SharePoint 2013 中的帐户权限和安全设置

适用于:yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

本文描述了以下领域的 SharePoint 管理和服务帐户权限:Microsoft SQL Server、文件系统、文件共享和注册表项。

重要

请勿使用包含符号 $ 的服务帐户名称,但对 SQL Server 使用组托管服务帐户除外。

关于帐户权限和安全设置

SharePoint 配置向导 (psconfig) 和服务器场创建向导(这两者都在完成安装过程中运行)配置许多 SharePoint 基线帐户权限和安全设置。

SharePoint 管理帐户

下列 SharePoint 组件之一在安装过程中自动配置大部分 SharePoint 管理员帐户权限:

  • SharePoint 配置向导 (Psconfig)。

  • 服务器场创建向导。

  • SharePoint 管理中心 网站。

  • PowerShell。

场管理员用户帐户

此帐户是分配给 SharePoint 管理员的唯一可识别帐户,用于通过运行 SharePoint 配置向导、初始服务器场创建向导和 PowerShell 来设置场中的每个服务器。 该帐户必须是域用户。 对于本文中的示例,服务器场管理员帐户用于服务器场管理,你可以使用管理中心来管理它。 某些配置选项(例如 SharePoint 2013 搜索查询服务器的配置)需要本地管理权限。 场管理员用户帐户需要以下权限:

  • 它必须是 SharePoint 场中每台服务器上的本地管理员组的成员。

  • 此帐户必须能够访问 SharePoint 数据库。

  • 如果使用影响数据库的任何 PowerShell 操作,则安装程序用户管理员帐户必须是 db_owner 角色或 sysadmin 固定服务器角色的成员。

  • 在安装和配置期间,必须将此帐户分配给 securityadmindbcreator 固定服务器角色,或分配给 SQL Server 中的 sysadmin 固定服务器角色。

注意

[!注意] 由于在完整的版本到版本升级期间必须为服务创建和保护新数据库,可能需要 securityadmindbcreatorSQL Server 安全角色。

运行配置向导后,安装程序用户管理员帐户的计算机级别权限包括:

  • WSS_ADMIN_WPG Windows 安全组的成员资格。

  • WSS_WPG角色的成员身份。

运行配置向导后,数据库权限包括:

  • SharePoint 服务器场配置数据库上的 db_owner

  • SharePoint 管理中心 内容数据库上的 db_owner

警告

[!警告] 如果用来运行配置向导的帐户没有相应的特殊 SQL Server 角色成员身份,或无法在数据库上以 db_owner 身份进行访问,配置向导将无法正常运行。

SharePoint 场服务帐户

服务器场帐户(也称为数据库访问帐户)用作 管理中心 的应用程序池标识和 SharePoint Foundation 2013 Timer 服务的进程帐户。 服务器场帐户必须是域用户帐户。

将自动向加入服务器场的 Web 服务器和应用程序服务器上的服务器场帐户授予权限。

在您运行配置向导后,SQL Server 和数据库权限包括:

  • SharePoint Foundation 2013 定时服务的 WSS_ADMIN_WPG Windows 安全组的成员资格。

  • 管理中心 和计时器服务应用程序池的 WSS_RESTRICTED_WPG 中的成员身份。

  • 管理中心 应用程序池的 WSS_WPG 中的成员身份。

  • Dbcreator 固定服务器角色。

  • Securityadmin 固定服务器角色。

  • 所有 SharePoint 数据库的 db_owner

  • SharePoint 服务器场配置数据库的 WSS_CONTENT_APPLICATION_POOLS 角色中的成员身份。

  • SharePoint_Admin 内容数据库的 WSS_CONTENT_APPLICATION_POOLS 角色中的成员身份。

SharePoint 服务应用程序帐户

本节描述安装期间默认设置的服务应用程序帐户。

应用程序池帐户

应用程序池帐户用于应用程序池标识。 应用程序池帐户必须是域用户帐户。

将自动配置以下计算机级权限:

  • 应用程序池帐户是 WSS_WPG 的成员。

将自动为此帐户配置以下 SQL Server 和数据库权限:

  • 将 Web 应用程序的应用程序池帐户分配给内容数据库的 SP_DATA_ACCESS 角色。

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

默认内容访问帐户

重要

[!重要说明] 本节中的信息仅适用于 SharePoint Server 2016。

默认内容访问帐户用于在特定服务应用程序内对内容进行爬网(除非爬网规则针对 URL 或 URL 模式指定了不同的身份验证方法)。 此帐户需要以下权限配置设置:

  • 默认内容访问帐户必须是域用户帐户,通过使用该帐户获得对要爬网的外部或安全内容源的读取访问权限。

  • 对于不包含在服务器场中的 SharePoint Server 网站,您必须明确授予此帐户对承载网站的 Web 应用程序的完全读取权限。

  • 此帐户不能是场管理员组的成员。

内容访问帐户

重要

[!重要说明] 本节中的信息仅适用于 SharePoint Server 2016。

内容访问帐户配置为通过运行 Search 管理爬网规则功能访问内容。 此类型的帐户是可选的,您可以在创建新爬网规则时配置它。 例如,外部内容(例如文件共享)可能需要这个单独的内容访问帐户。 此帐户需要以下权限配置设置:

  • 内容访问帐户必须对它被配置为进行访问的外部或安全内容源具有读取权限。

  • 内容访问帐户必须在配置为爬网的 Windows 文件服务器上的本地用户策略中保留 “管理审核和安全日志 ”权限。

  • 对于不包含在服务器场中的 SharePoint Server 网站,您必须明确授予此帐户对承载网站的 Web 应用程序的完全读取权限。

Excel Services 无人参与服务帐户

重要

[!重要说明] 本节中的信息仅适用于 SharePoint Server 2016。

Excel Services 使用 Excel Services 无人值守服务帐户连接到基于非 Windows 操作系统的要求用户名和密码的外部数据源进行身份验证。 如果未配置此帐户,Excel Services 不会尝试连接到这些类型的数据源。 尽管帐户凭据用于连接到非 Windows 操作系统的数据源,但是,如果帐户不是域的成员,Excel Services 就无法访问它们。 此帐户必须是域用户帐户。

我的网站应用程序池帐户

重要

[!重要说明] 本节中的信息仅适用于 SharePoint Server 2016。

"我的网站"应用程序池帐户必须是域用户帐户。 此帐户不能是场管理员组的成员。

将自动配置以下计算机级权限:

  • 此帐户是 WSS_WPG 的成员。

以下 SQL Server 和数据库权限会自动配置:

  • 将此帐户分配给与场配置数据库相关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将此帐户分配给与 SharePoint_Admin 内容数据库相关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将 Web 应用程序的应用程序池帐户分配给内容数据库的 SP_DATA_ACCESS 角色。

其他应用程序池帐户

其他应用程序池帐户必须是域用户帐户。 此帐户不能是服务器场中的任何计算机上的管理员组的成员。

将自动配置以下计算机级权限:

  • 此帐户是 WSS_WPG 的成员。

以下 SQL Server 和数据库权限会自动配置:

  • 将此帐户分配给内容数据库的 SP_DATA_ACCESS 角色。

  • 将此帐户分配给与 Web 应用程序相关联的搜索数据库的 SP_DATA_ACCESS 角色。

  • 此帐户对关联的服务应用程序数据库必须具有读写访问权限。

  • 将此帐户分配给与场配置数据库相关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将此帐户分配给与 SharePoint_Admin 内容数据库相关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

注意

强烈建议对场中的所有 Web 应用程序(包括“我的网站”Web 应用程序)使用单个 Web 应用程序池帐户。 例外是使用场服务帐户的管理中心 Web 应用程序。

SharePoint 数据库角色

本节介绍安装在默认情况下设置的或者您可以有选择地配置的数据库角色。

WSS_CONTENT_APPLICATION_POOLS 数据库角色

WSS_CONTENT_APPLICATION_POOLS 数据库角色适用于在 SharePoint 场中注册的每个 Web 应用程序的应用程序池帐户。 这使得 Web 应用程序能够查询和更新网站地图,并具有对配置数据库中其他项的只读访问权限。 安装程序将为以下数据库分配 WSS_CONTENT_APPLICATION_POOLS 角色:

  • SharePoint_Config 数据库(配置数据库)。

  • SharePoint_Admin内容数据库。

WSS_CONTENT_APPLICATION_POOLS 角色的成员具有对数据库的存储过程的子集的执行权限。 此外,此角色的成员具有对“版本”表 (dbo 的 select 权限。SharePoint_Admin内容数据库中) 的版本。 对于其他数据库,帐户规划工具会指出读取这些数据库的访问权限是自动配置的。 在某些情况下,还会自动配置写入数据库的有限的访问权限。 若要提供此访问权限,请配置对存储过程的权限。

WSS_SHELL_ACCESS 数据库角色

在配置数据库上使用安全的 WSS_SHELL_ACCESS 数据库角色后,就无需将管理帐户添加为配置数据库上的 db_owner。 默认情况下,最初运行配置向导的服务器场管理员帐户分配给WSS_SHELL_ACCESS数据库角色。 您可以使用 PowerShell 命令对此角色授予或删除成员身份。 安装程序将 WSS_SHELL_ACCESS 角色分配给以下数据库:

  • SharePoint_Config 数据库(配置数据库)。

  • 一个或多个 SharePoint 内容数据库。 可通过 PowerShell 命令(用于管理分配给此角色的成员身份和对象)对此进行配置。

WSS_SHELL_ACCESS 角色的成员具有对数据库的所有存储过程的执行权限。 此外,此角色的成员还具有对所有数据库表的读取和写入权限。

SP_READ_ONLY 数据库角色

SP_READ_ONLY 角色应该用于将数据库设置为只读模式,而不是使用 sp_dboption。 顾名思义,在使用率和遥测数据之类的数据需要只读访问权限时,应该使用该角色。

注意

[!注意] sp_dboption 存储过程在 SQL Server 2012 中不可用。 有关 sp_dboption 的详细信息,请参阅 sp_dboption (Transact-SQL)

SP_READ_ONLY SQL 角色将具有以下权限:

  • 授予对所有 SharePoint 存储过程和函数的 SELECT 权限

  • 授予对所有 SharePoint 表的 SELECT 权限

  • 授予对架构为 dbo 的用户定义类型的 EXECUTE 权限

SP_DATA_ACCESS 数据库角色

SP_DATA_ACCESS 角色是数据库访问的默认角色,应该用于对数据库的所有对象模型级访问。 在升级或新部署期间,将应用程序池帐户添加到此角色。

注意

SP_DATA_ACCESS 角色取代了 SharePoint 2013 中的 db_owner 角色。

SP_DATA_ACCESS 角色将具有以下权限:

  • 授予对所有 SharePoint 存储过程和函数的 EXECUTE 或 SELECT 权限

  • 授予对所有 SharePoint 表的 SELECT 权限

  • 授予对架构为 dbo 的用户定义类型的 EXECUTE 权限

  • 授予对 AllUserDataJunctions 表的 INSERT 权限

  • 授予对网站视图的 UPDATE 权限

  • 授予对 UserData 视图的 UPDATE 权限

  • 授予对 AllUserData 表的 UPDATE 权限

  • 授予对 NameValuePair 表的 INSERT 和 DELETE 权限

  • 授予创建表的权限

组权限

此部分介绍了 SharePoint 2013 安装和配置工具创建的组权限。

WSS_ADMIN_WPG

WSS_ADMIN_WPG 具有对本地资源的读写访问权限。 管理中心 和 Timer 服务的应用程序池帐户在 WSS_ADMIN_WPG 中。 下表显示 WSS_ADMIN_WPG 注册表项权限。

