SharePoint Server 中的帐户权限和安全设置
适用于:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
本文描述了以下领域的 SharePoint 管理和服务帐户权限:Microsoft SQL Server、文件系统、文件共享和注册表项。
重要
请勿使用包含符号 $ 的服务帐户名称,但对SQL Server使用组托管服务帐户除外。
详细了解 Microsoft 365 中的 SharePoint 管理员角色。
关于 SharePoint Server 中的帐户权限和安全设置
SharePoint 产品配置向导 配置向导 (Psconfig) 和场配置向导(两者均在完全安装过程中运行)配置多个 SharePoint 基线帐户权限和安全设置。
服务帐户建议
以下部分介绍有关 SharePoint 服务帐户的建议。
服务帐户建议
Microsoft 建议在场中使用最少数量的服务应用程序池帐户。 此建议是减少内存使用量并提高性能,同时保持适当的安全级别。
使用提升的个人身份帐户进行 SharePoint 安装、维护和升级。 此帐户将保留 SharePoint 场管理员帐户中所述所需的角色。 每个 SharePoint 管理员都应使用单独的帐户,以便清楚地标识他们在服务器场上执行的活动。
如果可能,请使用安全组 SharePoint 场管理员组来统一所有单独的 SharePoint 场管理员帐户并授予权限,如 SharePoint 场管理员帐户中所述。 这种安全组的使用大大简化了 SharePoint 场管理员帐户的管理。
SharePoint 场服务帐户应仅运行 SharePoint 计时器服务、SharePoint Insights ((如果适用)) 、管理中心的 IIS 应用程序池、用于拓扑服务) 的 SharePoint Web Services 系统 (,以及用于安全令牌服务) 的 SecurityTokenServiceApplicationPool (。
应将单个帐户用于所有服务应用程序,名为 “服务应用程序池帐户”。 这种使用单个帐户允许管理员对所有服务应用程序使用单个 IIS 应用程序池。 此外,此帐户应运行以下 Windows 服务:SharePoint 搜索主机控制器、SharePoint Server 搜索和分布式缓存 (AppFabric 缓存服务) 。
一个帐户应用于所有名为 Web 应用程序池帐户的 Web 应用程序。 这种单个帐户的使用允许管理员对所有 Web 应用程序使用单个 IIS 应用程序池,SharePoint 场服务帐户运行的管理中心 Web 应用程序除外。
除了声明到 Windows 令牌服务帐户外,任何服务应用程序池帐户都不应具有对任何 SharePoint 服务器的本地管理员访问权限,也不应具有任何提升的SQL Server角色(例如 sysadmin 固定角色)。 除非预先预配 SharePoint 数据库并手动为每个数据库分配权限,否则 SharePoint 场管理员帐户将需要 dbcreator 和 securityadmin 固定角色。
服务应用程序池帐户(运行 Windows 令牌服务声明的帐户除外)应在本地“拒绝登录”和“在本地安全策略\用户权限分配中拒绝通过远程桌面服务登录”。 这些值通过 secpol.msc 设置。
使用单独的帐户进行 内容访问 (搜索爬网程序) 、 门户超级读取器、 门户超级用户和 用户配置文件服务应用程序同步(如果适用)。
声明到 Windows 令牌服务帐户是服务器场中的高特权帐户。 在部署此服务之前,请验证它是否是必需的。 如有必要,请为此服务使用单独的帐户。
服务帐户建议概述
| 服务帐户名称 | 它用于什么? | 应使用多少个? |
|---|---|---|
| SharePoint 场管理员帐户 | SharePoint 管理员的个人身份帐户 | 1-n |
| SharePoint 场服务帐户 | 计时器服务、见解、用于 CA 的 IIS 应用、SP Web 服务系统、安全令牌服务应用池 | 1 |
| 默认内容访问帐户 | 搜索对内部和外部源进行爬网 | 1 |
| 内容访问帐户 | 搜索对内部和外部源进行爬网 | 1-n |
| Web 应用程序池帐户 | 所有不使用管理中心的 Web 应用程序 | 1 |
| SharePoint 服务应用程序池帐户 | 所有服务应用程序 | 1 |
| 门户超级阅读器 | 对象缓存 | 1 |
| 门户超级用户 | 对象缓存 | 1 |
| 用户配置文件服务应用程序同步 | 用于 Active Directory 导入 | 1-n |
SharePoint 管理帐户
下列 SharePoint 组件之一在安装过程中自动配置大部分 SharePoint 管理员帐户权限:
SharePoint 产品配置向导 (Psconfig)。
服务器场配置向导。
SharePoint 管理中心网站。
Microsoft PowerShell.
