Разрешения учетной записи и параметры безопасности на серверах SharePoint
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 2016 2019 Subscription Edition 
SharePoint в Microsoft 365
В этой статье описаны учетные записи администраторов и служб SharePoint для следующих областей: Microsoft SQL Server, файловая система, общие папки с файлами и записи в реестре.
Важно!
Не используйте имена учетных записей служб, содержащие символ $, за исключением использования групповой управляемой учетной записи службы для SQL Server.
Дополнительные сведения о роли администратора SharePoint в Microsoft 365.
Сведения о разрешениях учетной записи и параметрах безопасности на серверах SharePoint
Мастер настройки продуктов SharePoint (Psconfig) и мастер настройки фермы, которые запускаются во время полной установки, настраивают многие базовые разрешения учетных записей и параметры безопасности SharePoint.
Рекомендации по учетной записи службы
В следующих разделах описаны рекомендации по учетным записям служб SharePoint.
Рекомендации по учетной записи службы
Корпорация Майкрософт рекомендует использовать минимальное количество учетных записей пула приложений служб в ферме. Эта рекомендация заключается в сокращении использования памяти и повышении производительности при сохранении соответствующего уровня безопасности.
Используйте личную учетную запись с повышенными привилегиями для установки, обслуживания и обновлений SharePoint. Эта учетная запись будет содержать необходимые роли, как описано в разделе Учетная запись администратора фермы SharePoint. Каждый администратор SharePoint должен использовать отдельную учетную запись, чтобы их действия, выполняемые в ферме, были четко определены.
По возможности используйте группу безопасности, группы администраторов фермы SharePoint, чтобы объединить все отдельные учетные записи администратора фермы SharePoint и предоставить разрешения, как описано в разделе Учетная запись администратора фермы SharePoint. Такое использование группы безопасности значительно упрощает управление учетными записями администратора фермы SharePoint.
Учетная запись службы фермы SharePoint должна запускать только службу таймера SharePoint, SharePoint Insights (если применимо), пулы приложений IIS для центра администрирования, систему веб-служб SharePoint (используется для службы топологии) и SecurityTokenServiceApplicationPool (используется для службы маркеров безопасности).
Для всех приложений-служб следует использовать одну учетную запись с именем учетная запись пула приложений служб. Такое использование одной учетной записи позволяет администратору использовать один пул приложений IIS для всех приложений-служб. Кроме того, эта учетная запись должна запускать следующие службы Windows: контроллер узла поиска SharePoint, поиск SharePoint Server и распределенный кэш (служба кэширования AppFabric).
Для всех веб-приложений должна использоваться одна учетная запись с именем учетная запись пула веб-приложений. Это позволяет администратору использовать один пул приложений IIS для всех веб-приложений, за исключением веб-приложения центра администрирования, которое запускается учетной записью службы фермы SharePoint.
За исключением учетной записи "Утверждения к службе маркеров Windows", ни у учетной записи пула приложений служб не должно быть доступа локального администратора к любому серверу SharePoint, ни к роли с повышенными привилегиями SQL Server, например предопределенной роли sysadmin. Учетной записи администратора фермы SharePoint потребуются предопределенные роли dbcreator и securityadmin , если вы не подготовите базы данных SharePoint и не назначите разрешения для каждой базы данных вручную.
Учетные записи пула приложений служб, за исключением учетной записи с утверждениями в службе маркеров Windows, должны иметь запретить вход локально и запретить вход через службы удаленных рабочих столов в локальной политике безопасности\Назначении прав пользователя. Эти значения задаются с помощью secpol.msc.
Используйте отдельные учетные записи для доступа к содержимому (сканер поиска), супер читателя портала, суперпользователя портала и синхронизации приложений службы профилей пользователей, если применимо.
Учетная запись "Утверждения к службе маркеров Windows" является учетной записью с высоким уровнем привилегий в ферме. Перед развертыванием этой службы проверьте, требуется ли она. При необходимости используйте отдельную учетную запись для этой службы.
