Condividi tramite


Autorizzazioni e impostazioni di sicurezza per gli account in SharePoint Server 2013

SI APPLICA A:yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

In questo articolo vengono illustrate le autorizzazioni disponibili per gli account amministrativi e di servizio di SharePoint, relativamente a Microsoft SQL Server, file system, condivisioni di file e voci del Registro di sistema.

Importante

Non usare nomi di account di servizio che contengono il simbolo $ ad eccezione dell'uso di un account del servizio gestito di gruppo per SQL Server.

Informazioni sulle autorizzazioni e le impostazioni di sicurezza per gli account

La Configurazione guidata SharePoint (psconfig) e la Creazione guidata farm, entrambe eseguite durante un'installazione completa, configurano molte delle autorizzazioni e delle impostazioni di sicurezza dell'account di base di SharePoint.

Account amministrativi di SharePoint

La maggior parte delle autorizzazioni per gli account amministrativi di SharePoint vengono configurate automaticamente da uno dei componenti seguenti di SharePoint durante il processo di installazione:

  • La Configurazione guidata Prodotti SharePoint (Psconfig).

  • La Configurazione guidata farm.

  • Il sito Web Amministrazione centrale SharePoint.

  • PowerShell.

Account utente amministratore farm

Questo account è un account univoco assegnato all'amministratore di SharePoint e viene usato per configurare ogni server nella farm eseguendo la Configurazione guidata SharePoint, la Creazione guidata farm iniziale e PowerShell. L'account deve essere un utente di dominio. Per gli esempi di questo articolo, l'account amministratore della farm viene usato per l'amministrazione della farm ed è possibile usare Amministrazione centrale per gestirlo. Alcune opzioni di configurazione, ad esempio la configurazione del server di query di ricerca di SharePoint 2013, richiedono autorizzazioni di amministrazione locale. L'account utente amministratore della farm richiede le autorizzazioni seguenti:

  • Deve essere un membro del gruppo Amministratori locali in ogni server della farm di SharePoint.

  • Deve disporre dell'accesso ai database di SharePoint.

  • Se si usano operazioni di PowerShell che interessano un database, l'account amministratore utente di installazione deve essere un membro del ruolo db_owner o del ruolo predefinito del server sysadmin .

  • Questo account deve essere assegnato ai ruoli predefiniti del server securityadmin e dbcreator durante l'installazione e la configurazione o al ruolo predefinito del server sysadmin in SQL Server.

Nota

I ruoli di sicurezza securityadmin e dbcreatorSQL Server potrebbero essere necessari per questo account durante un aggiornamento completo da versione a versione poiché è possibile che i nuovi database debbano essere creati e protetti per i servizi.

Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di computer per l'account utente Setup includono:

  • Appartenenza al gruppo di sicurezza WSS_ADMIN_WPG di Windows.

  • Appartenenza al ruolo WSS_WPG.

Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di database includono:

  • db_owner nel database di configurazione della server farm di SharePoint.

  • db_owner nel database del contenuto di Amministrazione centrale SharePoint.

Attenzione

Se per l'esecuzione delle configurazioni guidate si utilizza un account che non dispone dell'appartenenza al ruolo SQL Server speciale appropriato o dell'accesso come db_owner ai database, le configurazioni guidate non verranno eseguite correttamente.

Account servizio farm di SharePoint

L'account server farm, denominato anche account di accesso al database, viene utilizzato come identità del pool di applicazioni per Amministrazione centrale e come account di processo per il servizio Timer di SharePoint Foundation 2013. L'account della server farm deve essere un account utente di dominio.

Le autorizzazioni vengono concesse automaticamente all'account della server farm nei server Web e nei server applicazioni aggiunti a una server farm.

Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di database e SQL Server includono:

  • Appartenenza al gruppo di sicurezza WSS_ADMIN_WPG di Windows per il servizio Timer di SharePoint Foundation 2013.