SharePoint 场管理员帐户
此帐户用于通过运行 SharePoint 产品配置向导 (Psconfig) 、初始场配置向导和 PowerShell 来设置场中的每个服务器。 对于本文中的示例,SharePoint 场管理员帐户用于服务器场管理,您可以使用管理中心来管理它。 某些配置选项(例如,SharePoint Server 搜索查询服务器的配置)需要本地管理权限。 SharePoint 场管理员帐户具有以下要求:
它必须具有域用户帐户权限。
它必须是 SharePoint 场中每台服务器上的本地管理员组的成员。
此帐户必须能够访问 SharePoint 数据库。
如果使用影响数据库的任何 PowerShell 操作,SharePoint 场管理员帐户必须是 db_owner 角色的成员。
在安装和配置过程中,必须将此帐户分配给 securityadmin 和 dbcreatorSQL Server 安全角色。
注意
[!注意] 由于在完整的版本到版本升级期间必须为服务创建和保护新数据库,可能需要 securityadmin 和 dbcreatorSQL Server 安全角色。
运行配置向导后,SharePoint 场管理员帐户的计算机级权限包括:
- WSS_ADMIN_WPG Windows 安全组中的成员身份。
运行配置向导后,数据库权限包括:
SharePoint 服务器场配置数据库上的 db_owner。
SharePoint 管理中心 内容数据库上的 db_owner。
警告
如果用于运行配置向导的帐户没有适当的特殊SQL Server角色成员身份或访问权限(db_owner数据库),则配置向导将无法正确运行。
SharePoint 场服务帐户
SharePoint 场服务帐户(也称为数据库访问帐户)用作管理中心的应用程序池标识和 SharePoint 计时器服务的进程帐户。 服务器场帐户具有以下要求:
- 它必须具有域用户帐户权限。
将自动向加入服务器场的 SharePoint 服务器上的 SharePoint 场服务帐户授予额外权限。
运行设置后,计算机级别权限包括:
SharePoint 计时器服务的 WSS_ADMIN_WPG Windows 安全组的成员身份。
管理中心和计时器服务应用程序池WSS_RESTRICTED_WPG的成员身份。
管理中心应用程序池 WSS_WPG 的成员身份。
在您运行配置向导后,SQL Server 和数据库权限包括:
Dbcreator 固定服务器角色。
Securityadmin 固定服务器角色。
所有 SharePoint 数据库的 db_owner。
SharePoint 服务器场配置数据库的 WSS_CONTENT_APPLICATION_POOLS 角色的成员身份。
SharePoint_Admin内容数据库的 WSS_CONTENT_APPLICATION_POOLS 角色的成员身份。
SharePoint 应用程序池帐户
本部分介绍在安装过程中默认设置的 SharePoint 应用程序池帐户。
默认内容访问帐户
默认内容访问帐户用于在特定服务应用程序内对内容进行爬网(除非爬网规则针对 URL 或 URL 模式指定了不同的身份验证方法)。 此帐户需要以下权限配置设置:
默认内容访问帐户必须是对要使用此帐户进行爬网的外部或安全内容源具有 读取 访问权限的域用户帐户。
对于不属于服务器场的 SharePoint Server 网站,必须显式授予此帐户对托管网站的 Web 应用程序的完全 读取 权限。
此帐户不能是场管理员组的成员。
内容访问帐户
内容访问帐户配置为通过运行 Search 管理爬网规则功能访问内容。 此类型的帐户是可选的,您可以在创建新爬网规则时配置它。 例如,外部内容(例如文件共享)可能需要这个单独的内容访问帐户。 此帐户需要以下权限配置设置:
内容访问帐户必须对此帐户配置为访问的外部或安全内容源具有 读取 访问权限。
对于不属于服务器场的 SharePoint Server 网站,必须显式授予此帐户对托管网站的 Web 应用程序的完全 读取 权限。
Web 应用程序池帐户
Web 应用程序池帐户必须是域用户帐户。 此帐户不能是场管理员组的成员。
此帐户应用于没有管理中心的所有 Web 应用程序。
将自动配置以下计算机级权限:
- 此帐户是 WSS_WPG 的成员。
以下 SQL Server 和数据库权限会自动配置:
此帐户分配给与场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帐户分配给与 SharePoint 管理员内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。
Web 应用程序的应用程序池帐户分配给内容数据库的 SPDataAccess 角色。
SharePoint 服务应用程序池帐户
SharePoint 服务应用程序池帐户必须是域用户帐户。 此帐户不能是服务器场中的任何计算机上的管理员组的成员。
将自动配置以下计算机级权限:
- 此帐户是 WSS_WPG 的成员。
系统会自动配置以下SQL Server和数据库要求/权限:
此帐户分配给内容数据库的 SPDataAccess 角色。
此帐户分配给与 Web 应用程序关联的搜索数据库的 SPDataAccess 角色。
此帐户必须对关联的服务应用程序数据库具有 读取 和 写入 访问权限。
