Разрешения учетных записей и параметры безопасности в SharePoint 2013
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 
2016 2019 Subscription Edition SharePoint в Microsoft 365
В этой статье описаны учетные записи администраторов и служб SharePoint для следующих областей: Microsoft SQL Server, файловая система, общие папки с файлами и записи в реестре.
Важно!
Не используйте имена учетных записей служб, содержащие символ $, за исключением использования групповой управляемой учетной записи службы для SQL Server.
О разрешениях учетной записи и параметрах безопасности
Мастер настройки SharePoint (psconfig) и мастер создания фермы, которые выполняются во время полной установки, настраивают многие из базовых параметров учетной записи SharePoint и параметров безопасности.
Учетные записи администраторов SharePoint
Один из следующих компонентов SharePoint автоматически настраивает большинство разрешений учетных записей администраторов SharePoint в процессе установки.
Мастер настройки SharePoint (Psconfig).
Мастер создания ферм.
Веб-сайт Центр администрирования SharePoint.
PowerShell.
Учетная запись администратора фермы
Эта учетная запись является уникально идентифицируемой учетной записью, назначенной администратору SharePoint и используется для настройки каждого сервера в ферме путем запуска мастера настройки SharePoint, начального мастера создания фермы и PowerShell. Учетная запись должна быть пользователем домена. В примерах, приведенных в этой статье, учетная запись администратора фермы используется для администрирования фермы, и вы можете использовать центр администрирования для управления ею. Для некоторых параметров конфигурации, таких как конфигурация сервера запросов поиска SharePoint 2013, требуются разрешения локального администрирования. Учетной записи администратора фермы требуются следующие разрешения:
Он должен быть членом группы локальных администраторов на каждом сервере фермы SharePoint.
учетная запись должна иметь доступ к базам данных SharePoint;
Если вы используете какие-либо операции PowerShell, влияющие на базу данных, учетная запись администратора пользователя установки должна быть членом роли db_owner или предопределенных серверных ролей sysadmin .
Эта учетная запись должна быть назначена предопределенным ролям сервера securityadmin и dbcreator во время установки и настройки или предопределенной роли сервера sysadmin в SQL Server.
Примечание.
При полном обновлении версии могут потребоваться роли securityadmin и dbcreatorSQL Server, так как для служб может возникнуть необходимость создания новых баз данных и обеспечения их безопасности.
После запуска мастеров настройки учетная запись администратора для пользователя установки получает следующие разрешения на уровне компьютера:
членство в группе безопасности WSS_ADMIN_WPG Windows;
Членство в роли WSS_WPG.
После запуска мастеров настройки появляются следующие разрешения базы данных:
db_owner в базе данных конфигурации фермы серверов SharePoint;
db_owner в базе данных контента Центр администрирования SharePoint.
Предостережение
Если у учетной записи, которая используется для запуска мастеров конфигурации, нет соответствующего членства в специальной роли SQL Server или права доступа к базам данных как db_owner, то эти мастера не будут работать правильно.
Учетная запись службы фермы SharePoint
Учетная запись фермы серверов, которая иначе называется учетной записью доступа к базе данных, используется в качестве удостоверения пула приложений для Центр администрирования и в качестве учетной записи для службы таймера SharePoint Foundation 2013. Учетная запись фермы серверов должна быть учетной записью пользователя домена.
Разрешения автоматически предоставляются учетной записи фермы серверов на веб-серверах и серверах приложений, присоединенных к ферме серверов.
После запуска мастеров настройки появляются следующие разрешения SQL Server и баз данных:
членство в группе безопасности WSS_ADMIN_WPG Windows службы времени SharePoint Foundation 2013;
членство в WSS_RESTRICTED_WPG для пулов приложений Центр администрирования и службы таймера;
членство в WSS_WPG для пула приложений Центр администрирования.
