Permissões de conta e configurações de segurança no SharePoint Servers
APLICA-SE A:
2013 2019 Subscription Edition 
SharePoint no Microsoft 365
Este artigo descreve as permissões de conta administrativa e de serviços do SharePoint para as seguintes áreas: Microsoft SQL Server, o sistema de arquivos, compartilhamento de arquivos e entradas de registro.
Importante
Não use nomes de conta de serviço que contenham o símbolo $ com exceção do uso de uma Conta de Serviço Gerenciado de Grupo para SQL Server.
Saiba mais sobre a função de administrador do SharePoint no Microsoft 365.
Sobre permissões de conta e configurações de segurança no SharePoint Servers
O Assistente de Configuração de Produtos do SharePoint (Psconfig) e o Assistente de Criação de Farm, ambos os quais são executados durante uma instalação completa, configuram muitas das permissões e configurações de segurança de conta básicas do SharePoint.
Recomendações da conta de serviço
As seções a seguir descrevem recomendações em contas do Serviço do SharePoint.
Recomendações da conta de serviço
A Microsoft recomenda usar um número mínimo de contas do Pool de Aplicativos de Serviço no farm. Essa recomendação é reduzir o uso de memória e aumentar o desempenho mantendo o nível apropriado de segurança.
Use uma conta elevada e pessoalmente identificável para instalação, manutenção e atualizações do SharePoint. Essa conta manterá as funções necessárias conforme descrito na conta do Administrador do Farm do SharePoint. Cada administrador do SharePoint deve usar uma conta separada para que sua atividade executada no farm seja claramente identificada.
Se possível, use um grupo de segurança, SharePoint Farm Administrators Groups, para unificar todas as contas individuais do Administrador do Farm do SharePoint e para conceder permissões conforme descrito na conta do Administrador do Farm do SharePoint. Esse uso de um grupo de segurança simplifica significativamente o gerenciamento das contas do Administrador do Farm do SharePoint.
A conta do Serviço farm do SharePoint só deve executar o serviço timer do SharePoint, o SharePoint Insights (se aplicável), os Pools de Aplicativos do IIS para Administração Central, o Sistema de Serviços Web do SharePoint (usado para o serviço de topologia) e o SecurityTokenServiceApplicationPool (usado para o Serviço de Token de Segurança).
Uma única conta deve ser usada para todos os Aplicativos de Serviço, chamada conta do Pool de Aplicativos de Serviço. Esse uso de uma única conta permite que o administrador use um único Pool de Aplicativos IIS para todos os Aplicativos de Serviço. Além disso, essa conta deve executar os seguintes Serviços windows: Controlador de Host de Pesquisa do SharePoint, Pesquisa do Servidor do SharePoint e Cache Distribuído (Serviço de Cache AppFabric).
Uma única conta deve ser usada para todos os Aplicativos Web, chamada conta do pool de aplicativos Web. Esse uso de uma única conta permite que o administrador use um único Pool de Aplicativos IIS para todos os Aplicativos Web, exceto o Aplicativo Web da Administração Central que é executado pela conta de serviço farm do SharePoint.
Com exceção da conta do Serviço de Token do Windows, nenhuma conta do Pool de Aplicativos de Serviço deve ter acesso do Administrador Local a qualquer servidor do SharePoint, nem qualquer função de SQL Server elevada, por exemplo, a função fixa de sysadmin. A conta do Administrador do Farm do SharePoint exigirá as funções fixas de dbcreator e securityadmin , a menos que você provisione bancos de dados do SharePoint e atribua manualmente permissões a cada banco de dados.
As contas do Pool de Aplicativos de Serviço, exceto a conta que executa o Serviço de Token do Windows, devem ter o logotipo Deny localmente e Negar logon por meio dos Serviços de Área de Trabalho Remota na Atribuição Política de Segurança Local\Direitos do Usuário. Esses valores são definidos por meio de secpol.msc.
Use contas separadas para acesso a conteúdo (rastreamento de pesquisa), Portal Super Leitor, Super Usuário do Portal e Sincronização de Aplicativo do Serviço de Perfil de Usuário, se aplicável.
