Kontoberechtigungen und Sicherheitseinstellungen in SharePoint Server 2016

 

**Gilt für:**SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-09-08

Zusammenfassung: Hier erfahren Sie mehr über die Berechtigungs- und Sicherheitseinstellungen, die in einer SharePoint Server 2016-Bereitstellung verwendet werden.

In diesem Artikel werden SharePoint-Administrator- und Dienstkontoberechtigungen für die folgenden Bereiche erläutert: Microsoft SQL Server, das Dateisystem, Dateifreigaben und Registrierungseinträge.

Wichtig

Verwenden Sie keine Dienstkontonamen, die das Symbol $ enthalten.

Inhalt dieses Artikels:

  • Informationen zu Kontoberechtigungen und Sicherheitseinstellungen in SharePoint Server 2016

  • SharePoint-Administratorkonten

  • SharePoint-Dienstanwendungskonten

  • SharePoint-Datenbankrollen

  • Gruppenberechtigungen

Informationen zu Kontoberechtigungen und Sicherheitseinstellungen in SharePoint Server 2016

Zahlreiche SharePoint-Basiskontoberechtigungen und -sicherheitseinstellungen werden durch den Konfigurations-Assistent für SharePoint-Produkte-Konfigurations-Assistenten (Psconfig) und den Farmkonfigurations-Assistenten konfiguriert, die beide während einer vollständigen Installation ausgeführt werden.

SharePoint-Administratorkonten

Während des Setupvorgangs werden die meisten SharePoint-Administratorkontoberechtigungen von einer folgenden Komponenten automatisch konfiguriert:

  • Der Konfigurations-Assistent für SharePoint-Produkte (Psconfig).

  • Der Farmkonfigurations-Assistent

  • Die SharePoint die Website für die SharePoint-Zentraladministration-Website.

  • Microsoft PowerShell.

Setup-Benutzeradministratorkonto

Dieses Konto wird zum Einrichten der einzelnen Server in der Farm mithilfe des Konfigurations-Assistent für SharePoint-Produkte, des ursprünglichen Farmkonfigurations-Assistenten und von PowerShell verwendet. Für die Beispiele in diesem Artikel wird das Setup-Benutzeradministratorkonto für die Farmverwaltung verwendet. Es kann mithilfe der Zentraladministration verwaltet werden. Für einige Konfigurationsoptionen sind lokale Administratorberechtigungen erforderlich, beispielsweise für die Konfiguration des SharePoint Server 2016-Suchabfrageservers. Für das Setup-Benutzeradministratorkonto sind die folgenden Berechtigungen erforderlich:

  • Es muss über Domänenbenutzer-Kontoberechtigungen verfügen.

  • Es muss Mitglied der lokalen Administratorgruppe auf jedem Server in der SharePoint-Farm sein.

  • Dieses Konto muss auf die SharePoint-Datenbanken zugreifen können.

  • Wenn Sie PowerShell-Vorgänge verwenden, die eine Datenbank betreffen, muss das Setup-Benutzeradministratorkonto Mitglied der Rolle db_owner sein.

  • Dieses Konto muss während der Einrichtung und Konfiguration den SQL Server-Sicherheitsrollen securityadmin und dbcreatorSQL Server zugewiesen sein.

Hinweis

Die SQL Server-Sicherheitsrollen securityadmin und dbcreator sind u. U. während eines vollständigen Updates von Version zu Version für dieses Konto erforderlich, da möglicherweise neue Datenbanken für Dienste erstellt und gesichert werden müssen.

Nach dem Ausführen der Konfigurations-Assistenten sind für das Setup-Benutzeradministratorkonto u. a. die folgenden Berechtigungen auf Computerebene konfiguriert:

  • Mitgliedschaft in der Windows-Sicherheitsgruppe WSS_ADMIN_WPG

  • Mitgliedschaft in der Rolle IIS_WPG

Nach dem Ausführen der Konfigurations-Assistenten sind u. a. die folgenden Datenbankberechtigungen konfiguriert:

  • db_owner auf der Konfigurationsdatenbank der SharePoint-Serverfarm

  • db_owner auf der Inhaltsdatenbank der SharePoint -Zentraladministration

Warnung

Wenn das Konto, das Sie zum Ausführen der Konfigurations-Assistenten verwenden, nicht über die entsprechende besondere SQL Server-Rollenmitgliedschaft oder über Zugriff auf die Datenbanken als db_owner verfügt, werden die Konfigurations-Assistenten nicht ordnungsgemäß ausgeführt.