Обзор рекомендаций по учетным записям служб
| Имя учетной записи службы | Для чего он используется? | Сколько нужно использовать? |
|---|---|---|
| Учетная запись администратора фермы SharePoint | Личная учетная запись администратора SharePoint | 1-n |
| Учетная запись службы фермы SharePoint | Служба таймера, аналитика, приложение IIS для ЦС, система веб-служб SP, пул приложений службы маркеров безопасности | 1 |
| Учетная запись по умолчанию для доступа к контенту | Поиск обхода внутренних и внешних источников | 1 |
| Учетные записи для доступа контенту | Поиск обхода внутренних и внешних источников | 1-n |
| Учетная запись пула веб-приложений | Все веб-приложения без центра администрирования | 1 |
| Учетная запись пула приложений службы SharePoint | Все приложения-службы | 1 |
| Супер читатель портала | Кэширование объектов | 1 |
| Супер пользователь портала | Кэширование объектов | 1 |
| Синхронизация приложений службы профилей пользователей | Используется для импорта Active Directory | 1-n |
Учетные записи администраторов SharePoint
Один из следующих компонентов SharePoint автоматически настраивает большинство разрешений учетных записей администраторов SharePoint в процессе установки.
Мастер настройки продуктов SharePoint (Psconfig).
Мастер настройки фермы.
Веб-сайт центра администрирования SharePoint.
Microsoft PowerShell.
Учетная запись администратора фермы SharePoint
Эта учетная запись используется для настройки каждого сервера в ферме путем запуска мастера настройки продуктов SharePoint (Psconfig), начального мастера настройки фермы и PowerShell. В примерах, приведенных в этой статье, учетная запись администратора фермы SharePoint используется для администрирования фермы, и для управления ею можно использовать центр администрирования. Для некоторых параметров конфигурации, например конфигурации сервера запросов поиска SharePoint Server, требуются разрешения локального администрирования. Учетная запись администратора фермы SharePoint имеет следующие требования:
необходимо иметь разрешения учетной записи пользователя домена.
Он должен быть членом локальной группы администраторов на каждом сервере фермы SharePoint.
учетная запись должна иметь доступ к базам данных SharePoint;
Если вы используете какие-либо операции PowerShell, влияющие на базу данных, учетная запись администратора фермы SharePoint должна быть членом роли db_owner .
эту учетную запись необходимо назначить ролям безопасности securityadmin и dbcreatorSQL Server в ходе установки и настройки.
Примечание.
При полном обновлении версии могут потребоваться роли securityadmin и dbcreatorSQL Server, так как для служб может возникнуть необходимость создания новых баз данных и обеспечения их безопасности.
После запуска мастеров настройки для учетной записи администратора фермы SharePoint на уровне компьютера будут указаны следующие разрешения:
- Членство в группе безопасности WSS_ADMIN_WPG Windows.
После запуска мастеров настройки появляются следующие разрешения базы данных:
db_owner в базе данных конфигурации фермы серверов SharePoint;
db_owner в базе данных контента Центр администрирования SharePoint.
Предостережение
Если учетная запись, используемая для запуска мастеров конфигурации, не имеет соответствующего специального SQL Server членства в роли или доступа в качестве db_owner в базах данных, мастера конфигурации будут работать неправильно.
Учетная запись службы фермы SharePoint
Учетная запись службы фермы SharePoint, которая также называется учетной записью доступа к базе данных, используется в качестве удостоверения пула приложений для центра администрирования и в качестве учетной записи процесса для службы таймера SharePoint. Для учетной записи фермы серверов требуется следующее:
- необходимо иметь разрешения учетной записи пользователя домена.
Дополнительные разрешения автоматически предоставляются учетной записи службы фермы SharePoint на серверах SharePoint, присоединенных к ферме серверов.
После запуска программы установки появляются такие разрешения уровня компьютера:
Членство в WSS_ADMIN_WPG группе безопасности Windows для службы таймера SharePoint.
