Partager via


Autorisations de compte et paramètres de sécurité dans SharePoint 2013

S’APPLIQUE À :yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint dans Microsoft 365

Cet article décrit les autorisations de comptes d’administration et de services SharePoint. Il traite des sujets suivants : Microsoft SQL Server, le système de fichiers, les partages de fichiers et les entrées de Registre.

Importante

N’utilisez pas de noms de compte de service qui contiennent le symbole $ à l’exception de l’utilisation d’un compte de service managé de groupe pour SQL Server.

À propos des autorisations de compte et des paramètres de sécurité

L’Assistant Configuration de SharePoint (psconfig) et l’Assistant Création de batterie de serveurs, qui sont tous deux exécutés lors d’une installation complète, configurent la plupart des autorisations et des paramètres de sécurité du compte de référence SharePoint.

Comptes dֹ’administration SharePoint

La plupart des autorisations de compte d’administration SharePoint Server sont configurées automatiquement durant le processus d’installation par l’un des composants SharePoint suivants :

  • l’Assistant Configuration de SharePoint (Psconfig) ;

  • l’Assistant Création de batterie ;

  • le site web Administration centrale de SharePoint ;

  • PowerShell.

Compte d’utilisateur de l’administrateur de batterie de serveurs

Ce compte est un compte d’identification unique attribué à l’administrateur SharePoint et utilisé pour configurer chaque serveur de votre batterie en exécutant l’Assistant Configuration de SharePoint, l’Assistant Création de batterie de serveurs initial et PowerShell. Le compte doit être un utilisateur de domaine. Pour les exemples de cet article, le compte d’administrateur de batterie est utilisé pour l’administration de batterie de serveurs, et vous pouvez utiliser l’Administration centrale pour le gérer. Certaines options de configuration telles que la configuration du serveur de requête recherche SharePoint 2013 nécessitent des autorisations d’administration locale. Le compte d’utilisateur d’administrateur de batterie de serveurs nécessite les autorisations suivantes :

  • Il doit être membre du groupe Administrateurs locaux sur chaque serveur de la batterie de serveurs SharePoint.

  • Il doit avoir accès aux bases de données SharePoint.

  • Si vous utilisez des opérations PowerShell qui affectent une base de données, le compte administrateur d’utilisateur d’installation doit être membre du rôle db_owner ou du rôle serveur fixe sysadmin .

  • Ce compte doit être affecté aux rôles serveur fixes securityadmin et dbcreator pendant l’installation et la configuration ou au rôle serveur fixe sysadmin dans SQL Server.

Notes

Les rôles de sécurité SQL Server securityadmin et dbcreator peuvent être requis pour ce compte durant une mise à niveau de version à version complète, car il peut être nécessaire de créer et sécuriser de nouvelles bases de données pour des services.

Une fois que vous avez exécuté les Assistants de configuration, les autorisations au niveau de l’ordinateur pour le compte d’administrateur d’utilisateurs du programme d’installation sont les suivantes :

  • appartenance au groupe de sécurité Windows WSS_ADMIN_WPG ;

  • Appartenance au rôle WSS_WPG.

Une fois que vous avez exécuté les Assistants de configuration, les autorisations de base de données sont les suivantes :

  • db_owner sur la base de données de configuration de la batterie de serveurs SharePoint ;

  • db_owner sur la base de données de contenu de l'Administration centrale SharePoint.

Attention

Il en va de même si vous exécutez ces Assistants à l'aide d'un compte qui ne dispose pas de l'appartenance au rôle SQL Server spécial appropriée ou qui ne dispose pas de l'accès db_owner sur les bases de données.

Compte de service de batterie SharePoint

Le compte de la batterie de serveurs, qui est également appelé compte d'accès à la base de données, est utilisé comme identité du pool d'applications pour l'Administration centrale et comme compte de processus pour le service du minuteur SharePoint Foundation 2013. Le compte de batterie de serveurs doit être un compte d’utilisateur de domaine.

Les autorisations sont automatiquement accordées au compte de batterie de serveurs sur les serveurs web et les serveurs d’applications joints à une batterie de serveurs.

