共用方式為


SharePoint Server 中的帳戶許可權和安全性設定

適用於:yes-img-132013 yes-img-16 2016yes-img-19 2019yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

本文說明下列領域的 SharePoint 管理及服務帳戶權限:Microsoft SQL Server、檔案系統、檔案共用及登錄項目。

重要事項

請勿使用包含符號 $ 的服務帳戶名稱,但使用 SQL Server 的群組受控服務帳戶除外。

深入瞭解 Microsoft 365 中的 SharePoint 系統管理員角色

關於 SharePoint Server 中的帳戶許可權和安全性設定

在完整安裝期間執行的 SharePoint 產品設定精靈 (Psconfig) 和[伺服器陣列設定精靈] 可設定許多 SharePoint 基準帳戶權限及安全性設定。

服務帳戶建議

下列各節說明 SharePoint 服務帳戶的建議。

服務帳戶建議

Microsoft建議在伺服器數位中使用最少數目的服務應用程式集區帳戶。 此建議是減少記憶體使用量並提升效能,同時維持適當的安全性層級。

  • 針對 SharePoint 安裝、維護和升級使用提升許可權的個人標識帳戶。 此帳戶會保留 SharePoint 伺服器陣列系統管理員帳戶中所述的必要角色。 每個 SharePoint 系統管理員都應該使用個別的帳戶,以便清楚識別其在伺服器數位上執行的活動。

  • 可能的話,請使用安全組 SharePoint 伺服器陣列系統管理員群組來統一所有個別的 SharePoint 伺服器陣列系統管理員帳戶,並授與 SharePoint 伺服器陣組管理員帳戶中所述的許可權。 此安全組的使用方式可大幅簡化 SharePoint 伺服器數位系統管理員帳戶的管理。

  • SharePoint 伺服數位服務帳戶應該只執行 SharePoint 定時器服務、適用的 SharePoint Insights) (、適用於管理中心的 IIS 應用程式集區、用於拓撲服務) 的 SharePoint Web 服務系統 (,以及用於安全性令牌服務) 的 SecurityTokenServiceApplicationPool (。

  • 單一帳戶應該用於所有服務應用程式,名為 服務應用程式集區帳戶。 使用單一帳戶可讓系統管理員針對所有服務應用程式使用單一 IIS 應用程式集區。 此外,此帳戶應該執行下列 Windows 服務:SharePoint 搜尋主機控制器、SharePoint Server 搜尋和分散式快取 (AppFabric 快取服務) 。

  • 單一帳戶應該用於所有名為 Web 應用程式集區帳戶的 Web 應用程式。 使用單一帳戶可讓系統管理員針對所有 Web 應用程式使用單一 IIS 應用程式集區,但 SharePoint 伺服器數位服務帳戶所執行的管理中心 Web 應用程式除外。

  • 除了對 Windows 令牌服務帳戶的宣告之外,任何服務應用程式集區帳戶都不應具有任何 SharePoint 伺服器的本機系統管理員存取權,也不應具有任何提升許可權的 SQL Server 角色,例如 系統管理員 固定角色。 除非您預先布建 SharePoint 資料庫,並手動指派許可權給每個資料庫,否則 SharePoint 伺服器陣列管理員帳戶將需要 dbcreator 和安全性 管理員 固定角色。

  • 除了執行 Windows 令牌服務宣告的帳戶以外,服務應用程式集區帳戶在本機應具有拒絕登入,以及在本機安全策略\用戶權力指派中透過遠端桌面服務拒絕登入。 這些值是透過 secpol.msc 設定。

