Разрешения учетных записей и параметры безопасности в SharePoint Server 2016
**Применимо к:**SharePoint Server 2016
**Последнее изменение раздела:**2017-09-08
Сводка. Узнайте о разрешениях и параметрах безопасности, касающихся развертывания SharePoint Server 2016.
В этой статье описываются разрешения учетных записей администраторов и служб SharePoint для следующих областей: Microsoft SQL Server, файловая система, общие папки и записи в реестре.
Важно!
Не используйте имена учетных записей служб, которые содержат символ "$".
Содержание
О разрешениях учетной записи и параметрах безопасности
Учетные записи администраторов
Учетные записи служб-приложений
Роли базы данных
Разрешения группы
О разрешениях учетной записи и параметрах безопасности в SharePoint Server 2016
Мастер настройки продуктов SharePoint (Psconfig) и мастер настройки фермы, которые запускаются во время полной установки, настраивают многие базовые разрешения учетных записей и параметры безопасности SharePoint.
Учетные записи администраторов SharePoint
Один из следующих компонентов SharePoint автоматически настраивает большинство разрешений учетных записей администраторов SharePoint в процессе установки.
Мастер настройки продуктов SharePoint (Psconfig).
Мастер настройки фермы.
Веб-сайт SharePoint Веб-сайт центра администрирования SharePoint.
Microsoft PowerShell.
Учетная запись администратора настройки
Эта учетная запись используется для настройки каждого сервера фермы путем запуска Мастер настройки продуктов SharePoint, мастера начальной настройки фермы и PowerShell. В примерах из этой статьи для администрирования фермы используется учетная запись администратора настройки, ею можно управлять с помощью Центр администрирования. Для использования некоторых параметров настройки, например, конфигурации сервера запросов поиска SharePoint Server 2016, требуются разрешения локального администратора. Учетной записи администратора настройки необходимы следующие разрешения:
необходимо иметь разрешения учетной записи пользователя домена;
необходимо быть членом группы локальных администраторов на каждом сервере фермы SharePoint;
учетная запись должна иметь доступ к базам данных SharePoint;
при использовании любых операций PowerShell, влияющих на базу данных, учетная запись администратора настройки должна быть участником роли db_owner;
эту учетную запись необходимо назначить ролям безопасности securityadmin и dbcreatorSQL Server в ходе установки и настройки.
Примечание
При полном обновлении версии могут потребоваться роли securityadmin и dbcreatorSQL Server, так как для служб может возникнуть необходимость создания новых баз данных и обеспечения их безопасности.
После запуска мастеров настройки учетная запись администратора для пользователя установки получает следующие разрешения на уровне компьютера:
членство в группе безопасности WSS_ADMIN_WPG Windows;
членство в роли IIS_WPG.
После запуска мастеров настройки появляются следующие разрешения базы данных:
db_owner в базе данных конфигурации фермы серверов SharePoint;
db_owner в базе данных контента Центр администрирования SharePoint.
Предупреждение
Если у учетной записи, которая используется для запуска мастеров конфигурации, нет соответствующего членства в специальной роли SQL Server или права доступа к базам данных как db_owner, то эти мастера не будут работать правильно.
Учетная запись службы фермы SharePoint
Учетная запись фермы серверов, которая иначе называется учетной записью доступа к базе данных, используется в качестве удостоверения пула приложений для Центр администрирования и в качестве учетной записи для службы таймера SharePoint Foundation 2013. Учетной записи фермы серверов необходимы следующие разрешения:
- необходимо иметь разрешения учетной записи пользователя домена.
Дополнительные разрешения учетной записи фермы серверов предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.
После запуска программы установки появляются такие разрешения уровня компьютера:
членство в группе безопасности WSS_ADMIN_WPG Windows службы времени SharePoint Foundation 2013;
членство в WSS_RESTRICTED_WPG для пулов приложений Центр администрирования и службы таймера;
членство в WSS_WPG для пула приложений Центр администрирования.
