SharePoint Server 中的帳戶許可權和安全性設定
適用于:
2013 2019 訂閱版本 
Microsoft 365 中的 SharePoint
本文說明下列領域的 SharePoint 管理及服務帳戶權限:Microsoft SQL Server、檔案系統、檔案共用及登錄項目。
重要事項
請勿使用包含符號 $ 的服務帳戶名稱,但使用群組受控服務帳戶進行SQL Server除外。
深入瞭解 Microsoft 365 中的 SharePoint 系統管理員角色。
關於 SharePoint Server 中的帳戶許可權和安全性設定
在完整安裝期間執行的 SharePoint 產品設定精靈 (Psconfig) 和[伺服器陣列設定精靈] 可設定許多 SharePoint 基準帳戶權限及安全性設定。
服務帳戶建議
下列各節說明 SharePoint 服務帳戶的建議。
服務帳戶建議
Microsoft 建議在伺服器陣列中使用最少數目的服務應用程式集區帳戶。 此建議是減少記憶體使用量並提升效能,同時維持適當的安全性層級。
針對 SharePoint 安裝、維護和升級使用提升許可權的個人標識帳戶。 此帳戶會保留 SharePoint 伺服器陣列系統管理員帳戶中所述的必要角色。 每個 SharePoint 系統管理員都應該使用個別的帳戶,以便清楚識別其在伺服器陣列上執行的活動。
可能的話,請使用安全性群組 SharePoint 伺服器陣列系統管理員群組來統一所有個別的 SharePoint 伺服器陣列系統管理員帳戶,並授與 SharePoint 伺服器陣列管理員帳戶中所述的許可權。 此安全性群組的使用方式可大幅簡化 SharePoint 伺服器陣列系統管理員帳戶的管理。
SharePoint 伺服陣列服務帳戶應該只執行 SharePoint 計時器服務、適用的 SharePoint Insights) (、適用于管理中心的 IIS 應用程式集區、用於拓撲服務) 的 SharePoint Web 服務系統 (,以及用於安全性權杖服務) 的 SecurityTokenServiceApplicationPool (。
單一帳戶應該用於所有服務應用程式,名為 服務應用程式集區帳戶。 使用單一帳戶可讓系統管理員針對所有服務應用程式使用單一 IIS 應用程式集區。 此外,此帳戶應該執行下列 Windows 服務:SharePoint 搜尋主機控制器、SharePoint Server 搜尋和分散式快取 (AppFabric 快取服務) 。
單一帳戶應該用於所有名為 Web 應用程式集區帳戶的 Web應用程式。 使用單一帳戶可讓系統管理員針對所有 Web 應用程式使用單一 IIS 應用程式集區,但 SharePoint 伺服器陣列服務帳戶所執行的管理中心 Web 應用程式除外。
除了對 Windows 權杖服務帳戶的宣告之外,任何服務應用程式集區帳戶都不應該具有任何 SharePoint 伺服器的本機系統管理員存取權,也不應該有任何提升許可權的SQL Server角色,例如系統管理員固定角色。 除非您預先布建 SharePoint 資料庫,並手動指派許可權給每個資料庫,否則 SharePoint 伺服器陣列管理員帳戶將需要 dbcreator 和安全性 管理員 固定角色。
除了執行 Windows 權杖服務宣告的帳戶以外,服務應用程式集區帳戶在本機應具有拒絕登入,以及在本機安全性原則\使用者權限指派中透過遠端桌面服務拒絕登入。 這些值是透過 secpol.msc設定。
如果適用,請使用個別帳戶存 取內容 (搜尋編目程式) 、入口 網站進階讀取器、 入口網站進階使用者和 使用者設定檔服務應用程式同步處理。
對 Windows 權杖服務帳戶的宣告是伺服器陣列上具有高度特殊許可權的帳戶。 在部署此服務之前,請確認是否為必要。 如有必要,請針對此服務使用個別的帳戶。
服務帳戶建議概觀
| 服務帳戶名稱 | 其用途為何? | 應該使用多少? |
|---|---|---|
| SharePoint 伺服器陣列系統管理員帳戶 | SharePoint 系統管理員的個人標識帳戶 | 1-n |
| SharePoint 伺服器陣列服務帳戶 | 計時器服務、深入解析、適用于 CA 的 IIS 應用程式、SP Web 服務系統、安全性權杖服務應用程式集區 | 1 |
| 預設的內容存取帳戶 | 搜尋編目內部和外部來源 | 1 |
| 內容存取帳戶 | 搜尋編目內部和外部來源 | 1-n |
| Web 應用程式集區帳戶 | 沒有管理中心的所有 Web 應用程式 | 1 |
| SharePoint 服務應用程式集區帳戶 | 所有服務應用程式 | 1 |
| 入口網站進階讀取器 | 物件快取 | 1 |
| 入口網站進階使用者 | 物件快取 | 1 |
| User Profile Service Application Synchronization | 用於 Active Directory 匯入 | 1-n |
SharePoint 管理帳戶
下列其中一個 SharePoint 元件會在安裝程序期間自動設定大部分的 SharePoint 管理帳戶權限:
SharePoint 產品設定精靈 (Psconfig)。
伺服器陣列設定精靈。
SharePoint 管理中心網站。
Microsoft PowerShell.
SharePoint 伺服器陣列系統管理員帳戶