项名称 权限 继承 说明
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
完全控制
不适用
不适用
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration{90150000-110D-0000-1000-0000000FF1CE}
读取、写入
不适用
不适用
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server
读取

此项是 SharePoint 2013 注册表设置树的根。 如果更改此项,SharePoint 2013 功能将不可用。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
完全控制

此项是 SharePoint 2013 注册表设置的根。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
读取、写入

此项包含用于文档转换服务的设置。 更改此项将损坏文档转换功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
读取、写入

此项包含用于文档转换服务的设置。 更改此项将损坏文档转换功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search
完全控制
不适用
不适用
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search
完全控制
不适用
不适用
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
完全控制

此项包含计算机要联接到的配置数据库的连接字符串和 ID。 如果更改此项,计算机上安装的 SharePoint 2013 将无法工作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
完全控制

此项包含安装过程中使用的设置。 如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示 WSS_ADMIN_WPG 文件系统权限。

文件系统路径 权限 继承 说明
%AllUsersProfile%\ Microsoft\SharePoint
完全控制

此目录包含支持文件系统的服务器场配置缓存。 如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。
C:\Inetpub\wwwroot\wss
完全控制

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。 如果更改或删除此目录,除非为使用 SharePoint 2013 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。
%ProgramFiles%\Microsoft Office Servers\15.0
完全控制

此目录是 SharePoint 2013 二进制文件和数据的安装位置。 可以在安装过程中更改目录。 如果在安装后删除、更改或删除此目录,则所有 SharePoint 2013 功能都将失败。 某些 SharePoint 2013 服务需要WSS_ADMIN_WPG Windows 安全组的成员身份才能在磁盘上存储数据。
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
读取、写入

此目录是承载后端 Web 服务(例如 Excel 和搜索)的根目录。 如果移除或更改此目录,依赖于这些服务的 SharePoint 2013 功能将失败。
%ProgramFiles%\Microsoft Office Servers\15.0\Data
完全控制

此目录是存储本地数据(包括搜索索引)的根位置。 如果移除或更改此目录,搜索功能将失败。 需要 WSS_ADMIN_WPG Windows 安全组权限才能使搜索在此文件夹中保存数据和保护数据安全。
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
完全控制

此目录是在其中生成运行时诊断日志记录的位置。 如果移除或更改此目录,日志记录将无法正常工作。
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server
完全控制

与父文件夹相同。
%windir%\System32\drivers\etc\HOSTS
读取、写入
不适用
不适用
%windir%\Tasks
完全控制
不适用
不适用
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15
修改

此目录是核心 SharePoint 2013 文件的安装目录。 如果修改了访问控制列表 (ACL),功能激活、解决方案部署和其他功能将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
完全控制

此目录包含 管理中心 的 SOAP 服务。 如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
完全控制

此目录包含用于扩展具有 SharePoint 2013 的 IIS 网站的文件。 如果更改此目录或其内容,Web 应用程序设置将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
完全控制

此目录包含安装和运行时跟踪日志。 如果更改此目录,诊断日志记录将无法正常工作。
%windir%\temp
完全控制

此目录由 SharePoint 2013 所依赖的平台组件使用。 如果修改访问控制列表,Web 部件呈现和其他反序列化操作可能会失败。
%windir%\System32\logfiles\SharePoint
完全控制

此目录由 SharePoint Server 使用率日志记录使用。 如果修改此目录,使用率日志记录将无法正常工作。
此注册表项仅适用于 SharePoint Server。
索引服务器上的 %systemdrive\program files\Microsoft Office Servers\15 文件夹
完全控制
不适用
对索引服务器上的 %systemdrive\program files\Microsoft Office Servers\15 文件夹授予此权限。

WSS_WPG

WSS_WPG 具有对本地资源的读取访问权限。 所有应用程序池和服务帐户都位于 WSS_WPG 中。 下表显示 WSS_WPG 注册表项权限。

项名称 权限 继承 说明
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
读取

此项是 SharePoint 2013 注册表设置的根。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics
读取、写入