A conta Declarações ao Serviço de Token do Windows é uma conta altamente privilegiada no farm. Antes de implantar esse serviço, verifique se ele é necessário. Se necessário, use uma conta separada para este serviço.
Visão geral das recomendações de contas de serviço
| Nome da conta de serviço | Para que é usado? | Quantos devem ser usados? |
|---|---|---|
| Conta do Administrador do SharePoint Farm | Conta identificável pessoalmente para um administrador do SharePoint | 1-n |
| Conta do Serviço de Farm do SharePoint | Serviço de Temporizador, Insights, Aplicativo IIS para CA, Sistema de Serviços Web SP, Pool de Aplicativos do Serviço de Token de Segurança | 1 |
| Conta de acesso de conteúdo padrão | Pesquisar o rastreamento de fontes internas e externas | 1 |
| Contas de acesso de conteúdo | Pesquisar o rastreamento de fontes internas e externas | 1-n |
| Conta do Pool de Aplicativos Web | Todos os aplicativos Web sem Administração Central | 1 |
| Conta do Pool de Aplicativos do Serviço do SharePoint | Todos os aplicativos de serviço | 1 |
| Portal Super Leitor | Cache de objetos | 1 |
| Portal Super Usuário | Cache de objetos | 1 |
| Sincronização do aplicativo do Serviço de Perfil de Usuário | Usado para importação do Active Directory | 1-n |
Contas administrativas do SharePoint
Um dos seguintes componentes do SharePoint configura automaticamente a maioria das permissões de conta administrativas do SharePoint durante o processo de configuração:
O Assistente de Configuração de Produtos do SharePoint (Psconfig).
O Assistente de Configuração de Farm.
O site da Administração Central do SharePoint.
Microsoft PowerShell.
Conta do Administrador do SharePoint Farm
Essa conta é usada para configurar cada servidor em seu farm executando o Assistente de Configuração de Produtos do SharePoint (Psconfig), o Assistente inicial de Configuração do Farm e o PowerShell. Para os exemplos deste artigo, a conta do Administrador do Farm do SharePoint é usada para administração de farm e você pode usar a Administração Central para gerenciá-la. Algumas opções de configuração, por exemplo, configuração do servidor de consulta de Pesquisa do SharePoint Server, exigem permissões de administração local. A conta do Administrador do Farm do SharePoint tem os seguintes requisitos:
Ela deve ter permissões de conta de usuário de domínio.
Ele deve ser um membro do grupo administradores locais em cada servidor no farm do SharePoint.
Essa conta deve ter acesso aos bancos de dados do SharePoint.
Se você usar qualquer operação do PowerShell que afete um banco de dados, a conta do Administrador do Farm do SharePoint deverá ser membro da função db_owner .
Essa conta deve ser atribuída às funções de segurança securityadmin e dbcreatorSQL Server durante a instalação e configuração.
Observação
As funções de segurança securityadmin e dbcreatorSQL Server podem ser necessárias nessa conta durante uma atualização completa de versão para versão, pois os novos bancos de dados podem ter sido criados e estar protegidos pelos serviços.
Depois de executar os assistentes de configuração, as permissões no nível do computador para a conta do Administrador do Farm do SharePoint incluem:
- Associação ao grupo de segurança WSS_ADMIN_WPG Windows.
Depois de executar os assistentes de configuração, as permissões de bancos de dados incluem:
db_owner no banco de dados de configuração de farm do servidor do SharePoint.
db_owner no banco de dados de conteúdo da Administração Central do SharePoint.
Cuidado
Se a conta que você usa para executar os assistentes de configuração não tiver a associação de função de SQL Server especial apropriada ou acessar como db_owner nos bancos de dados, os assistentes de configuração não serão executados corretamente.
Conta do Serviço de Farm do SharePoint
A conta de serviço do SharePoint Farm, que também é chamada de conta de acesso ao banco de dados, é usada como a identidade do pool de aplicativos para Administração Central e como a conta de processo do Serviço de Temporizador do SharePoint. A conta farm do servidor tem o seguinte requisito:
- Ela deve ter permissões de conta de usuário de domínio.
