SharePoint サーバーのアカウントのアクセス許可とセキュリティ設定
適用対象:
2016 2019 Subscription Edition 
SharePoint in Microsoft 365
この記事では、SharePoint の管理者アカウントとサービス アカウントの権限について説明します。関連する領域は、Microsoft SQL Server、ファイル システム、ファイル共有、およびレジストリ エントリです。
重要
SQL Serverにグループ管理サービス アカウントを使用する場合を除き、シンボル $ を含むサービス アカウント名は使用しないでください。
Microsoft 365 での SharePoint 管理者ロールの詳細については、こちらをご覧ください。
SharePoint サーバーのアカウントのアクセス許可とセキュリティ設定について
SharePoint の基本的なアカウントのアクセス許可とセキュリティ設定の多くは、完全インストールの最中に実行される SharePoint 製品構成ウィザード (Psconfig) とファーム構成ウィザードにより構成されます。
サービス アカウントの推奨事項
次のセクションでは、SharePoint Service アカウントに関する推奨事項について説明します。
サービス アカウントの推奨事項
Microsoft では、ファームで最小限の数のサービス アプリケーション プール アカウントを使用することをお勧めします。 この推奨事項は、適切なレベルのセキュリティを維持しながら、メモリ使用量を削減し、パフォーマンスを向上することです。
SharePoint のインストール、メンテナンス、アップグレードには、管理者特権で個人を特定できるアカウントを使用します。 このアカウントには、 SharePoint ファーム管理者アカウントで説明されているように、必要なロールが保持されます。 各 SharePoint 管理者は、ファームで実行されるアクティビティが明確に識別されるように、個別のアカウントを使用する必要があります。
可能であれば、セキュリティ グループ である SharePoint ファーム管理者グループを使用して、個々のすべての SharePoint ファーム管理者アカウントを統合し、 SharePoint ファーム管理者アカウントで説明されているようにアクセス許可を付与します。 このセキュリティ グループの使用により、SharePoint ファーム管理者アカウントの管理が大幅に簡略化されます。
SharePoint ファーム サービス アカウントは、SharePoint タイマー サービス、SharePoint Insights (該当する場合)、サーバーの全体管理用の IIS アプリケーション プール、SharePoint Web サービス システム (トポロジ サービスに使用)、SecurityTokenServiceApplicationPool (セキュリティ トークン サービスに使用) のみを実行する必要があります。
サービス アプリケーション プール アカウントという名前のすべてのサービス アプリケーションには、1 つの アカウントを使用する必要があります。 この 1 つのアカウントの使用により、管理者はすべてのサービス アプリケーションに対して 1 つの IIS アプリケーション プールを使用できます。 さらに、このアカウントでは、SharePoint Search ホスト コントローラー、SharePoint Server Search、分散キャッシュ (AppFabric Caching Service) という Windows サービスを実行する必要があります。
Web アプリケーション プール アカウントという名前のすべての Web アプリケーションには、1 つの アカウントを使用する必要があります。 この 1 つのアカウントの使用により、管理者は、SharePoint ファーム サービス アカウントによって実行されるサーバーの全体管理 Web アプリケーションを除く、すべての Web アプリケーションに対して 1 つの IIS アプリケーション プールを使用できます。
Windows トークン サービス アカウントに対する要求を除き、サービス アプリケーション プール アカウントは、任意の SharePoint サーバーや管理者特権のSQL Serverロール (sysadmin 固定ロールなど) へのローカル管理者アクセス権を持つ必要はありません。 SharePoint ファーム管理者アカウントには、SharePoint データベースを事前にプロビジョニングし、各データベースにアクセス許可を手動で割り当てない限り、 dbcreator と securityadmin の固定ロールが必要です。
サービス アプリケーション プール アカウントは、Windows トークン サービスへの要求を実行するアカウントを除き、ローカル でのログオンを拒否し、ローカル セキュリティ ポリシー\ユーザー権利の割り当てでリモート デスクトップ サービス経由でのログオンを拒否する必要があります。 これらの値は secpol.msc を使用して設定されます。
コンテンツ アクセス (検索クローラー)、ポータル スーパー リーダー、ポータル スーパーユーザー、およびユーザー プロファイル サービス アプリケーション同期 (該当する場合) には、個別のアカウントを使用します。
Windows トークン サービス アカウントへの要求は、ファーム上の高い特権を持つアカウントです。 このサービスをデプロイする前に、必要かどうかを確認します。 必要に応じて、このサービスに別のアカウントを使用します。
サービス アカウントの推奨事項の概要
| サービス アカウント名 | それは何のために使用されていますか? | 使用する必要がある数はいくつですか? |
|---|---|---|
| SharePoint ファーム管理者アカウント | SharePoint 管理者の個人を特定できるアカウント | 1-n |
| SharePoint ファーム サービス アカウント | Timer Service、Insights、IIS App for CA、SP Web サービス システム、セキュリティ トークン サービス アプリ プール | 1 |
| 既定のコンテンツ アクセス アカウント | 検索クロールの内部ソースと外部ソース | 1 |
| コンテンツ アクセス アカウント | 検索クロールの内部ソースと外部ソース | 1-n |
| Web アプリケーション プール アカウント | サーバーの全体管理を使用しないすべての Web アプリケーション | 1 |