После запуска мастеров настройки появляются следующие разрешения SQL Server и баз данных:
предопределенная роль сервера Dbcreator;
предопределенная роль сервера Securityadmin;
разрешение db_owner для всех баз данных SharePoint;
членство в роли WSS_CONTENT_APPLICATION_POOLS для базы данных конфигурации фермы серверов SharePoint;
членство в роли WSS_CONTENT_APPLICATION_POOLS для базы данных контента SharePoint_Admin.
Учетные записи приложений-служб SharePoint
В этом разделе описаны учетные записи служб-приложений, настраиваемые по умолчанию в ходе установки.
Учетная запись пулов приложений
Учетная запись пула приложений поставщика общих служб используется как удостоверение пула приложений. Этой учетной записи необходимы следующие параметры конфигурации разрешений:
Автоматически настраиваются следующие разрешения уровня компьютера: учетная запись пула приложений является участником роли WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются для этой учетной записи автоматически:
учетные записи пула веб-приложений назначаются роли SP_DATA_ACCESS для баз данных контента;
учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы;
учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.
Учетная запись по умолчанию для доступа к контенту
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Учетная запись доступа к контенту, выбранная по умолчанию, используется приложением-службой для обхода контента, если правилом обхода не определен иной метод проверки подлинности для URL-адресов или шаблонов URL. Эта учетная запись требует настройки следующих параметров разрешений:
учетная запись по умолчанию для доступа к контенту должна быть учетной записью пользователя домена, имеющей право чтения внешних или защищенных источников контента, которые предполагается обходить с помощью этой записи;
если сайты SharePoint Server не являются частью фермы серверов, этой учетной записи необходимо предоставить полные разрешения на чтение веб-приложений, в которых они размещены.
эта учетная запись не должна быть членом группы администраторов фермы.
Учетные записи для доступа контенту
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Учетные записи для доступа к контенту настраиваются с помощью компонента правил обхода администрирования поиска. Это необязательный тип учетной записи, который можно настроить при создании нового правила обхода контента. Например, такая отдельная учетная запись может понадобиться для внешнего контента (например, общей папки). Этой учетной записи необходимы следующие параметры конфигурации разрешений:
учетная запись для доступа к контенту должна иметь право чтения внешних или защищенных источников контента, к которым у нее настроен доступ;
для сайтов SharePoint Server, не являющихся частью фермы серверов, необходимо явно предоставить этой учетной записи полные разрешения на чтение в веб-приложениях, размещенных на этих сайтах.
Учетная запись пула приложений Личные сайты
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Учетная запись пула приложений "Мои сайты" должна быть учетной записью пользователя домена. Учетная запись не должна быть членом группы администраторов фермы.
Автоматически настраиваются следующие разрешения уровня компьютера: данная учетная запись является участником роли WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются автоматически:
эта учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы;
эта учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin;
учетные записи пула веб-приложений назначаются роли SP_DATA_ACCESS для баз данных контента.
Другие учетные записи пула приложений
Другая учетная запись пула приложений должна быть записью пользователя домена. Она не должна быть членом группы администраторов на любом компьютере сервера фермы.
Автоматически настраиваются следующие разрешения уровня компьютера: данная учетная запись является участником роли WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются автоматически:
эта учетная запись назначается роли SP_DATA_ACCESS для баз данных контента;
эта учетная запись назначается роли SP_DATA_ACCESS для базы данных поиска, связанной с веб-приложением;
учетная запись должна иметь разрешение на чтение и запись в связанной базе данных приложения-службы;
учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы;
учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.
Роли базы данных SharePoint
В этом разделе описываются роли базы данных, которые настраиваются в процессе установки по умолчанию или настраиваются вами дополнительно.
