アカウントの権限とセキュリティ設定 (Office SharePoint Server)
この記事の内容 :
アカウントの権限とセキュリティ設定について
管理者アカウントとサービス アカウント
共有サービスのアカウント
グループ権限
この記事では、Microsoft Office SharePoint Server の管理者アカウントとサービス アカウントの権限について説明します。関連する領域は、Microsoft SQL Server、ファイル システム、ファイル共有、およびレジストリ エントリです。
アカウントの権限とセキュリティ設定について
Office SharePoint Server 2007 の基本的なアカウント権限とセキュリティ設定の多くは、セットアップ後処理構成 (PSC) ツールで構成されます。これらの権限は PSC 後の権限です。権限には、この他に、Office SharePoint Server 2007 を設定して構成する前にアカウントが必要とする権限、および手動での構成が必要な権限があります。これらは PSC 前の権限です。
管理者アカウントとサービス アカウント
Office SharePoint Server 2007 の管理者アカウント権限とサービス アカウント権限のほとんどは、セットアップ プロセスで次の Office SharePoint Server 2007 コンポーネントのいずれかによって自動的に構成されます。
SharePoint 製品とテクノロジ構成ウィザード、またはこの構成ウィザードと同等のコマンドラインである Psconfig。この記事ではどちらも PSC ツールと呼びます。
SharePoint サーバーの全体管理 Web サイト
共有サービス プロバイダ (SSP) 管理サイト Web アプリケーション
Stsadm コマンド ライン ツール
セットアップ ユーザー管理者アカウント
このアカウントは、SharePoint 製品とテクノロジ構成ウィザード、Psconfig コマンド ライン ツール、および Stsadm コマンド ライン ツールを実行してファーム内の各サーバーを設定するときに使用されます。この記事の例では、セットアップ ユーザー管理者アカウントが、ファーム管理に使用され、サーバーの全体管理で管理されます。ローカルの管理権限を必要とする構成オプションもあります。Office SharePoint Server 2007 Search クエリ サーバーの構成はその一例です。セットアップ ユーザー管理者アカウントには、次の権限が必要です。
ドメイン ユーザー アカウントの権限が必要です。
Office SharePoint Server 2007 ファーム内の、SQL Server と簡易メール転送プロトコル (SMTP) サーバーを除く各サーバー上のローカル Administrators グループのメンバである必要があります。
SQL Server を実行するコンピュータにログインできる必要があります。
SQL Server のセキュリティ ロール securityadmin と dbcreator に割り当てられている必要があります。
データベースに影響する Stsadm 操作を使用する場合は、db_owner ロールのメンバである必要があります。
PSC ツールを実行すると、次のコンピュータレベルの権限が管理者アカウントに与えられます。
WSS_ADMIN_WPG Windows セキュリティ グループのメンバシップ
IIS_WPG ロールのメンバシップ
PSC ツールを実行すると、次のデータベース権限が与えられます。
Office SharePoint Server 2007 サーバー ファーム構成データベースでの db_owner
Office SharePoint Server 2007 サーバー ファーム コンテンツ データベースでの db_owner
警告
SQL Server を実行するコンピュータからセットアップ ユーザー管理者アカウントを削除すると、PSC ツールは正しく動作しなくなります。PSC ツールを最初に実行したアカウント以外のアカウントを使用して PSC ツールを実行した場合も、PSC ツールは正しく動作しません。
SQL Server サービス アカウント
SQL Server のセットアップ時に、Microsoft SQL Server から SQL Server サービス アカウントが要求されます。このアカウントは、次の SQL Server サービスのサービス アカウントとして使用されます。
MSSQLSERVER
SQLSERVERAGENT
SQL Server セットアップの既定のインスタンスを使用しない場合は、上記のサービスが次のように表示されます。
MSSQL$InstanceName
SQLAGENT$InstanceName
ローカル システム アカウントまたはドメイン ユーザー アカウントのどちらかを使用します。
サーバー ファーム アカウント
サーバー ファーム アカウントはデータベース アクセス アカウントとも呼ばれ、サーバーの全体管理ではアプリケーション プール ID として使用され、Windows SharePoint Services 3.0 Timer Service ではプロセス アカウントとして使用されます。サーバー ファーム アカウントには次の権限が必要です。
ドメイン ユーザー アカウントの権限が必要です。
サーバー ファームが子ファームであり、その Web アプリケーションが親ファームの共有サービスを使用する場合、サーバー ファーム アカウントは、親ファームの構成データベースに関連付けられている固定データベース ロール db_owner のメンバである必要があります。
サーバー ファームに参加している Web サーバーおよびアプリケーション サーバーでは、サーバー ファーム アカウントに追加の権限が自動的に与えられます。
PSC ツールを実行すると、次のコンピュータレベルの権限が与えられます。
Windows SharePoint Services 3.0 Timer Service の WSS_ADMIN_WPG Windows セキュリティ グループのメンバシップ
サーバーの全体管理アプリケーション プールの IIS_RESTRICTED_WPG のメンバシップ
サーバーの全体管理アプリケーション プールの IIS_WPG のメンバシップ
PSC ツールを実行すると、次の SQL Server 権限とデータベース権限が与えられます。
Dbcreator 固定サーバー ロール
Securityadmin 固定サーバー ロール
すべての Office SharePoint Server 2007 データベースに対する db_owner