SharePoint-Farmdienstkonto

Das Serverfarmkonto, das auch als Datenbankzugriffskonto bezeichnet wird, wird als Anwendungspoolidentität für die Zentraladministration und als Prozesskonto für den SharePoint Foundation 2013-Timerdienst verwendet. Für das Serverfarmkonto sind die folgenden Berechtigungen erforderlich:

  • Es muss über Domänenbenutzer-Kontoberechtigungen verfügen.

Dem Serverfarmkonto werden auf Webservern und Anwendungsservern, die einer Serverfarm hinzugefügt werden, automatisch zusätzliche Berechtigungen erteilt.

Nach dem Ausführen des Setup sind u. a. die folgenden Berechtigungen auf Computerebene konfiguriert:

  • Mitgliedschaft in der Windows-Sicherheitsgruppe WSS_ADMIN_WPG für den SharePoint Foundation 2013-Timerdienst

  • Mitgliedschaft in WSS_RESTRICTED_WPG für die Anwendungspools der Zentraladministration und des Timerdiensts

  • Mitgliedschaft in WSS_WPG für den Anwendungspool der Zentraladministration

Nach dem Ausführen der Konfigurations-Assistenten sind u. a. die folgenden SQL Server- und Datenbankberechtigungen konfiguriert:

  • Feste Serverrolle Dbcreator

  • Feste Serverrolle Securityadmin

  • db_owner für alle SharePoint-Datenbanken

  • Mitgliedschaft in der Rolle WSS_CONTENT_APPLICATION_POOLS für die Konfigurationsdatenbank der SharePoint-Serverfarm

  • Mitgliedschaft in der Rolle WSS_CONTENT_APPLICATION_POOLS für die SharePoint_Admin -Inhaltsdatenbank

SharePoint-Dienstanwendungskonten

In diesem Abschnitt werden die Dienstanwendungskonten beschrieben, die standardmäßig während der Installation eingerichtet werden.

Anwendungspoolkonto

Das Anwendungspoolkonto wird als Anwendungspoolidentität verwendet. Das Anwendungspoolkonto erfordert die folgenden Berechtigungskonfigurationseinstellungen:

Die folgende Berechtigung auf Computerebene wird automatisch konfiguriert: Das Anwendungspoolkonto ist Mitglied von WSS_WPG.

Die folgenden SQL Server- und Datenbankberechtigungen für dieses Konto werden automatisch konfiguriert:

  • Die Anwendungspoolkonten für Webanwendungen werden der Rolle SP_DATA_ACCESS für die Inhaltsdatenbanken zugewiesen.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der der Farmkonfigurationsdatenbank zugeordnet ist.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der SharePoint_Admin -Inhaltsdatenbank zugeordnet ist.

Standardkonto für den Inhaltszugriff

Wichtig

Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.

Das Standardkonto für den Inhaltszugriff wird innerhalb einer bestimmten Dienstanwendung zum Durchforsten von Inhalt verwendet, sofern keine andere Authentifizierungsmethode durch eine Durchforstungsregel für eine URL oder für ein URL-Muster angegeben ist. Dieses Konto erfordert die folgenden Berechtigungskonfigurationseinstellungen:

  • Das Standardkonto für den Inhaltszugriff muss ein Domänenbenutzerkonto sein, das über Lesezugriff auf externe oder sichere Inhaltsquellen verfügt, die Sie unter Verwendung dieses Kontos durchforsten möchten.

  • Für SharePoint Server-Websites, die nicht Teil der Serverfarm sind, müssen Sie diesem Konto explizit vollständige Leseberechtigungen für die Webanwendungen erteilen, von denen die Websites gehostet werden.

  • Dieses Konto darf kein Mitglied der Gruppe Farmadministratoren sein.