предопределенная роль сервера Dbcreator;
предопределенная роль сервера Securityadmin;
разрешение db_owner для всех баз данных SharePoint;
членство в роли WSS_CONTENT_APPLICATION_POOLS для базы данных конфигурации фермы серверов SharePoint;
членство в роли WSS_CONTENT_APPLICATION_POOLS для базы данных контента SharePoint_Admin.
Учетные записи приложений-служб SharePoint
В этом разделе описаны учетные записи служб-приложений, настраиваемые по умолчанию в ходе установки.
Учетная запись пулов приложений
Учетная запись пула приложений поставщика общих служб используется как удостоверение пула приложений. Учетная запись пула приложений должна быть учетной записью пользователя домена.
Следующие разрешения на уровне компьютера настраиваются автоматически:
- Учетная запись пула приложений является членом WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются для этой учетной записи автоматически:
учетные записи пула веб-приложений назначаются роли SP_DATA_ACCESS для баз данных контента;
учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы;
учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.
Учетная запись по умолчанию для доступа к контенту
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Учетная запись доступа к контенту, выбранная по умолчанию, используется приложением-службой для обхода контента, если правилом обхода не определен иной метод проверки подлинности для URL-адресов или шаблонов URL. Эта учетная запись требует настройки следующих параметров разрешений:
учетная запись по умолчанию для доступа к контенту должна быть учетной записью пользователя домена, имеющей право чтения внешних или защищенных источников контента, которые предполагается обходить с помощью этой записи;
если сайты SharePoint Server не являются частью фермы серверов, этой учетной записи необходимо предоставить полные разрешения на чтение веб-приложений, в которых они размещены.
эта учетная запись не должна быть членом группы администраторов фермы.
Учетные записи для доступа контенту
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Учетные записи для доступа к контенту настраиваются для доступа к контенту с помощью компонента правил обхода администрирования поиска. Это необязательный тип учетной записи, который можно настроить при создании нового правила обхода контента. Например, такая отдельная запись может понадобиться для внешнего контента (например, общей папки с файлами). Этой учетной записи необходимы следующие параметры конфигурации разрешений:
учетная запись для доступа к контенту должна иметь право чтения внешних или защищенных источников контента, к которым у нее настроен доступ;
Учетная запись доступа к содержимому должна содержать правой части управления журналом аудита и безопасности в политике локальных пользователей на файловом сервере Windows, для обхода контента.
для сайтов SharePoint Server, не являющихся частью фермы серверов, необходимо явно предоставить этой учетной записи полные разрешения на чтение в веб-приложениях, размещенных на этих сайтах.
Автоматическая учетная запись службы Службы Excel
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Службы Excel использует автоматическую учетную запись службы Службы Excel для подключения к внешним источникам данных на основе операционной системы, отличной от Windows, которым требуется имя пользователя и пароль. Если эта учетная запись не настроена, Службы Excel не будут пытаться подключиться к этим типам источников данных. Хотя учетные данные учетной записи используются для подключения к источникам данных операционных систем, отличных от Windows, если эта учетная запись не является членом домена, службы Excel не имеют к ней доступа. Она должна быть учетной записью пользователя домена.
Учетная запись пула приложений для личных сайтов
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Учетная запись пула приложений "Мои сайты" должна быть учетной записью пользователя домена. Учетная запись не должна быть членом группы администраторов фермы.
Следующие разрешения на уровне компьютера настраиваются автоматически:
- Эта учетная запись является членом WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются автоматически:
учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы;
эта учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin;
учетные записи пула веб-приложений назначаются роли SP_DATA_ACCESS для баз данных контента.
Другие учетные записи пула приложений
Другая учетная запись пула приложений должна быть записью пользователя домена. Она не должна быть членом группы администраторов на любом компьютере сервера фермы.