Office SharePoint Server 2007 サーバー ファーム構成データベースの WSS_CONTENT_APPLICATION_POOLS ロールのメンバシップ
Office SharePoint Server 2007 SharePoint_Admin コンテンツ データベースの WSS_CONTENT_APPLICATION_POOLS ロールのメンバシップ
Windows SharePoint Services 3.0 Search サービス アカウント
Windows SharePoint Services 3.0 Search サービス アカウントは、Windows SharePoint Services 3.0 Search サービスのサービス アカウントとして使用されます。Windows SharePoint Services 3.0 Search サービス アカウントには、次に示す権限の構成設定が必要です。
このアカウントにはドメイン ユーザー アカウント権限が必要です。
最小限の特権モードを使用している場合、このアカウントはファーム管理者グループのメンバであってはなりません。
次のコンピュータレベルの権限が自動的に構成されます。Search サービス アカウントは、WSS_WPG ロールのメンバです。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
サーバー ファーム構成データベースに対する読み取りアクセス権
SharePoint_Admin コンテンツ データベースに対する読み取りアクセス権
このアカウントには、Windows SharePoint Services 3.0 の検索データベースの db_owner ロールが割り当てられます。
Windows SharePoint Services 3.0 Search コンテンツ アクセス アカウント
Windows SharePoint Services 3.0 Search コンテンツ アクセス アカウントは、Windows SharePoint Services 3.0 Search サービスがサイト間でコンテンツをクロールするときに使用されます。Windows SharePoint Services 3.0 Search コンテンツ アクセス アカウントには、次に示す権限の構成設定が必要です。
このアカウントにはドメイン ユーザー アカウント権限が必要です。
このアカウントはファーム管理者グループのメンバであってはなりません。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
サーバー ファーム構成データベースに対する読み取りアクセス権
SharePoint_Admin コンテンツ データベースに対する読み取りアクセス権
このアカウントは、 Windows SharePoint Services 3.0 の検索データベースの db_owner ロールに割り当てられます。
Windows SharePoint Services 3.0 Search コンテンツ アクセス アカウントのすべての読み取りポリシーが、すべての Web アプリケーションで作成されます。
共有サービスのアカウント
ここでは、共有サービス プロバイダ (SSP) を設定して構成するときに使用されるアカウントについて説明します。
SSP アプリケーション プール アカウント
SSP アプリケーション プール アカウントは、共有サービス管理 Web サイトでアプリケーション プール ID として使用されます。SSP アプリケーション プール アカウントには、次に示す権限の構成設定が必要です。
次のコンピュータレベルの権限が自動的に構成されます。SSP アプリケーション プール アカウントは、WSS_WPG ロールのメンバです。
このアカウントに対して、次の SQL Server 権限とデータベース権限が自動的に構成されます。
SSP コンテンツ データベースに対する読み取り/書き込みアクセス権。
ファーム構成データベースに対する読み取りアクセス権。
サーバーの全体管理コンテンツ データベースに対する読み取りアクセス権。
このアカウントは、SSP 検索データベースのユーザー グループのメンバです。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
SSP サービス アカウント
SSP サービス アカウントは、次のサービスで使用されます。
サーバー間通信の SSP Web サービス
スケジュールされたジョブを実行する SSP タイマ サービス
SSP の仮想ディレクトリに関連付けられているアプリケーション プール
SSP サービス アカウントには、ドメイン ユーザー アカウント権限の構成設定が必要です。
次のコンピュータレベルの権限が自動的に構成されます。SSP サービス アカウントは、WSS_WPG ロールのメンバです。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
このアカウントは、SSP コンテンツ データベースの db_owner ロールに割り当てられます。
SSP コンテンツ データベースに対する読み取り/書き込みアクセス権。
SSP に関連付けられている Web アプリケーションのコンテンツ データベースに対する読み取り/書き込みアクセス権。
構成データベースに対する読み取りアクセス権。
サーバーの全体管理コンテンツ データベースに対する読み取りアクセス権。
このアカウントは、SSP 検索データベースのユーザー グループのメンバです。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
Office SharePoint Server Search サービス アカウント
Office SharePoint Server 2007 Search サービス アカウントは、Office SharePoint Server 2007 Search サービスのサービス アカウントとして使用されます。Office SharePoint Server 2007 Search サービスは、すべての SSP で使用されます。このサービスのインスタンスは、各サーバーに 1 つだけ存在します。Office SharePoint Server 2007 Search サービス アカウントには、次に示す権限の構成設定が必要です。Office SharePoint Server 2007 Search サービス アカウントには、ファーム内のすべての Search クエリ サーバー上の伝達場所の共有に対するアクセス権が与えられます。