  • 如果適用,請使用個別帳戶存 取內容 (搜尋編目程式) 、 入口網站進階讀取器、 入口網站進階使用者使用者配置檔服務應用程式同步處理

  • 對 Windows 令牌服務帳戶的宣告是伺服器陣列上具有高度特殊許可權的帳戶。 在部署此服務之前,請確認是否為必要。 如有必要,請針對此服務使用個別的帳戶。

服務帳戶建議概觀

服務帳戶名稱 其用途為何? 應該使用多少?
SharePoint 伺服器陣列系統管理員帳戶 SharePoint 系統管理員的個人標識帳戶 1-n
SharePoint 伺服器數位服務帳戶 定時器服務、深入解析、適用於 CA 的 IIS 應用程式、SP Web 服務系統、安全性令牌服務應用程式集區 1
預設的內容存取帳戶 搜尋編目內部和外部來源 1
內容存取帳戶 搜尋編目內部和外部來源 1-n
Web 應用程式集區帳戶 沒有管理中心的所有 Web 應用程式 1
SharePoint 服務應用程式集區帳戶 所有服務應用程式 1
入口網站進階讀取器 物件快取 1
入口網站進階使用者 物件快取 1
User Profile Service Application Synchronization 用於 Active Directory 匯入 1-n

SharePoint 管理帳戶

下列其中一個 SharePoint 元件會在安裝程序期間自動設定大部分的 SharePoint 管理帳戶權限:

  • SharePoint 產品設定精靈 (Psconfig)。

  • 伺服器陣列設定精靈。

  • SharePoint 管理中心網站。

  • Microsoft PowerShell.

SharePoint 伺服器陣列系統管理員帳戶

此帳戶可用來設定伺服器陣列中的每個伺服器,方法是執行 SharePoint 產品設定精靈 (Psconfig) 、初始伺服器數位設定精靈和 PowerShell。 針對本文中的範例,SharePoint 伺服器陣列系統管理員帳戶是用於伺服器陣列管理,而且您可以使用管理中心來管理它。 某些組態選項,例如 SharePoint Server 搜尋查詢伺服器的組態,需要本機管理許可權。 SharePoint 伺服器陣列系統管理員帳戶具有下列需求:

  • 必須擁有網域使用者帳戶權限。

  • 它必須是 SharePoint 伺服器陣列中每部伺服器上本機 Administrators 群組的成員。

  • 此帳戶必須擁有 SharePoint 資料庫的存取權。

  • 如果您使用任何會影響資料庫的PowerShell作業,SharePoint 伺服器陣組管理員帳戶必須是 db_owner 角色的成員。

  • 此帳戶必須在安裝及設定期間指定給 securityadmindbcreatorSQL Server 安全性角色。

注意事項

因為可能必須為服務建立新的資料庫同時保護其安全,所以此帳戶在版本對版本的完整升級期間,可能需要 securityadmindbcreatorSQL Server 安全性角色。

執行設定精靈之後,SharePoint 伺服器陣列管理員帳戶的機器層級許可權包括:

  • WSS_ADMIN_WPG Windows 安全組中的成員資格。

執行設定精靈之後,資料庫權限包括:

  • SharePoint 伺服器陣列設定資料庫的 db_owner

  • SharePoint 管理中心內容資料庫的 db_owner

注意

如果您用來執行設定精靈的帳戶沒有資料庫上 db_owner 的適當特殊 SQL Server 角色成員資格或存取權,則設定精靈將無法正確執行。

SharePoint 伺服器數位服務帳戶

SharePoint 伺服器數位服務帳戶也稱為數據庫存取帳戶,可作為管理中心的應用程式集區身分識別,並作為 SharePoint 定時器服務的進程帳戶。 伺服器陣組帳戶有下列需求:

  • 必須擁有網域使用者帳戶權限。

額外的許可權會自動授與加入伺服器數位之 SharePoint 伺服器陣列伺服器上的 SharePoint 伺服器陣列服務帳戶。

執行安裝程式之後,電腦層級權限包括:

  • SharePoint 定時器服務 WSS_ADMIN_WPG Windows 安全組中的成員資格。

  • 管理中心和定時器服務應用程式集區 WSS_RESTRICTED_WPG 的成員資格。

  • 管理中心應用程式集 區WSS_WPG 的成員資格。

執行設定精靈之後,SQL Server 及資料庫權限包括:

  • Dbcreator 固定伺服器角色。

  • Securityadmin 固定伺服器角色。

  • 所有 SharePoint 資料庫的 db_owner

  • SharePoint 伺服器陣 組組態資料庫WSS_CONTENT_APPLICATION_POOLS 角色中的成員資格。

  • SharePoint_Admin內容資料庫WSS_CONTENT_APPLICATION_POOLS角色的成員資格。

SharePoint 應用程式集區帳戶

本節說明安裝期間預設設定的 SharePoint 應用程式集區帳戶。

預設的內容存取帳戶

除非編目規則另行指定其他 URL 或 URL 模式的驗證方法,否則在特定的服務應用程式內編目內容,會使用預設的內容存取帳戶。 此帳戶需要下列權限組態設定:

  • 默認內容存取帳戶必須是網域用戶帳戶,該帳戶具有您想要使用此帳戶編目之外部或安全內容來源的 取許可權。

  • 對於不屬於伺服器陣列的 SharePoint Server 網站,您必須明確地將此帳戶完整 取許可權授與裝載網站的 Web 應用程式。

  • 此帳戶不得是伺服器陣列管理員群組的成員。

內容存取帳戶

內容存取帳戶會設定為使用搜尋管理編目規則功能存取內容。 此為選擇性的帳戶類型,您可以在建立新編目規則時加以設定。 例如,外部內容 (如檔案共用) 可能需要此獨立的內容存取帳戶。 此帳戶需要下列權限組態設定:

  • 內容存取帳戶必須具有此帳戶設定為存取之外部或安全內容來源的 取許可權。

  • 對於不屬於伺服器陣列的 SharePoint Server 網站,您必須明確地將此帳戶完整 取許可權授與裝載網站的 Web 應用程式。

Web 應用程式集區帳戶

Web 應用程式集區帳戶必須是網域用戶帳戶。 此帳戶不得是伺服器陣列管理員群組的成員。

此帳戶應該用於所有沒有管理中心的 Web 應用程式。

下列電腦層級權限會自動設定:

  • 此帳戶是 WSS_WPG的成員。

下列 SQL Server 及資料庫權限會自動設定:

  • 此帳戶會指派給與伺服器 數位設定 資料庫相關聯的WSS_CONTENT_APPLICATION_POOLS角色。

  • 此帳戶會指派給與 SharePoint 系統管理員內容資料庫相關聯的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • Web 應用程式的應用程式集區帳戶會指派給內容資料庫的 SPDataAccess 角色。

SharePoint 服務應用程式集區帳戶

SharePoint 服務應用程式集區帳戶必須是網域用戶帳戶。 此帳戶不得是伺服器陣列之任何電腦上的系統管理員群組成員。

下列電腦層級權限會自動設定:

  • 此帳戶是 WSS_WPG的成員。

下列 SQL Server 和資料庫需求/權限會自動設定:

  • 此帳戶會指派給內容資料庫的 SPDataAccess 角色。

  • 此帳戶會指派給與 Web 應用程式相關聯之搜尋資料庫的 SPDataAccess 角色。

  • 此帳戶必須具有相關聯服務應用程式資料庫的 取和 入存取權。

  • 此帳戶會指派給與伺服器 數位設定 資料庫相關聯的WSS_CONTENT_APPLICATION_POOLS角色。

  • 此帳戶會指派給與 SharePoint_Admin 內容資料庫相關聯的WSS_CONTENT_APPLICATION_POOLS角色。

SharePoint 資料庫角色

本節說明安裝預設設定的資料庫角色,或可以選擇性設定的資料庫角色。

WSS_CONTENT_APPLICATION_POOLS 資料庫角色

WSS_CONTENT_APPLICATION_POOLS資料庫角色適用於在 SharePoint 伺服器陣列中註冊的每個 Web 應用程式的應用程式集區帳戶。 此角色適用性可讓 Web 應用程式查詢和更新網站地圖,並具有組態資料庫中其他專案的 唯讀 存取權。 安裝程式會將 WSS_CONTENT_APPLICATION_POOLS 角色指派給下列資料庫:

  • 設定資料庫 (SharePoint Config 資料庫)