Permissões extras são concedidas automaticamente à conta do Serviço farm do SharePoint em servidores do SharePoint que são ingressados em um farm de servidores.
Após a execução da Configuração, as permissões no nível da máquina incluirão:
Associação no grupo de segurança WSS_ADMIN_WPG Windows para o Serviço de Temporizador do SharePoint.
Associação em WSS_RESTRICTED_WPG para os pools de aplicativos de serviço da Administração Central e temporizador.
Associação em WSS_WPG para o pool de aplicativos da Administração Central.
Depois de executar os assistentes de configuração, as permissões do SQL Server e do banco de dados incluem:
A função de servidor fixa Dbcreator.
A função de servidor fixa Securityadmin.
db_owner para todos os bancos de dados do SharePoint.
Associação na função WSS_CONTENT_APPLICATION_POOLS para o banco de dados de configuração do farm do servidor do SharePoint.
Associação à função WSS_CONTENT_APPLICATION_POOLS para o banco de dados de conteúdo SharePoint_Admin.
Contas do Pool de Aplicativos do SharePoint
Esta seção descreve as contas do Pool de Aplicativos do SharePoint que são configuradas por padrão durante a instalação.
Conta de acesso de conteúdo padrão
A conta de acesso de conteúdo padrão é usada dentro de um aplicativo de serviço específico para rastrear o conteúdo, a menos que um método de autenticação diferente seja especificado por uma regra de rastreamento de uma URL ou um padrão de URL. Esta conta exige as seguintes configurações de permissão:
A conta de acesso de conteúdo padrão deve ser uma conta de usuário de domínio que tenha acesso de leitura a fontes de conteúdo externas ou seguras que você deseja rastrear usando essa conta.
Para sites do SharePoint Server que não fazem parte do farm de servidores, você precisa conceder explicitamente a permissão de leitura completa dessa conta aos Aplicativos Web que hospedam os sites.
Esta conta não deve ser membro do grupo de administradores do farm.
Contas de acesso de conteúdo
As contas de acesso são configuradas para acessar conteúdo usando o recurso das regras de rastreamento da administração de Pesquisa. Esse tipo de conta é opcional e pode ser configurada ao criar uma nota regra de rastreamento. Por exemplo, o conteúdo externo (como um compartilhamento de arquivos) talvez exija essa conta de acesso de conteúdo separada. Tal conta exige as configurações de permissão a seguir:
A conta de acesso ao conteúdo deve ter acesso de leitura a fontes de conteúdo externas ou seguras que essa conta está configurada para acessar.
Para sites do SharePoint Server que não fazem parte do farm de servidores, você precisa conceder explicitamente a permissão de leitura completa dessa conta aos Aplicativos Web que hospedam os sites.
Conta do Pool de Aplicativos Web
A conta do Pool de Aplicativos Web deve ser uma conta de usuário de domínio. Esta conta não deve ser membro do grupo de administradores do farm.
Essa conta deve ser usada para todos os Aplicativos Web sem Administração Central.
A seguinte permissão no nível do computador é configurada automaticamente:
- Essa conta é membro do WSS_WPG.
As permissões do SQL Server e do banco de dados a seguir são configuradas automaticamente:
Essa conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de configuração do farm.
Essa conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de conteúdo Administração do SharePoint.
As contas do pool de aplicativos para Aplicativos Web são atribuídas à função SPDataAccess para os bancos de dados de conteúdo.
Conta do Pool de Aplicativos do Serviço do SharePoint
A conta do Pool de Aplicativos de Serviço do SharePoint deve ser uma conta de usuário de domínio. Esta conta não deve ser membro do grupo de administradores ou qualquer outro computador do farm de servidores.
A seguinte permissão no nível do computador é configurada automaticamente:
- Essa conta é membro do WSS_WPG.
Os seguintes requisitos/permissões de SQL Server e banco de dados são configurados automaticamente:
Essa conta é atribuída à função SPDataAccess para os bancos de dados de conteúdo.
Essa conta é atribuída à função SPDataAccess para um banco de dados de pesquisa associado ao Aplicativo Web.