  • Appartenenza a WSS_RESTRICTED_WPG per i pool di applicazioni di Amministrazione centrale e del servizio Timer.

  • Appartenenza a WSS_WPG per il pool di applicazioni di Amministrazione centrale.

  • Ruolo predefinito del server Dbcreator.

  • Ruolo predefinito del server Securityadmin.

  • db_owner per tutti i database di SharePoint.

  • Appartenenza al ruolo WSS_CONTENT_APPLICATION_POOLS per il database di configurazione della server farm di SharePoint.

  • Appartenenza al ruolo WSS_CONTENT_APPLICATION_POOLS per il database del contenuto SharePoint_Admin.

Account delle applicazioni di servizio di SharePoint

In questa sezione vengono descritti gli account delle applicazioni di servizio configurati per impostazione predefinita durante l'installazione.

Account del pool di applicazioni

L'account del pool di applicazioni viene utilizzato come identità del pool di applicazioni. L'account del pool di applicazioni deve essere un account utente di dominio.

L'autorizzazione a livello di computer seguente viene configurata automaticamente:

  • L'account del pool di applicazioni è membro di WSS_WPG.

Per questo account vengono automaticamente configurate le seguenti autorizzazioni relative a SQL Server e ai database:

  • Gli account dei pool di applicazioni per le applicazioni Web vengono assegnati al ruolo SP_DATA_ACCESS per i database del contenuto.

  • Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.

  • Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database SharePoint_AdminContent.

Account predefinito di accesso al contenuto

Importante

Le informazioni contenute in questa sezione sono applicabili solo a SharePoint Server 2016.

L'account di accesso al contenuto predefinito viene utilizzato con un'applicazione di servizio specifica per eseguire la ricerca per indicizzazione del contenuto, a meno che non sia presente una regola di ricerca per indicizzazione che specifica un metodo di autenticazione diverso per un determinato URL o formato URL. Per questo account è necessario specificare le impostazioni di configurazione seguenti relative alle autorizzazioni:

  • L'account di accesso al contenuto predefinito deve essere un account utente di dominio dotato di accesso in lettura alle origini di contenuto esterne o protette da sottoporre a ricerca per indicizzazione tramite tale account.

  • Per i siti di SharePoint Server che non fanno parte della server farm, è necessario concedere esplicitamente all'account autorizzazioni di lettura completa per le applicazioni Web che ospitano i siti.

  • Questo account non deve essere un membro del gruppo Amministratori farm.

Account di accesso al contenuto

Importante

Le informazioni contenute in questa sezione sono applicabili solo a SharePoint Server 2016.

Gli account di accesso al contenuto vengono configurati per consentire l'accesso al contenuto tramite la caratteristica delle regole di ricerca per indicizzazione dell'amministrazione del servizio di ricerca. Questo tipo di account è facoltativo ed è possibile configurarlo quando si crea una nuova regola di ricerca per indicizzazione. Questo account di accesso al contenuto separato può essere necessario ad esempio per accedere a contenuto esterno quale una condivisione di file. Per questo account è necessario specificare le impostazioni di configurazione seguenti relative alle autorizzazioni:

  • L'account di accesso al contenuto deve avere accesso in lettura alle origini di contenuto esterne o protette per cui è configurato.

  • L'account di accesso al contenuto deve contenere il diritto Gestisci log di controllo e sicurezza nei criteri utente locali nei file server Windows configurati per la ricerca per indicizzazione.

  • Per i siti di SharePoint Server che non fanno parte della server farm, è necessario concedere esplicitamente all'account autorizzazioni di lettura completa per le applicazioni Web che ospitano i siti.

Account di servizio automatico di Excel Services

Importante

Le informazioni contenute in questa sezione sono applicabili solo a SharePoint Server 2016.