此项包含 SharePoint 2013 诊断日志设置。 更改此项会损坏日志功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
读取、写入

此项包含用于文档转换服务的设置。 更改此项将损坏文档转换功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
读取、写入

此项包含用于文档转换服务的设置。 更改此项将损坏文档转换功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
读取

此项包含计算机要联接到的配置数据库的连接字符串和 ID。 如果更改此项,计算机上安装的 SharePoint 2013 将无法工作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
读取

此注册表项包含在安装过程中使用的设置。 如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示 WSS_WPG 文件系统权限。

文件系统路径 权限 继承 说明
%AllUsersProfile%\ Microsoft\SharePoint
读取

此目录包含支持文件系统的服务器场配置缓存。 如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。
C:\Inetpub\wwwroot\wss
读取、执行

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。 如果更改或删除此目录,除非为使用 SharePoint 2013 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。
%ProgramFiles%\Microsoft Office Servers\15.0
读取、执行

此目录是 SharePoint 2013 二进制文件和数据的安装位置。 可以在安装过程中更改此目录。 如果在安装后移除、更改或移动了此目录,所有 SharePoint 2013 功能将失败。 需要 WSS_WPG 读取和执行权限才能使 IIS 网站加载 SharePoint 2013 二进制文件。
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
读取

此目录是承载后端 Web 服务(例如 Excel 和搜索)的根目录。 如果移除或更改此目录,依赖于这些服务的 SharePoint 2013 功能将失败。
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
读取、写入

此目录是生成运行时诊断日志的位置。 如果移除或更改此目录,日志记录将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
读取

此目录包含 管理中心 的 SOAP 服务。 如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
读取

此目录包含用于扩展具有 SharePoint 2013 的 IIS 网站的文件。 如果更改此目录或其内容,Web 应用程序设置将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
修改

此目录包含安装和运行时跟踪日志。 如果更改此目录,诊断日志记录将无法正常工作。
%windir%\temp
读取

此目录由 SharePoint 2013 所依赖的平台组件使用。 如果修改了访问控制列表,Web 部件呈现和其他反序列化操作可能失败。
%windir%\System32\logfiles\SharePoint
读取

此目录由 SharePoint Server 使用率日志记录使用。 如果修改此目录,使用率日志记录将无法正常工作。
此注册表项仅适用于 SharePoint Server。
%systemdrive\program files\Microsoft Office Servers\15
读取、执行
不适用
对索引服务器上的 %systemdrive\program files\Microsoft Office Servers\15 文件夹授予此权限。

本地服务

下表显示本地服务注册表项权限:

项名称 权限 继承 说明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
读取

此项包含用于文档转换服务的设置。 更改此项将损坏文档转换功能。

下表显示本地服务文件系统权限:

文件系统路径 权限 继承 说明
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
读取、执行

此目录是 SharePoint 2013 二进制文件的安装位置。 如果删除或更改此目录,所有 SharePoint 2013 功能都将不可用。

本地系统

下表显示本地系统注册表项权限:

项名称 权限 继承 说明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
读取

此项包含用于文档转换服务的设置。 更改此项将损坏文档转换功能。
此注册表项仅适用于 SharePoint Server。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
完全控制

此项包含计算机要联接到的配置数据库的连接字符串和 ID。 如果更改此项,计算机上安装的 SharePoint 2013 将无法工作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
完全控制

此注册表项包含用于在配置数据库中存储机密的加密密钥。 如果更改此项,服务设置和其他功能将失败。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
完全控制

此注册表项包含在安装过程中使用的设置。 如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示本地文件系统权限:

文件系统路径 权限 继承 说明
%AllUsersProfile%\ Microsoft\SharePoint
完全控制

此目录包含支持文件系统的服务器场配置缓存。 如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。
C:\Inetpub\wwwroot\wss
完全控制

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。 如果更改或删除此目录,除非为使用 SharePoint 2013 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
完全控制

此目录包含 管理中心 的 SOAP 服务。 如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
完全控制

如果更改此目录或其内容,Web 应用程序设置将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
完全控制