此帐户分配给与场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帐户分配给与 SharePoint_Admin 内容数据库关联的WSS_CONTENT_APPLICATION_POOLS角色。
SharePoint 数据库角色
本节介绍安装在默认情况下设置的或者您可以有选择地配置的数据库角色。
WSS_CONTENT_APPLICATION_POOLS 数据库角色
WSS_CONTENT_APPLICATION_POOLS数据库角色适用于在 SharePoint 场中注册的每个 Web 应用程序的应用程序池帐户。 此角色适用性使 Web 应用程序能够查询和更新站点地图,并具有对配置数据库中其他项的 只读 访问权限。 安装程序将 WSS_CONTENT_APPLICATION_POOLS 角色分配给以下数据库:
SharePoint Config 数据库 (配置数据库)
SharePoint 管理员 内容数据库
WSS_CONTENT_APPLICATION_POOLS角色的成员对数据库的一部分存储过程具有执行权限。 此外,此角色的成员对“版本”表具有 select 权限, (dbo。SharePoint_AdminContent 数据库中) 的版本。 对于其他数据库,帐户规划工具会指出读取这些数据库的访问权限是自动配置的。 在某些情况下,还会自动配置写入数据库的有限的访问权限。 若要提供此访问权限,请配置对存储过程的权限。
SharePoint_SHELL_ACCESS数据库角色
配置数据库上的安全 SharePoint_SHELL_ACCESS 数据库角色取代了在配置数据库上添加管理帐户作为 db_owner 的需要。 默认情况下,安装程序帐户分配给 SharePoint_SHELL_ACCESS 数据库角色。 您可以使用 PowerShell 命令对此角色授予或删除成员身份。 安装程序将 SharePoint_SHELL_ACCESS 角色分配给以下数据库:
SharePoint_Config 数据库(配置数据库)。
一个或多个 SharePoint 内容数据库。 可以使用 PowerShell 命令配置此数据库,该命令管理成员身份和分配给此角色的对象。
SharePoint_SHELL_ACCESS角色的成员对数据库的所有存储过程具有执行权限。 此外,此角色的成员对所有数据库表具有 读取 和 写入 权限。
SPREADONLY 数据库角色
应使用 SPREADONLY 角色将数据库设置为 只读 模式,而不是使用 sp_dboption。 当只有使用和遥测数据需要 读取 访问权限时,应使用此角色(顾名思义)。
注意
sp_dboption存储过程在 2012 SQL Server不可用。 有关 sp_dboption的详细信息,请参阅 sp_dboption (Transact-SQL) 。
SPREADONLY SQL 角色将具有以下权限:
授予对所有 SharePoint 存储过程和函数的 SELECT 权限。
授予对所有 SharePoint 表的 SELECT 权限。
对架构为 dbo 的用户定义类型授予 EXECUTE。
SPDataAccess 数据库角色
SPDataAccess 角色是数据库访问的默认角色,应用于对数据库的所有对象模型级访问。 在升级或新部署期间将应用程序池帐户添加到此角色。
注意
SPDataAccess 角色取代了 SharePoint Server 2016 中的 db_owner 角色。
SPDataAccess 角色将具有以下权限:
授予对所有 SharePoint 存储过程和函数的 EXECUTE 或 SELECT 权限。
授予对所有 SharePoint 表的 SELECT 权限。
对架构为 dbo 的用户定义类型授予 EXECUTE。
授予对 AllUserDataJunctions 表的 INSERT 权限。
授予对网站视图的 UPDATE 权限。
授予对 UserData 视图的 UPDATE 权限。
授予对 AllUserData 表的 UPDATE 权限。
授予对 NameValuePair 表的 INSERT 和 DELETE 权限。
授予创建表的权限。
组权限
本部分介绍 SharePoint Server 2016 和 2019 安装程序和配置工具创建的组的权限。
WSS_ADMIN_WPG
WSS_ADMIN_WPG 对本地资源具有 读取 和 写入 访问权限。 管理中心和计时器服务的应用程序池帐户WSS_ADMIN_WPG。 下表显示了 WSS_ADMIN_WPG 注册表项权限:
注意
SharePoint 2013 使用注册表路径“15.0”而不是“16.0”,使用文件系统路径“15”而不是“16”。 后续表中列出的某些路径不适用于 SharePoint Foundation 2013。