Inhaltszugriffskonten

Wichtig

Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.

Inhaltszugriffskonten sind Konten, die für den Zugriff auf Inhalte mithilfe des Features der Durchforstungsregeln für die Suchverwaltung konfiguriert werden. Dieser Kontotyp ist optional und kann beim Erstellen einer neuen Durchforstungsregel konfiguriert werden. Beispielsweise könnte für externe Inhalte (z. B. eine Dateifreigabe) ein solches separates Inhaltszugriffskonto erforderlich sein. Für dieses Konto sind die folgenden Berechtigungskonfigurationseinstellungen erforderlich:

  • Für das Inhaltszugriffskonto ist Lesezugriff auf externe oder sichere Inhaltsquellen erforderlich, auf die gemäß Konfiguration mithilfe dieses Kontos zugegriffen werden kann.

  • Für SharePoint Server-Websites, die nicht Teil der Serverfarm sind, müssen Sie diesem Konto explizit vollständige Leseberechtigungen für die Webanwendungen erteilen, von denen die Websites gehostet werden.

Meine Websites-Anwendungspoolkonto

Wichtig

Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.

Das Anwendungspoolkonto für Meine Websites muss ein Domänenbenutzerkonto sein. Dieses Konto darf kein Mitglied der Gruppe Farmadministratoren sein.

Die folgende Berechtigung auf Computerebene wird automatisch konfiguriert: Dieses Konto ist Mitglied in WSS_WPG.

Die folgenden SQL Server- und Datenbankberechtigungen werden automatisch konfiguriert:

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der Farmkonfigurationsdatenbank zugeordnet ist.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der SharePoint_Admin -Inhaltsdatenbank zugeordnet ist.

  • Die Anwendungspoolkonten für Webanwendungen werden der Rolle SP_DATA_ACCESS für die Inhaltsdatenbanken zugewiesen.

Andere Anwendungspoolkonten

Das andere Anwendungspoolkonto muss ein Domänenbenutzerkonto sein. Dieses Konto darf auf keinem Computer in der Serverfarm Mitglied der Administratorengruppe sein.

Die folgende Berechtigung auf Computerebene wird automatisch konfiguriert: Dieses Konto ist Mitglied in WSS_WPG.

Die folgenden SQL Server- und Datenbankberechtigungen werden automatisch konfiguriert:

  • Dieses Konto wird der Rolle SP_DATA_ACCESS für die Inhaltsdatenbanken zugewiesen.

  • Dieses Konto wird der Rolle SP_DATA_ACCESS für die Suchdatenbank zugewiesen, die der Webanwendung zugeordnet ist.

  • Dieses Konto muss über Lese- und Schreibzugriff auf die zugeordnete Dienstanwendungsdatenbank verfügen.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der Farmkonfigurationsdatenbank zugeordnet ist.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der SharePoint_Admin -Inhaltsdatenbank zugeordnet ist.

SharePoint-Datenbankrollen

In diesem Abschnitt werden die Datenbankrollen beschrieben, die entweder standardmäßig während der Installation eingerichtet werden oder die optional konfiguriert werden können.

Datenbankrolle "WSS_CONTENT_APPLICATION_POOLS"

Die Datenbankrolle WSS_CONTENT_APPLICATION_POOLS gilt für das Anwendungspoolkonto für jede in einer SharePoint-Farm registrierte Webanwendung. Dadurch können Webanwendungen die Websiteübersicht abfragen und aktualisieren, und sie besitzen schreibgeschützten Zugriff auf andere Elemente in der Konfigurationsdatenbank. Vom Setupprogramm wird die Rolle WSS_CONTENT_APPLICATION_POOLS den folgenden Datenbanken zugewiesen:

  • Der SharePoint_Config-Datenbank (Konfigurationsdatenbank).