次のコンピュータレベルの権限が自動的に構成されます。Office SharePoint Server 2007 Search サービス アカウントは、WSS_WPG ロールのメンバです。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
既定のコンテンツ アクセス アカウント
既定のコンテンツ アクセス アカウントは、URL または URL パターンのクロール ルールで別の認証方法が指定されていない限り、特定の SSP 内でコンテンツをクロールする場合に使用されます。このアカウントには、次に示す権限の構成設定が必要です。
既定のコンテンツ アクセス アカウントは、ドメイン ユーザー アカウントである必要があり、このアカウントを使用してクロールする外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースへの読み取りアクセス権を必要とします。
Office SharePoint Server サイトがサーバー ファームに含まれていない場合は、このアカウントには、サイトをホストする Web アプリケーションへのすべて読み取り権限を明示的に与える必要があります。
このアカウントはファーム管理者グループのメンバであってはなりません。
次の SQL Server 権限とデータベース権限が自動的に構成されます。 サーバー ファームでホストされているコンテンツ データベースへのすべての読み取り権限が自動的に与えられます。
コンテンツ アクセス アカウント
コンテンツ アクセス アカウントは、クロール ルールの UI またはオブジェクト モデル (OM) からコンテンツにアクセスするために構成されるアカウントです。このアカウントは省略可能で、新しいクロール ルールを作成するときに構成できます。たとえば、外部のコンテンツ (ファイル共有など) では、この独立したコンテンツ アクセス アカウントが要求されることがあります。このアカウントには、次に示す権限の構成設定が必要です。
コンテンツ アクセス アカウントには、このアカウントがアクセスするように構成されている外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースへの読み取りアクセス権が必要です。
Office SharePoint Server サイトがサーバー ファームに含まれていない場合は、このアカウントには、サイトをホストする Web アプリケーションへのすべて読み取り権限を明示的に与える必要があります。
プロファイル インポートの既定のアクセス アカウント
プロファイル インポートの既定のアクセス アカウントは、Active Directory ディレクトリ サービス、LDAP (Lightweight Directory Access Protocol) ディレクトリ、ビジネス データ カタログ アプリケーション、その他のディレクトリ ソースなどのディレクトリ サービスに接続するときに使用されます。また、ディレクトリ サービスからプロファイル データをインポートするときにも使用されます。
注意
アカウントが指定されない場合は、既定のコンテンツ アクセス アカウントが使用されます。
このアカウントには、次に示す権限の構成設定が必要です。
ディレクトリ サービスへの読み取りアクセス権が必要です。
ユーザー プロファイル個人用設定サービスを管理するための権限が必要です。
ビジネス データ カタログ (BDC) のインポート接続で使用されるエンティティへの読み取りアクセス権が必要です。
Excel Services 無人サービス アカウント
Excel Services 無人サービス アカウントは、Windows 以外のオペレーティング システムでのユーザー名とパスワードを認証時に必要とする外部データ ソースに接続するときに、Excel Services によって使用されます。このアカウントが構成されていない場合、Excel Services はこれらの種類のデータ ソースには接続しません。Windows 以外のオペレーティング システムのデータ ソースへの接続にはアカウント資格情報が使用されますが、アカウントがドメインのメンバでないと Excel Services はそのデータ ソースにアクセスできません。このアカウントは、ドメイン ユーザー アカウントである必要があります。
個人用サイトのアプリケーション プール アカウント
個人用サイトのアプリケーション プール アカウントは、ドメイン ユーザー アカウントである必要があります。このアカウントは、ファーム管理者グループのメンバであってはなりません。
次のコンピュータレベルの権限が自動的に構成されます。このアカウントは WSS_WPG のメンバです。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
このアカウントは、Web アプリケーションに関連付けられている個人用サイトの検索データベース (SSP 検索データベースなど) の db_owner ロールのメンバである必要があります。
このアカウントには、関連付けられている SSP データベースに対する読み取り/書き込みアクセス権が必要です。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
その他のアプリケーション プール アカウント
その他のアプリケーション プール アカウントは、ドメイン ユーザー アカウントである必要があります。このアカウントは、サーバー ファーム内のコンピュータ上の Administrators グループのメンバであってはなりません。
次のコンピュータレベルの権限が自動的に構成されます。このアカウントは WSS_WPG ロールのメンバです。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
このアカウントは、コンテンツ データベースの db_owner ロールに割り当てられます。
このアカウントは、 Web アプリケーションに関連付けられている検索データベースの db_owner ロールに割り当てられます。
このアカウントには、関連付けられている SSP データベースに対する読み取り/書き込みアクセス権が必要です。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
グループ権限
ここでは、Office SharePoint Server 2007 のセットアップと構成ツールで作成されるグループの権限について説明します。
WSS_CONTENT_APPLICATION_POOLS データベース ロール
セットアップで、次のデータベースに WSS_CONTENT_APPLICATION_POOLS ロールが割り当てられます。
SharePoint_Config データベース (構成データベース)