Excel Services utilizza l'account di servizio automatico di Excel Services per effettuare la connessione alle origini dati esterne che richiedono un nome utente e una password basati su sistemi operativi diversi da Windows per l'autenticazione. Se tale account non è configurato, Excel Services non tenterà di connettersi a origini dati di questi tipo. Sebbene per l'accesso alle origini dati basate su sistemi operativi diversi da Windows vengano utilizzate le credenziali di questo account, se l'account non è membro del dominio Excel Services non sarà in grado di effettuare l'accesso. Questo account deve essere un account utente di dominio.

Account pool di applicazioni dei siti personali

Importante

Le informazioni contenute in questa sezione sono applicabili solo a SharePoint Server 2016.

L'account del pool di applicazioni Siti personali deve essere un account utente di dominio. Questo account non deve essere un membro del gruppo Amministratori farm.

L'autorizzazione a livello di computer seguente viene configurata automaticamente:

  • Questo account è membro di WSS_WPG.

Le autorizzazioni seguenti per SQL Server e il database vengono configurate automaticamente:

  • Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.

  • Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database del contenuto di SharePoint_Admin.

  • Gli account dei pool di applicazioni per le applicazioni Web vengono assegnati al ruolo SP_DATA_ACCESS per i database del contenuto.

Account degli altri pool di applicazioni

L'altro account del pool di applicazioni deve essere un account utente di dominio. Questo account non deve essere un membro del gruppo Administrators in alcun computer della server farm.

L'autorizzazione a livello di computer seguente viene configurata automaticamente:

  • Questo account è membro di WSS_WPG.

Le autorizzazioni seguenti per SQL Server e il database vengono configurate automaticamente:

  • Questo account viene assegnato al ruolo SP_DATA_ACCESS per i database del contenuto.

  • Questo account viene assegnato al ruolo SP_DATA_ACCESS per i database di ricerca associati all'applicazione Web.

  • L'account deve disporre dell'accesso in lettura e scrittura al database applicazioni del servizio associato.

  • Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.

  • Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database del contenuto di SharePoint_Admin.

Nota

È consigliabile usare un singolo account del pool di applicazioni Web per tutte le applicazioni Web nella farm, inclusa l'applicazione Web Siti personali. L'eccezione è l'applicazione Web Amministrazione centrale che usa l'account del servizio farm.

Ruoli del database di SharePoint

In questa sezione vengono descritti i ruoli di database installati per impostazione predefinita o che è possibile configurare facoltativamente.

Ruolo del database WSS_CONTENT_APPLICATION_POOLS

Il ruolo del database WSS_CONTENT_APPLICATION_POOLS si applica all'account del pool di applicazioni per ogni applicazione Web registrata in una farm di SharePoint. Consente alle applicazioni Web di eseguire query e aggiornamenti della mappa del sito e di disporre dell'accesso in sola lettura ad altri elementi del database di configurazione. Il programma di installazione assegna il ruolo WSS_CONTENT_APPLICATION_POOLS ai database seguenti:

  • Database SharePoint_Config (database di configurazione).

  • Database del contenuto SharePoint_Admin.

I membri del ruolo WSS_CONTENT_APPLICATION_POOLS dispongono dell'autorizzazione di esecuzione per un subset delle stored procedure per il database. Inoltre, i membri di questo ruolo dispongono dell'autorizzazione di selezione per la tabella Versioni (dbo. Versioni) nel database del contenuto SharePoint_Admin. Per altri database, lo strumento di pianificazione degli account indica che l'accesso per leggere questi database viene configurato automaticamente. In alcuni casi, viene configurato automaticamente anche un accesso in scrittura limitato. Per fornire questo accesso, vengono configurate le autorizzazioni per le stored procedure.