此帳戶可用來設定伺服器陣列中的每個伺服器,方法是執行 SharePoint 產品設定精靈 (Psconfig) 、初始伺服器陣列設定精靈和 PowerShell。 針對本文中的範例,SharePoint 伺服器陣列系統管理員帳戶是用於伺服器陣列管理,而且您可以使用管理中心來管理它。 某些組態選項,例如 SharePoint Server 搜尋查詢伺服器的組態,需要本機管理許可權。 SharePoint 伺服器陣列系統管理員帳戶具有下列需求:
必須擁有網域使用者帳戶權限。
它必須是 SharePoint 伺服器陣列中每部伺服器上本機 Administrators 群組的成員。
此帳戶必須擁有 SharePoint 資料庫的存取權。
如果您使用任何影響資料庫的 PowerShell 作業,SharePoint 伺服器陣列管理員帳戶必須是 db_owner 角色的成員。
此帳戶必須在安裝及設定期間指定給 securityadmin 及 dbcreatorSQL Server 安全性角色。
注意事項
因為可能必須為服務建立新的資料庫同時保護其安全,所以此帳戶在版本對版本的完整升級期間,可能需要 securityadmin 及 dbcreatorSQL Server 安全性角色。
執行設定精靈之後,SharePoint 伺服器陣列管理員帳戶的機器層級許可權包括:
- WSS_ADMIN_WPG Windows 安全性群組中的成員資格。
執行設定精靈之後,資料庫權限包括:
SharePoint 伺服器陣列設定資料庫的 db_owner。
SharePoint 管理中心內容資料庫的 db_owner。
注意
如果您用來執行設定精靈的帳戶沒有資料庫上db_owner的適當特殊SQL Server角色成員資格或存取權,則設定精靈將無法正確執行。
SharePoint 伺服器陣列服務帳戶
SharePoint 伺服器陣列服務帳戶也稱為資料庫存取帳戶,可作為管理中心的應用程式集區身分識別,並作為 SharePoint 計時器服務的進程帳戶。 伺服器陣列帳戶有下列需求:
- 必須擁有網域使用者帳戶權限。
額外的許可權會自動授與加入伺服器陣列之 SharePoint 伺服器陣列伺服器上的 SharePoint 伺服器陣列服務帳戶。
執行安裝程式之後,電腦層級權限包括:
SharePoint 計時器服務 WSS_ADMIN_WPG Windows 安全性群組中的成員資格。
管理中心和計時器服務應用程式集區 WSS_RESTRICTED_WPG 的成員資格。
管理中心應用程式集 區WSS_WPG 的成員資格。
執行設定精靈之後,SQL Server 及資料庫權限包括:
Dbcreator 固定伺服器角色。
Securityadmin 固定伺服器角色。
所有 SharePoint 資料庫的 db_owner。
SharePoint 伺服器數 組組態資料庫WSS_CONTENT_APPLICATION_POOLS 角色中的成員資格。
SharePoint_Admin內容資料庫WSS_CONTENT_APPLICATION_POOLS角色的成員資格。
SharePoint 應用程式集區帳戶
本節說明安裝期間預設設定的 SharePoint 應用程式集區帳戶。
預設的內容存取帳戶
除非編目規則另行指定其他 URL 或 URL 模式的驗證方法,否則在特定的服務應用程式內編目內容,會使用預設的內容存取帳戶。 此帳戶需要下列權限組態設定:
預設內容存取帳戶必須是網域使用者帳戶,該帳戶具有您想要使用此帳戶編目之外部或安全內容來源的 讀 取許可權。
對於不屬於伺服器陣列的 SharePoint Server 網站,您必須明確地將此帳戶完整 讀 取許可權授與裝載網站的 Web 應用程式。
此帳戶不得是伺服器陣列管理員群組的成員。
內容存取帳戶
內容存取帳戶會設定為使用搜尋管理編目規則功能存取內容。 此為選擇性的帳戶類型,您可以在建立新編目規則時加以設定。 例如,外部內容 (如檔案共用) 可能需要此獨立的內容存取帳戶。 此帳戶需要下列權限組態設定:
內容存取帳戶必須具有此帳戶設定為存取之外部或安全內容來源的 讀 取許可權。
對於不屬於伺服器陣列的 SharePoint Server 網站,您必須明確地將此帳戶完整 讀 取許可權授與裝載網站的 Web 應用程式。
Web 應用程式集區帳戶
Web 應用程式集區帳戶必須是網域使用者帳戶。 此帳戶不得是伺服器陣列管理員群組的成員。
此帳戶應該用於所有沒有管理中心的 Web 應用程式。
下列電腦層級許可權會自動設定:
- 此帳戶是 WSS_WPG的成員。
下列 SQL Server 及資料庫權限會自動設定:
此帳戶會指派給與伺服器 陣列 設定資料庫相關聯的WSS_CONTENT_APPLICATION_POOLS角色。
此帳戶會指派給與 SharePoint管理員內容資料庫相關聯的WSS_CONTENT_APPLICATION_POOLS角色。
Web 應用程式的應用程式集區帳戶會指派給內容資料庫的 SPDataAccess 角色。
SharePoint 服務應用程式集區帳戶
SharePoint 服務應用程式集區帳戶必須是網域使用者帳戶。 此帳戶不得是伺服器陣列之任何電腦上的系統管理員群組成員。
下列電腦層級許可權會自動設定:
- 此帳戶是 WSS_WPG的成員。
下列SQL Server和資料庫需求/許可權會自動設定:
此帳戶會指派給內容資料庫的 SPDataAccess 角色。
此帳戶會指派給與 Web 應用程式相關聯之搜尋資料庫的 SPDataAccess 角色。
此帳戶必須具有相關聯服務應用程式資料庫的 讀 取和 寫 入存取權。
此帳戶會指派給與伺服器 陣列 設定資料庫相關聯的WSS_CONTENT_APPLICATION_POOLS角色。