| SharePoint Service アプリケーション プール アカウント | すべてのサービス アプリケーション | 1 |
| ポータル のスーパー リーダー | オブジェクト キャッシュ | 1 |
| ポータルのスーパー ユーザー | オブジェクト キャッシュ | 1 |
| ユーザー プロファイル サービス アプリケーションの同期 | Active Directory インポートに使用 | 1-n |
SharePoint 管理アカウント
次のいずれかの SharePoint コンポーネントは、セットアップ プロセスでほとんどの SharePoint 管理アカウント権限を自動的に構成します。
SharePoint 製品構成ウィザード (Psconfig)。
ファーム構成ウィザード。
SharePoint サーバーの全体管理 Web サイト。
Microsoft PowerShell.
SharePoint ファーム管理者アカウント
このアカウントは、SharePoint 製品構成ウィザード (Psconfig)、初期ファーム構成ウィザード、および PowerShell を実行して、ファーム内の各サーバーを設定するために使用されます。 この記事の例では、SharePoint ファーム管理者アカウントをファーム管理に使用し、サーバーの全体管理を使用して管理できます。 SharePoint Server Search クエリ サーバーの構成など、一部の構成オプションにはローカル管理アクセス許可が必要です。 SharePoint ファーム管理者アカウントには、次の要件があります。
ドメイン ユーザー アカウントの権限が必要です。
これは、SharePoint ファーム内の各サーバー上のローカル Administrators グループのメンバーである必要があります。
SharePoint データベースにアクセスできる必要があります。
データベースに影響を与える PowerShell 操作を使用する場合、SharePoint ファーム管理者アカウントは 、db_owner ロールのメンバーである必要があります。
セットアップおよび構成時には、SQL Server のセキュリティ ロール securityadmin と dbcreator に割り当てられている必要があります。
注:
バージョンからバージョンへの完全なアップグレードでは、サービス用に新しいデータベースを作成し、保護する必要がある可能性があるので、SQL Server セキュリティ ロールの securityadmin と dbcreator が必要になる場合があります。
構成ウィザードを実行した後、SharePoint ファーム管理者アカウントのコンピューター レベルのアクセス許可には次のものが含まれます。
- WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップ。
構成ウィザードを実行すると、次のデータベース権限が与えられます。
SharePoint サーバー ファーム構成データベースの db_owner
SharePoint サーバーの全体管理 コンテンツ データベースの db_owner
注意
構成ウィザードの実行に使用するアカウントに、データベースのdb_ownerとして適切な特別なSQL Serverロール メンバーシップまたはアクセス権がない場合、構成ウィザードは正しく実行されません。
SharePoint ファーム サービス アカウント
SharePoint ファーム サービス アカウント (データベース アクセス アカウントとも呼ばれます) は、サーバーの全体管理のアプリケーション プール ID と SharePoint タイマー サービスのプロセス アカウントとして使用されます。 サーバー ファーム アカウントには、次の要件があります。
- ドメイン ユーザー アカウントの権限が必要です。
サーバー ファームに参加している SharePoint サーバー上の SharePoint ファーム サービス アカウントに、追加のアクセス許可が自動的に付与されます。
セットアップを実行すると、次のコンピューター レベルの権限が与えられます。
SharePoint タイマー サービスの WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップ。
サーバーの全体管理とタイマー サービス アプリケーション プールの WSS_RESTRICTED_WPG のメンバーシップ。
サーバーの全体管理アプリケーション プールの WSS_WPG のメンバーシップ。
構成ウィザードを実行すると、次の SQL Server 権限とデータベース権限が与えられます。
Dbcreator 固定サーバー ロール
Securityadmin 固定サーバー ロール
すべての SharePoint データベースの db_owner
SharePoint サーバー ファーム構成データベースの WSS_CONTENT_APPLICATION_POOLS ロールのメンバーシップ。
SharePoint_Admin コンテンツ データベースのWSS_CONTENT_APPLICATION_POOLS ロールのメンバーシップ。
SharePoint アプリケーション プール アカウント
このセクションでは、インストール時に既定で設定される SharePoint アプリケーション プール アカウントについて説明します。
既定のコンテンツ アクセス アカウント
既定のコンテンツ アクセス アカウントは、URL または URL パターンのクロール ルールで別の認証方法が指定されていない限り、特定のサービス アプリケーション内でコンテンツをクロールする場合に使用されます。 このアカウントには、次に示す権限の構成設定が必要です。
既定のコンテンツ アクセス アカウントは、このアカウントを使用してクロールする外部コンテンツ ソースまたはセキュリティで保護されたコンテンツ ソースへの 読み取り アクセス権を持つドメイン ユーザー アカウントである必要があります。
サーバー ファームに含まれていない SharePoint Server サイトの場合は、サイトをホストする Web アプリケーションに対して、このアカウントに完全 な読み取り アクセス許可を明示的に付与する必要があります。
このアカウントはファーム管理者グループのメンバーであってはなりません。
コンテンツ アクセス アカウント