Членство в WSS_RESTRICTED_WPG для пулов приложений центра администрирования и службы таймера.
Членство в WSS_WPG пула приложений центра администрирования.
После запуска мастеров настройки появляются следующие разрешения SQL Server и баз данных:
предопределенная роль сервера Dbcreator;
предопределенная роль сервера Securityadmin;
разрешение db_owner для всех баз данных SharePoint;
Членство в роли WSS_CONTENT_APPLICATION_POOLS для базы данных конфигурации фермы серверов SharePoint.
Членство в роли WSS_CONTENT_APPLICATION_POOLS для базы данных контента SharePoint_Admin.
Учетные записи пула приложений SharePoint
В этом разделе описаны учетные записи пула приложений SharePoint, которые настраиваются по умолчанию во время установки.
Учетная запись по умолчанию для доступа к контенту
Учетная запись доступа к контенту, выбранная по умолчанию, используется приложением-службой для обхода контента, если правилом обхода не определен иной метод проверки подлинности для URL-адресов или шаблонов URL. Эта учетная запись требует настройки следующих параметров разрешений:
Учетная запись доступа к содержимому по умолчанию должна быть учетной записью пользователя домена, которая имеет доступ на чтение к внешним или защищенным источникам контента, для обхода которого требуется выполнить обход с помощью этой учетной записи.
Для сайтов SharePoint Server, которые не являются частью фермы серверов, необходимо явно предоставить этой учетной записи полное разрешение на чтение веб-приложениям, в которых размещены сайты.
эта учетная запись не должна быть членом группы администраторов фермы.
Учетные записи для доступа контенту
Учетные записи для доступа к контенту настраиваются с помощью компонента правил обхода администрирования поиска. Это необязательный тип учетной записи, который можно настроить при создании нового правила обхода контента. Например, такая отдельная учетная запись может понадобиться для внешнего контента (например, общей папки). Этой учетной записи необходимы следующие параметры конфигурации разрешений:
Учетная запись доступа к содержимому должна иметь доступ на чтение к внешним или защищенным источникам контента, для доступа к которым настроена эта учетная запись.
Для сайтов SharePoint Server, которые не являются частью фермы серверов, необходимо явно предоставить этой учетной записи полное разрешение на чтение веб-приложениям, в которых размещены сайты.
Учетная запись пула веб-приложений
Учетная запись пула веб-приложений должна быть учетной записью пользователя домена. эта учетная запись не должна быть членом группы администраторов фермы.
Эту учетную запись следует использовать для всех веб-приложений без центра администрирования.
Следующие разрешения на уровне компьютера настраиваются автоматически:
- Эта учетная запись является членом WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются автоматически:
Эта учетная запись назначается WSS_CONTENT_APPLICATION_POOLS роли, связанной с базой данных конфигурации фермы.
Эта учетная запись назначается WSS_CONTENT_APPLICATION_POOLS роли, связанной с базой данных контента SharePoint Администратор.
Учетным записям пула приложений для веб-приложений назначается роль SPDataAccess для баз данных контента.
Учетная запись пула приложений службы SharePoint
Учетная запись пула приложений службы SharePoint должна быть учетной записью пользователя домена. Она не должна быть членом группы администраторов на любом компьютере сервера фермы.
Следующие разрешения на уровне компьютера настраиваются автоматически:
- Эта учетная запись является членом WSS_WPG.
Следующие SQL Server и требования и разрешения базы данных настраиваются автоматически:
Этой учетной записи назначается роль SPDataAccess для баз данных контента.
Этой учетной записи назначается роль SPDataAccess для базы данных поиска, связанной с веб-приложением.
Эта учетная запись должна иметь доступ на чтение и запись к связанной базе данных приложения службы.
Эта учетная запись назначается WSS_CONTENT_APPLICATION_POOLS роли, связанной с базой данных конфигурации фермы.