SharePoint_AdminContent データベース
WSS_CONTENT_APPLICATION_POOLS ロールのメンバには、データベースのストアド プロシージャのサブセットに対する実行権限が与えられます。さらに、このロールのメンバには、SharePoint_AdminContent データベースの Versions テーブル (dbo.Versions) に対する選択権限が与えられます。その他のデータベースについては、それらのデータベースを読み取るためのアクセス権が自動的に構成されることがアカウント計画ツールで示されます。場合によっては、データベースに書き込むための制限付きアクセス権も自動的に構成されます。このアクセスを可能にするために、ストアド プロシージャに対する権限が構成されます。たとえば、SharePoint_Config データベースについては、次のストアド プロシージャへのアクセス権が自動的に構成されます。
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
WSS_ADMIN_WPG
次の表に、WSS_ADMIN_WPG のレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_CLASSES_ROOT\APPID\{58F1D482-A132-4297-9B8A-F8E4E600CDF6} |
フル コントロール |
N/A |
Office SharePoint Server 2007 Search サービスの COM アプリケーションです。 |
HKEY_CLASSES_ROOT\APPID\{6002D29F-1366-4523-88C1-56D59BFEF8CB} |
フル コントロール |
N/A |
Windows SharePoint Services 3.0 Search サービスの COM アプリケーションです。 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
フル コントロール |
N/A |
N/A |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Registration\{90120000-110D-0000-0000-0000000FF1CE} |
読み取り、書き込み |
N/A |
N/A |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
読み取り |
なし |
このキーは、Office SharePoint Server 2007 レジストリ設定ツリーのルートです。このキーを変更すると、 Office SharePoint Server 2007 の機能は失敗します。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\12.0 |
フル コントロール |
なし |
このキーは Office SharePoint Server 2007 レジストリ設定のルートです。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LoadBalancerSettings |
読み取り、書き込み |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LauncherSettings |
読み取り、書き込み |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\Search |
フル コントロール |
N/A |
N/A |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Search |
フル コントロール |
N/A |
N/A |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure |
フル コントロール |
なし |
このキーには、コンピュータが参加している構成データベースの接続文字列と ID が格納されています。このキーを変更すると、コンピュータ上の Office SharePoint Server インストールが機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\WSS |
フル コントロール |
あり |
このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。 |
次の表に、WSS_ADMIN_WPG のファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
フル コントロール |
なし |
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。 |
C:\Inetpub\wwwroot\wss |
フル コントロール |
なし |
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。Office SharePoint Server で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。 |
%ProgramFiles%\Microsoft Office Servers\12.0 |
フル コントロール |
なし |
このディレクトリは、Office SharePoint Server 2007 のバイナリとデータがインストールされる場所です。ディレクトリはインストール時に変更できます。このディレクトリを削除、変更、またはインストール後に削除すると、Office SharePoint Server 2007 のすべての機能が失敗します。一部の Office SharePoint Server 2007 サービスは、データをディスクに格納するために、WSS_ADMIN_WPG Windows セキュリティ グループのメンバシップを必要とします。 |
%ProgramFiles%\Microsoft Office Servers\12.0\WebServices |
読み取り、書き込み |
なし |
このディレクトリは、Excel、Search など、バックエンドの SSP Web サービスがホストされるルート ディレクトリです。このディレクトリを削除または変更すると、これらのサービスに依存する Office SharePoint Server 2007 の機能が失敗します。 |
%ProgramFiles%\Microsoft Office Servers\12.0\Data |
フル コントロール |