Роль базы данных WSS_CONTENT_APPLICATION_POOLS
Роль базы данных WSS_CONTENT_APPLICATION_POOLS применяется к учетной записи пула приложений для каждого веб-приложения, зарегистрированного в ферме SharePoint. Это позволяет веб-приложениям запрашивать карту сайта и обновлять ее. Также им предоставляется доступ только для чтения к другим элементам базы данных конфигурации. Программа настройки назначает роль WSS_CONTENT_APPLICATION_POOLS следующим базам данных:
базе данных SharePoint_Config (базе данных конфигурации);
базе данных SharePoint_AdminContent.
Члены роли WSS_CONTENT_APPLICATION_POOLS имеют разрешение Execute на подмножество хранимых процедур для базы данных. Кроме того, члены этой роли имеют разрешение Select на таблицу версий (dbo.Versions) в базе данных SharePoint_AdminContent. Для остальных баз данных в средстве планирования учетных записей указано, что доступ на чтение из этих баз данных настраивается автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Для получения такого доступа настраиваются разрешения на хранимые процедуры.
Роль базы данных WSS_SHELL_ACCESS
Безопасная роль базы данных WSS_SHELL_ACCESS в базе данных конфигурации устраняет необходимость добавления учетной записи администрирования в качестве db_owner базы данных конфигурации. Учетная запись настройки по умолчанию присваивается роли базы данных WSS_SHELL_ACCESS. Для предоставления или удаления членства в этой роли можно использовать команду PowerShell. Программа настройки присваивает роль WSS_SHELL_ACCESS следующим базам данных:
базе данных SharePoint_Config (базе данных конфигурации);
одной или нескольким базам данных контента SharePoint; это настраивается с помощью команды PowerShell, которая управляет членством, и объекта, который назначается этой роли.
Члены роли WSS_SHELL_ACCESS имеют разрешение Execute на все хранимые процедуры для базы данных. Кроме того, члены этой роли имеют разрешения на чтение и запись во всех таблицах базы данных.
Роль базы данных SP_READ_ONLY
Для перевода базы данных в режим "только чтение" необходимо использовать роль SP_READ_ONLY, а не процедуру sp_dboption. Эту роль, как можно предположить из ее названия, следует использовать, когда данные, например данные об использовании или данные телеметрии, необходимо сделать доступными только для чтения.
Примечание
Хранимая процедура sp_dboption недоступна в SQL Server 2012. Дополнительные сведения о sp_dboption см. в статье sp_dboption (Transact-SQL).
Роль SQL SP_READ_ONLY будет иметь следующие разрешения на предоставление:
Разрешения SELECT во всех хранимых процедурах и функциях SharePoint.
Разрешения SELECT во всех таблицах SharePoint.
Разрешения EXECUTE в пользовательском типе, если используется схема dbo.
Роль базы данных SP_DATA_ACCESS
Роль SP_DATA_ACCESS является ролью по умолчанию для доступа к базе данных и должна использоваться для всего доступа к базам данных на уровне объектной модели. Добавьте в эту роль учетную запись пула приложений во время обновления или нового развертывания.
Примечание
Роль SP_DATA_ACCESS заменяет роль db_owner в SharePoint Server 2016.
Роль SP_DATA_ACCESS будет иметь следующие разрешения на предоставление:
Разрешения EXECUTE или SELECT во всех хранимых процедурах и функциях SharePoint.
Разрешения SELECT во всех таблицах SharePoint.
Разрешения EXECUTE в пользовательском типе, если используется схема dbo.
Разрешения INSERT в таблице AllUserDataJunctions.
Разрешения UPDATE в представлении Sites.
Разрешения UPDATE в представлении UserData.
Разрешения UPDATE в таблице AllUserData.
Разрешения INSERT и DELETE в таблицах NameValuePair.
Разрешения на создание таблиц.
Разрешения групп
В этом разделе описываются разрешения групп, которые создают средства установки и настройки SharePoint Server 2016.