Эта учетная запись назначается WSS_CONTENT_APPLICATION_POOLS роли, связанной с SharePoint_Admin базой данных контента.
Роли базы данных SharePoint
В этом разделе описываются роли базы данных, которые настраиваются в процессе установки по умолчанию или настраиваются вами дополнительно.
Роль базы данных WSS_CONTENT_APPLICATION_POOLS
Роль базы данных WSS_CONTENT_APPLICATION_POOLS применяется к учетной записи пула приложений для каждого веб-приложения, зарегистрированного в ферме SharePoint. Эта роль позволяет веб-приложениям запрашивать и обновлять карту сайта и иметь доступ только для чтения к другим элементам в базе данных конфигурации. Программа установки назначает роль WSS_CONTENT_APPLICATION_POOLS следующим базам данных:
База данных Конфигурации SharePoint (база данных конфигурации)
База данных содержимого Администратор SharePoint
Члены роли WSS_CONTENT_APPLICATION_POOLS имеют разрешение на выполнение для подмножества хранимых процедур для базы данных. Кроме того, члены этой роли имеют разрешение на выбор для таблицы Версий (dbo. Версии) в базе данных SharePoint_AdminContent. Для остальных баз данных в средстве планирования учетных записей указано, что доступ на чтение из этих баз данных настраивается автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Для получения такого доступа настраиваются разрешения на хранимые процедуры.
роль базы данных SharePoint_SHELL_ACCESS
Роль безопасной SharePoint_SHELL_ACCESS базы данных в базе данных конфигурации заменяет необходимость добавления учетной записи администрирования в качестве db_owner в базе данных конфигурации. По умолчанию учетная запись установки назначается SharePoint_SHELL_ACCESS роли базы данных. Для предоставления или удаления членства в этой роли можно использовать команду PowerShell. Программа установки назначает роль SharePoint_SHELL_ACCESS следующим базам данных:
базе данных SharePoint_Config (базе данных конфигурации);
Одна или несколько баз данных контента SharePoint. Эту базу данных можно настроить с помощью команды PowerShell, которая управляет членством и объектом, назначенным этой роли.
Члены роли SharePoint_SHELL_ACCESS имеют разрешение на выполнение для всех хранимых процедур для базы данных. Кроме того, члены этой роли имеют разрешения на чтение и запись для всех таблиц базы данных.
Роль базы данных SPREADONLY
Роль SPREADONLY следует использовать для настройки режима только для чтения базы данных вместо использования sp_dboption. Эта роль, как следует из названия, должна использоваться, если для данных об использовании и телеметрии требуется только доступ на чтение .
Примечание.
Хранимая процедура sp_dboption недоступна в SQL Server 2012 г. Дополнительные сведения о sp_dboption см. в разделе sp_dboption (Transact-SQL).
Роль SQL SPREADONLY будет иметь следующие разрешения:
Разрешения SELECT во всех хранимых процедурах и функциях SharePoint.
Разрешения SELECT во всех таблицах SharePoint.
Предоставьте execute для определяемых пользователем типов, где схема имеет значение dbo.
Роль базы данных SPDataAccess
Роль SPDataAccess является ролью по умолчанию для доступа к базе данных и должна использоваться для доступа ко всем базам данных на уровне объектной модели. Добавьте учетную запись пула приложений в эту роль во время обновлений или новых развертываний.
Примечание.
Роль SPDataAccess заменила роль db_owner в SharePoint Server 2016.
Роль SPDataAccess будет иметь следующие разрешения:
Разрешения EXECUTE или SELECT во всех хранимых процедурах и функциях SharePoint.
Разрешения SELECT во всех таблицах SharePoint.
Предоставьте execute для определяемых пользователем типов, где схема имеет значение dbo.
Разрешения INSERT в таблице AllUserDataJunctions.
Разрешения UPDATE в представлении Sites.
Разрешения UPDATE в представлении UserData.
Разрешения UPDATE в таблице AllUserData.