此帳戶會指派給與 SharePoint_Admin 內容資料庫相關聯的WSS_CONTENT_APPLICATION_POOLS角色。
SharePoint 資料庫角色
本節說明安裝預設設定的資料庫角色,或可以選擇性設定的資料庫角色。
WSS_CONTENT_APPLICATION_POOLS 資料庫角色
WSS_CONTENT_APPLICATION_POOLS資料庫角色適用于在 SharePoint 伺服器陣列中註冊的每個 Web 應用程式的應用程式集區帳戶。 此角色適用性可讓 Web 應用程式查詢和更新網站地圖,並具有組態資料庫中其他專案的 唯讀 存取權。 安裝程式會將 WSS_CONTENT_APPLICATION_POOLS 角色指派給下列資料庫:
設定資料庫 (SharePoint Config 資料庫)
SharePoint 管理員內容資料庫
WSS_CONTENT_APPLICATION_POOLS角色的成員具有資料庫預存程式子集的執行許可權。 此外,此角色的成員具有 [版本] 資料表的 選 取許可權, (dbo。SharePoint_AdminContent資料庫中) 版本。 至於其他資料庫,帳戶規劃工具會指示自動設定這些資料庫的讀取權限。 在某些情況下,也會自動設定資料庫的限制寫入權限。 設定預存程序的權限,可提供此存取權。
SharePoint_SHELL_ACCESS資料庫角色
設定資料庫上的安全 SharePoint_SHELL_ACCESS 資料庫角色會取代將系統管理帳戶新增為設定資料庫上 db_owner 的需求。 根據預設,安裝帳戶會指派給 SharePoint_SHELL_ACCESS 資料庫角色。 您可以使用 PowerShell 命令將成員資格授與此角色,或移除成員資格。 安裝程式會將 SharePoint_SHELL_ACCESS 角色指派給下列資料庫:
SharePoint_Config 資料庫 (設定資料庫)。
一或多個 SharePoint 內容資料庫。 您可以使用 PowerShell 命令來設定此資料庫,該命令會管理成員資格,以及指派給此角色的物件。
SharePoint_SHELL_ACCESS角色的成員具有資料庫所有預存程式的執行許可權。 此外,此角色的成員具有所有資料庫資料表的 讀 取和 寫 入許可權。
SPREADONLY 資料庫角色
SPREADONLY角色應該用於將資料庫設定為唯讀模式,而不是使用sp_dboption。 當使用量和遙測資料只需要 讀 取許可權時,應該使用此角色作為其名稱建議。
注意事項
SQL Server 2012 年無法使用sp_dboption預存程式。 如需 sp_dboption的詳細資訊,請 參閱 sp_dboption (Transact-SQL) 。
SPREADONLY SQL 角色將具有下列許可權:
對所有 SharePoint 預存程序和功能授與 SELECT。
對所有 SharePoint 資料表授與 SELECT。
在架構為 dbo 的使用者定義型別上授與 EXECUTE。
SPDataAccess 資料庫角色
SPDataAccess角色是資料庫存取的預設角色,應該用於資料庫的所有物件模型層級存取。 在升級或新部署期間,將應用程式集區帳戶新增至此角色。
注意事項
SPDataAccess角色取代了 SharePoint Server 2016 中db_owner角色。
SPDataAccess角色將具有下列許可權:
對所有 SharePoint 預存程序和功能授與 EXECUTE 或 SELECT。
對所有 SharePoint 資料表授與 SELECT。
在架構為 dbo 的使用者定義型別上授與 EXECUTE。
對 AllUserDataJunctions 資料表授與 INSERT。
對網站檢視授與 UPDATE。
對 UserData 檢視授與 UPDATE。
對 AllUserData 資料表授與 UPDATE。
對 NameValuePair 資料表授與 INSERT 和 DELETE。
授與建立資料表權限。
群組權限
本節說明 SharePoint Server 2016 和 2019 安裝程式和組態工具所建立群組的許可權。
WSS_ADMIN_WPG
WSS_ADMIN_WPG 具有本機資源的 讀 取和 寫 入許可權。 管理中心和計時器服務的應用程式集區帳戶位於 WSS_ADMIN_WPG中。 下表顯示 WSS_ADMIN_WPG 登錄專案許可權:
注意事項
SharePoint 2013 使用登錄路徑 「15.0」,而不是 「16.0」 和檔案系統路徑 「15」,而不是 「16」。 後續資料表中列出的某些路徑不適用於 SharePoint Foundation 2013。
