicios SOAP para Administración central. Si se modifica este directorio, la creación de sitios remotos y otros métodos expuestos en el servicio no funcionarán correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Control total Yes Este directorio contiene archivos que se usan para ampliar los sitios web de IIS con SharePoint Server. Si se modifica este directorio o su contenido, el aprovisionamiento de aplicaciones web no funcionará correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Control total No Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica el directorio, el registro de diagnóstico no funcionará correctamente.
%windir%\temp Control total Yes Los componentes de la plataforma de los que depende SharePoint Server usan este directorio. Si se modifica la ACL, es posible que se produzca un error en la representación de elementos web y en otras operaciones de deserialización.
%windir%\System32\logfiles\SharePoint Control total No SharePoint Server usa este directorio para el registro de uso. Si se modifica este directorio, el registro de uso no funcionará correctamente. Esta clave de registro solo se aplica a SharePoint Server.
Carpeta %systemdrive\archivos de programa\Microsoft Office Servers\16 en los servidores de índice Control total No disponible Este permiso se concede para una carpeta %systemdrive\Archivos de programa\Microsoft Office Servers\16 en servidores de índices.

WSS_WPG

WSS_WPG tiene acceso de lectura a los recursos locales. Todas las cuentas de servicio y grupos de aplicaciones se incluyen en WSS_WPG. En la tabla siguiente se muestran WSS_WPG permisos de entrada del Registro:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 Lectura No Esta clave es la raíz de la configuración del Registro de SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics Leer, Escribir No Esta clave contiene la configuración del registro de diagnóstico de SharePoint Server. Si se modifica esta clave, se interrumpirá la funcionalidad de registro.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings Leer, Escribir No Esta clave contiene la configuración del servicio de conversión de documentos. Si se modifica esta clave, se interrumpirá la funcionalidad de conversión de documentos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings Leer, Escribir No Esta clave contiene la configuración del servicio de conversión de documentos. Si se modifica esta clave, se interrumpirá la funcionalidad de conversión de documentos.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Lectura No Esta clave contiene la cadena de conexión y el identificador de la base de datos de configuración a la que está unido el equipo. Si se modifica esta clave, la instalación de SharePoint Server 2016 en la máquina no funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Lectura Esta clave contiene configuraciones que se usan durante la instalación. Si se modifica esta clave, podría producirse un error en el registro de diagnóstico y en la configuración de la instalación o posterior a la instalación.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg Lectura No Esta clave contiene la configuración que controla el acceso remoto al Registro.

En la tabla siguiente se muestran los permisos del sistema de archivos WSS_WPG:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%AllUsersProfile%\ Microsoft\SharePoint Lectura No Este directorio contiene la memoria caché copiada en el sistema de archivos de la configuración de la granja de servidores. Si este directorio se modifica o elimina, es posible que los procesos no se inicien y que se produzcan errores en las acciones administrativas.
C:\Inetpub\wwwroot\wss Leer, Ejecutar No Este directorio (o el directorio correspondiente en la raíz de Inetpub en el servidor) se usa como ubicación predeterminada para los sitios web de IIS. Si este directorio se modifica o elimina, los sitios de SharePoint no estarán disponibles y se podrían producir errores en las acciones administrativas, a menos que se proporcionen rutas de acceso del sitio web de IIS personalizadas para todos los sitios web de IIS extendidos con SharePoint Server.
%ProgramFiles%\Microsoft Office Servers\16.0 Leer, Ejecutar No Este directorio es la ubicación de instalación de los archivos binarios y los datos de SharePoint Server. Se puede cambiar durante la instalación. Si este directorio se quita, modifica o mueve después de la instalación, se producirá un error en todas las funcionalidades de SharePoint Server. WSS_WPG permisos de lectura y ejecución son necesarios para permitir que los sitios web de IIS carguen archivos binarios de SharePoint Server.
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices Lectura No Es el directorio raíz en el que se hospedan los servicios back-end web (por ejemplo, Excel y Búsqueda). Si se quita o modifica este directorio, se producirá un error en las características de SharePoint Server que dependen de estos servicios.
%ProgramFiles%\Microsoft Office Servers\16.0\Logs Leer, Escribir Este directorio es la ubicación donde se genera el registro de diagnóstico en tiempo de ejecución. Si se quita o modifica este directorio, la funcionalidad de registro no funcionará correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Lectura Este directorio contiene los servicios SOAP para Administración central. Si se modifica este directorio, la creación de sitios remotos y otros métodos expuestos en el servicio no funcionarán correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Lectura Yes Este directorio contiene archivos que se usan para ampliar los sitios web de IIS con SharePoint Server. Si se modifica este directorio o su contenido, el aprovisionamiento de aplicaciones web no funcionará correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Modificar No Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica el directorio, el registro de diagnóstico no funcionará correctamente.
%windir%\temp Lectura Yes Los componentes de la plataforma de los que depende SharePoint Server usan este directorio. Si se modifica la ACL, es posible que se produzca un error en la representación de elementos web y en otras operaciones de deserialización.
%windir%\System32\logfiles\SharePoint Lectura No SharePoint Server usa este directorio para el registro de uso. Si se modifica este directorio, el registro de uso no funcionará correctamente. Esta clave del Registro solo se aplica a SharePoint Server.
%systemdrive\archivos de programa\Microsoft Office Servers\16 Leer, Ejecutar No disponible El permiso se concede para una carpeta %systemdrive\Archivos de programa\Microsoft Office Servers\16 en servidores de índices.