  • SharePoint 系統管理員內容資料庫

WSS_CONTENT_APPLICATION_POOLS角色的成員具有資料庫預存程式子集的執行許可權。 此外,此角色的成員具有 [版本] 數據表的 取許可權, (dbo。SharePoint_AdminContent資料庫中) 版本。 至於其他資料庫,帳戶規劃工具會指示自動設定這些資料庫的讀取權限。 在某些情況下,也會自動設定資料庫的限制寫入權限。 設定預存程序的權限,可提供此存取權。

SharePoint_SHELL_ACCESS資料庫角色

設定資料庫上的安全 SharePoint_SHELL_ACCESS 資料庫角色會取代將系統管理帳戶新增為設定資料庫上 db_owner 的需求。 根據預設,安裝帳戶會指派給 SharePoint_SHELL_ACCESS 資料庫角色。 您可以使用 PowerShell 命令將成員資格授與此角色,或移除成員資格。 安裝程式會將 SharePoint_SHELL_ACCESS 角色指派給下列資料庫:

  • SharePoint_Config 資料庫 (設定資料庫)。

  • 一或多個 SharePoint 內容資料庫。 您可以使用PowerShell命令來設定此資料庫,該命令會管理成員資格,以及指派給此角色的物件。

SharePoint_SHELL_ACCESS角色的成員具有資料庫所有預存程式的執行許可權。 此外,此角色的成員具有所有資料庫數據表的 取和 入許可權。

SPREADONLY 資料庫角色

SPREADONLY 角色應該用於將資料庫設定為唯讀模式,而不是使用 sp_dboption。 當使用量和遙測數據只需要 取許可權時,應該使用此角色作為其名稱建議。

注意事項

SQL Server 2012 中無法使用sp_dboption預存程式。 如需 sp_dboption的詳細資訊,請 參閱 sp_dboption (Transact-SQL)

SPREADONLY SQL 角色將具有下列許可權:

  • 對所有 SharePoint 預存程序和功能授與 SELECT。

  • 對所有 SharePoint 資料表授與 SELECT。

  • 在架構為 dbo 的使用者定義型別上授與 EXECUTE。

SPDataAccess 資料庫角色

SPDataAccess 角色是數據庫存取的預設角色,應該用於資料庫的所有物件模型層級存取。 在升級或新部署期間,將應用程式集區帳戶新增至此角色。

注意事項

SPDataAccess 角色取代了 SharePoint Server 2016 中db_owner角色。

SPDataAccess 角色將具有下列許可權:

  • 對所有 SharePoint 預存程序和功能授與 EXECUTE 或 SELECT。

  • 對所有 SharePoint 資料表授與 SELECT。

  • 在架構為 dbo 的使用者定義型別上授與 EXECUTE。

  • 對 AllUserDataJunctions 資料表授與 INSERT。

  • 對網站檢視授與 UPDATE。

  • 對 UserData 檢視授與 UPDATE。

  • 對 AllUserData 資料表授與 UPDATE。

  • 對 NameValuePair 資料表授與 INSERT 和 DELETE。

  • 授與建立資料表權限。

群組權限

本節說明 SharePoint Server 2016 和 2019 安裝程序和組態工具所建立群組的許可權。

WSS_ADMIN_WPG

WSS_ADMIN_WPG 具有本機資源的 取和 入許可權。 管理中心和定時器服務的應用程式集區帳戶位於 WSS_ADMIN_WPG中。 下表顯示 WSS_ADMIN_WPG 登入項目權限:

注意事項

SharePoint 2013 使用登錄路徑 “15.0”,而不是 “16.0” 和文件系統路徑 “15”,而不是 “16”。 後續數據表中列出的某些路徑不適用於 SharePoint Foundation 2013。

機碼名稱 權限 繼承 描述
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS 完全控制 不適用 不適用
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} 讀取、寫入 不適用 不適用
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server 讀取 此機碼是 SharePoint Server 登錄設定樹狀結構的根目錄。 如果更改此金鑰,SharePoint Server 功能將會失敗。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 完全控制 此機碼是 SharePoint Server 2016 登錄設定的根目錄。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings 讀取、寫入 此機碼包含文件轉換服務的設定。 變更此機碼會中斷文件轉換功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings 讀取、寫入 此機碼包含文件轉換服務的設定。 變更此機碼會中斷文件轉換功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search 完全控制 不適用 不適用
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search 完全控制 不適用 不適用
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure 完全控制 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果更改此金鑰,機器上的 SharePoint Server 安裝將無法運作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS 完全控制 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。