Разрешения INSERT и DELETE в таблицах NameValuePair.
Разрешения на создание таблиц.
Разрешения групп
В этом разделе описываются разрешения групп, создаваемые средствами установки и настройки SharePoint Server 2016 и 2019.
WSS_ADMIN_WPG
WSS_ADMIN_WPG имеет доступ на чтение и запись к локальным ресурсам. Учетные записи пула приложений для служб центра администрирования и таймера находятся в WSS_ADMIN_WPG. В следующей таблице показаны разрешения на запись в реестр WSS_ADMIN_WPG .
Примечание.
SharePoint 2013 использует путь реестра "15.0" вместо "16.0" и путь файловой системы "15" вместо "16". Некоторые пути, перечисленные в последующих таблицах, не применяются к SharePoint Foundation 2013.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | Полный контроль | Неприменимо | Неприменимо |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | Чтение, запись | Неприменимо | Неприменимо |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | Чтение | Нет | Этот раздел является корневым элементом дерева параметров реестра SharePoint Server. Если этот ключ изменен, функциональность SharePoint Server завершится ошибкой. |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Полный контроль | Нет | Этот раздел является корневым каталогом параметров реестра SharePoint Server 2016. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Чтение, запись | Нет | Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Чтение, запись | Нет | Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | Полный контроль | Неприменимо | Неприменимо |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | Полный контроль | Неприменимо | Неприменимо |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Полный контроль | Нет | Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если этот ключ изменен, установка SharePoint Server на компьютере не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Полный контроль | Да | Этот раздел содержит параметры, используемые при установке. Если его изменить, возможны сбои при сборе данных диагностики и настройке, выполняемой во время или после установки. |
В следующей таблице перечислены разрешения файловой системы WSS_ADMIN_WPG.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Полный контроль | Нет | В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если этот каталог изменен или удален, процессы могут не запуститься, а административные действия могут завершиться ошибкой. |
| C:\Inetpub\wwwroot\wss | Полный контроль | Нет | Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется в качестве расположения по умолчанию для веб-сайтов IIS. Если этот каталог будет изменен или удален, сайты SharePoint будут недоступны, а административные действия могут завершиться ошибкой, если для всех веб-сайтов IIS, расширенных с помощью SharePoint Server, не будут предоставлены пользовательские пути к веб-сайту IIS. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | Полный контроль | Нет | Это каталог установки двоичных файлов и данных SharePoint Server 2016. При установке каталог можно изменить. Если этот каталог будет удален, изменен или удален после установки, все функции SharePoint Server завершатся сбоем. Членство в группе безопасности WSS_ADMIN_WPG Windows требуется, чтобы некоторые службы SharePoint Server могли хранить данные на диске. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Чтение, запись | Нет | Это корневой каталог, в котором размещаются серверные веб-службы, например, Excel и служба поиска. Если этот каталог будет удален или изменен, функции SharePoint Server, зависящие от этих служб, завершатся сбоем. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data | Полный контроль | Нет | Это корневой каталог для хранения локальных данных, включая индексы поиска. Если этот каталог будет удален или изменен, функция поиска завершится ошибкой. WSS_ADMIN_WPG разрешения группы безопасности Windows необходимы для включения функции поиска для сохранения и защиты данных в этой папке. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Полный контроль | Да | Это каталог, в котором создается диагностический журнал времени выполнения. Если этот каталог удален или изменен, функция ведения журнала будет работать неправильно. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | Полный контроль | Да | То же, что и родительская папка. |
| %windir%\System32\drivers\etc\HOSTS | Чтение, запись | Неприменимо | Неприменимо |