Servicio local

En la siguiente tabla se muestra el permiso de la entrada del Registro del servicio local:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings Lectura No Esta clave contiene la configuración del servicio de conversión de documentos. Si se modifica esta clave, se interrumpirá la funcionalidad de conversión de documentos.

En la siguiente tabla se muestra el permiso del sistema de archivos del servicio local:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%ProgramFiles%\Microsoft Office Servers\16.0\Bin Leer, Ejecutar No Este directorio es la ubicación instalada de los archivos binarios de SharePoint Server. Si se quita o modifica este directorio, se producirá un error en todas las funcionalidades de SharePoint Server.

Sistema local

En la siguiente tabla se muestran los permisos de la entrada del Registro del sistema local:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings Lectura No Esta clave contiene la configuración del servicio de conversión de documentos. Si se modifica esta clave, se interrumpirá la funcionalidad de conversión de documentos. Esta clave de registro solo se aplica a SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Control total No Esta clave contiene la cadena de conexión y el identificador de la base de datos de configuración a la que está unido el equipo. Si se modifica esta clave, la instalación de SharePoint Server en el equipo no funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin Control total No Esta clave contiene la clave de cifrado que se usa para almacenar secretos en la base de datos de configuración. Si se modifica esta clave, se producirá un error en el aprovisionamiento de servicios y otras características.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Control total Esta clave contiene configuraciones que se usan durante la instalación. Si se modifica esta clave, podría producirse un error en el registro de diagnóstico y en la configuración de la instalación o posterior a la instalación.

En la siguiente tabla se muestran los permisos del sistema de archivos local:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%AllUsersProfile%\ Microsoft\SharePoint Control total No Este directorio contiene la memoria caché copiada en el sistema de archivos de la configuración de la granja de servidores. Si este directorio se modifica o elimina, es posible que los procesos no se inicien y que se produzcan errores en las acciones administrativas.
C:\Inetpub\wwwroot\wss Control total No Este directorio (o el directorio correspondiente en la raíz de Inetpub en el servidor) se usa como ubicación predeterminada para los sitios web de IIS. Si este directorio se modifica o elimina, los sitios de SharePoint no estarán disponibles y se podrían producir errores en las acciones administrativas, a menos que se proporcionen rutas de acceso del sitio web de IIS personalizadas para todos los sitios web de IIS extendidos con SharePoint Server.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Control total Este directorio contiene los servicios SOAP para Administración central. Si se modifica este directorio, la creación de sitios remotos y otros métodos expuestos en el servicio no funcionarán correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Control total Yes Este directorio contiene archivos de configuración que se usan para aprovisionar aplicaciones web y aplicaciones de servicio. Si se modifica este directorio o su contenido, el aprovisionamiento de aplicaciones web no funcionará correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Control total No Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica este directorio, el registro de diagnóstico no funcionará correctamente.
%windir%\temp Control total Yes Los componentes de la plataforma de los que depende SharePoint Server usan este directorio. Si se modifica la ACL, es posible que se produzca un error en la representación de elementos web y en otras operaciones de deserialización.
%windir%\System32\logfiles\SharePoint Control total No SharePoint Server usa este directorio para el registro de uso. Si se modifica este directorio, el registro de uso no funcionará correctamente. Esta clave de registro solo se aplica a SharePoint Server.

Servicio de red

En la siguiente tabla se muestra el permiso de la entrada del Registro del servicio de red:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup Lectura No disponible No disponible

Administradores

En la siguiente tabla se muestran los permisos de la entrada del Registro de los administradores:

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Control total No Esta clave contiene la cadena de conexión y el identificador de la base de datos de configuración a la que está unido el equipo. Si se modifica esta clave, la instalación de SharePoint Server en el equipo no funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin Control total No Esta clave contiene la clave de cifrado que se usa para almacenar secretos en la base de datos de configuración. Si se modifica esta clave, se producirá un error en el aprovisionamiento de servicios y otras características.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Control total Esta clave contiene configuraciones que se usan durante la instalación. Si se modifica esta clave, podría producirse un error en el registro de diagnóstico y en la configuración de la instalación o posterior a la instalación.