  • Der SharePoint_Admin-Inhaltsdatenbank

Mitglieder der Rolle WSS_CONTENT_APPLICATION_POOLS verfügen über die Berechtigung zum Ausführen für eine Teilmenge der gespeicherten Prozeduren für die Datenbank. Zudem verfügen Mitglieder dieser Rolle über die Berechtigung zum Auswählen für die Versionstabelle (dbo.Versions) in der SharePoint_Admin-Inhaltsdatenbank. Für andere Datenbanken wird vom Kontoplanungstool angegeben, dass der Lesezugriff auf diese Datenbanken automatisch konfiguriert wird. In manchen Fällen wird auch beschränkter Zugriff zum Schreiben in eine Datenbank automatisch konfiguriert. Damit dieser Zugriff bereitgestellt werden kann, werden Berechtigungen für gespeicherte Prozeduren konfiguriert.

WSS_SHELL_ACCESS-Datenbankrolle

Bei Vorhandensein der sicheren Datenbankrolle WSS_SHELL_ACCESS in der Konfigurationsdatenbank muss kein Administratorkonto als db_owner zur Konfigurationsdatenbank hinzugefügt werden. Standardmäßig wird das Setupkonto der Datenbankrolle WSS_SHELL_ACCESS zugewiesen. Mithilfe eines PowerShell-Befehls können Sie die Mitgliedschaft in dieser Rolle gewähren oder aufheben. Vom Setupprogramm wird die WSS_SHELL_ACCESS -Rolle den folgenden Datenbanken zugewiesen:

  • Der SharePoint_Config -Datenbank (Konfigurationsdatenbank).

  • Mindestens einer SharePoint-Inhaltsdatenbank. Dies kann mithilfe des PowerShell-Befehls zum Verwalten der Mitgliedschaft und des Objekts, das dieser Rolle zugewiesen ist, konfiguriert werden.

Mitglieder der Rolle WSS_SHELL_ACCESS verfügen über die Ausführungsberechtigung für alle gespeicherten Prozeduren für die Datenbank. Zudem verfügen die Mitglieder dieser Rolle über die Lese- und Schreibberechtigung für alle Datenbanktabellen.

Datenbankrolle "SP_READ_ONLY"

Die Rolle SP_READ_ONLY sollte anstelle von "sp_dboption" verwendet werden, um den schreibgeschützten Modus für die Datenbank zu aktivieren. Wie der Name der Rolle verrät sollte sie nur verwendet werden, wenn für Daten wie etwa Verwendungs- und Telemetriedaten ausschließlich schreibgeschützter Zugriff erforderlich ist.

Hinweis

Die gespeicherte Prozedur „sp_dboption“ ist in SQL Server 2012 nicht verfügbar. Weitere Informationen zu „sp_dboption“ finden Sie unter sp_dboption (Transact-SQL).

Die Rolle "SP_READ_ONLY SQL" verfügt über die folgenden Berechtigungen:

  • AUSWÄHLEN gewähren für alle gespeicherten SharePoint-Prozeduren und -Funktionen

  • AUSWÄHLEN gewähren für alle SharePoint-Tabellen

  • AUSFÜHREN gewähren für benutzerdefinierte Typen mit Schema "dbo"

Datenbankrolle "SP_DATA_ACCESS"

Die Rolle SP_DATA_ACCESS ist die Standardrolle für den Datenbankzugriff und sollte für alle Datenbankzugriffe auf der Objektmodellebene verwendet werden. Fügen Sie dieser Rolle während Upgrades oder neuen Bereitstellungen das Anwendungspoolkonto hinzu.

Hinweis

Die Rolle "SP_DATA_ACCESS" ersetzt die Rolle "db_owner" in SharePoint Server 2016.

Die Rolle "SP_DATA_ACCESS" verfügt über die folgenden Berechtigungen:

  • AUSFÜHREN oder AUSWÄHLEN gewähren für alle gespeicherten SharePoint-Prozeduren und -Funktionen

  • AUSWÄHLEN gewähren für alle SharePoint-Tabellen

  • AUSFÜHREN gewähren für benutzerdefinierte Typen mit Schema "dbo"

  • EINFÜGEN gewähren für Tabelle "AllUserDataJunctions"

  • AKTUALISIEREN gewähren für Website-Ansicht

  • AKTUALISIEREN gewähren für Ansicht "UserData "

  • AKTUALISIEREN gewähren für Tabelle "AllUserData"

  • EINFÜGEN und LÖSCHEN gewähren für "NameValuePair"-Tabellen

  • Berechtigung zum Erstellen von Tabellen gewähren

Gruppenberechtigungen

In diesem Abschnitt werden die Berechtigungen der Gruppen beschrieben, die von den SharePoint Server 2016-Setup- und Konfigurationstools erstellt werden.