なし |
このディレクトリは、検索インデックスをはじめとするローカル データが格納されるルートの場所です。このディレクトリを削除または変更すると、検索機能が失敗します。検索でこのフォルダにデータを保存してセキュリティで保護するには、WSS_ADMIN_WPG Windows セキュリティ グループ権限が必要です。 |
%ProgramFiles%\Microsoft Office Servers\12.0\Logs |
フル コントロール |
あり |
このディレクトリは、ランタイム診断ログが生成される場所です。このディレクトリを削除または変更すると、ログ機能が正しく機能しなくなります。 |
%ProgramFiles%\Microsoft Office Servers\12.0\Data\Office Server |
フル コントロール |
あり |
親フォルダと同じです。 |
%windir%\System32\drivers\etc\HOSTS |
読み取り、書き込み |
N/A |
N/A |
%windir%\Tasks |
フル コントロール |
N/A |
N/A |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\12 |
変更 |
あり |
このディレクトリは、Office SharePoint Server のコア ファイルのインストール ディレクトリです。アクセス制御リスト (ACL) を変更すると、機能のアクティブ化、ソリューションの導入などの機能が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\ADMISAPI |
フル コントロール |
あり |
このディレクトリには、サーバーの全体管理の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\CONFIG |
フル コントロール |
あり |
このディレクトリには、Office SharePoint Server で IIS Web サイトを拡張するために使用されるファイルが格納されています。このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS |
フル コントロール |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\Data |
フル コントロール |
あり |
N/A |
%windir%\temp |
フル コントロール |
あり |
このディレクトリは、Office SharePoint Server が依存するプラットフォーム コンポーネントで使用されます。ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。 |
%windir%\System32\logfiles\SharePoint |
フル コントロール |
なし |
このディレクトリは、Office SharePoint Server の利用状況ログで使用されます。このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 |
インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\12 フォルダ |
フル コントロール |
N/A |
この権限は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\12 フォルダに与えられます。 |
WSS_WPG
次の表に、WSS_WPG のレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\12.0 |
読み取り |
なし |
このキーは Office SharePoint Server 2007 レジストリ設定のルートです。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\Diagnostics |
読み取り、書き込み |
なし |
このキーには、Office SharePoint Server 2007 診断ログの設定が格納されています。このキーを変更すると、ログ機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LoadBalancerSettings |
読み取り、書き込み |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LauncherSettings |
読み取り、書き込み |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure |
読み取り |
なし |
このキーには、コンピュータが参加している構成データベースの接続文字列と ID が格納されています。このキーを変更すると、コンピュータ上の Office SharePoint Server インストールが機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\WSS |
読み取り |
あり |
このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。 |
次の表に、WSS_WPG のファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
読み取り |
なし |
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。 |
C:\Inetpub\wwwroot\wss |
読み取り、実行 |
なし |
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。Office SharePoint Server で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。 |
%ProgramFiles%\Microsoft Office Servers\12.0 |
読み取り、実行 |
なし |
このディレクトリは、Office SharePoint Server 2007 のバイナリとデータがインストールされる場所です。ディレクトリはインストール時に変更できます。このディレクトリを削除、変更、またはインストール後に移動すると、Office SharePoint Server 2007 のすべての機能が失敗します。IIS サイトで Office SharePoint Server 2007 バイナリを読み込むには、WSS_WPG の読み取り権限と実行権限が必要です。 |