コンテンツ アクセス アカウントは、検索管理のクロール ルール機能を使用してコンテンツにアクセスするために構成されます。 このアカウントは省略でき、新しいクロール ルールを作成するときに構成できます。 たとえば、外部のコンテンツ (ファイル共有など) では、この独立したコンテンツ アクセス アカウントが要求されることがあります。 このアカウントには、次に示すアクセス許可の構成設定が必要です。
コンテンツ アクセス アカウントには、このアカウントがアクセスするように構成されている外部またはセキュリティで保護されたコンテンツ ソースへの 読み取り アクセス権が必要です。
サーバー ファームに含まれていない SharePoint Server サイトの場合は、サイトをホストする Web アプリケーションに対して、このアカウントに完全 な読み取り アクセス許可を明示的に付与する必要があります。
Web アプリケーション プール アカウント
Web アプリケーション プール アカウントはドメイン ユーザー アカウントである必要があります。 このアカウントはファーム管理者グループのメンバーであってはなりません。
このアカウントは、サーバーの全体管理を行わないすべての Web アプリケーションに使用する必要があります。
次のマシン レベルのアクセス許可が自動的に構成されます。
- このアカウントは、 WSS_WPGのメンバーです。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint 管理 コンテンツ データベースに関連付けられているWSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
Web アプリケーションのアプリケーション プール アカウントは、コンテンツ データベースの SPDataAccess ロールに割り当てられます。
SharePoint Service アプリケーション プール アカウント
SharePoint サービス アプリケーション プール アカウントはドメイン ユーザー アカウントである必要があります。 このアカウントは、サーバー ファーム内のコンピューター上の Administrators グループのメンバーであってはなりません。
次のマシン レベルのアクセス許可が自動的に構成されます。
- このアカウントは、 WSS_WPGのメンバーです。
次のSQL Serverとデータベースの要件/アクセス許可が自動的に構成されます。
このアカウントは、コンテンツ データベースの SPDataAccess ロールに割り当てられます。
このアカウントは、Web アプリケーションに関連付けられている検索データベースの SPDataAccess ロールに割り当てられます。
このアカウントには、関連付けられているサービス アプリケーション データベースへの 読み取 りおよび 書き込み アクセス権が必要です。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、 SharePoint_Admin コンテンツ データベースに関連付けられているWSS_CONTENT_APPLICATION_POOLSロールに割り当てられます。
SharePoint データベース ロール
このセクションでは、インストールによってデフォルトで設定されるデータベース ロールまたはオプションで構成できるデータベース ロールについて説明します。
WSS_CONTENT_APPLICATION_POOLS データベース ロール
WSS_CONTENT_APPLICATION_POOLS データベース ロールは、SharePoint ファームに登録されている各 Web アプリケーションのアプリケーション プール アカウントに適用されます。 このロールの適用性により、Web アプリケーションはサイト マップのクエリと更新を行い、構成データベース内の他のアイテムへの 読み取り専用 アクセス権を持つことができます。 セットアップでは、次のデータベースに WSS_CONTENT_APPLICATION_POOLS ロールが割り当てられます。
SharePoint Config データベース (構成データベース)
SharePoint 管理 コンテンツ データベース
WSS_CONTENT_APPLICATION_POOLS ロールのメンバーには、データベースのストアド プロシージャのサブセットに対する実行アクセス許可があります。 さらに、このロールのメンバーには、Versions テーブル (dbo) に対する 選択 アクセス許可があります。SharePoint_AdminContent データベース内のバージョン)。 その他のデータベースについては、それらのデータベースを読み取るためのアクセス権が自動的に構成されることがアカウント計画ツールで示されます。 場合によっては、データベースに書き込むための制限付きアクセス権も自動的に構成されます。 このアクセスを可能にするために、ストアド プロシージャに対する権限が構成されます。
データベース ロールのSharePoint_SHELL_ACCESS
構成データベースのセキュリティで保護 されたSharePoint_SHELL_ACCESS データベース ロールは、管理アカウントを構成データベースの db_owner として追加する必要に代わるものです。 既定では、セットアップ アカウントは SharePoint_SHELL_ACCESS データベース ロールに割り当てられます。 PowerShell コマンドを使って、このロールにメンバーシップを付与するまたは取り消すことができます。 セットアップでは、次のデータベースに SharePoint_SHELL_ACCESS ロールが割り当てられます。
SharePoint_Config データベース (構成データベース)。
1 つ以上の SharePoint コンテンツ データベース。 このデータベースは、メンバーシップと、このロールに割り当てられているオブジェクトを管理する PowerShell コマンドを使用して構成できます。
SharePoint_SHELL_ACCESS ロールのメンバーには、データベースのすべてのストアド プロシージャに対する実行アクセス許可があります。 さらに、このロールのメンバーには、すべてのデータベース テーブルに対する 読み取り および 書き込み アクセス許可があります。
SPREADONLY データベース ロール
SPREADONLY ロールは、sp_dboptionを使用するのではなく、データベースを読み取り専用モードに設定するために使用する必要があります。 その名前が示すこのロールは、使用状況とテレメトリ データに 読み取り アクセスのみが必要な場合に使用する必要があります。
注:
sp_dboption ストアド プロシージャは、SQL Server 2012 では使用できません。 sp_dboptionの詳細については、「sp_dboption (Transact-SQL)」を参照してください。
SPREADONLY SQL ロールには、次のアクセス許可があります。
すべての SharePoint ストアド プロシージャおよび関数に対する SELECT を付与します。
すべての SharePoint テーブルに対する SELECT を付与する。
スキーマが dbo であるユーザー定義型に EXECUTE を付与します。
SPDataAccess データベース ロール
SPDataAccess ロールは、データベース アクセスの既定のロールであり、データベースへのすべてのオブジェクト モデル レベルのアクセスに使用する必要があります。 アップグレードまたは新しいデプロイ中に、アプリケーション プール アカウントをこのロールに追加します。
注:
SPDataAccess ロールは、SharePoint Server 2016 のdb_ownerロールに置き換えられました。
SPDataAccess ロールには、次のアクセス許可があります。
すべての SharePoint ストアド プロシージャおよび関数に対する EXECUTE または SELECT を付与します。
すべての SharePoint テーブルに対する SELECT を付与します。
スキーマが dbo であるユーザー定義型に EXECUTE を付与します。
AllUserDataJunctions テーブルに対する INSERT を付与します。
Sites ビューに対する UPDATE を付与します。
UserData ビューに対する UPDATE を付与します。
AllUserData テーブルに対する UPDATE を付与します。
NameValuePair テーブルに対する INSERT および DELETE を付与します。
テーブルの作成許可を付与します。
グループのアクセス許可
このセクションでは、SharePoint Server 2016 および 2019 のセットアップおよび構成ツールで作成されるグループのアクセス許可について説明します。
WSS_ADMIN_WPG
WSS_ADMIN_WPG は、ローカル リソースへの 読み取り および 書き込み アクセス権を持っています。 サーバーの全体管理サービスとタイマー サービスのアプリケーション プール アカウントは 、WSS_ADMIN_WPGにあります。 次の表は、 WSS_ADMIN_WPG レジストリ エントリのアクセス許可を示しています。
注:
SharePoint 2013 では、"16.0" ではなくレジストリ パス "15.0" と、"16" ではなくファイル システム パス "15" が使用されます。 以降の表に記載されている一部のパスは、SharePoint Foundation 2013 には適用されません。
| キー名 | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | フル コントロール | 該当なし | 該当なし |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | 読み取り、書き込み | 該当なし | 該当なし |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | 読み取り | いいえ | このキーは、SharePoint Server レジストリ設定ツリーのルートです。 このキーが変更された場合、SharePoint Server の機能は失敗します。 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | フル コントロール | なし | このキーは SharePoint Server 2016 のレジストリ設定のルートです。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 読み取り、書き込み | なし | このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 読み取り、書き込み | なし | このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | フル コントロール | 該当なし | 該当なし |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | フル コントロール | 該当なし | 該当なし |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | フル コントロール | なし | このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーが変更された場合、コンピューター上の SharePoint Server のインストールは機能しません。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | フル コントロール | はい | このキーにはセットアップ時に使用される設定が格納されています。 このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する可能性があります。 |
次の表に、WSS_ADMIN_WPG のファイル システム権限を示します。
| ファイル システム パス | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | フル コントロール | なし | このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。 このディレクトリが変更または削除されると、プロセスの開始に失敗し、管理アクションが失敗する可能性があります。 |
| C:\Inetpub\wwwroot\wss | フル コントロール | なし | このディレクトリ (またはサーバー上の Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 このディレクトリが変更または削除された場合、SharePoint サイトは使用できなくなり、SharePoint Server で拡張されたすべての IIS Web サイトにカスタム IIS Web サイト パスが指定されていない限り、管理操作が失敗する可能性があります。 |