WSS_ADMIN_WPG

WSS_ADMIN_WPG verfügt über Lese- und Schreibzugriff auf lokale Ressourcen. Die Anwendungspoolkonten für die Zentraladministration und die Timerdienste befinden sich in WSS_ADMIN_WPG. In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für WSS_ADMIN_WPG aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS

Vollzugriff

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration\{90150000-110D-0000-1000-0000000FF1CE}

Lesen, Schreiben

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server

Lesen

Nein

Dieser Schlüssel ist der Stamm in der Struktur der SharePoint Server 2016-Registrierungseinstellungen. Wenn dieser Schlüssel geändert wird, tritt für die SharePoint Server 2016-Funktionalität ein Fehler auf.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0

Vollzugriff

Nein

Dieser Schlüssel ist der Stamm der SharePoint Server 2016-Registrierungseinstellungen.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings

Lesen, Schreiben

Nein

Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings

Lesen, Schreiben

Nein

Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search

Vollzugriff

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search

Vollzugriff

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure

Vollzugriff

Nein

Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint Server 2016-Installation auf dem Computer nicht mehr funktionsfähig.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS

Vollzugriff

Ja

Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten.

In der folgenden Tabelle sind die Dateisystemberechtigungen für WSS_ADMIN_WPG aufgeführt.

Dateisystempfad Berechtigungen Erben Beschreibung

%AllUsersProfile%\ Microsoft\SharePoint

Vollzugriff

Nein

Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird.

C:\Inetpub\wwwroot\wss

Vollzugriff

Nein

Dieses Verzeichnis (oder das entsprechende Verzeichnis im Stammverzeichnis Inetpub auf dem Server) wird als Standardspeicherort für IIS-Websites verwendet. SharePoint-Websites sind nicht verfügbar, und für Verwaltungsvorgänge tritt möglicherweise ein Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird, außer benutzerdefinierte IIS-Websitepfade werden für alle mit SharePoint Server 2016 erweiterte IIS-Websites verwendet.

%ProgramFiles%\Microsoft Office Servers\16.0

Vollzugriff

Nein

Dieses Verzeichnis ist der Installationspfad für SharePoint Server 2016-Binärdateien und -Daten. Das Verzeichnis kann während der Installation geändert werden. Wenn dieses Verzeichnis nach der Installation entfernt, geändert oder verschoben wird, kann die gesamte SharePoint Server 2016-Funktionalität nicht mehr verwendet werden. Für einige SharePoint Server 2016-Dienste ist zum Speichern von Daten auf dem Datenträger die Mitgliedschaft in der Windows-Sicherheitsgruppe WSS_ADMIN_WPG erforderlich.

%ProgramFiles%\Microsoft Office Servers\16.0\WebServices

Lesen, Schreiben

Nein

Dieses Verzeichnis ist das Stammverzeichnis, in dem Back-End-Webdienste gehostet werden, z. B. Excel und Suche. Bei den von diesen Diensten abhängigen SharePoint Server 2016-Features treten Fehler auf, wenn dieses Verzeichnis entfernt oder geändert wird.

%ProgramFiles%\Microsoft Office Servers\16.0\Data

Vollzugriff

Nein

Dieses Verzeichnis ist das Stammverzeichnis, in dem lokale Daten einschließlich Suchindizes gespeichert werden. Die Suchfunktionalität schlägt fehl, wenn dieses Verzeichnis entfernt oder geändert wird. Berechtigungen der Windows-Sicherheitsgruppe WSS_ADMIN_WPG sind erforderlich, um das Speichern und Sichern von Suchdaten in diesem Ordner zu ermöglichen.

%ProgramFiles%\Microsoft Office Servers\16.0\Logs

Vollzugriff

Ja

In diesem Verzeichnis wird zur Laufzeit die Diagnoseprotokollierung generiert. Die Protokollierungsfunktionalität kann nicht ordnungsgemäß ausgeführt werden, wenn dieses Verzeichnis entfernt oder geändert wird.