此目录包含安装程序跟踪日志和运行时跟踪日志。 如果更改此目录,诊断日志记录将无法正常工作。
%windir%\temp
完全控制

此目录由 SharePoint 2013 所依赖的平台组件使用。 如果修改了访问控制列表,Web 部件呈现和其他反序列化操作可能失败。
%windir%\System32\logfiles\SharePoint
完全控制

SharePoint Server 使用此目录进行使用率日志记录。 如果修改此目录,使用率日志记录将无法正常工作。
此注册表项仅适用于 SharePoint Server。

网络服务

下表显示网络服务注册表项权限:

项名称 权限 继承 说明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup
读取
不适用
不适用

管理员

下表显示管理员注册表项权限:

项名称 权限 继承 说明
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
完全控制

此项包含计算机要联接到的配置数据库的连接字符串和 ID。 如果更改此项,计算机上安装的 SharePoint 2013 将无法工作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
完全控制

此注册表项包含用于在配置数据库中存储机密的加密密钥。 如果更改此项,服务设置和其他功能将失败。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
完全控制

此注册表项包含在安装过程中使用的设置。 如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示管理员文件系统权限:

文件系统路径 权限 继承 说明
%AllUsersProfile%\ Microsoft\SharePoint
完全控制

此目录包含支持文件系统的服务器场配置缓存。 如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。
C:\Inetpub\wwwroot\wss
完全控制

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。 如果更改或删除此目录,SharePoint 网站会不可用且管理操作可能失败,除非为使用 SharePoint 2013 扩展的所有 IIS 网站提供自定义 IIS 网站路径。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
完全控制

此目录包含 管理中心 的 SOAP 服务。 如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
完全控制

如果更改此目录或其内容,Web 应用程序设置将无法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
完全控制

此目录包含安装和运行时跟踪日志。 如果更改此目录,诊断日志记录将无法正常工作。
%windir%\temp
完全控制

此目录由 SharePoint 2013 所依赖的平台组件使用。 如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。
%windir%\System32\logfiles\SharePoint
完全控制

SharePoint Server 使用此目录进行使用率日志记录。 如果修改此目录,使用率日志记录将无法正常工作。
此注册表项仅适用于 SharePoint Server。

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG 可以读取加密的服务器场管理凭据注册表项。 WSS_RESTRICTED_WPG 仅用于加密和解密在配置数据库中存储的密码。 下表显示 WSS_RESTRICTED_WPG 注册表项权限:

项名称 权限 继承 说明
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
完全控制

此注册表项包含用于在配置数据库中存储机密的加密密钥。 如果更改此项,服务设置和其他功能将失败。

用户组

下表显示用户组文件系统权限:

文件系统路径 权限 继承 说明
%ProgramFiles%\Microsoft Office Servers\15.0
读取、执行

此目录是 SharePoint 2013 二进制文件和数据的安装位置。 可以在安装过程中更改此目录。 如果在安装后移除、更改或移动了此目录,所有 SharePoint 2013 功能将失败。
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root
读取、执行

此目录是承载后端根 Web 服务的根目录。 最初安装于此目录中的唯一服务是搜索全局管理服务。 如果移除或修改此目录,使用特定于服务器的 管理中心 设置页的某些搜索管理功能可能无法工作。
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
读取、写入

此目录是在其中生成运行时诊断日志记录的位置。 如果移除或更改此目录,日志记录将无法正常工作。
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
读取、执行

此目录是 SharePoint 2013 二进制文件的安装位置。 如果删除或更改此目录,所有 SharePoint 2013 功能都将不可用。

所有 SharePoint 2013 服务帐户

下表列出了所有 SharePoint 2013 服务帐户文件系统权限:

文件系统路径 权限 继承 说明
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
修改

此目录包含安装和运行时跟踪日志。 如果更改此目录,诊断日志记录将无法正常工作。 所有 SharePoint 2013 服务帐户对此目录都必须具有写入权限。

另请参阅

概念

安装和配置 SharePoint Server 2016