Une fois que vous avez exécuté les Assistants de configuration, les autorisations SQL Server et de base de données sont les suivantes :

  • appartenance au groupe de sécurité Windows WSS_ADMIN_WPG pour le service Minuteur SharePoint Foundation 2013 ;

  • appartenance à WSS_RESTRICTED_WPG pour les pools d'applications du service Minuteur et Administration centrale ;

  • appartenance à WSS_WPG pour le pool d'applications Administration centrale.

  • rôle serveur fixe Dbcreator;

  • rôle serveur fixe Securityadmin;

  • db_owner pour toutes les bases de données SharePoint ;

  • appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données de configuration de batterie de serveurs SharePoint ;

  • appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données de contenu SharePoint_Admin.

Comptes d’applications de service SharePoint

Cette section décrit les comptes d’applications de service configurés par défaut durant l’installation.

Comptes de pool d’applications

Le compte de pool d’applications est utilisé pour l’identité du pool d’applications. Le compte du pool d’applications doit être un compte d’utilisateur de domaine.

L’autorisation suivante au niveau de l’ordinateur est configurée automatiquement :

  • Le compte du pool d’applications est membre de WSS_WPG.

Les autorisations SQL Server et de base de données suivantes pour ce compte sont configurées automatiquement :

  • Les comptes de pool d’applications pour les applications web sont affectés au rôle SP_DATA_ACCESS pour les bases de données de contenu.

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.

Compte d’accès au contenu par défaut

Importante

Les informations dans cette section s'appliquent uniquement à SharePoint Server 2016.

Le compte d'accès au contenu par défaut est utilisé dans une application de service spécifique pour analyser du contenu, sauf si une méthode d'authentification différente est spécifiée par une règle d'analyse pour une URL ou un modèle d'URL. Ce compte requiert les paramètres de configuration d’autorisation suivants :

  • Le compte d’accès au contenu par défaut doit être un compte d’utilisateur de domaine qui dispose d’un accès en lecture aux sources de contenu externes ou sécurisées que vous souhaitez analyser en utilisant ce compte.

  • Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, vous devez explicitement lui accorder les autorisations de lecture totale sur les applications web qui hébergent les sites.

  • Il ne doit pas être membre du groupe Administrateurs de batterie.

Comptes d’accès au contenu

Importante

Les informations dans cette section s'appliquent uniquement à SharePoint Server 2016.

Les comptes d'accès au contenu sont configurés pour accéder au contenu à l'aide de la fonctionnalité de règles d'analyse d'administration de recherche. Ce type de compte est facultatif et peut être configuré lorsque vous créez une règle d'analyse. Par exemple, du contenu externe (tel qu’un partage de fichiers) peut exiger ce compte d’accès au contenu distinct. Ce compte requiert les paramètres de configuration d’autorisation suivants :

  • Il doit disposer d’un accès en lecture aux sources de contenu externes ou sécurisées dont l’accès lui est associé.

  • Le compte d’accès au contenu doit contenir le droit Gérer l’audit et le journal de sécurité dans la stratégie d’utilisateur local sur les serveurs de fichiers Windows qu’il est configuré pour analyser.

  • Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, vous devez explicitement lui accorder les autorisations de lecture totale sur les applications web qui hébergent les sites.

Compte de service autonome d'Excel Services

Importante

Les informations dans cette section s'appliquent uniquement à SharePoint Server 2016.

Le compte de service autonome d'Excel Services est utilisé par Excel Services pour la connexion aux sources de données externes qui nécessitent un nom d'utilisateur et un mot de passe reposant sur des systèmes d'exploitation autres que Windows pour l'authentification. Si ce compte n'est pas configuré, Excel Services ne tente pas de se connecter à ces types de sources de données. Bien que les informations d'identification du compte soient utilisées pour la connexion aux sources de données des systèmes d'exploitation autres que Windows, si le compte n'est pas membre du domaine, Excel Services ne peut pas y accéder. Ce compte doit être un compte d'utilisateur de domaine.

Compte de pool d’applications Mes sites

Importante

Les informations dans cette section s'appliquent uniquement à SharePoint Server 2016.