| %ProgramFiles%\Microsoft Office Servers\16.0 | フル コントロール | なし | このディレクトリは、SharePoint Server 2016 のバイナリとデータがインストールされる場所です。 ディレクトリはインストール時に変更できます。 インストール後にこのディレクトリが削除、変更、または削除された場合、すべての SharePoint Server 機能は失敗します。 一部の SharePoint Server サービスがディスクにデータを格納できるようにするには、WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップが必要です。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 読み取り、書き込み | なし | このディレクトリは、Excel、Search など、バックエンドの Web サービスがホストされるルート ディレクトリです。 このディレクトリが削除または変更された場合、これらのサービスに依存する SharePoint Server 機能は失敗します。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data | フル コントロール | なし | このディレクトリは、検索インデックスをはじめとするローカル データが格納されるルートの場所です。 このディレクトリが削除または変更された場合、検索機能は失敗します。 WSS_ADMIN_WPG Windows セキュリティ グループのアクセス許可は、検索機能を有効にして、このフォルダーにデータを保存してセキュリティで保護するために必要です。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | フル コントロール | あり | このディレクトリは、ランタイム診断ログが生成される場所です。 このディレクトリが削除または変更された場合、ログ機能は正しく機能しません。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | フル コントロール | あり | 親フォルダーと同じです。 |
| %windir%\System32\drivers\etc\HOSTS | 読み取り、書き込み | 該当なし | 該当なし |
| %windir%\Tasks | フル コントロール | 該当なし | 該当なし |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | 変更 | はい | このディレクトリは、コア SharePoint Server ファイルのインストール ディレクトリです。 アクセス制御リスト (ACL) が変更された場合、機能のアクティブ化、ソリューションのデプロイ、およびその他の機能が正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | フル コントロール | はい | このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。 このディレクトリが変更された場合、リモート サイトの作成と、サービスで公開されているその他のメソッドは正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | フル コントロール | はい | このディレクトリには、SharePoint Server を使用して IIS Web サイトを拡張するために使用されるファイルが含まれています。 このディレクトリまたはその内容が変更された場合、Web アプリケーションプロビジョニングは正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | フル コントロール | なし | このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 ディレクトリが変更された場合、診断ログは正しく機能しません。 |
| %windir%\temp | フル コントロール | はい | このディレクトリは、SharePoint Server が依存するプラットフォーム コンポーネントによって使用されます。 ACL が変更されると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する可能性があります。 |
| %windir%\System32\logfiles\SharePoint | フル コントロール | なし | このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリが変更された場合、使用状況ログは正しく機能しません。 このレジストリ キーは SharePoint Server にのみ適用されます。 |
| インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\16 フォルダー | フル コントロール | 該当しない | このアクセス許可は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\16 フォルダーに与えられます。 |
WSS_WPG
WSS_WPG は、ローカル リソースへの 読み取り アクセス権を持っています。 すべてのアプリケーション プール アカウントおよびサービス アカウントは、WSS_WPG です。 次の表は 、レジストリ エントリの アクセス許可WSS_WPG示しています。
| キー名 | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | 読み取り | いいえ | このキーは、SharePoint Server レジストリ設定のルートです。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | 読み取り、書き込み | なし | このキーには、SharePoint Server 診断ログの設定が含まれています。 このキーが変更された場合、ログ機能は中断されます。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 読み取り、書き込み | なし | このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が壊れます。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 読み取り、書き込み | なし | このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が壊れます。