%ProgramFiles%\Microsoft Office Servers\12.0\WebServices |
読み取り |
なし |
このディレクトリは、Excel、Search など、バックエンドの SSP Web サービスがホストされるルート ディレクトリです。このディレクトリを削除または変更すると、これらのサービスに依存する Office SharePoint Server 2007 の機能が失敗します。 |
%ProgramFiles%\Microsoft Office Servers\12.0\Logs |
読み取り、書き込み |
あり |
このディレクトリは、ランタイム診断ログが生成される場所です。このディレクトリを削除または変更すると、ログ機能が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\ADMISAPI |
読み取り |
あり |
このディレクトリには、サーバーの全体管理の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\CONFIG |
読み取り |
あり |
このディレクトリには、Office SharePoint Server で IIS Web サイトを拡張するために使用されるファイルが格納されています。このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS |
変更 |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。 |
%windir%\temp |
読み取り |
あり |
このディレクトリは、Office SharePoint Server が依存するプラットフォーム コンポーネントで使用されます。ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。 |
%windir%\System32\logfiles\SharePoint |
読み取り |
なし |
このディレクトリは、Office SharePoint Server の利用状況ログで使用されます。このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 |
%systemdrive\program files\Microsoft Office Servers\12 |
読み取り、実行 |
N/A |
この権限は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\12 フォルダに与えられます。 |
ローカル サービス
次の表に、ローカル サービスのレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LoadBalancerSettings |
読み取り |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
次の表に、ローカル サービスのファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\12.0\Bin |
読み取り、実行 |
なし |
このディレクトリは、Office SharePoint Server 2007 のバイナリがインストールされる場所です。このディレクトリを削除または変更すると、Office SharePoint Server 2007 のすべての機能が失敗します。 |
ローカル システム
次の表に、ローカル システムのレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LauncherSettings |
読み取り |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure |
フル コントロール |
なし |
このキーには、コンピュータが参加している構成データベースの接続文字列と ID が格納されています。このキーを変更すると、コンピュータ上の Office SharePoint Server インストールが機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure\FarmAdmin |
フル コントロール |
なし |
このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。このキーを変更すると、サービスの準備やその他の機能が失敗します。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\WSS |
フル コントロール |
あり |
このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。 |
次の表に、ローカル ファイル システムの権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
フル コントロール |
なし |
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。 |
C:\Inetpub\wwwroot\wss |
フル コントロール |
なし |
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。Office SharePoint Server で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\ADMISAPI |
フル コントロール |
あり |
このディレクトリには、サーバーの全体管理の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\CONFIG |
フル コントロール |
あり |
このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS |
フル コントロール |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。 |
%windir%\temp |
フル コントロール |
あり |
このディレクトリは、Office SharePoint Server が依存するプラットフォーム コンポーネントで使用されます。ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。 |
%windir%\System32\logfiles\SharePoint |
フル コントロール |
なし |