WSS_ADMIN_WPG
Роль WSS_ADMIN_WPG имеет доступ к локальным ресурсам для чтения и записи. Учетные записи пула приложений для служб Центр администрирования и таймера находятся в WSS_ADMIN_WPG. В следующей таблице перечислены разрешения записей реестра WSS_ADMIN_WPG.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
Полный контроль |
Не применимо |
Не применимо |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration\{90150000-110D-0000-1000-0000000FF1CE} |
Чтение, запись |
Не применимо |
Не применимо |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
Чтение |
Нет |
Этот раздел является корневым каталогом дерева параметров реестра SharePoint Server 2016. Если его изменить, функции SharePoint Server 2016 перестанут работать. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 |
Полный контроль |
Нет |
Этот раздел является корневым каталогом параметров реестра SharePoint Server 2016. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
Чтение, запись |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
Чтение, запись |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search |
Полный контроль |
Не применимо |
Не применимо |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search |
Полный контроль |
Не применимо |
Не применимо |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Полный контроль |
Нет |
Этот раздел содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, SharePoint Server 2016 на компьютере работать не будет. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Полный контроль |
Да |
Этот раздел содержит параметры, используемые при установке. Если его изменить, возможны сбои при сборе данных диагностики и настройке, выполняемой во время или после установки. |
В следующей таблице перечислены разрешения файловой системы WSS_ADMIN_WPG.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Полный контроль |
Нет |
В этом каталоге находится кэш конфигурации фермы, сохраненный в файловой системе. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
C:\Inetpub\wwwroot\wss |
Полный контроль |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге сервера Inetpub) выбран по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то доступ к сайтам SharePoint будет потерян, а действия администрирования, возможно, не удастся выполнить, если пути к веб-сайтам IIS не указаны для всех сайтов IIS, дополненных SharePoint Server 2016. |
%ProgramFiles%\Microsoft Office Servers\16.0 |
Полный контроль |
Нет |
Это каталог установки двоичных файлов и данных SharePoint Server 2016. При установке каталог можно изменить. Если его удалить, изменить или удалить после установки, то все функции SharePoint Server 2016 перестанут работать. Членство в группе безопасности WSS_ADMIN_WPG Windows необходимо для того, чтобы некоторые службы SharePoint Server 2016 могли сохранять данные на диск. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices |
Чтение, запись |
Нет |
Это корневой каталог, в котором размещаются серверные веб-службы, например Excel и служба поиска. Если его удалить или изменить, то функции SharePoint Server 2016, которые зависят от этих служб, перестанут работать. |
%ProgramFiles%\Microsoft Office Servers\16.0\Data |
Полный контроль |
Нет |
Это корневой каталог для хранения локальных данных, включая индексы поиска. Если его удалить или изменить, функция поиска перестанет работать. Чтобы функция поиска смогла сохранять и защищать данные из этой папки, необходимы разрешения группы безопасности WSS_ADMIN_WPG Windows. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
Полный контроль |
Да |
Это место создания диагностического журнала работы. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать. |
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server |
Полный контроль |
Да |
То же, что и родительская папка. |
%windir%\System32\drivers\etc\HOSTS |
Чтение, запись |
Не применимо |
Не применимо |
%windir%\Tasks |
Полный контроль |
Не применимо |
Не применимо |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 |
Изменение |
Да |
Это каталог установки основных файлов SharePoint Server 2016. Если изменить списки доступа (ACL), активация функций, развертывание приложений и другие возможности не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Полный контроль |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Полный контроль |
Да |
В этом каталоге находятся файлы, используемые при добавлении к веб-сайтам IIS SharePoint Server 2016. Если изменить каталог или его содержимое, функция подготовки веб-приложения не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Полный контроль |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
%windir%\temp |
Полный контроль |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint Server 2016. Если изменить список управления доступом, может произойти сбой отображения веб-части и других операций десериализации. |
%windir%\System32\logfiles\SharePoint |
Полный контроль |
Нет |
Этот каталог использует функция ведения журнала использования SharePoint Server. Если его изменить, эта функция не будет нормально работать. Этот раздел реестра применяется только к SharePoint Server. |