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | 完全控制 | 不适用 | 不适用 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | 读取、写入 | 不适用 | 不适用 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | 读取 | 否 | 此项是 SharePoint Server 注册表设置树的根目录。 如果更改此密钥,SharePoint Server 功能将失败。 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | 完全控制 | 否 | 此项是 SharePoint Server 2016 注册表设置的根。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 读取、写入 | 否 | 此项包含用于文档转换服务的设置。 更改此项将损坏文档转换功能。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 读取、写入 | 否 | 此项包含用于文档转换服务的设置。 更改此项将损坏文档转换功能。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | 完全控制 | 不适用 | 不适用 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | 完全控制 | 不适用 | 不适用 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 完全控制 | 否 | 此项包含计算机要联接到的配置数据库的连接字符串和 ID。 如果更改此密钥,则计算机上的 SharePoint Server 安装将不起作用。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 完全控制 | 是 | 此项包含安装过程中使用的设置。 如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。 |
下表显示 WSS_ADMIN_WPG 文件系统权限。
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 完全控制 | 否 | 此目录包含支持文件系统的服务器场配置缓存。 如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。 |
| C:\Inetpub\wwwroot\wss | 完全控制 | 否 | 此目录 (或服务器上 Inetpub 根目录下的相应目录) 用作 IIS 网站的默认位置。 如果更改或删除此目录,SharePoint 网站将不可用,并且管理操作可能会失败,除非为使用 SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径。 |
| %ProgramFiles%\Microsoft Office Servers\16.0 | 完全控制 | 否 | 此目录是 SharePoint Server 2016 二进制文件和数据的安装位置。 可以在安装过程中更改目录。 如果在安装后删除、更改或删除此目录,则所有 SharePoint Server 功能都将失败。 某些 SharePoint Server 服务必须具有 Windows 安全组WSS_ADMIN_WPG成员身份才能在磁盘上存储数据。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 读取、写入 | 否 | 此目录是承载后端 Web 服务(例如 Excel 和搜索)的根目录。 如果删除或更改此目录,则依赖于这些服务的 SharePoint Server 功能将失败。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data | 完全控制 | 否 | 此目录是存储本地数据(包括搜索索引)的根位置。 如果删除或更改此目录,搜索功能将失败。 WSS_ADMIN_WPG Windows 安全组权限才能启用“搜索”功能来保存和保护此文件夹中的数据。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 完全控制 | 是 | 此目录是生成运行时诊断日志的位置。 如果删除或更改此目录,日志记录功能将无法正常工作。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | 完全控制 | 是 | 与父文件夹相同。 |
| %windir%\System32\drivers\etc\HOSTS | 读取、写入 | 不适用 | 不适用 |
| %windir%\Tasks | 完全控制 | 不适用 | 不适用 |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | 修改 | 是 | 此目录是核心 SharePoint Server 文件的安装目录。 如果修改了访问控制列表 (ACL) ,则功能激活、解决方案部署和其他功能将无法正常运行。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 完全控制 | 是 | 此目录包含 管理中心 的 SOAP 服务。 如果更改此目录,远程站点创建和服务中公开的其他方法将无法正常运行。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 完全控制 | 是 | 此目录包含用于使用 SharePoint Server 扩展 IIS 网站的文件。 如果更改此目录或其内容,Web 应用程序预配将无法正常运行。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 完全控制 | 否 | 此目录包含安装和运行时跟踪日志。 如果目录发生更改,诊断日志记录将无法正常工作。 |