Следующие разрешения на уровне компьютера настраиваются автоматически:
- Эта учетная запись является членом WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются автоматически:
эта учетная запись назначается роли SP_DATA_ACCESS для баз данных контента;
эта учетная запись назначается роли SP_DATA_ACCESS для базы данных поиска, связанной с веб-приложением;
учетная запись должна иметь разрешение на чтение и запись в связанной базе данных приложения-службы;
учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы;
учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.
Примечание.
Настоятельно рекомендуется использовать одну учетную запись пула веб-приложений для всех веб-приложений в ферме, включая веб-приложение "Личные сайты". Исключением является веб-приложение центра администрирования, которое использует учетную запись службы фермы.
Роли базы данных SharePoint
В этом разделе описываются роли базы данных, которые настраиваются в процессе установки по умолчанию или настраиваются вами дополнительно.
Роль базы данных WSS_CONTENT_APPLICATION_POOLS
Роль базы данных WSS_CONTENT_APPLICATION_POOLS применяется к учетной записи пула приложений для каждого веб-приложения, зарегистрированного в ферме SharePoint. Это позволяет веб-приложениям запрашивать и обновлять карту сайта и иметь доступ только для чтения к другим элементам в базе данных конфигурации. Программа установки назначает роль WSS_CONTENT_APPLICATION_POOLS следующим базам данных:
базе данных SharePoint_Config (базе данных конфигурации);
База данных контента SharePoint_Admin.
Члены роли WSS_CONTENT_APPLICATION_POOLS имеют разрешение Execute на подмножество хранимых процедур для базы данных. Кроме того, члены этой роли имеют разрешение на выбор для таблицы Версий (dbo. Версии) в базе данных контента SharePoint_Admin. Для остальных баз данных в средстве планирования учетных записей указано, что доступ на чтение из этих баз данных настраивается автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Для получения такого доступа настраиваются разрешения на хранимые процедуры.
Роль базы данных WSS_SHELL_ACCESS
Безопасная роль базы данных WSS_SHELL_ACCESS в базе данных конфигурации устраняет необходимость добавления учетной записи администрирования в качестве db_owner базы данных конфигурации. По умолчанию роль базы данных WSS_SHELL_ACCESS назначается учетной записи администратора фермы, которая изначально запускала мастер настройки. Для предоставления или удаления членства в этой роли можно использовать команду PowerShell. Программа настройки присваивает роль WSS_SHELL_ACCESS следующим базам данных:
базе данных SharePoint_Config (базе данных конфигурации);
Одна или несколько баз данных контента SharePoint. Это можно настроить с помощью команды PowerShell, которая управляет членством и объектом, назначенным этой роли.
Члены роли WSS_SHELL_ACCESS имеют разрешение Execute на все хранимые процедуры для базы данных. Кроме того, члены этой роли имеют разрешения на чтение и запись во всех таблицах базы данных.
Роль базы данных SP_READ_ONLY
Роль SP_READ_ONLY должна использоваться для настройки режима только чтения базы данных вместо sp_dboption. Эта роль, как можно предположить из ее названия, должна использоваться, когда для данных требуется доступ только на чтение, например, для данных об использовании или данных телеметрии.
Примечание.
Хранимая процедура sp_dboption недоступна в SQL Server 2012 г. Дополнительные сведения о sp_dboption см. в разделе sp_dboption (Transact-SQL).
Роль SQL SP_READ_ONLY будет иметь следующие разрешения на предоставление:
разрешения SELECT во всех хранимых процедурах и функциях SharePoint;
разрешения SELECT во всех таблицах SharePoint;
разрешения EXECUTE в пользовательском типе, если схемой является dbo.
Роль базы данных SP_DATA_ACCESS
Роль SP_DATA_ACCESS является ролью по умолчанию для доступа к базе данных и должна использоваться для всего доступа к базам данных на уровне объектной модели. Добавьте в эту роль учетную запись пула приложений во время обновления или нового развертывания.
Примечание.
Роль SP_DATA_ACCESS заменяет роль db_owner в SharePoint 2013.