Папка %systemdrive\program files\Microsoft Office Servers\16 на серверах индекса |
Полный контроль |
Не применимо |
Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\16 на серверах индекса. |
WSS_WPG
Роль WSS_WPG имеет доступ к локальным ресурсам для чтения и записи. Все учетные записи пула приложений и служб находятся в WSS_WPG. В следующей таблице перечислены разрешения записей реестра WSS_WPG.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 |
Чтение |
Нет |
Этот раздел является корневым каталогом параметров реестра SharePoint Server 2016. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics |
Чтение, запись |
Нет |
Этот раздел содержит параметры сбора данных диагностики SharePoint Server 2016. Если его изменить, функция сбора данных не будет работать. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
Чтение, запись |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
Чтение, запись |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Чтение |
Нет |
Этот раздел содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, SharePoint Server 2016 на компьютере работать не будет. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Чтение |
Да |
Этот раздел содержит параметры, используемые при установке. Если его изменить, возможны сбои при сборе данных диагностики и настройке, выполняемой во время и после установки. |
В следующей таблице перечислены разрешения файловой системы WSS_WPG.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Чтение |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
C:\Inetpub\wwwroot\wss |
Чтение, выполнение |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то сайты SharePoint станут недоступны, а действия администрирования, возможно, не удастся выполнить, если вы не указали пути ко всем веб-сайтам IIS, дополненным SharePoint Server 2016. |
%ProgramFiles%\Microsoft Office Servers\16.0 |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов и данных SharePoint Server 2016. При установке его можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint Server 2016 перестанут работать. Разрешения на чтение и выполнение WSS_WPG необходимы для того, чтобы сайты IIS могли загружать двоичные файлы SharePoint Server 2016. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices |
Чтение |
Нет |
Это корневой каталог, в котором размещаются серверные веб-службы, например Excel и служба поиска. Если его удалить или изменить, то функции SharePoint Server 2016, которые зависят от этих служб, перестанут работать. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
Чтение, запись |
Да |
Это каталог, в котором создается диагностический журнал времени выполнения. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Чтение |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Чтение |
Да |
В этом каталоге находятся файлы, используемые при добавлении к веб-сайтам IIS SharePoint Server 2016. Если изменить каталог или его содержимое, функция подготовки веб-приложения не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Изменение |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
%windir%\temp |
Чтение |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint Server 2016. Если изменить список управления доступом, возможны сбои отображения веб-частей и других операций десериализации. |
%windir%\System32\logfiles\SharePoint |
Чтение |
Нет |
Этот каталог использует функция ведения журнала использования SharePoint Server. Если его изменить, эта функция не будет нормально работать. Этот раздел реестра применяется только к SharePoint Server. |
%systemdrive\program files\Microsoft Office Servers\16 |
Чтение, выполнение |
Не применимо |
Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\16 на серверах индекса. |
Локальная служба
В следующей таблице перечислены разрешения записи реестра локальной службы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
Чтение |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
В следующей таблице перечислены разрешения файловой системы локальной службы.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0\Bin |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов SharePoint Server 2016. Если его удалить или изменить, все функции SharePoint Server 2016 перестанут работать. |
Локальная система
В следующей таблице перечислены разрешения записи реестра локальной системы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
Чтение |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. Этот раздел реестра применяется только к SharePoint Server. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Полный контроль |
Нет |
Этот раздел содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, SharePoint Server 2016 на компьютере работать не будет. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
Полный контроль |
Нет |
Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Полный контроль |
Да |
Этот раздел содержит параметры, используемые при установке. Если его изменить, возможны сбои при сборе данных диагностики и настройке, выполняемой во время или после установки. |
В следующей таблице перечислены разрешения файловой системы локальной системы.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Полный контроль |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