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 読み取り | なし | このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーが変更された場合、コンピューター上の SharePoint Server 2016 インストールは機能しません。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 読み取り | はい | このキーにはセットアップ時に使用される設定が格納されています。 このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する可能性があります。 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg | 読み取り | いいえ | このキーには、レジストリへのリモート アクセスを制御する設定が含まれています。 |
次の表は、WSS_WPG ファイル システムのアクセス許可を示しています。
| ファイル システム パス | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 読み取り | なし | このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。 このディレクトリが変更または削除された場合、プロセスの開始に失敗し、管理アクションが失敗する可能性があります。 |
| C:\Inetpub\wwwroot\wss | 読み取り、実行 | なし | このディレクトリ (またはサーバー上の Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 このディレクトリが変更または削除された場合、SharePoint サイトは使用できず、SharePoint Server で拡張されたすべての IIS Web サイトにカスタム IIS Web サイト パスが指定されていない限り、管理操作が失敗する可能性があります。 |
| %ProgramFiles%\Microsoft Office Servers\16.0 | 読み取り、実行 | なし | このディレクトリは、SharePoint Server バイナリとデータのインストール場所です。 ディレクトリはインストール時に変更できます。 インストール後にこのディレクトリが削除、変更、または移動された場合、すべての SharePoint Server 機能は失敗します。 IIS Web サイトが SharePoint Server バイナリを読み込むには、読み取りと実行のアクセス許可をWSS_WPGする必要があります。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 読み取り | なし | このディレクトリは、Excel、Search など、バックエンドの Web サービスがホストされるルート ディレクトリです。 このディレクトリが削除または変更された場合、これらのサービスに依存する SharePoint Server 機能は失敗します。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 読み取り、書き込み | あり | このディレクトリは、ランタイム診断ログが生成される場所です。 このディレクトリが削除または変更された場合、ログ機能は正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 読み取り | はい | このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。 このディレクトリが変更された場合、リモート サイトの作成と、サービスで公開されているその他のメソッドは正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 読み取り | はい | このディレクトリには、SharePoint Server を使用して IIS Web サイトを拡張するために使用されるファイルが含まれています。 このディレクトリまたはその内容が変更された場合、Web アプリケーションプロビジョニングは正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 変更 | なし | このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 ディレクトリが変更された場合、診断ログは正しく機能しません。 |
| %windir%\temp | 読み取り | はい | このディレクトリは、SharePoint Server が依存するプラットフォーム コンポーネントによって使用されます。 ACL が変更されると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する可能性があります。 |
| %windir%\System32\logfiles\SharePoint | 読み取り | なし | このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリが変更された場合、使用状況ログは正しく機能しません。 このレジストリ キーは SharePoint Server にのみ適用されます。 |
| %systemdrive\program files\Microsoft Office Servers\16 | 読み取り、実行 | 該当しない | このアクセス許可は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\16 フォルダーに与えられます。 |
ローカル サービス
次の表に、ローカル サービスのレジストリ エントリ権限を示します。
| キー名 | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 読み取り | なし | このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が壊れます。 |
次の表に、ローカル サービスのファイル システム権限を示します。