Essa conta deve ter acesso de leitura e gravação ao banco de dados de aplicativo de serviço associado.
Essa conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de configuração do farm.
Essa conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de conteúdo SharePoint_Admin.
Funções de banco de dados do SharePoint
Esta seção descreve as funções do banco de dados que a instalação configura como padrão ou que podem ser configuradas opcionalmente.
Função de banco de dados WSS_CONTENT_APPLICATION_POOLS
A função de banco de dados WSS_CONTENT_APPLICATION_POOLS se aplica à conta do pool de aplicativos para cada aplicativo Web registrado em um farm do SharePoint. Essa aplicabilidade de função permite que aplicativos Web consultem e atualizem o mapa do site e tenham acesso somente leitura a outros itens no banco de dados de configuração. A instalação atribui a função WSS_CONTENT_APPLICATION_POOLS aos seguintes bancos de dados:
O banco de dados Config do SharePoint (o banco de dados de configuração)
O banco de dados de conteúdo Administração do SharePoint
Os membros da função WSS_CONTENT_APPLICATION_POOLS têm a permissão de execução para um subconjunto dos procedimentos armazenados para o banco de dados. Além disso, os membros dessa função têm a permissão de seleção para a tabela Versões (dbo. Versões) no banco de dados SharePoint_AdminContent. Para outros bancos de dados, a ferramenta de planejamento de contas indica que o acesso de leitura desses bancos de dados é configurado automaticamente. Em alguns casos, o acesso limitado de gravação para bancos de dados também é configurado automaticamente. Para oferecer este acesso, as permissões de processos armazenados são configuradas.
SharePoint_SHELL_ACCESS função de banco de dados
A função de banco de dados SharePoint_SHELL_ACCESS seguro no banco de dados de configuração substitui a necessidade de adicionar uma conta de administração como um db_owner no banco de dados de configuração. Por padrão, a conta de configuração é atribuída à função de banco de dados SharePoint_SHELL_ACCESS . Você pode usar o comando PowerShell para conceder ou remover associações a essa função. A instalação atribui a função SharePoint_SHELL_ACCESS aos seguintes bancos de dados:
Banco de dados do SharePoint_Config (banco de dados de configuração).
Um ou mais bancos de dados de conteúdo do SharePoint. Esse banco de dados é configurável usando o comando do PowerShell que gerencia a associação e o objeto atribuído a essa função.
Os membros da função SharePoint_SHELL_ACCESS têm a permissão de execução para todos os procedimentos armazenados para o banco de dados. Além disso, os membros dessa função têm as permissões de leitura e gravação em todas as tabelas de banco de dados.
Função de banco de dados SPREADONLY
A função SPREADONLY deve ser usada para definir o banco de dados como modo somente leitura em vez de usar sp_dboption. Essa função, como o nome sugere, deve ser usada quando apenas o acesso de leitura é necessário para dados de uso e telemetria.
Observação
O procedimento armazenado sp_dboption não está disponível no SQL Server 2012. Para obter mais informações sobre sp_dboption, consulte sp_dboption (Transact-SQL).
A função SQL SPREADONLY terá as seguintes permissões:
Concede SELECT em todos os procedimentos e funções armazenados do SharePoint.
Concede SELECT em todas as tabelas do SharePoint.
Conceda EXECUTE em tipos definidos pelo usuário em que o esquema é dbo.
Função de banco de dados SPDataAccess
A função SPDataAccess é a função padrão para acesso ao banco de dados e deve ser usada para todo o acesso no nível do modelo de objeto aos bancos de dados. Adicione a conta do pool de aplicativos a essa função durante atualizações ou novas implantações.
Observação
A função SPDataAccess substituiu a função db_owner no SharePoint Server 2016.
A função SPDataAccess terá as seguintes permissões:
Concede EXECUTE ou SELECT em todos os procedimentos e funções armazenados do SharePoint.
Concede SELECT em todas as tabelas do SharePoint.
Conceda EXECUTE em tipos definidos pelo usuário em que o esquema é dbo.
Concede INSERT na tabela AllUserDataJunctions.
Concede UPDATE em exibições de site.