このディレクトリは、Office SharePoint Server の利用状況ログで使用されます。このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 |
ネットワーク サービス
次の表に、ネットワーク サービスのレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\Search\Setup |
読み取り |
N/A |
N/A |
管理者
次の表に、管理者のレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure |
フル コントロール |
なし |
このキーには、コンピュータが参加している構成データベースの接続文字列と ID が格納されています。このキーを変更すると、コンピュータ上の Office SharePoint Server インストールが機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure\FarmAdmin |
フル コントロール |
なし |
このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。このキーを変更すると、サービスの準備やその他の機能が失敗します。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\WSS |
フル コントロール |
あり |
このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。 |
次の表に、管理者のファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
フル コントロール |
なし |
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。 |
C:\Inetpub\wwwroot\wss |
フル コントロール |
なし |
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。Office SharePoint Server で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\ADMISAPI |
フル コントロール |
あり |
このディレクトリには、サーバーの全体管理の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\CONFIG |
フル コントロール |
あり |
このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS |
フル コントロール |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。 |
%windir%\temp |
フル コントロール |
あり |
このディレクトリは、Office SharePoint Server が依存するプラットフォーム コンポーネントで使用されます。ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。 |
%windir%\System32\logfiles\SharePoint |
フル コントロール |
なし |
このディレクトリは、Office SharePoint Server の利用状況ログで使用されます。このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 |
WSS_RESTRICTED_WPG
次の表に、WSS_RESTRICTED_WPG のレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure\FarmAdmin |
フル コントロール |
なし |
このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。このキーを変更すると、サービスの準備やその他の機能が失敗します。 |
ユーザー グループ
次の表に、ユーザー グループのファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\12.0 |
読み取り、実行 |
なし |
このディレクトリは、Office SharePoint Server 2007 のバイナリとデータがインストールされる場所です。ディレクトリはインストール時に変更できます。このディレクトリを削除、変更、またはインストール後に移動すると、Office SharePoint Server 2007 のすべての機能が失敗します。 |
%ProgramFiles%\Microsoft Office Servers\12.0\WebServices\Root |
読み取り、実行 |
なし |
このディレクトリは、バックエンドのルート Web サービスがホストされるルート ディレクトリです。このディレクトリに最初にインストールされるのは、検索グローバル管理サービスだけです。このディレクトリを削除または変更すると、サーバー固有のサーバーの全体管理 [検索の設定] ページを使用する検索管理機能の一部が機能しなくなります。 |
%ProgramFiles%\Microsoft Office Servers\12.0\Logs |
読み取り、書き込み |
あり |
このディレクトリは、ランタイム診断ログが生成される場所です。このディレクトリを削除または変更すると、ログが正しく機能しなくなります。 |
%ProgramFiles%\Microsoft Office Servers\12.0\Bin |
読み取り、実行 |
なし |
このディレクトリは、Office SharePoint Server 2007 のバイナリがインストールされる場所です。このディレクトリを削除または変更すると、Office SharePoint Server 2007 のすべての機能が失敗します。 |
すべての Office SharePoint Server サービス アカウント
次の表に、すべての Office SharePoint Server サービス アカウントのファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS |
変更 |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 このディレクトリを変更すると、診断ログが正しく機能しなくなります。すべての Office SharePoint Server サービス アカウントに、このディレクトリに対する書き込み権限が必要です。 |