| ファイル システム パス | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 読み取り、実行 | なし | このディレクトリは、SharePoint Server バイナリのインストール場所です。 このディレクトリが削除または変更された場合、すべての SharePoint Server 機能は失敗します。 |
ローカル システム
次の表に、ローカル システムのレジストリ エントリ権限を示します。
| キー名 | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 読み取り | なし | このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が壊れます。 このレジストリ キーは SharePoint Server にのみ適用されます。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | フル コントロール | なし | このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーが変更された場合、コンピューター上の SharePoint Server のインストールは機能しません。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | フル コントロール | なし | このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。 このキーを変更すると、サービスの準備やその他の機能が失敗します。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | フル コントロール | はい | このキーにはセットアップ時に使用される設定が格納されています。 このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する可能性があります。 |
次の表に、ローカル ファイル システムの権限を示します。
| ファイル システム パス | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | フル コントロール | なし | このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。 このディレクトリが変更または削除されると、プロセスが開始に失敗し、管理アクションが失敗する可能性があります。 |
| C:\Inetpub\wwwroot\wss | フル コントロール | なし | このディレクトリ (またはサーバー上の Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 このディレクトリが変更または削除された場合、SharePoint サイトは使用できず、SharePoint Server で拡張されたすべての IIS Web サイトにカスタム IIS Web サイト パスが指定されていない限り、管理操作が失敗する可能性があります。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | フル コントロール | はい | このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。 このディレクトリが変更された場合、リモート サイトの作成と、サービスで公開されているその他のメソッドは正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | フル コントロール | はい | このディレクトリには、Web アプリケーションとサービス アプリケーションのプロビジョニングに使用される構成ファイルが含まれています。 このディレクトリまたはその内容が変更された場合、Web アプリケーションプロビジョニングは正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | フル コントロール | なし | このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 このディレクトリが変更された場合、診断ログは正しく機能しません。 |
| %windir%\temp | フル コントロール | はい | このディレクトリは、SharePoint Server が依存するプラットフォーム コンポーネントによって使用されます。 ACL が変更されると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する可能性があります。 |
| %windir%\System32\logfiles\SharePoint | フル コントロール | なし | このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリが変更された場合、使用状況ログは正しく機能しません。 このレジストリ キーは SharePoint Server にのみ適用されます。 |
ネットワーク サービス
次の表に、ネットワーク サービスのレジストリ エントリ権限を示します。
| キー名 | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | 読み取り | 該当なし | 該当なし |
管理者
次の表に、管理者のレジストリ エントリ権限を示します。
| キー名 | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | フル コントロール | なし | このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーが変更された場合、コンピューター上の SharePoint Server のインストールは機能しません。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | フル コントロール | なし | このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。 このキーを変更すると、サービスの準備やその他の機能が失敗します。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | フル コントロール | はい | このキーにはセットアップ時に使用される設定が格納されています。 このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する可能性があります。 |