| %windir%\Tasks | Полный контроль | Неприменимо | Неприменимо |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | Изменение | Да | Этот каталог является каталогом установки для основных файлов SharePoint Server. Если список управления доступом (ACL) изменен, активация компонентов, развертывание решения и другие функции будут работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Полный контроль | Да | В этом каталоге находятся службы SOAP для Центр администрирования. Если этот каталог изменен, удаленное создание сайта и другие методы, предоставляемые в службе, будут работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Полный контроль | Да | Этот каталог содержит файлы, используемые для расширения веб-сайтов IIS с помощью SharePoint Server. Если этот каталог или его содержимое изменены, подготовка веб-приложений будет работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Полный контроль | Нет | В этом каталоге находятся журналы трассировки установки и времени выполнения. Если каталог изменен, ведение журнала диагностики будет работать неправильно. |
| %windir%\temp | Полный контроль | Да | Этот каталог используется компонентами платформы, от которых зависит SharePoint Server. Если список ACL изменен, отрисовка веб-частей и другие операции десериализации могут завершиться ошибкой. |
| %windir%\System32\logfiles\SharePoint | Полный контроль | Нет | Этот каталог использует функция ведения журнала использования SharePoint Server. Если этот каталог изменен, ведение журнала использования будет работать неправильно. Этот раздел реестра применяется только к SharePoint Server. |
| Папка %systemdrive\program files\Microsoft Office Servers\16 на серверах индекса | Полный контроль | Не применимо | Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\16 на серверах индекса. |
WSS_WPG
WSS_WPG имеет доступ на чтение к локальным ресурсам. Все учетные записи пула приложений и служб находятся в WSS_WPG. В следующей таблице показаны разрешения на запись в реестр WSS_WPG .
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Чтение | Нет | Этот раздел является корневым каталогом параметров реестра SharePoint Server. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | Чтение, запись | Нет | Этот ключ содержит параметры для ведения журнала диагностики SharePoint Server. Если этот ключ изменен, функция ведения журнала будет нарушена. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Чтение, запись | Нет | Этот раздел содержит параметры службы преобразования документа. Если этот ключ изменен, функция преобразования документов будет нарушена. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Чтение, запись | Нет | Этот раздел содержит параметры службы преобразования документа. Если этот ключ изменен, функция преобразования документов будет нарушена. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Чтение | Нет | Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если этот ключ изменен, установка SharePoint Server 2016 на компьютере не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Чтение | Да | Этот раздел содержит параметры, используемые при установке. Если его изменить, возможны сбои при сборе данных диагностики и настройке, выполняемой во время или после установки. |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg | Чтение | Нет | Этот раздел содержит параметры, управляющие удаленным доступом к реестру. |
В следующей таблице показаны разрешения WSS_WPG файловой системы.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Чтение | Нет | В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если этот каталог изменен или удален, процессы могут не запуститься и административные действия могут завершиться ошибкой. |
| C:\Inetpub\wwwroot\wss | Чтение, выполнение | Нет | Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется в качестве расположения по умолчанию для веб-сайтов IIS. Если этот каталог будет изменен или удален, сайты SharePoint будут недоступны, а административные действия могут завершиться ошибкой, если для всех веб-сайтов IIS, расширенных с помощью SharePoint Server, не будут предоставлены пользовательские пути к веб-сайтам IIS. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | Чтение, выполнение | Нет | Этот каталог является расположением установки двоичных файлов и данных SharePoint Server. При установке его можно изменить. Если этот каталог будет удален, изменен или перемещен после установки, все функции SharePoint Server завершатся сбоем. WSS_WPG разрешения на чтение и выполнение необходимы, чтобы веб-сайты IIS загружали двоичные файлы SharePoint Server. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Чтение | Нет | Это корневой каталог, в котором размещаются серверные веб-службы, например, Excel и служба поиска. Если этот каталог будет удален или изменен, функции SharePoint Server, зависящие от этих служб, завершатся сбоем. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Чтение, запись | Да | Это каталог, в котором создается диагностический журнал времени выполнения. Если этот каталог удален или изменен, функция ведения журнала будет работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Чтение | Да | В этом каталоге находятся службы SOAP для Центр администрирования. Если этот каталог изменен, удаленное создание сайта и другие методы, предоставляемые в службе, будут работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Чтение | Да | Этот каталог содержит файлы, используемые для расширения веб-сайтов IIS с помощью SharePoint Server. Если этот каталог или его содержимое изменены, подготовка веб-приложений будет работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Изменение | Нет | В этом каталоге находятся журналы трассировки установки и времени выполнения. Если каталог изменен, ведение журнала диагностики будет работать неправильно. |