%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server

Vollzugriff

Ja

Identisch mit dem übergeordneten Ordner.

%windir%\System32\drivers\etc\HOSTS

Lesen, Schreiben

%windir%\Tasks

Vollzugriff

%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16

Ändern

Ja

Dieses Verzeichnis ist das Installationsverzeichnis für SharePoint Server 2016-Kerndateien. Wenn die Zugriffssteuerungsliste (Access Control List, ACL) geändert wird, sind die Featureaktivierung, Lösungsbereitstellung und andere Features nicht ordnungsgemäß funktionsfähig.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI

Vollzugriff

Ja

Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG

Vollzugriff

Ja

Dieses Verzeichnis enthält Dateien zum Erweitern von IIS-Websites mit SharePoint Server 2016. Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS

Vollzugriff

Nein

Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig.

%windir%\temp

Vollzugriff

Ja

Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint Server 2016 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten.

%windir%\System32\logfiles\SharePoint

Vollzugriff

Nein

Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, ist die Verwendungsprotokollierung nicht mehr ordnungsgemäß funktionsfähig.

Dieser Registrierungsschlüssel gilt nur für SharePoint Server.

Ordner %systemdrive\Programme\Microsoft Office Servers\16 auf Indexservern

Vollzugriff

Die Berechtigung wird für den Ordner %systemdrive%\Programme\Microsoft Office Servers\16 auf Indexservern erteilt.

WSS_WPG

WSS_WPG besitzt Lesezugriff auf lokale Ressourcen. Alle Anwendungspool- und Dienstkonten befinden sich in WSS_WPG. In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für WSS_WPG aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0

Lesen

Nein

Dieser Schlüssel ist der Stamm der SharePoint Server 2016-Registrierungseinstellungen.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics

Lesen, Schreiben

Nein

Dieser Schlüssel enthält Einstellungen für die SharePoint Server 2016-Diagnoseprotokollierung. Durch Ändern dieses Schlüssels wird die Protokollierungsfunktionalität beschädigt.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings

Lesen, Schreiben

Nein

Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings

Lesen, Schreiben

Nein

Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure

Lesen

Nein

Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint Server 2016-Installation auf dem Computer nicht mehr funktionsfähig.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS

Lesen

Ja

Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten.

In der folgenden Tabelle sind die Dateisystemberechtigungen für WSS_WPG aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung

%AllUsersProfile%\ Microsoft\SharePoint

Lesen

Nein

Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird.

C:\Inetpub\wwwroot\wss

Lesen, Ausführen

Nein

Dieses Verzeichnis (oder das entsprechende Verzeichnis im Stammverzeichnis Inetpub auf dem Server) wird als Standardspeicherort für IIS-Websites verwendet. SharePoint-Websites sind nicht verfügbar, und für Verwaltungsvorgänge tritt möglicherweise ein Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird, außer benutzerdefinierte IIS-Websitepfade werden für alle mit SharePoint Server 2016 erweiterte IIS-Websites verwendet.

%ProgramFiles%\Microsoft Office Servers\16.0

Lesen, Ausführen

Nein

Dieses Verzeichnis ist der Installationspfad für die SharePoint Server 2016-Binärdateien und -Daten. Es kann während der Installation geändert werden. Wenn dieses Verzeichnis nach der Installation entfernt, geändert oder verschoben wird, ist die gesamte SharePoint Server 2016-Funktionalität nicht mehr funktionsfähig. Zum Laden von SharePoint Server 2016-Binärdateien auf IIS-Websites sind WSS_WPG-Berechtigungen zum Lesen und Ausführen erforderlich.

%ProgramFiles%\Microsoft Office Servers\16.0\WebServices

Lesen

Nein

Dieses Verzeichnis ist das Stammverzeichnis, in dem Back-End-Webdienste gehostet werden, z. B. Excel und Suche. Bei den von diesen Diensten abhängigen SharePoint Server 2016-Features treten Fehler auf, wenn dieses Verzeichnis entfernt oder geändert wird.