Ruolo del database WSS_SHELL_ACCESS

Grazie al ruolo del database WSS_SHELL_ACCESS sicuro nel database di configurazione non è necessario aggiungere un account di amministrazione come db_owner nel database di configurazione. Per impostazione predefinita, l'account amministratore della farm che inizialmente ha eseguito la Configurazione guidata viene assegnato al ruolo di database WSS_SHELL_ACCESS. È possibile utilizzare un comando di PowerShell per concedere o rimuovere l'appartenenza a tale ruolo. Il programma di installazione assegna il ruolo WSS_SHELL_ACCESS ai database seguenti:

  • Database SharePoint_Config (database di configurazione).

  • Uno o più database del contenuto di SharePoint. L'assegnazione è configurabile tramite il comando di PowerShell che gestisce le appartenenze e tramite l'oggetto assegnato a questo ruolo.

I membri del ruolo WSS_SHELL_ACCESS dispongono dell'autorizzazione di esecuzione per tutte le stored procedure per il database. Inoltre, i membri di questo ruolo dispongono delle autorizzazioni di lettura e scrittura per tutte le tabelle di database.

Ruolo del database SP_READ_ONLY

È necessario utilizzare il ruolo SP_READ_ONLY per impostare il database in modalità di sola lettura invece di utilizzare sp_dboption. Tale ruolo deve essere utilizzato quando è richiesto l'accesso in sola lettura per dati come quelli di telemetria e di utilizzo.

Nota

[!NOTA] La procedura sp_dboption archiviata non è disponibile in SQL Server 2012. Per ulteriori informazioni su sp_dboption, vedere sp_dboption (Transact-SQL).

Il ruolo SP_READ_ONLY SQL deve disporre delle autorizzazioni seguenti:

  • Concedere l'autorizzazione SELECT per tutte le funzioni e le stored procedure di SharePoint

  • Concedere l'autorizzazione SELECT per tutte le tabelle di SharePoint

  • Concedere l'autorizzazione EXECUTE per i tipi definiti dall'utente in cui lo schema è dbo

Ruolo del database SP_DATA_ACCESS

Il ruolo SP_DATA_ACCESS è il ruolo predefinito per l'accesso al database e deve essere utilizzato per tutti gli accessi ai database a livello di modello a oggetti. Aggiungere l'account del pool di applicazioni a questo ruolo durante l'aggiornamento o nuove distribuzioni.

Nota

Il ruolo SP_DATA_ACCESS sostituisce il ruolo db_owner in SharePoint 2013.

Per il ruolo SP_DATA_ACCESS saranno disponibili le autorizzazioni seguenti:

  • Concedere l'autorizzazione SELECT o EXECUTE per tutte le funzioni e le stored procedure di SharePoint

  • Concedere l'autorizzazione SELECT per tutte le tabelle di SharePoint

  • Concedere l'autorizzazione EXECUTE per i tipi definiti dall'utente in cui lo schema è dbo

  • Concedere l'autorizzazione INSERT per la tabella AllUserDataJunctions

  • Concedere l'autorizzazione UPDATE per la visualizzazione Sites

  • Concedere l'autorizzazione UPDATE per la visualizzazione UserData

  • Concedere l'autorizzazione UPDATE per la tabella AllUserData

  • Concedere le autorizzazioni INSERT e DELETE per le tabelle NameValuePair

  • Concedere l'autorizzazione CREATE TABLE

Autorizzazioni per i gruppi

In questa sezione vengono illustrate le autorizzazioni per i gruppi create dagli strumenti di installazione e configurazione di SharePoint 2013.

WSS_ADMIN_WPG

WSS_ADMIN_WPG dispone dell'accesso in lettura e scrittura alle risorse locali. Gli account del pool di applicazioni per i servizi Timer e Amministrazione centrale sono inclusi in WSS_ADMIN_WPG. Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per WSS_ADMIN_WPG.