En la siguiente tabla se muestran los permisos del sistema de archivos de los administradores:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%AllUsersProfile%\ Microsoft\SharePoint Control total No Este directorio contiene la memoria caché copiada en el sistema de archivos de la configuración de la granja de servidores. Si este directorio se modifica o elimina, es posible que los procesos no se inicien y que se produzcan errores en las acciones administrativas.
C:\Inetpub\wwwroot\wss Control total No Este directorio (o el directorio correspondiente en la raíz de Inetpub en el servidor) se usa como ubicación predeterminada para los sitios web de IIS. Si este directorio se modifica o elimina, los sitios de SharePoint no estarán disponibles y se podrían producir errores en las acciones administrativas, a menos que se proporcionen rutas de acceso del sitio web de IIS personalizadas para todos los sitios web de IIS que se extienden con SharePoint Server.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Control total Este directorio contiene los servicios SOAP para Administración central. Si se modifica este directorio, la creación de sitios remotos y otros métodos expuestos en el servicio no funcionarán correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Control total Yes Este directorio contiene archivos de configuración que se usan para aprovisionar aplicaciones web y aplicaciones de servicio. Si se modifica este directorio o su contenido, el aprovisionamiento de aplicaciones web no funcionará correctamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Control total No Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica el directorio, el registro de diagnóstico no funcionará correctamente.
%windir%\temp Control total Yes Los componentes de la plataforma de los que depende SharePoint Server usan este directorio. Si se modifica la ACL, es posible que se produzca un error en la representación de elementos web y en otras operaciones de deserialización.
%windir%\System32\logfiles\SharePoint Control total No SharePoint Server usa este directorio para el registro de uso. Si se modifica este directorio, el registro de uso no funcionará correctamente. Esta clave de registro solo se aplica a SharePoint Server.

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG puede leer la entrada cifrada del Registro de credenciales de administración de granjas de servidores. WSS_RESTRICTED_WPG solo se usa para el cifrado y descifrado de contraseñas almacenadas en la base de datos de configuración. En la tabla siguiente se muestra el permiso de entrada del Registro WSS_RESTRICTED_WPG :

Nombre de clave Permisos Heredar Descripción
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin Control total No Esta clave contiene la clave de cifrado que se usa para almacenar secretos en la base de datos de configuración. Si se modifica esta clave, se producirá un error en el aprovisionamiento de servicios y otras características.

Grupo de usuarios

En la siguiente tabla se muestran los permisos del sistema de archivos del grupo de usuarios:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%ProgramFiles%\Microsoft Office Servers\16.0 Leer, Ejecutar No Este directorio es la ubicación de instalación de los datos y los archivos binarios de SharePoint Server. Se puede cambiar durante la instalación. Si este directorio se quita, modifica o mueve después de la instalación, se producirá un error en toda la funcionalidad de SharePoint Server.
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root Leer, Ejecutar No Este es el directorio raíz donde se hospedan los servicios web raíz back-end. El único servicio que se instala inicialmente en este directorio es un servicio de administración global de la búsqueda. Si se quita o modifica este directorio, algunas funcionalidades de administración de búsqueda que usan la página Configuración de administración central específica del servidor no funcionarán.
%ProgramFiles%\Microsoft Office Servers\16.0\Logs Leer, Escribir Este directorio es la ubicación donde se genera el registro de diagnóstico en tiempo de ejecución. Si este directorio se quita o modifica, el registro no funcionará correctamente.
%ProgramFiles%\Microsoft Office Servers\16.0\Bin Leer, Ejecutar No Este directorio es la ubicación instalada de los archivos binarios de SharePoint Server. Si se quita o modifica este directorio, se producirá un error en todas las funcionalidades de SharePoint Server.

Todas las cuentas de servicio de SharePoint Server

En la tabla siguiente se muestra el permiso del sistema de archivos de las cuentas de servicio de SharePoint Server:

Ruta de acceso del sistema de archivos Permisos Heredar Descripción
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Modificar No Este directorio contiene registros de seguimiento de instalación y tiempo de ejecución. Si se modifica este directorio, el registro de diagnóstico no funcionará correctamente. Todas las cuentas de servicio de SharePoint Server deben tener permiso de escritura en este directorio.

Vea también

Conceptos

Instalación y configuración de SharePoint Server 2016