Concede UPDATE na exibição UserData.
Concede UPDATE na tabela AllUserData.
Concede INSERT e DELETE nas tabelas NameValuePair.
Concede permissão para criação de tabelas.
Permissões de grupo
Esta seção descreve as permissões de grupos que as ferramentas de configuração e configuração do SharePoint Servers 2016 e 2019 criam.
WSS_ADMIN_WPG
WSS_ADMIN_WPG tem acesso de leitura e gravação aos recursos locais. As contas do pool de aplicativos para os serviços de Administração Central e Temporizador estão em WSS_ADMIN_WPG. A tabela a seguir mostra as permissões de entrada do registro WSS_ADMIN_WPG :
Observação
O SharePoint 2013 usa o caminho do registro "15.0" em vez de "16.0" e o caminho do sistema de arquivos "15" em vez de "16". Alguns caminhos listados nas tabelas subsequentes não se aplicam ao SharePoint Foundation 2013.
| Nome da chave | Permissões | Herdar | Descrição |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | Controle total | Não aplicável | Não aplicável |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | Leitura, gravação | Não aplicável | Não aplicável |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | Leitura | Não | Essa chave é a raiz da árvore de configurações de registro do SharePoint Server. Se essa chave for alterada, a funcionalidade do SharePoint Server falhará. |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Controle total | Não | Essa chave é a raiz das configurações de Registro do SharePoint Server 2016. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Leitura, gravação | Não | Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Leitura, gravação | Não | Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | Controle total | Não aplicável | Não aplicável |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | Controle total | Não aplicável | Não aplicável |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Controle total | Não | Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se essa chave for alterada, a instalação do SharePoint Server no computador não funcionará. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Controle total | Sim | Essa chave contém configurações usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar. |
A tabela a seguir exibe as permissões do sistema de arquivos da função WSS_ADMIN_WPG.
| Caminho do sistema de arquivos | Permissões | Herdar | Descrição |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Controle total | Não | Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se esse diretório for alterado ou excluído, os processos poderão não ser iniciados e as ações administrativas poderão falhar. |
| C:\Inetpub\wwwroot\wss | Controle total | Não | Esse diretório (ou o diretório correspondente na raiz inetpub no servidor) é usado como o local padrão para sites do IIS. Se esse diretório for alterado ou excluído, os sites do SharePoint não estarão disponíveis e as ações administrativas poderão falhar, a menos que os caminhos personalizados do Site do IIS sejam fornecidos para todos os Sites do IIS estendidos com o SharePoint Server. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | Controle total | Não | Este diretório é o local de instalação dos binários e dados do SharePoint Server 2016. O diretório pode ser alterado durante a instalação. Se esse diretório for removido, alterado ou removido após a instalação, todas as funcionalidades do SharePoint Server falharão. A associação no grupo de segurança WSS_ADMIN_WPG Windows é necessária para que alguns serviços do SharePoint Server possam armazenar dados no disco. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Leitura, gravação | Não | Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Se esse diretório for removido ou alterado, os recursos do SharePoint Server que dependem desses serviços falharão. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data | Controle total | Não | Este diretório é o local raiz no qual os dados locais estão armazenados, inclusive os índices de pesquisa. Se esse diretório for removido ou alterado, a funcionalidade pesquisar falhará. WSS_ADMIN_WPG permissões do grupo de segurança do Windows são necessárias para habilitar a funcionalidade De pesquisa para salvar e proteger dados nesta pasta. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Controle total | Sim | Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. Se esse diretório for removido ou alterado, a funcionalidade de log não funcionará corretamente. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | Controle total | Sim | O mesmo que a pasta pai. |
| %windir%\System32\drivers\etc\HOSTS | Leitura, gravação | Não aplicável | Não aplicável |