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | 完全控制 | 不適用 | 不適用 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | 讀取、寫入 | 不適用 | 不適用 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | 讀取 | 否 | 此機碼是 SharePoint Server 登錄設定樹狀結構的根目錄。 如果更改此金鑰,SharePoint Server 功能將會失敗。 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | 完全控制 | 否 | 此機碼是 SharePoint Server 2016 登錄設定的根目錄。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 讀取、寫入 | 否 | 此機碼包含文件轉換服務的設定。 變更此機碼會中斷文件轉換功能。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 讀取、寫入 | 否 | 此機碼包含文件轉換服務的設定。 變更此機碼會中斷文件轉換功能。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | 完全控制 | 不適用 | 不適用 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | 完全控制 | 不適用 | 不適用 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 完全控制 | 否 | 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果更改此金鑰,機器上的 SharePoint Server 安裝將無法運作。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 完全控制 | 是 | 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示 WSS_ADMIN_WPG 檔案系統權限。
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 完全控制 | 否 | 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,進程可能無法啟動,而且系統管理動作可能會失敗。 |
| C:\Inetpub\wwwroot\wss | 完全控制 | 否 | 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄,會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,則 SharePoint 網站將無法使用,而且系統管理動作可能會失敗,除非為所有使用 SharePoint Server 擴充的 IIS 網站提供自訂 IIS 網站路徑。 |
| %ProgramFiles%\Microsoft Office Servers\16.0 | 完全控制 | 否 | 此目錄是 SharePoint Server 2016 二進位檔案及資料的安裝位置。 您可以在安裝期間變更目錄。 如果在安裝後移除、更改或移除此目錄,所有 SharePoint Server 功能都會失敗。 某些 SharePoint Server 服務必須具備WSS_ADMIN_WPG Windows 安全性群組的成員資格,才能將資料儲存在磁片上。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 讀取、寫入 | 否 | 此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。 如果移除或變更此目錄,相依于這些服務的 SharePoint Server 功能將會失敗。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data | 完全控制 | 否 | 此目錄是本機資料 (包括搜尋索引) 儲存所在的根目錄位置。 如果移除或更改此目錄,搜尋功能將會失敗。 WSS_ADMIN_WPG需要 Windows 安全性群組許可權,才能啟用搜尋功能,以儲存並保護此資料夾中的資料。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 完全控制 | 是 | 此目錄是產生執行階段診斷記錄的位置。 如果移除或更改此目錄,記錄功能將無法正常運作。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | 完全控制 | 是 | 與上層資料夾相同。 |
| %windir%\System32\drivers\etc\HOSTS | 讀取、寫入 | 不適用 | 不適用 |
| %windir%\Tasks | 完全控制 | 不適用 | 不適用 |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | 修改 | 是 | 此目錄是核心 SharePoint Server 檔案的安裝目錄。 如果已修改 ACL) (存取控制清單,功能啟用、解決方案部署和其他功能將無法正確運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 完全控制 | 是 | 此目錄包含管理中心的 SOAP 服務。 如果更改此目錄,遠端網站建立和服務中公開的其他方法將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 完全控制 | 是 | 此目錄包含用來使用 SharePoint Server 擴充 IIS 網站的檔案。 如果更改此目錄或其內容,Web 應用程式布建將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 完全控制 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果變更目錄,診斷記錄將無法正常運作。 |