Роль SP_DATA_ACCESS будет иметь следующие разрешения на предоставление:
разрешения EXECUTE или SELECT во всех хранимых процедурах и функциях SharePoint;
разрешения SELECT во всех таблицах SharePoint;
разрешения EXECUTE в пользовательском типе, если схемой является dbo;
разрешения INSERT в таблице AllUserDataJunctions;
разрешения UPDATE в представлении Sites;
разрешения UPDATE в представлении UserData;
разрешения UPDATE в таблице AllUserData;
разрешения INSERT и DELETE в таблицах NameValuePair;
разрешения Create Table.
Разрешения групп
В этом разделе описываются разрешения групп, которые создают средства установки и настройки SharePoint 2013.
WSS_ADMIN_WPG
Роль WSS_ADMIN_WPG имеет доступ к локальным ресурсам для чтения и записи. Учетные записи пула приложений для служб Центр администрирования и таймера находятся в WSS_ADMIN_WPG. В следующей таблице перечислены разрешения записей реестра WSS_ADMIN_WPG.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
Полный контроль |
Неприменимо |
Неприменимо |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration{90150000-110D-0000-1000-0000000FF1CE} |
Чтение, запись |
Неприменимо |
Неприменимо |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
Чтение |
Нет |
Этот ключ является корневым каталогом дерева параметров реестра SharePoint 2013. Его изменение приведет к нарушению работы функции SharePoint 2013. |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0 |
Полный контроль |
Нет |
Этот ключ является корневым каталогом параметров реестра SharePoint 2013. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
Чтение, запись |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
Чтение, запись |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search |
Полный контроль |
Неприменимо |
Неприменимо |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search |
Полный контроль |
Неприменимо |
Неприменимо |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Полный контроль |
Нет |
Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint 2013 на компьютере работать не будет. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Полный контроль |
Да |
Этот ключ содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки. |
В следующей таблице перечислены разрешения файловой системы WSS_ADMIN_WPG.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint |
Полный контроль |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
| C:\Inetpub\wwwroot\wss |
Полный контроль |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то сайты SharePoint станут недоступны, а действия администрирования, возможно, не удастся выполнить, если вы не указали пути ко всем веб-сайтам IIS, дополненным SharePoint 2013. |
| %ProgramFiles%\Microsoft Office Servers\15.0 |
Полный контроль |
Нет |
Это каталог установки двоичных файлов и данных SharePoint 2013. При установке каталог можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint 2013 перестанут работать. Членство в группе безопасности WSS_ADMIN_WPG Windows необходимо для того, чтобы некоторые службы SharePoint 2013 смогли сохранять данные на диск. |
| %ProgramFiles%\Microsoft Office Servers\15.0\WebServices |
Чтение, запись |
Нет |
Это корневой каталог, в котором размещаются серверные веб-службы, например, Excel и служба поиска. Если этот каталог будет удален или изменен, то возникнет сбой функций SharePoint 2013, использующих эти службы. |
| %ProgramFiles%\Microsoft Office Servers\15.0\Data |
Полный контроль |
Нет |
Это корневой каталог для хранения локальных данных, включая индексы поиска. Если его удалить или изменить, функция поиска перестанет работать. Чтобы функция поиска смогла сохранять и защищать данные из этой папки, необходимы разрешения группы безопасности WSS_ADMIN_WPG Windows. |
| %ProgramFiles%\Microsoft Office Servers\15.0\Logs |
Полный контроль |
Да |
Это место создания диагностического журнала работы. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать. |
| %ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server |
Полный контроль |
Да |
То же, что и родительская папка. |
| %windir%\System32\drivers\etc\HOSTS |
Чтение, запись |
Неприменимо |
Неприменимо |
| %windir%\Tasks |
Полный контроль |
Неприменимо |
Неприменимо |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15 |
Изменение |
Да |
Это каталог установки основных файлов SharePoint 2013. Если изменить списки доступа (ACL), активация функции, развертывание приложений и другие возможности не будут нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Полный контроль |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Полный контроль |
Да |
В этом каталоге находятся файлы, используемые при добавлении к веб-сайтам IIS SharePoint 2013. Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Полный контроль |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
| %windir%\temp |
Полный контроль |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint 2013. Если изменить список управления доступом, возможны сбои отображения веб-частей и других операций десериализации. |
| %windir%\System32\logfiles\SharePoint |