Nome chiave Autorizzazioni Eredita Descrizione
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
Controllo completo
Non applicabile
Non applicabile
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration{90150000-110D-0000-1000-0000000FF1CE}
Lettura e scrittura
Non applicabile
Non applicabile
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server
Lettura
No
Chiave radice dell'albero delle impostazioni del Registro di sistema per SharePoint 2013. Se tale chiave viene modificata, non sarà possibile utilizzare le funzionalità di SharePoint 2013.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Controllo completo
No
Chiave radice delle impostazioni del Registro di sistema per SharePoint 2013.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lettura e scrittura
No
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lettura e scrittura
No
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search
Controllo completo
Non applicabile
Non applicabile
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search
Controllo completo
Non applicabile
Non applicabile
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Controllo completo
No
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint 2013 nel computer non funzionerà.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Controllo completo

Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente.

Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo WSS_ADMIN_WPG.

Percorso del file system Autorizzazioni Eredita Descrizione
%AllUsersProfile%\ Microsoft\SharePoint
Controllo completo
No
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente.
C:\Inetpub\wwwroot\wss
Controllo completo
No
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Controllo completo
No
Questa directory è il percorso di installazione per i file binari e di dati di SharePoint 2013. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, non sarà possibile utilizzare alcuna funzionalità di SharePoint 2013. L'appartenenza al gruppo di sicurezza WSS_ADMIN_WPG di Windows è necessaria per consentire ad alcuni servizi di SharePoint 2013 di archiviare dati sul disco.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Lettura e scrittura
No
Questa è la directory radice in cui sono ospitati i servizi Web back-end, ad esempio Excel e il servizio di ricerca. Se la directory viene rimossa o modificata, le caratteristiche di SharePoint 2013 che dipendono da questi servizi non verranno eseguite correttamente.
%ProgramFiles%\Microsoft Office Servers\15.0\Data
Controllo completo
No
Questa è la directory radice in cui sono archiviati i dati locali, inclusi gli indici di ricerca. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare la funzionalità di ricerca. Per consentire alla funzionalità di ricerca di salvare e proteggere i dati in questa cartella, sono necessarie le autorizzazioni del gruppo di sicurezza WSS_ADMIN_WPG di Windows.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Controllo completo

Questa directory è la posizione in cui viene generata la registrazione diagnostica di runtime. Se la directory viene rimossa o modificata, la caratteristica di registrazione non funzionerà correttamente.
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server
Controllo completo

Come per la cartella padre.
%windir%\System32\drivers\etc\HOSTS
Lettura e scrittura
Non applicabile
Non applicabile
%windir%\Tasks
Controllo completo
Non applicabile
Non applicabile
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15
Modifica

Questa è la directory di installazione per i file principali di SharePoint 2013. Se l'elenco di controllo di accesso (ACL) viene modificato, l'attivazione delle caratteristiche, la distribuzione delle soluzioni e altre caratteristiche non funzioneranno correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Controllo completo

Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Controllo completo

Questa directory contiene i file utilizzati per estendere i siti Web IIS con SharePoint 2013. Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Controllo completo
No
Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente.
%windir%\temp
Controllo completo

Questa directory viene utilizzata dai componenti della piattaforma da cui SharePoint 2013 dipende. Se viene modificato l'elenco di controllo di accesso, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguite correttamente.
%windir%\System32\logfiles\SharePoint
Controllo completo
No
Questa directory viene utilizzata dalla registrazione dei dati di utilizzo di SharePoint Server. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente.
Questa chiave del Registro di sistema è applicabile solo a SharePoint Server.
Cartella %systemdrive\Programmi\Microsoft Office Servers\15 nei server di indicizzazione
Controllo completo
Non applicabile
Questa autorizzazione viene concessa per una cartella %systemdrive\Programmi\Microsoft Office Servers\15 nei server di indicizzazione.

WSS_WPG

Il gruppo WSS_WPG dispone dell'accesso in lettura alle risorse locali. Tutti gli account del pool di applicazioni e dei servizi sono inclusi in WSS_WPG. Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per WSS_WPG.