| %windir%\temp | 完全控制 | 是 | SharePoint Server 相依的平臺元件會使用此目錄。 如果修改 ACL,網頁元件轉譯和其他還原序列化作業可能會失敗。 |
| %windir%\System32\logfiles\SharePoint | 完全控制 | 否 | 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
| %systemdrive\program files\Microsoft Office Servers\16 folder on Index servers | 完全控制 | 不適用 | 此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\16 資料夾。 |
WSS_WPG
WSS_WPG 具有本機資源的 讀 取許可權。 所有應用程式集區及服務帳戶都位於 WSS_WPG 中。 下表顯示 WSS_WPG 登錄專案許可權:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | 讀取 | 否 | 此金鑰是 SharePoint Server 登錄設定的根目錄。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | 讀取、寫入 | 否 | 此金鑰包含 SharePoint Server 診斷記錄的設定。 如果更改此金鑰,記錄功能將會中斷。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 讀取、寫入 | 否 | 此機碼包含文件轉換服務的設定。 如果更改此索引鍵,檔轉換功能將會中斷。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 讀取、寫入 | 否 | 此機碼包含文件轉換服務的設定。 如果更改此索引鍵,檔轉換功能將會中斷。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 讀取 | 否 | 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果更改此金鑰,機器上的 SharePoint Server 2016 安裝將無法運作。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 讀取 | 是 | 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg | 讀取 | 否 | 此機碼包含可控制登錄遠端存取許可權的設定。 |
下表顯示WSS_WPG檔案系統許可權:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 讀取 | 否 | 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,進程可能無法啟動,而且系統管理動作可能會失敗。 |
| C:\Inetpub\wwwroot\wss | 讀取、執行 | 否 | 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄,會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,除非為所有使用 SharePoint Server 擴充的 IIS 網站提供自訂 IIS 網站路徑,否則 SharePoint 網站將無法使用,且系統管理動作可能會失敗。 |
| %ProgramFiles%\Microsoft Office Servers\16.0 | 讀取、執行 | 否 | 此目錄是 SharePoint Server 二進位檔和資料的安裝位置。 其可在安裝期間變更。 如果在安裝之後移除、更改或移動此目錄,所有 SharePoint Server 功能都會失敗。 WSS_WPG需要讀 取和 執行 許可權,才能讓 IIS 網站載入 SharePoint Server 二進位檔。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 讀取 | 否 | 此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。 如果移除或變更此目錄,相依于這些服務的 SharePoint Server 功能將會失敗。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 讀取、寫入 | 是 | 此目錄是產生執行階段診斷記錄的位置。 如果移除或更改此目錄,記錄功能將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 讀取 | 是 | 此目錄包含管理中心的 SOAP 服務。 如果更改此目錄,遠端網站建立和服務中公開的其他方法將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 讀取 | 是 | 此目錄包含用來使用 SharePoint Server 擴充 IIS 網站的檔案。 如果更改此目錄或其內容,Web 應用程式布建將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 修改 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果變更目錄,診斷記錄將無法正常運作。 |