Le compte de pool d'applications Mes sites doit être un compte d'utilisateur de domaine. Ce compte ne doit pas être membre du groupe Administrateurs de batterie.

L’autorisation suivante au niveau de l’ordinateur est configurée automatiquement :

  • Ce compte est membre de WSS_WPG.

Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.

  • Les comptes de pool d’applications pour les applications web sont affectés au rôle SP_DATA_ACCESS pour les bases de données de contenu.

Autres comptes de pool d’applications

L’autre compte de pool d’applications doit être un compte d’utilisateur de domaine. Ce compte ne doit être membre du groupe Administrateurs sur aucun ordinateur de la batterie de serveurs.

L’autorisation suivante au niveau de l’ordinateur est configurée automatiquement :

  • Ce compte est membre de WSS_WPG.

Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :

  • affectation de ce compte au rôle SP_DATA_ACCESS pour les bases de données de contenu ;

  • affectation de ce compte au rôle SP_DATA_ACCESS pour la base de données de recherche associé à l’application web ;

  • ce compte doit disposer d’un accès en lecture et en écriture à la base de données d’application de service associée ;

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.

Notes

Nous vous recommandons vivement d’utiliser un seul compte de pool d’applications web pour toutes les applications web de la batterie de serveurs, y compris l’application Web Mes sites. L’exception est l’application web Administration centrale qui utilise le compte de service de batterie de serveurs.

Rôles de base de données SharePoint

Cette section décrit les rôles de base de données qui sont configurés par défaut durant l’installation ou qui peuvent être configurés de façon facultative.

Rôle de base de données WSS_CONTENT_APPLICATION_POOLS

Le rôle de base de données WSS_CONTENT_APPLICATION_POOLS s’applique au compte de pool d’applications pour chaque application web enregistrée dans une batterie SharePoint. Cela permet aux applications web d’interroger et de mettre à jour la carte de site, et de disposer d’un accès en lecture seule à d’autres éléments dans la base de données de configuration. Le programme d’installation attribue le rôle WSS_CONTENT_APPLICATION_POOLS aux bases de données suivantes :

  • base de données SharePoint_Config (base de données de configuration) ;

  • Base de données de contenu SharePoint_Admin.

Les membres du rôle WSS_CONTENT_APPLICATION_POOLS bénéficient de l’autorisation d’exécution sur un sous-ensemble des procédures stockées de la base de données. En outre, les membres de ce rôle disposent de l’autorisation de sélection sur la table Versions (dbo. Versions) dans la base de données de contenu SharePoint_Admin. Pour les autres bases de données, l’outil de planification des comptes indique que l’accès pour lire ces bases de données est automatiquement configuré. Dans certains cas, un accès limité pour écrire dans une base de données est également automatiquement configuré. Pour assurer cet accès, des autorisations sont configurées pour les procédures stockées.

Rôle de base de données WSS_SHELL_ACCESS

Le rôle de base de données WSS_SHELL_ACCESS sur la base de données de configuration remplace la nécessité d'ajouter un compte d'administration comme db_owner sur la base de données de configuration. Par défaut, le compte d’administrateur de batterie qui a initialement exécuté l’Assistant Configuration est affecté au rôle de base de données WSS_SHELL_ACCESS. L'appartenance à ce rôle est accordée et supprimée au moyen d'une commande PowerShell. Le programme d'installation assigne le rôle WSS_SHELL_ACCESS aux bases de données suivantes :

  • base de données SharePoint_Config (base de données de configuration) ;

  • une ou plusieurs des bases de données de contenu SharePoint. Ceci est configurable à l'aide de la commande PowerShell qui gère l'appartenance, et à l'aide de l'objet assigné à ce rôle.

Les membres du rôle WSS_SHELL_ACCESS bénéficient de l'autorisation d'exécution pour toutes les procédures stockées de la base de données. De plus, les membres de ce rôle bénéficient d’autorisations de lecture et écriture sur toutes les tables de bases de données.