Nome chiave Autorizzazioni Eredita Descrizione
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Lettura
No
Chiave radice delle impostazioni del Registro di sistema per SharePoint 2013.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics
Lettura e scrittura
No
Questa chiave contiene le impostazioni per la registrazione diagnostica di SharePoint 2013. Se la chiave viene modificata, non sarà più possibile utilizzare tale funzionalità di registrazione.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lettura e scrittura
No
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lettura e scrittura
No
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Lettura
No
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint 2013 nel computer non funzionerà.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Lettura

Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente.

Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo WSS_WPG.

Percorso del file system Autorizzazioni Eredita Descrizione
%AllUsersProfile%\ Microsoft\SharePoint
Lettura
No
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente.
C:\Inetpub\wwwroot\wss
Lettura ed esecuzione
No
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Lettura ed esecuzione
No
Questa directory è il percorso di installazione per i file binari e di dati di SharePoint 2013. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, non sarà possibile utilizzare alcuna funzionalità di SharePoint 2013. Per consentire a IIS di caricare i file binari di SharePoint 2013, sono necessarie le autorizzazioni di lettura e scrittura di WSS_WPG.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Lettura
No
Questa è la directory radice in cui sono ospitati i servizi Web back-end, ad esempio Excel e il servizio di ricerca. Se la directory viene rimossa o modificata, le caratteristiche di SharePoint 2013 che dipendono da questi servizi non verranno eseguite correttamente.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Lettura e scrittura

Questa directory è la posizione in cui viene generata la registrazione diagnostica di runtime. Se la directory viene rimossa o modificata, la caratteristica di registrazione non funzionerà correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Lettura

Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Lettura

Questa directory contiene i file utilizzati per estendere i siti Web IIS con SharePoint 2013. Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Modifica
No
Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente.
%windir%\temp
Lettura

Questa directory viene utilizzata dai componenti della piattaforma da cui SharePoint 2013 dipende. Se viene modificato l'elenco di controllo di accesso, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguite correttamente.
%windir%\System32\logfiles\SharePoint
Lettura
No
Questa directory viene utilizzata dalla registrazione dei dati di utilizzo di SharePoint Server. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente.
La chiave del Registro di sistema è applicabile solo a SharePoint Server.
%systemdrive\Programmi\Microsoft Office Servers\15
Lettura ed esecuzione
Non applicabile
Questa autorizzazione viene concessa per una cartella %systemdrive\Programmi\Microsoft Office Servers\15 nei server di indicizzazione.

Servizio locale

Nella tabella seguente è illustrata l'autorizzazione relative alle voci del Registro di sistema per l'account Servizio locale.

Nome chiave Autorizzazioni Eredita Descrizione
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lettura
No
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti.

Nella tabella seguente è illustrata l'autorizzazione relativa al file system per l'account Servizio locale.

Percorso del file system Autorizzazioni Eredita Descrizione
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Lettura ed esecuzione
No
Questa directory è il percorso di installazione dei file binari di SharePoint 2013. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare alcuna funzionalità di SharePoint 2013.

Sistema locale

Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per l'account Sistema locale.

Nome chiave Autorizzazioni Eredita Descrizione
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lettura
No
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti.
Questa chiave del Registro di sistema è applicabile solo a SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Controllo completo
No
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint 2013 nel computer non funzionerà.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Controllo completo
No
Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre caratteristiche avranno esito negativo.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Controllo completo

Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente.

Nella tabella seguente sono illustrate le autorizzazioni relative al file system per l'account Sistema locale.

Percorso del file system Autorizzazioni Eredita Descrizione
%AllUsersProfile%\ Microsoft\SharePoint
Controllo completo
No
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente.
C:\Inetpub\wwwroot\wss
Controllo completo
No
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint 2013.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Controllo completo

Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Controllo completo

Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Controllo completo
No
Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente.
%windir%\temp
Controllo completo

Questa directory viene utilizzata dai componenti della piattaforma da cui SharePoint 2013 dipende. Se viene modificato l'elenco di controllo di accesso, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguite correttamente.
%windir%\System32\logfiles\SharePoint
Controllo completo
No
Questa directory viene utilizzata da SharePoint Server per la registrazione dei dati di utilizzo. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente.
Questa chiave del Registro di sistema è applicabile solo a SharePoint Server.