下表顯示 WSS_ADMIN_WPG 檔案系統權限。

檔案系統路徑 權限 繼承 描述
%AllUsersProfile%\ Microsoft\SharePoint 完全控制 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,進程可能無法啟動,而且系統管理動作可能會失敗。
C:\Inetpub\wwwroot\wss 完全控制 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄,會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,則 SharePoint 網站將無法使用,而且系統管理動作可能會失敗,除非為所有使用 SharePoint Server 擴充的 IIS 網站提供自定義 IIS 網站路徑。
%ProgramFiles%\Microsoft Office Servers\16.0 完全控制 此目錄是 SharePoint Server 2016 二進位檔案及資料的安裝位置。 您可以在安裝期間變更目錄。 如果在安裝後移除、更改或移除此目錄,所有 SharePoint Server 功能都會失敗。 某些 SharePoint Server 服務必須具備WSS_ADMIN_WPG Windows 安全組的成員資格,才能將數據儲存在磁碟上。
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices 讀取、寫入 此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。 如果移除或變更此目錄,相依於這些服務的 SharePoint Server 功能將會失敗。
%ProgramFiles%\Microsoft Office Servers\16.0\Data 完全控制 此目錄是本機資料 (包括搜尋索引) 儲存所在的根目錄位置。 如果移除或更改此目錄,搜尋功能將會失敗。 WSS_ADMIN_WPG需要 Windows 安全組許可權,才能啟用搜尋功能,以儲存並保護此資料夾中的數據。
%ProgramFiles%\Microsoft Office Servers\16.0\Logs 完全控制 此目錄是產生執行階段診斷記錄的位置。 如果移除或更改此目錄,記錄功能將無法正常運作。
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server 完全控制 與上層資料夾相同。
%windir%\System32\drivers\etc\HOSTS 讀取、寫入 不適用 不適用
%windir%\Tasks 完全控制 不適用 不適用
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 修改 此目錄是核心 SharePoint Server 檔案的安裝目錄。 如果已修改 ACL) (存取控制清單,功能啟用、解決方案部署和其他功能將無法正確運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI 完全控制 此目錄包含管理中心的 SOAP 服務。 如果更改此目錄,遠端網站建立和服務中公開的其他方法將無法正常運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG 完全控制 此目錄包含用來使用 SharePoint Server 擴充 IIS 網站的檔案。 如果更改此目錄或其內容,Web 應用程式佈建將無法正常運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS 完全控制 此目錄包含安裝程式及執行階段追蹤記錄。 如果變更目錄,診斷記錄將無法正常運作。
%windir%\temp 完全控制 SharePoint Server 相依的平台元件會使用此目錄。 如果修改 ACL,網頁元件轉譯和其他還原串行化作業可能會失敗。
%windir%\System32\logfiles\SharePoint 完全控制 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。
%systemdrive\program files\Microsoft Office Servers\16 folder on Index servers 完全控制 不適用 此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\16 資料夾。

WSS_WPG

WSS_WPG 具有本機資源的 取許可權。 所有應用程式集區及服務帳戶都位於 WSS_WPG 中。 下表顯示 WSS_WPG 登入項目權限:

機碼名稱 權限 繼承 描述
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 讀取 此金鑰是 SharePoint Server 登錄設定的根目錄。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics 讀取、寫入 此金鑰包含 SharePoint Server 診斷記錄的設定。 如果更改此金鑰,記錄功能將會中斷。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings 讀取、寫入 此機碼包含文件轉換服務的設定。 如果更改此索引鍵,檔案轉換功能將會中斷。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings 讀取、寫入 此機碼包含文件轉換服務的設定。 如果更改此索引鍵,檔案轉換功能將會中斷。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure 讀取 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果更改此金鑰,機器上的 SharePoint Server 2016 安裝將無法運作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS 讀取 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg 讀取 此機碼包含可控制登錄遠端訪問許可權的設定。