C:\Inetpub\wwwroot\wss |
Полный контроль |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то сайты SharePoint станут недоступны, а действия администрирования, возможно, не удастся выполнить, если вы не указали пути ко всем веб-сайтам IIS, дополненным SharePoint Server 2016. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Полный контроль |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Полный контроль |
Да |
Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Полный контроль |
Нет |
В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
%windir%\temp |
Полный контроль |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint Server 2016. Если изменить список управления доступом, возможны сбои отображения веб-частей и других операций десериализации. |
%windir%\System32\logfiles\SharePoint |
Полный контроль |
Нет |
Этот каталог используется SharePoint Server для ведения журнала использования. Изменение каталога приведет к неверной работе журнала. Этот раздел реестра применяется только к SharePoint Server. |
Сетевая служба
В следующей таблице перечислены разрешения записи реестра сетевой службы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup |
Чтение |
Не применимо |
Не применимо |
Администраторы
В следующей таблице перечислены разрешения записей реестра администраторов.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Полный контроль |
Нет |
Этот раздел содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, SharePoint Server 2016 на компьютере работать не будет. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
Полный контроль |
Нет |
Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Полный контроль |
Да |
Этот раздел содержит параметры, используемые при установке. Если его изменить, возможны сбои при сборе данных диагностики и настройке, выполняемой во время или после установки. |
В следующей таблице перечислены разрешения файловой системы администраторов.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Полный контроль |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
C:\Inetpub\wwwroot\wss |
Полный контроль |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то сайты SharePoint станут недоступны, а действия администрирования, возможно, не удастся выполнить, если вы не указали пути ко всем сайтам IIS, дополненным SharePoint Server 2016. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Полный контроль |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Полный контроль |
Да |
Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Полный контроль |
Нет |
В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
%windir%\temp |
Полный контроль |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint Server 2016. Если изменить ACL, возможны сбои отображения веб-части и других операций десериализации |
%windir%\System32\logfiles\SharePoint |
Полный контроль |
Нет |
Этот каталог используется SharePoint Server для ведения журнала использования. Изменение каталога приведет к неверной работе журнала. Этот раздел реестра применяется только к SharePoint Server. |
WSS_RESTRICTED_WPG
Роль WSS_RESTRICTED_WPG предоставляет право на чтение зашифрованной записи реестра с учетными данными администратора. WSS_RESTRICTED_WPG используется только для шифрования и расшифровки паролей, хранящихся в базе данных конфигурации. В следующей таблице перечислены разрешения записей реестра WSS_RESTRICTED_WPG.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
Полный контроль |
Нет |
Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
Группа пользователей
В следующей таблице перечислены разрешения файловой системы групп пользователей.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0 |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов и данных SharePoint Server 2016. При установке его можно изменить. Если его удалить, изменить или удалить после установки, то все функции SharePoint Server 2016 перестанут работать. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root |
Чтение, выполнение |
Нет |
Это корневой каталог, где размещаются корневые интерфейсные веб-службы. Первоначально сюда устанавливается только служба глобального администрирования поиска. Если изменить или удалить каталог, некоторые функции администрирования поиска, использующие страницу параметров Центр администрирования конкретного сервера, не будут работать. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
Чтение, запись |
Да |
Это место создания диагностического журнала работы. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать. |
%ProgramFiles%\Microsoft Office Servers\16.0\Bin |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов SharePoint Server 2016. Если его удалить или изменить, все функции SharePoint Server 2016 перестанут работать. |
Все учетные записи служб SharePoint Server 2016
В следующей таблице перечислены все разрешения файловой системы для учетных записей служб SharePoint Server 2016.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Изменение |
Нет |
В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать. Все учетные записи служб SharePoint Server 2016 должны иметь разрешение на запись в этот каталог. |