| %windir%\temp | Чтение | Да | Этот каталог используется компонентами платформы, от которых зависит SharePoint Server. Если список ACL изменен, отрисовка веб-частей и другие операции десериализации могут завершиться ошибкой. |
| %windir%\System32\logfiles\SharePoint | Чтение | Нет | Этот каталог использует функция ведения журнала использования SharePoint Server. Если этот каталог изменен, ведение журнала использования будет работать неправильно. Этот раздел реестра применяется только к SharePoint Server. |
| %systemdrive\program files\Microsoft Office Servers\16 | Чтение, выполнение | Не применимо | Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\16 на серверах индекса. |
Локальная служба
В следующей таблице перечислены разрешения записи реестра локальной службы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Чтение | Нет | Этот раздел содержит параметры службы преобразования документа. Если этот ключ изменен, функция преобразования документов будет нарушена. |
В следующей таблице перечислены разрешения файловой системы локальной службы.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | Чтение, выполнение | Нет | Этот каталог является расположением установленных двоичных файлов SharePoint Server. Если этот каталог будет удален или изменен, все функции SharePoint Server завершатся сбоем. |
Локальная система
В следующей таблице перечислены разрешения записи реестра локальной системы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Чтение | Нет | Этот раздел содержит параметры службы преобразования документа. Если этот ключ изменен, функция преобразования документов будет нарушена. Этот раздел реестра применяется только к SharePoint Server. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Полный контроль | Нет | Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если этот ключ изменен, установка SharePoint Server на компьютере не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Полный контроль | Нет | Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Полный контроль | Да | Этот раздел содержит параметры, используемые при установке. Если его изменить, возможны сбои при сборе данных диагностики и настройке, выполняемой во время или после установки. |
В следующей таблице перечислены разрешения файловой системы локальной системы.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Полный контроль | Нет | В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если этот каталог будет изменен или удален, процессы могут не запуститься, а административные действия могут завершиться сбоем. |
| C:\Inetpub\wwwroot\wss | Полный контроль | Нет | Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется в качестве расположения по умолчанию для веб-сайтов IIS. Если этот каталог будет изменен или удален, сайты SharePoint будут недоступны, а административные действия могут завершиться ошибкой, если для всех веб-сайтов IIS, расширенных с помощью SharePoint Server, не будут предоставлены пользовательские пути к веб-сайтам IIS. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Полный контроль | Да | В этом каталоге находятся службы SOAP для Центр администрирования. Если этот каталог изменен, удаленное создание сайта и другие методы, предоставляемые в службе, будут работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Полный контроль | Да | Этот каталог содержит файлы конфигурации, используемые для подготовки веб-приложений и приложений-служб. Если этот каталог или его содержимое изменены, подготовка веб-приложений будет работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Полный контроль | Нет | В этом каталоге находятся журналы трассировки установки и времени выполнения. Если этот каталог изменен, ведение журнала диагностики будет работать неправильно. |
| %windir%\temp | Полный контроль | Да | Этот каталог используется компонентами платформы, от которых зависит SharePoint Server. Если список ACL изменен, отрисовка веб-частей и другие операции десериализации могут завершиться ошибкой. |
| %windir%\System32\logfiles\SharePoint | Полный контроль | Нет | Этот каталог используется SharePoint Server для ведения журнала использования. Если этот каталог изменен, ведение журнала использования будет работать неправильно. Этот раздел реестра применяется только к SharePoint Server. |
Сетевая служба
В следующей таблице перечислены разрешения записи реестра сетевой службы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | Чтение | Неприменимо | Неприменимо |
Администраторы