下表顯示WSS_WPG檔案系統權限:

檔案系統路徑 權限 繼承 描述
%AllUsersProfile%\ Microsoft\SharePoint 讀取 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,進程可能無法啟動,而且系統管理動作可能會失敗。
C:\Inetpub\wwwroot\wss 讀取、執行 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄,會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,除非為所有使用 SharePoint Server 擴充的 IIS 網站提供自定義 IIS 網站路徑,否則 SharePoint 網站將無法使用,且系統管理動作可能會失敗。
%ProgramFiles%\Microsoft Office Servers\16.0 讀取、執行 此目錄是 SharePoint Server 二進位檔和數據的安裝位置。 其可在安裝期間變更。 如果在安裝之後移除、更改或移動此目錄,所有 SharePoint Server 功能都會失敗。 WSS_WPG需要讀 取和 執行 許可權,才能讓 IIS 網站載入 SharePoint Server 二進位檔。
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices 讀取 此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。 如果移除或變更此目錄,相依於這些服務的 SharePoint Server 功能將會失敗。
%ProgramFiles%\Microsoft Office Servers\16.0\Logs 讀取、寫入 此目錄是產生執行階段診斷記錄的位置。 如果移除或更改此目錄,記錄功能將無法正常運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI 讀取 此目錄包含管理中心的 SOAP 服務。 如果更改此目錄,遠端網站建立和服務中公開的其他方法將無法正常運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG 讀取 此目錄包含用來使用 SharePoint Server 擴充 IIS 網站的檔案。 如果更改此目錄或其內容,Web 應用程式佈建將無法正常運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS 修改 此目錄包含安裝程式及執行階段追蹤記錄。 如果變更目錄,診斷記錄將無法正常運作。
%windir%\temp 讀取 SharePoint Server 相依的平台元件會使用此目錄。 如果修改 ACL,網頁元件轉譯和其他還原串行化作業可能會失敗。
%windir%\System32\logfiles\SharePoint 讀取 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。
%systemdrive\program files\Microsoft Office Servers\16 讀取、執行 不適用 此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\16 資料夾。

本機服務

下表顯示本機服務登錄項目權限:

機碼名稱 權限 繼承 描述
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings 讀取 此機碼包含文件轉換服務的設定。 如果更改此索引鍵,檔案轉換功能將會中斷。

下表顯示本機服務檔案系統權限:

檔案系統路徑 權限 繼承 描述
%ProgramFiles%\Microsoft Office Servers\16.0\Bin 讀取、執行 此目錄是 SharePoint Server 二進位檔的安裝位置。 如果移除或更改此目錄,所有 SharePoint Server 功能都會失敗。

本機系統

下表顯示本機系統登錄項目權限:

機碼名稱 權限 繼承 描述
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings 讀取 此機碼包含文件轉換服務的設定。 如果更改此索引鍵,檔案轉換功能將會中斷。 此登錄機碼僅適用於 SharePoint Server。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure 完全控制 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果更改此金鑰,機器上的 SharePoint Server 安裝將無法運作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin 完全控制 此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。 如果變更此機碼,服務佈建及其他功能將會失敗。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS 完全控制 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。

下表顯示本機檔案系統權限:

檔案系統路徑 權限 繼承 描述
%AllUsersProfile%\ Microsoft\SharePoint 完全控制 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,進程可能無法啟動,且系統管理動作可能會失敗。
C:\Inetpub\wwwroot\wss 完全控制 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄,會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,除非為所有使用 SharePoint Server 擴充的 IIS 網站提供自定義 IIS 網站路徑,否則 SharePoint 網站將無法使用,且系統管理動作可能會失敗。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI 完全控制 此目錄包含管理中心的 SOAP 服務。 如果更改此目錄,遠端網站建立和服務中公開的其他方法將無法正常運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG 完全控制 此目錄包含用來布建 Web 應用程式和服務應用程式的組態檔。 如果更改此目錄或其內容,Web 應用程式佈建將無法正常運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS 完全控制 此目錄包含安裝程式及執行階段追蹤記錄。 如果更改此目錄,診斷記錄將無法正常運作。
%windir%\temp 完全控制 SharePoint Server 相依的平台元件會使用此目錄。 如果修改 ACL,網頁元件轉譯和其他還原串行化作業可能會失敗。
%windir%\System32\logfiles\SharePoint 完全控制 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。