次の表に、管理者のファイル システム権限を示します。
| ファイル システム パス | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | フル コントロール | なし | このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。 このディレクトリが変更または削除されると、プロセスが開始に失敗し、管理アクションが失敗する可能性があります。 |
| C:\Inetpub\wwwroot\wss | フル コントロール | なし | このディレクトリ (またはサーバー上の Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 このディレクトリが変更または削除された場合、SharePoint サイトは使用できず、SharePoint Server で拡張されているすべての IIS Web サイトにカスタム IIS Web サイト パスが指定されていない限り、管理操作が失敗する可能性があります。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | フル コントロール | はい | このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。 このディレクトリが変更された場合、リモート サイトの作成と、サービスで公開されているその他のメソッドは正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | フル コントロール | はい | このディレクトリには、Web アプリケーションとサービス アプリケーションのプロビジョニングに使用される構成ファイルが含まれています。 このディレクトリまたはその内容が変更された場合、Web アプリケーションプロビジョニングは正しく機能しません。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | フル コントロール | なし | このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 ディレクトリが変更された場合、診断ログは正しく機能しません。 |
| %windir%\temp | フル コントロール | はい | このディレクトリは、SharePoint Server が依存するプラットフォーム コンポーネントによって使用されます。 ACL が変更されると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する可能性があります。 |
| %windir%\System32\logfiles\SharePoint | フル コントロール | なし | このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリが変更された場合、使用状況ログは正しく機能しません。 このレジストリ キーは SharePoint Server にのみ適用されます。 |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG は、暗号化されたファーム管理資格情報レジストリ エントリを読み取ることができます。 WSS_RESTRICTED_WPG は、構成データベースに格納されているパスワードの暗号化と暗号化解除にのみ使用されます。 次の表は、 WSS_RESTRICTED_WPG レジストリ エントリのアクセス許可を示しています。
| キー名 | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | フル コントロール | なし | このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。 このキーを変更すると、サービスの準備やその他の機能が失敗します。 |
ユーザー グループ
次の表に、ユーザー グループのファイル システム権限を示します。
| ファイル システム パス | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0 | 読み取り、実行 | なし | このディレクトリは、SharePoint Server バイナリとデータのインストール場所です。 ディレクトリはインストール時に変更できます。 インストール後にこのディレクトリが削除、変更、または移動された場合、すべての SharePoint Server 機能は失敗します。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | 読み取り、実行 | なし | このディレクトリは、バックエンドのルート Web サービスがホストされるルート ディレクトリです。 このディレクトリに最初にインストールされるのは、検索グローバル管理サービスだけです。 このディレクトリが削除または変更された場合、サーバー固有の [サーバーの全体管理の設定] ページを使用する一部の検索管理機能は機能しません。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 読み取り、書き込み | あり | このディレクトリは、ランタイム診断ログが生成される場所です。 このディレクトリが削除または変更された場合、ログは正しく機能しません。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 読み取り、実行 | なし | このディレクトリは、SharePoint Server バイナリのインストール場所です。 このディレクトリが削除または変更された場合、すべての SharePoint Server 機能は失敗します。 |
すべての SharePoint Server サービス アカウント
次の表は、SharePoint Server サービス アカウントのファイル システムアクセス許可を示しています。
| ファイル システム パス | アクセス許可 | 継承 | 説明 |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 変更 | なし | このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 このディレクトリが変更された場合、診断ログは正しく機能しません。 すべての SharePoint Server サービス アカウントには、このディレクトリへの 書き込み アクセス許可が必要です。 |