| %windir%\Tasks | Controle total | Não aplicável | Não aplicável |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | Modificar | Sim | Este diretório é o diretório de instalação dos arquivos principais do SharePoint Server. Se a ACL (lista de controle de acesso) for modificada, a ativação do recurso, a implantação da solução e outros recursos não funcionarão corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Controle total | Sim | Esse diretório contém os serviços soap da Administração Central. Se esse diretório for alterado, a criação remota do site e outros métodos expostos no serviço não funcionarão corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Controle total | Sim | Este diretório contém arquivos usados para estender sites do IIS com o SharePoint Server. Se esse diretório ou seu conteúdo for alterado, o provisionamento do Aplicativo Web não funcionará corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Controle total | Não | Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se o diretório for alterado, o registro em log de diagnóstico não funcionará corretamente. |
| %windir%\temp | Controle total | Sim | Esse diretório é usado por componentes de plataforma dos quais o SharePoint Server depende. Se a ACL for modificada, a renderização da Web Part e outras operações de desserialização poderão falhar. |
| %windir%\System32\logfiles\SharePoint | Controle total | Não | Esse diretório é usado pelo log de utilização do SharePoint Server. Se esse diretório for modificado, o registro em log de uso não funcionará corretamente. Esta chave do Registro aplica-se apenas ao SharePoint Server. |
| Pasta %systemdrive\arquivos de programas\Microsoft Office Servers\16 nos servidores de Índice | Controle total | Não aplicável | Essa permissão é concedida para uma pasta %systemdrive\arquivos de programas\Microsoft Office Servers\16 folder nos servidores de indexação. |
WSS_WPG
WSS_WPG tem acesso de leitura aos recursos locais. Todas as contas de pool de aplicativos e de serviços estão na WSS_WPG. A tabela a seguir mostra WSS_WPG permissões de entrada do registro:
| Nome da chave | Permissões | Herdar | Descrição |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Leitura | Não | Essa chave é a raiz das configurações do registro do SharePoint Server. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | Leitura, gravação | Não | Essa chave contém configurações para o log de diagnóstico do SharePoint Server. Se essa chave for alterada, a funcionalidade de registro em log será interrompida. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Leitura, gravação | Não | Essa chave contém configurações para o serviço de conversão de documento. Se essa chave for alterada, a funcionalidade de conversão de documento será interrompida. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Leitura, gravação | Não | Essa chave contém configurações para o serviço de conversão de documento. Se essa chave for alterada, a funcionalidade de conversão de documento será interrompida. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Leitura | Não | Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se essa chave for alterada, a instalação do SharePoint Server 2016 no computador não funcionará. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Leitura | Sim | Essa chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar. |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg | Leitura | Não | Essa chave contém configurações que controlam o acesso remoto ao registro. |
A tabela a seguir mostra as permissões do sistema de arquivos WSS_WPG:
| Caminho do sistema de arquivos | Permissões | Herdar | Descrição |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Leitura | Não | Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se esse diretório for alterado ou excluído, os processos poderão não ser iniciados e as ações administrativas poderão falhar. |
| C:\Inetpub\wwwroot\wss | Leitura, execução | Não | Esse diretório (ou o diretório correspondente na raiz inetpub no servidor) é usado como o local padrão para sites do IIS. Se esse diretório for alterado ou excluído, os sites do SharePoint não estarão disponíveis e as ações administrativas poderão falhar, a menos que os caminhos personalizados do Site do IIS sejam fornecidos para todos os Sites do IIS estendidos com o SharePoint Server. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | Leitura, execução | Não | Esse diretório é o local de instalação dos binários e dados do SharePoint Server. Ele pode ser alterado durante a instalação. Se esse diretório for removido, alterado ou movido após a instalação, todas as funcionalidades do SharePoint Server falharão. WSS_WPG permissões de leitura e execução são necessárias para permitir que sites do IIS carreguem binários do SharePoint Server. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Leitura | Não | Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Se esse diretório for removido ou alterado, os recursos do SharePoint Server que dependem desses serviços falharão. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Leitura, gravação | Sim | Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. Se esse diretório for removido ou alterado, a funcionalidade de log não funcionará corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Leitura | Sim | Esse diretório contém os serviços soap da Administração Central. Se esse diretório for alterado, a criação remota do site e outros métodos expostos no serviço não funcionarão corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Leitura | Sim | Este diretório contém arquivos usados para estender sites do IIS com o SharePoint Server. Se esse diretório ou seu conteúdo for alterado, o provisionamento do Aplicativo Web não funcionará corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Modificar | Não | Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se o diretório for alterado, o registro em log de diagnóstico não funcionará corretamente. |