Servizio di rete

Nella tabella seguente è illustrata l'autorizzazione relativa alle voci del Registro di sistema per l'account Servizio di rete.

Nome chiave Autorizzazioni Eredita Descrizione
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup
Lettura
Non applicabile
Non applicabile

Amministratori

Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per il gruppo Administrators.

Nome chiave Autorizzazioni Eredita Descrizione
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Controllo completo
No
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint 2013 nel computer non funzionerà.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Controllo completo
No
Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre caratteristiche avranno esito negativo.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Controllo completo

Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente.

Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo Administrators.

Percorso del file system Autorizzazioni Eredita Descrizione
%AllUsersProfile%\ Microsoft\SharePoint
Controllo completo
No
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente.
C:\Inetpub\wwwroot\wss
Controllo completo
No
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint 2013.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Controllo completo

Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Controllo completo

Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Controllo completo
No
Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente.
%windir%\temp
Controllo completo

Questa directory viene utilizzata dai componenti della piattaforma da cui SharePoint 2013 dipende. Se viene modificato l'ACL, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguite correttamente.
%windir%\System32\logfiles\SharePoint
Controllo completo
No
Questa directory viene utilizzata da SharePoint Server per la registrazione dei dati di utilizzo. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente.
Questa chiave del Registro di sistema è applicabile solo a SharePoint Server.

WSS_RESTRICTED_WPG

Il gruppo WSS_RESTRICTED_WPG è in grado di leggere la voce del Registro di sistema relativa alle credenziali di amministrazione della farm crittografate. WSS_RESTRICTED_WPG viene utilizzato solo per la crittografia e la decrittografia di password archiviate nel database di configurazione. Nella tabella seguente è illustrata l'autorizzazione relativa alle voci del Registro di sistema per WSS_RESTRICTED_WPG.

Nome chiave Autorizzazioni Eredita Descrizione
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Controllo completo
No
Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre caratteristiche avranno esito negativo.

Gruppo Utenti

Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo Utenti.

Percorso del file system Autorizzazioni Eredita Descrizione
%ProgramFiles%\Microsoft Office Servers\15.0
Lettura ed esecuzione
No
Questa directory è il percorso di installazione per i file binari e di dati di SharePoint 2013. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, non sarà possibile utilizzare alcuna funzionalità di SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root
Lettura ed esecuzione
No
Questa è la directory radice in cui sono ospitati i servizi Web back-end radice. L'unico servizio installato inizialmente in questa directory è un servizio di amministrazione globale della ricerca. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare alcune delle funzionalità di amministrazione della ricerca che utilizzano la pagina Impostazioni di ricerca di Amministrazione centrale specifica del server.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Lettura e scrittura

Questa directory è la posizione in cui viene generata la registrazione diagnostica di runtime. Se la directory viene rimossa o modificata, la caratteristica di registrazione non funzionerà correttamente.
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Lettura ed esecuzione
No
Questa directory è il percorso di installazione dei file binari di SharePoint 2013. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare alcuna funzionalità di SharePoint 2013.

Tutti gli account del servizio di SharePoint 2013

Nella tabella seguente viene illustrata l'autorizzazione relativa al file system per tutti gli account di servizio di SharePoint 2013.

Percorso del file system Autorizzazioni Eredita Descrizione
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Modifica
No
Questa directory contiene i log di traccia dell'installazione e di runtime. Se questa directory viene modificata, la registrazione diagnostica non funzionerà correttamente. Tutti gli account del servizio di SharePoint 2013 devono disporre dell'autorizzazione di scrittura per questa directory.

Vedere anche

Concetti

Installare e configurare SharePoint Server 2016