Rôle de base de données SP_READ_ONLY

Le rôle SP_READ_ONLY doit être utilisé pour définir la base de données sur le mode Lecture seule au lieu d'utiliser sp_dboption. Comme son nom l'indique, ce rôle doit être utilisé lorsque seul l'accès en lecture seule est requis pour les données telles que les données d'utilisation et de télémétrie.

Notes

[!REMARQUE] La procédure stockée sp_dboption n'est pas disponible dans SQL Server 2012. Pour plus d'informations sur sp_dboption, voir sp_dboption (Transact-SQL).

Le rôle SQL SP_READ_ONLY disposera des autorisations suivantes :

  • octroi de SELECT sur toutes les procédures stockées et fonctions SharePoint ;

  • octroi de SELECT sur toutes les tables SharePoint ;

  • octroi d’EXECUTE sur le type défini par l’utilisateur lorsque le schéma DBO est utilisé.

Rôle de base de données SP_DATA_ACCESS

Le rôle SP_DATA_ACCESS est défini par défaut pour l'accès aux bases de données et doit être utilisé pour l'accès de niveau modèle d'objet aux bases de données. Ajoutez le compte de pool d'applications à ce rôle lors des mises à niveau ou de l'exécution de nouveaux déploiements.

Notes

Le rôle SP_DATA_ACCESS remplace le rôle db_owner dans SharePoint 2013.

Le rôle SP_DATA_ACCESS disposera des autorisations suivantes :

  • octroi d’EXECUTE ou de SELECT sur toutes les procédures stockées et fonctions SharePoint ;

  • octroi de SELECT sur toutes les tables SharePoint ;

  • octroi d’EXECUTE sur le type défini par l’utilisateur lorsque le schéma DBO est utilisé ;

  • octroi d’INSERT sur la table AllUserDataJunctions ;

  • octroi d’UPDATE sur la vue Sites ;

  • octroi d’UPDATE sur la vue UserData ;

  • octroi d’UPDATE sur la table AllUserData ;

  • octroi d’INSERT et DELETE sur la table NameValuePair ;

  • octroi de l’autorisation de création de tables.

Autorisations de groupes

Cette section décrit les autorisations des groupes créés par les outils d'installation et de configuration de SharePoint 2013.

WSS_ADMIN_WPG

WSS_ADMIN_WPG dispose d’un accès en lecture et écriture aux ressources locales. Les comptes de pool d'applications pour les services Administration centrale et Minuteur sont dans WSS_ADMIN_WPG. Le tableau suivant montre les autorisations d'entrée de Registre WSS_ADMIN_WPG.

Nom de la clé Autorisations Héritage Description
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
Contrôle total
Non applicable
Non applicable
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration{90150000-110D-0000-1000-0000000FF1CE}
Lecture, écriture
Non applicable
Non applicable
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server
Lecture
Non
Cette clé est la racine de l'arborescence des paramètres du Registre SharePoint 2013. Si elle est modifiée, les fonctionnalités SharePoint 2013 échouent.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Contrôle total
Non
Cette clé est la racine des paramètres du Registre SharePoint 2013.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lecture, écriture
Non
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lecture, écriture
Non
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search
Contrôle total
Non applicable
Non applicable
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search
Contrôle total
Non applicable
Non applicable
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Contrôle total
Non
Cette clé contient la chaîne de connexion et l'ID de la base de données de configuration à laquelle l'ordinateur est joint. Si elle est modifiée, l'installation de SharePoint 2013 sur l'ordinateur échoue.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Contrôle total
Oui
Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d'installation ou la configuration post-installation.

Le tableau suivant montre les autorisations de système de fichiers WSS_ADMIN_WPG.