%ProgramFiles%\Microsoft Office Servers\16.0\Logs

Lesen, Schreiben

Ja

In diesem Verzeichnis wird zur Laufzeit die Diagnoseprotokollierung generiert. Die Protokollierungsfunktionalität kann nicht ordnungsgemäß ausgeführt werden, wenn dieses Verzeichnis entfernt oder geändert wird.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI

Lesen

Ja

Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG

Lesen

Ja

Dieses Verzeichnis enthält Dateien zum Erweitern von IIS-Websites mit SharePoint Server 2016. Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS

Ändern

Nein

Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig.

%windir%\temp

Lesen

Ja

Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint Server 2016 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten.

%windir%\System32\logfiles\SharePoint

Lesen

Nein

Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, ist die Verwendungsprotokollierung nicht mehr ordnungsgemäß funktionsfähig.

Der Registrierungsschlüssel gilt nur für SharePoint Server.

%systemdrive\Programme\Microsoft Office Servers\16

Lesen, Ausführen

Die Berechtigung wird für den Ordner %systemdrive%\Programme\Microsoft Office Servers\16 auf Indexservern erteilt.

Lokaler Dienst

In der folgenden Tabelle ist die Registrierungseintragsberechtigung für den lokalen Dienst aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings

Lesen

Nein

Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.

In der folgenden Tabelle ist die Dateisystemberechtigung für den lokalen Dienst aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung

%ProgramFiles%\Microsoft Office Servers\16.0\Bin

Lesen, Ausführen

Nein

Dieses Verzeichnis ist der Installationsort der SharePoint Server 2016-Binärdateien. Wenn dieses Verzeichnis nach der Installation entfernt oder geändert wird, ist die gesamte SharePoint Server 2016-Funktionalität nicht mehr funktionsfähig.

Lokales System

In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für das lokale System aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings

Lesen

Nein

Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.

Dieser Registrierungsschlüssel gilt nur für SharePoint Server.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure

Vollzugriff

Nein

Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint Server 2016-Installation auf dem Computer nicht mehr funktionsfähig.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin

Vollzugriff

Nein

Dieser Schlüssel enthält den Verschlüsselungsschlüssel zum Speichern von Schlüsseln in der Konfigurationsdatenbank. Wenn dieser Schlüssel geändert wird, treten bei der Dienstbereitstellung und anderen Features Fehler auf.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS

Vollzugriff

Ja

Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten.

In der folgenden Tabelle sind die lokalen Dateisystemberechtigungen aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung

%AllUsersProfile%\ Microsoft\SharePoint

Vollzugriff

Nein

Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird.

C:\Inetpub\wwwroot\wss

Vollzugriff

Nein

Dieses Verzeichnis (oder das entsprechende Verzeichnis im Stammverzeichnis Inetpub auf dem Server) wird als Standardspeicherort für IIS-Websites verwendet. SharePoint-Websites sind nicht verfügbar, und für Verwaltungsvorgänge tritt möglicherweise ein Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird, außer benutzerdefinierte IIS-Websitepfade werden für alle mit SharePoint Server 2016 erweiterte IIS-Websites verwendet.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI

Vollzugriff

Ja

Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG

Vollzugriff

Ja

Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS

Vollzugriff

Nein

Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig.

%windir%\temp

Vollzugriff

Ja

Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint Server 2016 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten.

%windir%\System32\logfiles\SharePoint

Vollzugriff

Nein

Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, kann die Verwendungsprotokollierung nicht mehr ordnungsgemäß verwendet werden.

Dieser Registrierungsschlüssel gilt nur für SharePoint Server.

Netzwerkdienst

In der folgenden Tabelle ist die Registrierungseintragsberechtigung für den Netzwerkdienst aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup

Lesen

Administratoren

In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für Administratoren aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure

Vollzugriff

Nein

Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint Server 2016-Installation auf dem Computer nicht mehr funktionsfähig.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin

Vollzugriff

Nein

Dieser Schlüssel enthält den Verschlüsselungsschlüssel zum Speichern von Schlüsseln in der Konfigurationsdatenbank. Wenn dieser Schlüssel geändert wird, treten bei der Dienstbereitstellung und anderen Features Fehler auf.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS

Vollzugriff

Ja

Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten.