В следующей таблице перечислены разрешения записей реестра администраторов.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Полный контроль | Нет | Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если этот ключ изменен, установка SharePoint Server на компьютере не будет работать. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Полный контроль | Нет | Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Полный контроль | Да | Этот раздел содержит параметры, используемые при установке. Если его изменить, возможны сбои при сборе данных диагностики и настройке, выполняемой во время или после установки. |
В следующей таблице перечислены разрешения файловой системы администраторов.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Полный контроль | Нет | В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если этот каталог будет изменен или удален, процессы могут не запуститься, а административные действия могут завершиться сбоем. |
| C:\Inetpub\wwwroot\wss | Полный контроль | Нет | Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется в качестве расположения по умолчанию для веб-сайтов IIS. Если этот каталог будет изменен или удален, сайты SharePoint будут недоступны, а административные действия могут завершиться ошибкой, если для всех веб-сайтов IIS, расширенных с помощью SharePoint Server, не будут предоставлены пользовательские пути к веб-сайтам IIS. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Полный контроль | Да | В этом каталоге находятся службы SOAP для Центр администрирования. Если этот каталог изменен, удаленное создание сайта и другие методы, предоставляемые в службе, будут работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Полный контроль | Да | Этот каталог содержит файлы конфигурации, используемые для подготовки веб-приложений и приложений-служб. Если этот каталог или его содержимое изменены, подготовка веб-приложений будет работать неправильно. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Полный контроль | Нет | В этом каталоге находятся журналы трассировки установки и времени выполнения. Если каталог изменен, ведение журнала диагностики будет работать неправильно. |
| %windir%\temp | Полный контроль | Да | Этот каталог используется компонентами платформы, от которых зависит SharePoint Server. Если список ACL изменен, отрисовка веб-частей и другие операции десериализации могут завершиться ошибкой. |
| %windir%\System32\logfiles\SharePoint | Полный контроль | Нет | Этот каталог используется SharePoint Server для ведения журнала использования. Если этот каталог изменен, ведение журнала использования будет работать неправильно. Этот раздел реестра применяется только к SharePoint Server. |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG может считывать запись реестра учетных данных администрирования зашифрованной фермы. WSS_RESTRICTED_WPG используется только для шифрования и расшифровки паролей, хранящихся в базе данных конфигурации. В следующей таблице показано разрешение на запись в реестр WSS_RESTRICTED_WPG :
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Полный контроль | Нет | Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
Группа пользователей
В следующей таблице перечислены разрешения файловой системы групп пользователей.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0 | Чтение, выполнение | Нет | Этот каталог является расположением установки двоичных файлов и данных SharePoint Server. При установке его можно изменить. Если этот каталог будет удален, изменен или перемещен после установки, все функции SharePoint Server завершатся сбоем. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | Чтение, выполнение | Нет | Это корневой каталог, где размещаются корневые интерфейсные веб-службы. Первоначально сюда устанавливается только служба глобального администрирования поиска. Если этот каталог будет удален или изменен, некоторые функции администрирования поиска, использующие страницу параметров центра администрирования для конкретного сервера, не будут работать. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Чтение, запись | Да | Это каталог, в котором создается диагностический журнал времени выполнения. Если этот каталог удален или изменен, ведение журнала будет работать неправильно. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | Чтение, выполнение | Нет | Этот каталог является расположением установленных двоичных файлов SharePoint Server. Если этот каталог будет удален или изменен, все функции SharePoint Server завершатся сбоем. |
Все учетные записи службы SharePoint Server
В следующей таблице показано разрешение файловой системы учетных записей служб SharePoint Server:
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Изменение | Нет | В этом каталоге находятся журналы трассировки установки и времени выполнения. Если этот каталог изменен, ведение журнала диагностики будет работать неправильно. Все учетные записи служб SharePoint Server должны иметь разрешение на запись в этот каталог. |