Chemin d'accès du système de fichiers Autorisations Héritage Description
%AllUsersProfile%\ Microsoft\SharePoint
Contrôle total
Non
Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé.
C:\Inetpub\wwwroot\wss
Contrôle total
Non
Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Les sites SharePoint sont indisponibles et les actions d'administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d'accès aux sites web IIS personnalisés ne soient fournis pour tous les sites web IIS étendus avec SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Contrôle total
Non
Ce répertoire est l'emplacement d'installation pour les données et les fichiers binaires SharePoint 2013. Le répertoire peut être modifié au cours de l'installation. Toutes les fonctionnalités SharePoint 2013 échouent si ce répertoire est supprimé, modifié ou supprimé après l'installation. L'appartenance au groupe de sécurité Windows WSS_ADMIN_WPG est requise pour que certains services SharePoint 2013 puissent stocker des données sur le disque.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Lecture, écriture
Non
Ce répertoire est le répertoire racine où les services web principaux sont hébergés, par exemple Excel et Search. Les fonctionnalités SharePoint 2013 qui dépendent de ces services échouent si ce répertoire est supprimé ou modifié.
%ProgramFiles%\Microsoft Office Servers\15.0\Data
Contrôle total
Non
Ce répertoire est l’emplacement racine où les données locales sont stockées, y compris les index de recherche. La fonctionnalité de recherche échoue si ce répertoire est supprimé ou modifié. Les autorisations de groupe de sécurité Windows WSS_ADMIN_WPG sont requises pour que la recherche puisse enregistrer et sécuriser les données dans ce dossier.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Contrôle total
Oui
Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Les fonctionnalités de journalisation ne fonctionnent pas correctement si ce répertoire est supprimé ou modifié.
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server
Contrôle total
Oui
Identique au dossier parent.
%windir%\System32\drivers\etc\HOSTS
Lecture, écriture
Non applicable
Non applicable
%windir%\Tasks
Contrôle total
Non applicable
Non applicable
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15
Modification
Oui
Ce répertoire est le répertoire d'installation des fichiers SharePoint 2013 principaux. Si la liste de contrôle d'accès (ACL) est modifiée, l'activation des fonctionnalités, le déploiement des solutions et d'autres fonctionnalités ne fonctionnent pas correctement.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Contrôle total
Oui
Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Contrôle total
Oui
Ce répertoire contient des fichiers utilisés pour étendre les sites web IIS avec SharePoint 2013. Si ce répertoire ou son contenu a été modifié, la mise en service d'applications web ne fonctionne pas correctement.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Contrôle total
Non
Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement.
%windir%\temp
Contrôle total
Oui
Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint 2013. Si la liste de contrôle d'accès (ACL) est modifiée, le rendu des composants WebPart et d'autres opérations de désérialisation risquent d'échouer.
%windir%\System32\logfiles\SharePoint
Contrôle total
Non
Ce répertoire est utilisé par la journalisation de l'utilisation de SharePoint Server. S'il est modifié, la journalisation de l'utilisation ne fonctionne pas correctement.
Cette clé de registre s’applique uniquement à SharePoint Server.
Dossier %systemdrive\program files\Microsoft Office Servers\15 sur les serveurs d’index
Contrôle total
Non applicable
Cette autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\15 sur les serveurs d’index.

WSS_WPG

WSS_WPG dispose d’un accès en lecture aux ressources locales. Tous les comptes de services et pools d’applications sont dans WSS_WPG. Le tableau suivant montre les autorisations d'entrée de Registre WSS_WPG.

Nom de la clé Autorisations Héritage Description
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Lecture
Non
Cette clé est la racine des paramètres du Registre SharePoint 2013.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics
Lecture, écriture
Non
Cette clé contient des paramètres pour la journalisation des diagnostics SharePoint 2013. Sa modification altère la fonctionnalité de journalisation.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lecture, écriture
Non
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lecture, écriture
Non
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Lecture
Non
Cette clé contient la chaîne de connexion et l'ID de la base de données de configuration à laquelle l'ordinateur est joint. Si elle est modifiée, l'installation de SharePoint 2013 sur l'ordinateur échoue.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Lecture
Oui
Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d'installation ou la configuration post-installation.

Le tableau suivant montre les autorisations de système de fichiers WSS_WPG.