| %windir%\temp | 完全控制 | 是 | 此目录由 SharePoint Server 所依赖的平台组件使用。 如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。 |
| %windir%\System32\logfiles\SharePoint | 完全控制 | 否 | 此目录由 SharePoint Server 使用率日志记录使用。 如果修改了此目录,使用情况日志记录将无法正常运行。 此注册表项仅适用于 SharePoint Server。 |
| 索引服务器上的 %systemdrive\program files\Microsoft Office Servers\16 文件夹 | 完全控制 | 不适用 | 对索引服务器上的 %systemdrive\program files\Microsoft Office Servers\16 文件夹授予此权限。 |
WSS_WPG
WSS_WPG 对本地资源具有 读取 访问权限。 所有应用程序池和服务帐户都位于 WSS_WPG 中。 下表显示了 WSS_WPG 注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | 读取 | 否 | 此键是 SharePoint Server 注册表设置的根目录。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | 读取、写入 | 否 | 此项包含 SharePoint Server 诊断日志记录的设置。 如果更改此键,日志记录功能将中断。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 读取、写入 | 否 | 此项包含用于文档转换服务的设置。 如果更改此键,文档转换功能将中断。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 读取、写入 | 否 | 此项包含用于文档转换服务的设置。 如果更改此键,文档转换功能将中断。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 读取 | 否 | 此项包含计算机要联接到的配置数据库的连接字符串和 ID。 如果更改此密钥,则计算机上的 SharePoint Server 2016 安装将不起作用。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 读取 | 是 | 此注册表项包含在安装过程中使用的设置。 如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg | 读取 | 否 | 此项包含控制对注册表的远程访问的设置。 |
下表显示了WSS_WPG文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 读取 | 否 | 此目录包含支持文件系统的服务器场配置缓存。 如果更改或删除此目录,进程可能无法启动,管理操作可能会失败。 |
| C:\Inetpub\wwwroot\wss | 读取、执行 | 否 | 此目录 (或服务器上 Inetpub 根目录下的相应目录) 用作 IIS 网站的默认位置。 如果更改或删除此目录,SharePoint 网站将不可用,并且管理操作可能会失败,除非为使用 SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径。 |
| %ProgramFiles%\Microsoft Office Servers\16.0 | 读取、执行 | 否 | 此目录是 SharePoint Server 二进制文件和数据的安装位置。 可以在安装过程中更改此目录。 如果在安装后删除、更改或移动此目录,则所有 SharePoint Server 功能都将失败。 WSS_WPG读取和执行权限才能使 IIS 网站能够加载 SharePoint Server 二进制文件。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 读取 | 否 | 此目录是承载后端 Web 服务(例如 Excel 和搜索)的根目录。 如果删除或更改此目录,则依赖于这些服务的 SharePoint Server 功能将失败。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 读取、写入 | 是 | 此目录是生成运行时诊断日志的位置。 如果删除或更改此目录,日志记录功能将无法正常工作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 读取 | 是 | 此目录包含 管理中心 的 SOAP 服务。 如果更改此目录,远程站点创建和服务中公开的其他方法将无法正常运行。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 读取 | 是 | 此目录包含用于使用 SharePoint Server 扩展 IIS 网站的文件。 如果更改此目录或其内容,Web 应用程序预配将无法正常运行。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 修改 | 否 | 此目录包含安装和运行时跟踪日志。 如果目录发生更改,诊断日志记录将无法正常工作。 |