| %windir%\temp | 讀取 | 是 | SharePoint Server 相依的平臺元件會使用此目錄。 如果修改 ACL,網頁元件轉譯和其他還原序列化作業可能會失敗。 |
| %windir%\System32\logfiles\SharePoint | 讀取 | 否 | 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
| %systemdrive\program files\Microsoft Office Servers\16 | 讀取、執行 | 不適用 | 此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\16 資料夾。 |
本機服務
下表顯示本機服務登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 讀取 | 否 | 此機碼包含文件轉換服務的設定。 如果更改此索引鍵,檔轉換功能將會中斷。 |
下表顯示本機服務檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 讀取、執行 | 否 | 此目錄是 SharePoint Server 二進位檔的安裝位置。 如果移除或更改此目錄,所有 SharePoint Server 功能都會失敗。 |
本機系統
下表顯示本機系統登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 讀取 | 否 | 此機碼包含文件轉換服務的設定。 如果更改此索引鍵,檔轉換功能將會中斷。 此登錄機碼僅適用於 SharePoint Server。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 完全控制 | 否 | 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果更改此金鑰,機器上的 SharePoint Server 安裝將無法運作。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 完全控制 | 否 | 此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。 如果變更此機碼,服務佈建及其他功能將會失敗。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 完全控制 | 是 | 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示本機檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 完全控制 | 否 | 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,進程可能無法啟動,且系統管理動作可能會失敗。 |
| C:\Inetpub\wwwroot\wss | 完全控制 | 否 | 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄,會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,除非為所有使用 SharePoint Server 擴充的 IIS 網站提供自訂 IIS 網站路徑,否則 SharePoint 網站將無法使用,且系統管理動作可能會失敗。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 完全控制 | 是 | 此目錄包含管理中心的 SOAP 服務。 如果更改此目錄,遠端網站建立和服務中公開的其他方法將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 完全控制 | 是 | 此目錄包含用來布建 Web 應用程式和服務應用程式的組態檔。 如果更改此目錄或其內容,Web 應用程式布建將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 完全控制 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果更改此目錄,診斷記錄將無法正常運作。 |
| %windir%\temp | 完全控制 | 是 | SharePoint Server 相依的平臺元件會使用此目錄。 如果修改 ACL,網頁元件轉譯和其他還原序列化作業可能會失敗。 |
| %windir%\System32\logfiles\SharePoint | 完全控制 | 否 | 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
網路服務
下表顯示網路服務登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | 讀取 | 不適用 | 不適用 |
系統管理員