Chemin d'accès du système de fichiers Autorisations Héritage Description
%AllUsersProfile%\ Microsoft\SharePoint
Lecture
Non
Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé.
C:\Inetpub\wwwroot\wss
Lecture, exécution
Non
Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Les sites SharePoint sont indisponibles et les actions d'administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d'accès aux sites web IIS personnalisés ne soient fournis pour tous les sites web IIS étendus avec SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Lecture, exécution
Non
Ce répertoire est l'emplacement d'installation pour les données et les fichiers binaires SharePoint 2013. Il peut être modifié au cours de l'installation. Toutes les fonctionnalités SharePoint 2013 échouent si ce répertoire est supprimé, modifié ou déplacé après l'installation. Les autorisations de lecture et d'exécution WSS_WPG sont requises pour que les sites IIS puissent charger les fichiers binaires SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Lecture
Non
Ce répertoire est le répertoire racine où les services web principaux sont hébergés, par exemple Excel et Search. Les fonctionnalités SharePoint 2013 qui dépendent de ces services échouent si ce répertoire est supprimé ou modifié.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Lecture, écriture
Oui
Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Les fonctionnalités de journalisation ne fonctionnent pas correctement si ce répertoire est supprimé ou modifié.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Lecture
Oui
Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Lecture
Oui
Ce répertoire contient des fichiers utilisés pour étendre les sites web IIS avec SharePoint 2013. Si ce répertoire ou son contenu a été modifié, la mise en service d'applications web ne fonctionne pas correctement.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Modifier
Non
Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement.
%windir%\temp
Lecture
Oui
Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint 2013. Si la liste de contrôle d'accès (ACL) est modifiée, le rendu des composants WebPart et d'autres opérations de désérialisation risquent d'échouer.
%windir%\System32\logfiles\SharePoint
Lecture
Non
Ce répertoire est utilisé par la journalisation de l'utilisation de SharePoint Server. S'il est modifié, la journalisation de l'utilisation ne fonctionne pas correctement.
La clé de registre s’applique uniquement à SharePoint Server.
%systemdrive\program files\Microsoft Office Servers\15
Lecture, exécution
Non applicable
L’autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\15 sur les serveurs d’index.

Service local

Le tableau suivant montre l’autorisation d’entrée de Registre du service local :

Nom de la clé Autorisations Héritage Description
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lecture
Non
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.

Le tableau suivant montre l’autorisation de système de fichiers du service local :

Chemin d'accès du système de fichiers Autorisations Héritage Description
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Lecture, exécution
Non
Ce répertoire est l'emplacement d'installation des fichiers binaires SharePoint 2013. Toutes les fonctionnalités SharePoint 2013 échouent si ce répertoire est supprimé ou modifié.

Système local

Le tableau suivant montre les autorisations d’entrée de Registre du système local :

Nom de la clé Autorisations Héritage Description
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lecture
Non
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.
Cette clé de registre s’applique uniquement à SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Contrôle total
Non
Cette clé contient la chaîne de connexion et l'ID de la base de données de configuration à laquelle l'ordinateur est joint. Si elle est modifiée, l'installation de SharePoint 2013 sur l'ordinateur échoue.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Contrôle total
Non
Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Contrôle total
Oui
Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d'installation ou la configuration post-installation.

Le tableau suivant montre les autorisations de système de fichiers local :

Chemin d'accès du système de fichiers Autorisations Héritage Description
%AllUsersProfile%\ Microsoft\SharePoint
Contrôle total
Non
Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et des actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé.
C:\Inetpub\wwwroot\wss
Contrôle total
Non
Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Les sites SharePoint sont indisponibles et les actions d'administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d'accès aux sites web IIS personnalisés ne soient fournis pour tous les sites web IIS étendus avec SharePoint 2013.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Contrôle total
Oui
Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Contrôle total
Oui
Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Contrôle total
Non
Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement.
%windir%\temp
Contrôle total
Oui
Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint 2013. Si la liste de contrôle d'accès (ACL) est modifiée, le rendu des composants WebPart et d'autres opérations de désérialisation risquent d'échouer.
%windir%\System32\logfiles\SharePoint
Contrôle total
Non
Ce répertoire est utilisé par SharePoint Server pour la journalisation de l'utilisation. S'il est modifié, la journalisation de l'utilisation ne fonctionne pas correctement.
Cette clé de registre s’applique uniquement à SharePoint Server.