Полный контроль |
Нет |
Этот каталог использует функция ведения журнала использования SharePoint Server. Если его изменить, эта функция не будет нормально работать. Этот раздел реестра применяется только к SharePoint Server. |
| Папка %systemdrive\program files\Microsoft Office Servers\15 на серверах индекса |
Полный контроль |
Неприменимо |
Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\15 на серверах индекса. |
WSS_WPG
Роль WSS_WPG имеет доступ к локальным ресурсам для чтения и записи. Все учетные записи пула приложений и служб находятся в WSS_WPG. В следующей таблице перечислены разрешения записей реестра WSS_WPG.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0 |
Чтение |
Нет |
Этот ключ является корневым каталогом параметров реестра SharePoint 2013. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics |
Чтение, запись |
Нет |
Этот ключ содержит параметры ведения журналов диагностики SharePoint 2013. Если его изменить, работа сбора данных нарушится. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
Чтение, запись |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
Чтение, запись |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Чтение |
Нет |
Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint 2013 на компьютере работать не будет. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Чтение |
Да |
Этот раздел содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки. |
В следующей таблице перечислены разрешения файловой системы WSS_WPG.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint |
Чтение |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
| C:\Inetpub\wwwroot\wss |
Чтение, выполнение |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то сайты SharePoint станут недоступны, а действия администрирования, возможно, не удастся выполнить, если вы не указали пути ко всем веб-сайтам IIS, дополненным SharePoint 2013. |
| %ProgramFiles%\Microsoft Office Servers\15.0 |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов и данных SharePoint 2013. При установке его можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint 2013 перестанут работать. Разрешения на чтение и выполнение WSS_WPG необходимы для того, чтобы сайты IIS смогли загружать двоичные файлы SharePoint 2013. |
| %ProgramFiles%\Microsoft Office Servers\15.0\WebServices |
Чтение |
Нет |
Это корневой каталог, в котором размещаются серверные веб-службы, например, Excel и служба поиска. Если этот каталог будет удален или изменен, то возникнет сбой функций SharePoint 2013, использующих эти службы. |
| %ProgramFiles%\Microsoft Office Servers\15.0\Logs |
Чтение, запись |
Да |
Это каталог, в котором создается диагностический журнал времени выполнения. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Чтение |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Чтение |
Да |
В этом каталоге находятся файлы, используемые при добавлении к веб-сайтам IIS SharePoint 2013. Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Изменить |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
| %windir%\temp |
Чтение |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint 2013. Если изменить список управления доступом, может произойти сбой отображения веб-части и других операций десериализации. |
| %windir%\System32\logfiles\SharePoint |
Чтение |
Нет |
Этот каталог использует функция ведения журнала использования SharePoint Server. Если его изменить, эта функция не будет нормально работать. Этот раздел реестра применяется только к SharePoint Server. |
| %systemdrive\program files\Microsoft Office Servers\15 |
Чтение, выполнение |
Неприменимо |
Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\15 на серверах индекса. |
Локальная служба
В следующей таблице перечислены разрешения записи реестра локальной службы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
Чтение |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
В следующей таблице перечислены разрешения файловой системы локальной службы.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\15.0\Bin |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов SharePoint 2013. Если его удалить или изменить, все функции SharePoint 2013 перестанут работать. |
Локальная система
В следующей таблице перечислены разрешения записи реестра локальной системы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
Чтение |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. Этот раздел реестра применяется только к SharePoint Server. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Полный контроль |
Нет |
Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint 2013 на компьютере работать не будет. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
Полный контроль |
Нет |
Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Полный контроль |
Да |
Этот раздел содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки. |
В следующей таблице перечислены разрешения файловой системы локальной системы.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint |
Полный контроль |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
| C:\Inetpub\wwwroot\wss |
Полный контроль |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то сайты SharePoint станут недоступны, а действия администрирования, возможно, не удастся выполнить, если вы не указали пути ко всем веб-сайтам IIS, дополненным SharePoint 2013. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Полный контроль |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Полный контроль |
Да |
Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Полный контроль |
Нет |
В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
| %windir%\temp |
Полный контроль |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint 2013. Если изменить список управления доступом, возможны сбои отображения веб-частей и других операций десериализации. |
| %windir%\System32\logfiles\SharePoint |
Полный контроль |
Нет |
Этот каталог используется SharePoint Server для ведения журнала использования. Изменение каталога приведет к неверной работе журнала. Этот раздел реестра применяется только к SharePoint Server. |
Сетевая служба
В следующей таблице перечислены разрешения записи реестра сетевой службы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup |
Чтение |
Неприменимо |
Неприменимо |
Администраторы
В следующей таблице перечислены разрешения записей реестра администраторов.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Полный контроль |
Нет |
Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint 2013 на компьютере работать не будет. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
Полный контроль |
Нет |
Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Полный контроль |
Да |
Этот раздел содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки. |
В следующей таблице перечислены разрешения файловой системы администраторов.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint |
Полный контроль |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
| C:\Inetpub\wwwroot\wss |
Полный контроль |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге сервера Inetpub) выбран по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то доступ к сайтам SharePoint будет потерян, а действия администрирования, возможно, не удастся выполнить, если пути к веб-сайтам IIS не указаны для всех сайтов IIS, дополненных SharePoint 2013. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Полный контроль |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Полный контроль |
Да |
Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Полный контроль |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
| %windir%\temp |
Полный контроль |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint 2013. Если изменить ACL, возможны сбои отображения веб-части и других операций десериализации |
| %windir%\System32\logfiles\SharePoint |
Полный контроль |
Нет |
Этот каталог используется SharePoint Server для ведения журнала использования. Изменение каталога приведет к неверной работе журнала. Этот раздел реестра применяется только к SharePoint Server. |
WSS_RESTRICTED_WPG
Роль WSS_RESTRICTED_WPG предоставляет право на чтение зашифрованной записи реестра с учетными данными администратора. WSS_RESTRICTED_WPG используется только для шифрования и расшифровки паролей, хранящихся в базе данных конфигурации. В следующей таблице перечислены разрешения записей реестра WSS_RESTRICTED_WPG.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
Полный контроль |
Нет |
Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
Группа пользователей
В следующей таблице перечислены разрешения файловой системы групп пользователей.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\15.0 |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов и данных SharePoint 2013. При установке его можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint 2013 перестанут работать. |
| %ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root |
Чтение, выполнение |
Нет |
Это корневой каталог, где размещаются корневые интерфейсные веб-службы. Первоначально сюда устанавливается только служба глобального администрирования поиска. Если изменить или удалить каталог, некоторые функции администрирования поиска, использующие страницу параметров Центр администрирования конкретного сервера, не будут работать. |
| %ProgramFiles%\Microsoft Office Servers\15.0\Logs |
Чтение, запись |
Да |
Это место создания диагностического журнала работы. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать. |
| %ProgramFiles%\Microsoft Office Servers\15.0\Bin |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов SharePoint 2013. Если его удалить или изменить, все функции SharePoint 2013 перестанут работать. |
Все учетные записи служб SharePoint 2013
В таблице ниже перечислены все разрешения файловой системы для учетных записей служб SharePoint 2013.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Изменить |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. Все учетные записи служб SharePoint 2013 должны иметь разрешение на запись в этот каталог. |