In der folgenden Tabelle sind die Dateisystemberechtigungen für Administratoren aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung

%AllUsersProfile%\ Microsoft\SharePoint

Vollzugriff

Nein

Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird.

C:\Inetpub\wwwroot\wss

Vollzugriff

Nein

Dieses Verzeichnis (oder das entsprechende Verzeichnis im Stammverzeichnis Inetpub auf dem Server) wird als Standardspeicherort für IIS-Websites verwendet. SharePoint-Websites sind nicht verfügbar, und für Verwaltungsvorgänge tritt möglicherweise ein Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird, außer benutzerdefinierte IIS-Websitepfade werden für alle mit SharePoint Server 2016 erweiterte IIS-Websites verwendet.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI

Vollzugriff

Ja

Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG

Vollzugriff

Ja

Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS

Vollzugriff

Nein

Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig.

%windir%\temp

Vollzugriff

Ja

Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint Server 2016 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten.

%windir%\System32\logfiles\SharePoint

Vollzugriff

Nein

Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, kann die Verwendungsprotokollierung nicht mehr ordnungsgemäß verwendet werden.

Dieser Registrierungsschlüssel gilt nur für SharePoint Server.

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG kann den verschlüsselten Registrierungseintrag der Anmeldeinformationen für die Farmadministration lesen. WSS_RESTRICTED_WPG wird nur für die Ver- und Entschlüsselung von Kennwörtern verwendet, die in der Konfigurationsdatenbank gespeichert sind. In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für WSS_RESTRICTED_WPG aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin

Vollzugriff

Nein

Dieser Schlüssel enthält den Verschlüsselungsschlüssel zum Speichern von Schlüsseln in der Konfigurationsdatenbank. Wenn dieser Schlüssel geändert wird, treten bei der Dienstbereitstellung und anderen Features Fehler auf.

Gruppe Benutzer

In der folgenden Tabelle sind die Dateisystemberechtigungen für die Gruppe Benutzer aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung

%ProgramFiles%\Microsoft Office Servers\16.0

Lesen, Ausführen

Nein

Dieses Verzeichnis ist der Installationspfad für SharePoint Server 2016-Binärdateien und -Daten. Es kann während der Installation geändert werden. Wenn dieses Verzeichnis nach der Installation entfernt, geändert oder verschoben wird, ist die gesamte SharePoint Server 2016-Funktionalität nicht mehr funktionsfähig.

%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root

Lesen, Ausführen

Nein

Dieses Verzeichnis ist das Stammverzeichnis, in dem Back-End-Stammwebdienste gehostet werden. Der einzige Dienst, der zunächst in diesem Verzeichnis installiert wird, ist ein globaler Verwaltungsdienst für die Suche. Ein Teil der Verwaltungsfunktionen für die Suche, von denen die serverspezifische Zentraladministration-Einstellungsseite verwendet wird, ist nicht mehr funktionsfähig, wenn dieses Verzeichnis entfernt oder geändert wird.

%ProgramFiles%\Microsoft Office Servers\16.0\Logs

Lesen, Schreiben

Ja

In diesem Verzeichnis wird zur Laufzeit die Diagnoseprotokollierung generiert. Die Protokollierung kann nicht ordnungsgemäß ausgeführt werden, wenn dieses Verzeichnis entfernt oder geändert wird.

%ProgramFiles%\Microsoft Office Servers\16.0\Bin

Lesen, Ausführen

Nein

Dieses Verzeichnis ist der Installationsort der SharePoint Server 2016-Binärdateien. Wenn dieses Verzeichnis nach der Installation entfernt oder geändert wird, ist die gesamte SharePoint Server 2016-Funktionalität nicht mehr funktionsfähig.

Alle SharePoint Server 2016-Dienstkonten

In der folgenden Tabelle ist die Dateisystemberechtigung für alle SharePoint Server 2016-Dienstkonten aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS

Ändern

Nein

Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn dieses Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig. Alle SharePoint Server 2016-Dienstkonten benötigen Schreibberechtigungen für dieses Verzeichnis.

See also

Installieren und Konfigurieren von SharePoint Server 2016