Service réseau

Le tableau suivant montre l’autorisation d’entrée de Registre du service réseau :

Nom de la clé Autorisations Héritage Description
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup
Lecture
Non applicable
Non applicable

Administrateurs

Le tableau suivant montre les autorisations d’entrée de Registre des administrateurs.

Nom de la clé Autorisations Héritage Description
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Contrôle total
Non
Cette clé contient la chaîne de connexion et l'ID de la base de données de configuration à laquelle l'ordinateur est joint. Si elle est modifiée, l'installation de SharePoint 2013 sur l'ordinateur échoue.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Contrôle total
Non
Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Contrôle total
Oui
Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d'installation ou la configuration post-installation.

Le tableau suivant montre les autorisations de système de fichiers des administrateurs :

Chemin d'accès du système de fichiers Autorisations Héritage Description
%AllUsersProfile%\ Microsoft\SharePoint
Contrôle total
Non
Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et des actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé.
C:\Inetpub\wwwroot\wss
Contrôle total
Non
Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Les sites SharePoint sont indisponibles et les actions d'administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d'accès aux sites web IIS personnalisés ne soient fournis pour tous les sites web IIS étendus avec SharePoint 2013.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Contrôle total
Oui
Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Contrôle total
Oui
Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Contrôle total
Non
Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement.
%windir%\temp
Contrôle total
Oui
Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint 2013. Si la liste de contrôle d'accès (ACL) est modifiée, le rendu des composants WebPart et d'autres opérations de désérialisation risquent d'échouer.
%windir%\System32\logfiles\SharePoint
Contrôle total
Non
Ce répertoire est utilisé par SharePoint Server pour la journalisation de l'utilisation. S'il est modifié, la journalisation de l'utilisation ne fonctionne pas correctement.
Cette clé de registre s’applique uniquement à SharePoint Server.

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG peut lire l’entrée de Registre d’informations d’identification d’administration de batterie chiffrée. WSS_RESTRICTED_WPG sert uniquement au chiffrement et au déchiffrement des mots de passe stockés dans la base de données de configuration. Le tableau suivant montre les autorisations d'entrée de Registre WSS_RESTRICTED_WPG.

Nom de la clé Autorisations Héritage Description
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Contrôle total
Non
Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent.

Groupe Utilisateurs

Le tableau suivant montre les autorisations de système de fichiers du groupe Utilisateurs :

Chemin d'accès du système de fichiers Autorisations Héritage Description
%ProgramFiles%\Microsoft Office Servers\15.0
Lecture, exécution
Non
Ce répertoire est l'emplacement d'installation pour les données et les fichiers binaires SharePoint 2013. Il peut être modifié au cours de l'installation. Toutes les fonctionnalités SharePoint 2013 échouent si ce répertoire est supprimé, modifié ou déplacé après l'installation.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root
Lecture, exécution
Non
Ce répertoire est le répertoire racine où les services web racine principaux sont hébergés. Le seul service initialement installé dans ce répertoire est un service d'administration global de recherche. Certaines des fonctionnalités d'administration de recherche utilisées par le biais de la page des paramètres de recherche de l'Administration centrale spécifique au serveur ne fonctionnent pas si ce répertoire est supprimé ou modifié.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Lecture, écriture
Oui
Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. La journalisation ne fonctionne pas correctement si ce répertoire est supprimé ou modifié.
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Lecture, exécution
Non
Ce répertoire est l'emplacement d'installation des fichiers binaires SharePoint 2013. Toutes les fonctionnalités SharePoint 2013 échouent si ce répertoire est supprimé ou modifié.

Tous les comptes de service SharePoint 2013

Le tableau suivant montre l'autorisation de système de fichier de tous les comptes de service SharePoint 2013 :

Chemin d'accès du système de fichiers Autorisations Héritage Description
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Modifier
Non
Ce répertoire contient les journaux de suivi d’installation et d’exécution. S'il est modifié, la journalisation des diagnostics ne fonctionne pas correctement. Tous les comptes de service SharePoint 2013 doivent disposer de l'autorisation d'écriture dans ce répertoire.

Voir aussi

Concepts

Installer et configurer SharePoint Server 2016