| %windir%\temp | 读取 | 是 | 此目录由 SharePoint Server 所依赖的平台组件使用。 如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。 |
| %windir%\System32\logfiles\SharePoint | 读取 | 否 | 此目录由 SharePoint Server 使用率日志记录使用。 如果修改了此目录,使用情况日志记录将无法正常运行。 此注册表项仅适用于 SharePoint Server。 |
| %systemdrive\program files\Microsoft Office Servers\16 | 读取、执行 | 不适用 | 对索引服务器上的 %systemdrive\program files\Microsoft Office Servers\16 文件夹授予此权限。 |
本地服务
下表显示本地服务注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 读取 | 否 | 此项包含用于文档转换服务的设置。 如果更改此键,文档转换功能将中断。 |
下表显示本地服务文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 读取、执行 | 否 | 此目录是 SharePoint Server 二进制文件的安装位置。 如果删除或更改此目录,则所有 SharePoint Server 功能都将失败。 |
本地系统
下表显示本地系统注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 读取 | 否 | 此项包含用于文档转换服务的设置。 如果更改此键,文档转换功能将中断。 此注册表项仅适用于 SharePoint Server。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 完全控制 | 否 | 此项包含计算机要联接到的配置数据库的连接字符串和 ID。 如果更改此密钥,则计算机上的 SharePoint Server 安装将不起作用。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 完全控制 | 否 | 此注册表项包含用于在配置数据库中存储机密的加密密钥。 如果更改此项,服务设置和其他功能将失败。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 完全控制 | 是 | 此注册表项包含在安装过程中使用的设置。 如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。 |
下表显示本地文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 完全控制 | 否 | 此目录包含支持文件系统的服务器场配置缓存。 如果更改或删除此目录,进程可能无法启动,管理操作可能会失败。 |
| C:\Inetpub\wwwroot\wss | 完全控制 | 否 | 此目录 (或服务器上 Inetpub 根目录下的相应目录) 用作 IIS 网站的默认位置。 如果更改或删除此目录,SharePoint 网站将不可用,并且管理操作可能会失败,除非为使用 SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 完全控制 | 是 | 此目录包含 管理中心 的 SOAP 服务。 如果更改此目录,远程站点创建和服务中公开的其他方法将无法正常运行。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 完全控制 | 是 | 此目录包含用于预配 Web 应用程序和服务应用程序的配置文件。 如果更改此目录或其内容,Web 应用程序预配将无法正常运行。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 完全控制 | 否 | 此目录包含安装和运行时跟踪日志。 如果更改此目录,诊断日志记录将无法正常工作。 |
| %windir%\temp | 完全控制 | 是 | 此目录由 SharePoint Server 所依赖的平台组件使用。 如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。 |
| %windir%\System32\logfiles\SharePoint | 完全控制 | 否 | SharePoint Server 使用此目录进行使用率日志记录。 如果修改了此目录,使用情况日志记录将无法正常运行。 此注册表项仅适用于 SharePoint Server。 |
网络服务
下表显示网络服务注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | 读取 | 不适用 | 不适用 |