下表顯示管理員登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 完全控制 | 否 | 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果更改此金鑰,機器上的 SharePoint Server 安裝將無法運作。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 完全控制 | 否 | 此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。 如果變更此機碼,服務佈建及其他功能將會失敗。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 完全控制 | 是 | 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示管理員檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 完全控制 | 否 | 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,進程可能無法啟動,且系統管理動作可能會失敗。 |
| C:\Inetpub\wwwroot\wss | 完全控制 | 否 | 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄,會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,除非為使用 SharePoint Server 擴充的所有 IIS 網站提供自訂 IIS 網站路徑,否則 SharePoint 網站將無法使用,且系統管理動作可能會失敗。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 完全控制 | 是 | 此目錄包含管理中心的 SOAP 服務。 如果更改此目錄,遠端網站建立和服務中公開的其他方法將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 完全控制 | 是 | 此目錄包含用來布建 Web 應用程式和服務應用程式的組態檔。 如果更改此目錄或其內容,Web 應用程式布建將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 完全控制 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果變更目錄,診斷記錄將無法正常運作。 |
| %windir%\temp | 完全控制 | 是 | SharePoint Server 相依的平臺元件會使用此目錄。 如果修改 ACL,網頁元件轉譯和其他還原序列化作業可能會失敗。 |
| %windir%\System32\logfiles\SharePoint | 完全控制 | 否 | 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG 可以讀取加密的伺服器陣列管理認證登錄專案。 WSS_RESTRICTED_WPG 僅用於加密和解密儲存在組態資料庫中的密碼。 下表顯示 WSS_RESTRICTED_WPG 登錄專案許可權:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 完全控制 | 否 | 此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。 如果變更此機碼,服務佈建及其他功能將會失敗。 |
使用者群組
下表顯示使用者群組檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0 | 讀取、執行 | 否 | 此目錄是 SharePoint Server 二進位檔和資料的安裝位置。 其可在安裝期間變更。 如果在安裝後移除、更改或移動此目錄,所有 SharePoint Server 功能都會失敗。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | 讀取、執行 | 否 | 此目錄是後端根 Web 服務架設所在的根目錄。 最初安裝在此目錄的唯一一項服務是搜尋全域管理服務。 如果移除或更改此目錄,使用伺服器特定管理中心設定頁面的某些搜尋管理功能將無法運作。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 讀取、寫入 | 是 | 此目錄是產生執行階段診斷記錄的位置。 如果移除或更改此目錄,記錄將無法正常運作。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 讀取、執行 | 否 | 此目錄是 SharePoint Server 二進位檔的安裝位置。 如果移除或更改此目錄,所有 SharePoint Server 功能都會失敗。 |
所有 SharePoint Server 服務帳戶
下表顯示 SharePoint Server 服務帳戶的檔案系統許可權:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 修改 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果更改此目錄,診斷記錄將無法正常運作。 所有 SharePoint Server 服務帳戶都必須具有此目錄的 寫 入許可權。 |