| %windir%\temp | Leitura | Sim | Esse diretório é usado por componentes de plataforma dos quais o SharePoint Server depende. Se a ACL for modificada, a renderização da Web Part e outras operações de desserialização poderão falhar. |
| %windir%\System32\logfiles\SharePoint | Leitura | Não | Esse diretório é usado pelo log de utilização do SharePoint Server. Se esse diretório for modificado, o registro em log de uso não funcionará corretamente. A chave do registro aplica-se apenas ao SharePoint Server. |
| %systemdrive\arquivos de programas\Microsoft Office Servers\16 | Leitura, execução | Não aplicável | A permissão é concedida a uma pasta %systemdrive\arquivos de programas\Microsoft Office Servers\16 dos servidores de Índice. |
Serviço local
A tabela a seguir exibe as permissões de entrada de registro do serviço local:
| Nome da chave | Permissões | Herdar | Descrição |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Leitura | Não | Essa chave contém configurações para o serviço de conversão de documento. Se essa chave for alterada, a funcionalidade de conversão de documento será interrompida. |
A tabela a seguir exibe as permissões do sistema de arquivos do serviço local:
| Caminho do sistema de arquivos | Permissões | Herdar | Descrição |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | Leitura, execução | Não | Esse diretório é o local instalado dos binários do SharePoint Server. Se esse diretório for removido ou alterado, todas as funcionalidades do SharePoint Server falharão. |
Sistema local
A tabela a seguir exibe as permissões de entrada do registro do sistema local:
| Nome da chave | Permissões | Herdar | Descrição |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Leitura | Não | Essa chave contém configurações para o serviço de conversão de documento. Se essa chave for alterada, a funcionalidade de conversão de documento será interrompida. Esta chave do Registro aplica-se apenas ao SharePoint Server. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Controle total | Não | Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se essa chave for alterada, a instalação do SharePoint Server no computador não funcionará. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Controle total | Não | Essa chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Controle total | Sim | Essa chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar. |
A tabela a seguir mostra as permissões do sistema de arquivos local:
| Caminho do sistema de arquivos | Permissões | Herdar | Descrição |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Controle total | Não | Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se esse diretório for alterado ou excluído, os processos poderão não ser iniciados e as ações administrativas poderão falhar. |
| C:\Inetpub\wwwroot\wss | Controle total | Não | Esse diretório (ou o diretório correspondente na raiz inetpub no servidor) é usado como o local padrão para sites do IIS. Se esse diretório for alterado ou excluído, os sites do SharePoint não estarão disponíveis e as ações administrativas poderão falhar, a menos que os caminhos personalizados do Site do IIS sejam fornecidos para todos os Sites do IIS estendidos com o SharePoint Server. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Controle total | Sim | Esse diretório contém os serviços soap da Administração Central. Se esse diretório for alterado, a criação remota do site e outros métodos expostos no serviço não funcionarão corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Controle total | Sim | Este diretório contém arquivos de configuração usados para provisionar aplicativos Web e aplicativos de serviço. Se esse diretório ou seu conteúdo for alterado, o provisionamento do Aplicativo Web não funcionará corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Controle total | Não | Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se esse diretório for alterado, o log de diagnóstico não funcionará corretamente. |
| %windir%\temp | Controle total | Sim | Esse diretório é usado por componentes de plataforma dos quais o SharePoint Server depende. Se a ACL for modificada, a renderização da Web Part e outras operações de desserialização poderão falhar. |
| %windir%\System32\logfiles\SharePoint | Controle total | Não | Este diretório é usado para log de uso do SharePoint Server. Se esse diretório for modificado, o registro em log de uso não funcionará corretamente. Esta chave do Registro aplica-se apenas ao SharePoint Server. |
Serviço de rede
A tabela a seguir exibe as permissões de entrada de registro do serviço de rede:
| Nome da chave | Permissões | Herdar | Descrição |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | Leitura | Não aplicável | Não aplicável |
Administradores
A tabela a seguir exibe as permissões de entrada do registro dos administradores:
| Nome da chave | Permissões | Herdar | Descrição |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Controle total | Não | Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se essa chave for alterada, a instalação do SharePoint Server no computador não funcionará. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Controle total | Não | Essa chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Controle total | Sim | Essa chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar. |
A tabela a seguir exibe as permissões do sistema de arquivos dos administradores:
| Caminho do sistema de arquivos | Permissões | Herdar | Descrição |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Controle total | Não | Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se esse diretório for alterado ou excluído, os processos poderão não ser iniciados e as ações administrativas poderão falhar. |
| C:\Inetpub\wwwroot\wss | Controle Total | Não | Esse diretório (ou o diretório correspondente na raiz inetpub no servidor) é usado como o local padrão para sites do IIS. Se esse diretório for alterado ou excluído, os sites do SharePoint não estarão disponíveis e as ações administrativas poderão falhar, a menos que os caminhos personalizados do Site do IIS sejam fornecidos para todos os Sites do IIS que são estendidos com o SharePoint Server. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Controle total | Sim | Esse diretório contém os serviços soap da Administração Central. Se esse diretório for alterado, a criação remota do site e outros métodos expostos no serviço não funcionarão corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Controle total | Sim | Este diretório contém arquivos de configuração usados para provisionar aplicativos Web e aplicativos de serviço. Se esse diretório ou seu conteúdo for alterado, o provisionamento do Aplicativo Web não funcionará corretamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Controle total | Não | Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se o diretório for alterado, o registro em log de diagnóstico não funcionará corretamente. |
| %windir%\temp | Controle total | Sim | Esse diretório é usado por componentes de plataforma dos quais o SharePoint Server depende. Se a ACL for modificada, a renderização da Web Part e outras operações de desserialização poderão falhar. |
| %windir%\System32\logfiles\SharePoint | Controle total | Não | Este diretório é usado para log de uso do SharePoint Server. Se esse diretório for modificado, o registro em log de uso não funcionará corretamente. Esta chave do Registro aplica-se apenas ao SharePoint Server. |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG pode ler a entrada do registro de credencial de administração farm criptografada. WSS_RESTRICTED_WPG é usado apenas para criptografia e descriptografia de senhas armazenadas no banco de dados de configuração. A tabela a seguir mostra a permissão de entrada do registro WSS_RESTRICTED_WPG :
| Nome da chave | Permissões | Herdar | Descrição |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Controle total | Não | Essa chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão. |
Grupo de usuários
A tabela a seguir exibe as permissões do sistema de arquivos do grupo de usuários:
| Caminho do sistema de arquivos | Permissões | Herdar | Descrição |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0 | Leitura, execução | Não | Esse diretório é o local de instalação de binários e dados do SharePoint Server. Ele pode ser alterado durante a instalação. Se esse diretório for removido, alterado ou movido após a instalação, todas as funcionalidades do SharePoint Server falharão. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | Leitura, execução | Não | Este diretório é a raiz no qual os serviços Web de raiz de back-end ficam hospedados. O único serviço inicialmente instalado neste diretório é um serviço de administração global de pesquisa. Se esse diretório for removido ou alterado, algumas funcionalidades de administração de pesquisa que usam a página Configurações de Administração Central específicas do servidor não funcionarão. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Leitura, gravação | Sim | Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. Se esse diretório for removido ou alterado, o registro em log não funcionará corretamente. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | Leitura, execução | Não | Esse diretório é o local instalado dos binários do SharePoint Server. Se esse diretório for removido ou alterado, todas as funcionalidades do SharePoint Server falharão. |
Todas as contas de serviço do SharePoint Server
A tabela a seguir mostra a permissão do sistema de arquivos das contas de serviço do SharePoint Server:
| Caminho do sistema de arquivos | Permissões | Herdar | Descrição |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Modificar | Não | Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se esse diretório for alterado, o log de diagnóstico não funcionará corretamente. Todas as contas de serviço do SharePoint Server devem ter permissão de gravação para este diretório. |