管理员
下表显示管理员注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 完全控制 | 否 | 此项包含计算机要联接到的配置数据库的连接字符串和 ID。 如果更改此密钥,则计算机上的 SharePoint Server 安装将不起作用。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 完全控制 | 否 | 此注册表项包含用于在配置数据库中存储机密的加密密钥。 如果更改此项,服务设置和其他功能将失败。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 完全控制 | 是 | 此注册表项包含在安装过程中使用的设置。 如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。 |
下表显示管理员文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 完全控制 | 否 | 此目录包含支持文件系统的服务器场配置缓存。 如果更改或删除此目录,进程可能无法启动,管理操作可能会失败。 |
| C:\Inetpub\wwwroot\wss | 完全控制 | 否 | 此目录 (或服务器上 Inetpub 根目录下的相应目录) 用作 IIS 网站的默认位置。 如果更改或删除此目录,SharePoint 网站将不可用,并且管理操作可能会失败,除非为使用 SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 完全控制 | 是 | 此目录包含 管理中心 的 SOAP 服务。 如果更改此目录,远程站点创建和服务中公开的其他方法将无法正常运行。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 完全控制 | 是 | 此目录包含用于预配 Web 应用程序和服务应用程序的配置文件。 如果更改此目录或其内容,Web 应用程序预配将无法正常运行。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 完全控制 | 否 | 此目录包含安装和运行时跟踪日志。 如果目录发生更改,诊断日志记录将无法正常工作。 |
| %windir%\temp | 完全控制 | 是 | 此目录由 SharePoint Server 所依赖的平台组件使用。 如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。 |
| %windir%\System32\logfiles\SharePoint | 完全控制 | 否 | SharePoint Server 使用此目录进行使用率日志记录。 如果修改了此目录,使用情况日志记录将无法正常运行。 此注册表项仅适用于 SharePoint Server。 |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG 可以读取加密的服务器场管理凭据注册表项。 WSS_RESTRICTED_WPG 仅用于加密和解密存储在配置数据库中的密码。 下表显示了 WSS_RESTRICTED_WPG 注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 完全控制 | 否 | 此注册表项包含用于在配置数据库中存储机密的加密密钥。 如果更改此项,服务设置和其他功能将失败。 |
用户组
下表显示用户组文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0 | 读取、执行 | 否 | 此目录是 SharePoint Server 二进制文件和数据的安装位置。 可以在安装过程中更改此目录。 如果在安装后删除、更改或移动此目录,则所有 SharePoint Server 功能都将失败。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | 读取、执行 | 否 | 此目录是承载后端根 Web 服务的根目录。 最初安装于此目录中的唯一服务是搜索全局管理服务。 如果删除或更改此目录,某些使用特定于服务器的“管理中心设置”页的搜索管理功能将不起作用。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 读取、写入 | 是 | 此目录是生成运行时诊断日志的位置。 如果删除或更改此目录,日志记录将无法正常工作。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 读取、执行 | 否 | 此目录是 SharePoint Server 二进制文件的安装位置。 如果删除或更改此目录,则所有 SharePoint Server 功能都将失败。 |
所有 SharePoint Server 服务帐户
下表显示了 SharePoint Server 服务帐户的文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 修改 | 否 | 此目录包含安装和运行时跟踪日志。 如果更改此目录,诊断日志记录将无法正常工作。 所有 SharePoint Server 服务帐户都必须对此目录具有 写入 权限。 |