網路服務

下表顯示網路服務登錄項目權限:

機碼名稱 權限 繼承 描述
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup 讀取 不適用 不適用

系統管理員

下表顯示管理員登錄項目權限:

機碼名稱 權限 繼承 描述
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure 完全控制 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果更改此金鑰,機器上的 SharePoint Server 安裝將無法運作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin 完全控制 此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。 如果變更此機碼,服務佈建及其他功能將會失敗。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS 完全控制 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。

下表顯示管理員檔案系統權限:

檔案系統路徑 權限 繼承 描述
%AllUsersProfile%\ Microsoft\SharePoint 完全控制 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,進程可能無法啟動,且系統管理動作可能會失敗。
C:\Inetpub\wwwroot\wss 完全控制 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄,會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,除非為使用 SharePoint Server 擴充的所有 IIS 網站提供自定義 IIS 網站路徑,否則 SharePoint 網站將無法使用,且系統管理動作可能會失敗。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI 完全控制 此目錄包含管理中心的 SOAP 服務。 如果更改此目錄,遠端網站建立和服務中公開的其他方法將無法正常運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG 完全控制 此目錄包含用來布建 Web 應用程式和服務應用程式的組態檔。 如果更改此目錄或其內容,Web 應用程式佈建將無法正常運作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS 完全控制 此目錄包含安裝程式及執行階段追蹤記錄。 如果變更目錄,診斷記錄將無法正常運作。
%windir%\temp 完全控制 SharePoint Server 相依的平台元件會使用此目錄。 如果修改 ACL,網頁元件轉譯和其他還原串行化作業可能會失敗。
%windir%\System32\logfiles\SharePoint 完全控制 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG 可以讀取加密的伺服器數組管理認證登錄專案。 WSS_RESTRICTED_WPG 僅用於加密和解密儲存在組態資料庫中的密碼。 下表顯示 WSS_RESTRICTED_WPG 登入項目權限:

機碼名稱 權限 繼承 描述
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin 完全控制 此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。 如果變更此機碼,服務佈建及其他功能將會失敗。

使用者群組

下表顯示使用者群組檔案系統權限:

檔案系統路徑 權限 繼承 描述
%ProgramFiles%\Microsoft Office Servers\16.0 讀取、執行 此目錄是 SharePoint Server 二進位檔和數據的安裝位置。 其可在安裝期間變更。 如果在安裝後移除、更改或移動此目錄,所有 SharePoint Server 功能都會失敗。
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root 讀取、執行 此目錄是後端根 Web 服務架設所在的根目錄。 最初安裝在此目錄的唯一一項服務是搜尋全域管理服務。 如果移除或變更此目錄,使用伺服器特定管理中心設定頁面的某些搜尋管理功能將無法運作。
%ProgramFiles%\Microsoft Office Servers\16.0\Logs 讀取、寫入 此目錄是產生執行階段診斷記錄的位置。 如果移除或更改此目錄,記錄將無法正常運作。
%ProgramFiles%\Microsoft Office Servers\16.0\Bin 讀取、執行 此目錄是 SharePoint Server 二進位檔的安裝位置。 如果移除或更改此目錄,所有 SharePoint Server 功能都會失敗。

所有 SharePoint Server 服務帳戶

下表顯示 SharePoint Server 服務帳戶的檔案系統權限:

檔案系統路徑 權限 繼承 描述
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS 修改 此目錄包含安裝程式及執行階段追蹤記錄。 如果更改此目錄,診斷記錄將無法正常運作。 所有 SharePoint Server 服務帳戶都必須具有此目錄的 入許可權。

另請參閱

概念

安裝及設定 SharePoint Server 2016