アカウントの権限とセキュリティ設定 (SharePoint Server 2010)
適用先: SharePoint Server 2010
トピックの最終更新日: 2016-11-30
この記事の内容 :
アカウントの権限とセキュリティ設定について
管理者アカウント
サービス アプリケーション アカウント
データベース ロール
グループ権限
この記事では、Microsoft SharePoint Server 2010 の管理者アカウントとサービス アカウントの権限について説明します。関連する領域は、Microsoft SQL Server、ファイル システム、ファイル共有、およびレジストリ エントリです。
アカウントの権限とセキュリティ設定について
SharePoint Server 2010 の基本的なアカウント権限とセキュリティ設定の多くは、完全インストールの最中に実行される SharePoint 製品構成ウィザード (Psconfig) とファーム作成ウィザードで構成されます。
管理者アカウント
SharePoint Server 2010 の管理者アカウント権限のほとんどは、セットアップ プロセスで次の SharePoint Server 2010 コンポーネントのいずれかによって自動的に構成されます。
SharePoint 製品構成ウィザード (Psconfig)
ファーム作成ウィザード
SharePoint サーバーの全体管理 Web サイト
Windows PowerShell
セットアップ ユーザー管理者アカウント
このアカウントは、SharePoint 製品構成ウィザード、最初のファーム作成ウィザード、および Windows PowerShell を実行してファーム内の各サーバーを設定するときに使用されます。この記事の例では、セットアップ ユーザー管理者アカウントは、ファーム管理に使用され、サーバーの全体管理で管理されます。ローカルの管理権限を必要とする構成オプションもあります。SharePoint Server 2010 検索クエリ サーバーの構成はその一例です。セットアップ ユーザー管理者アカウントには、次の権限が必要です。
ドメイン ユーザー アカウントの権限が必要です。
SharePoint Server 2010 ファーム内の、SQL Server と簡易メール転送プロトコル (SMTP) サーバーを除く各サーバー上のローカル Administrators グループのメンバーである必要があります。
SharePoint Server 2010 データベースにアクセスできる必要があります。
データベースに影響する Windows PowerShell 操作を使用する場合は、db_owner ロールのメンバーである必要があります。
セットアップおよび構成時には、SQL Server のセキュリティ ロール securityadmin と dbcreator に割り当てられている必要があります。
注意
バージョンからバージョンへの完全なアップグレードでは、サービス用に新しいデータベースを作成し、保護する必要がある可能性があるので、SQL Server セキュリティ ロールの securityadmin と dbcreator が必要になる場合があります。
構成ウィザードを実行すると、次のコンピューター レベルの権限がセットアップ ユーザー管理者アカウントに与えられます。
WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップ
IIS_WPG ロールのメンバーシップ
構成ウィザードを実行すると、次のデータベース権限が与えられます。
SharePoint Server 2010 サーバー ファーム構成データベースでの db_owner
SharePoint Server 2010 サーバーの全体管理コンテンツ データベースでの db_owner
警告
SQL Server を実行しているコンピューターからログインとしてのセットアップ ユーザー管理者アカウントを削除すると、構成ウィザードは正しく動作しなくなります。該当の特別な SQL ロール メンバーシップを持たないアカウント、または、データベースで db_owner としてのアクセス権を持たないアカウントを使用して構成ウィザードを実行した場合、構成ウィザードは正しく動作しません。
ファーム サービス アカウント
サーバー ファーム アカウントはデータベース アクセス アカウントとも呼ばれ、サーバーの全体管理ではアプリケーション プール ID として使用され、Microsoft SharePoint Foundation 2010 Timer Service ではプロセス アカウントとして使用されます。サーバー ファーム アカウントには次の権限が必要です。
- ドメイン ユーザー アカウントの権限が必要です。
サーバー ファームに参加している Web サーバーおよびアプリケーション サーバーでは、サーバー ファーム アカウントに追加の権限が自動的に与えられます。
SharePoint 製品構成ウィザードを実行すると、次のコンピューター レベルの権限が与えられます。
SharePoint Foundation 2010 Timer Service の WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップ
サーバーの全体管理アプリケーション プールおよび Timer Service アプリケーション プールの WSS_RESTRICTED_WPG のメンバーシップ
サーバーの全体管理アプリケーション プールの WSS_WPG のメンバーシップ
構成ウィザードを実行すると、次の SQL Server 権限とデータベース権限が与えられます。
Dbcreator 固定サーバー ロール
Securityadmin 固定サーバー ロール
すべての SharePoint Server 2010 データベースに対する db_owner
SharePoint Server 2010 サーバー ファーム構成データベースの WSS_CONTENT_APPLICATION_POOLS ロールのメンバーシップ
SharePoint Server 2010 SharePoint_Admin コンテンツ データベースの WSS_CONTENT_APPLICATION_POOLS ロールのメンバーシップ
Microsoft SharePoint Foundation 2010 Search Service アカウント
SharePoint Foundation 2010 Search Service アカウントは、SharePoint Foundation 2010 Search Service のサービス アカウントして使用されます。SharePoint Foundation 2010 Search Service アカウントには、次に示す権限の構成設定が必要です。
- このアカウントにはドメイン ユーザー アカウント権限が必要です。
次のコンピューター レベルの権限が自動的に構成されます。Search Service アカウントは、WSS_WPG のメンバーです。
サーバー ファーム構成データベースの WSS_CONTENT_APPLICATION_POOLS ロールのメンバーシップによって、次の SQL Server 権限とデータベース権限が与えられます。
サーバー ファーム構成データベースに対する読み取りアクセス権
SharePoint_Admin コンテンツ データベースに対する読み取りアクセス権
このアカウントは、SharePoint Foundation 2010 の検索データベースの db_owner ロールに割り当てられます。
Microsoft SharePoint Foundation 2010 Search コンテンツ アクセス アカウント
SharePoint Foundation 2010 Search コンテンツ アクセス アカウントは、サイト間でコンテンツをクロールする場合に SharePoint Foundation 2010 Search Service によって使用されます。SharePoint Foundation 2010 Search コンテンツ アクセス アカウントには、次に示す権限の構成設定が必要です。
このアカウントにはドメイン ユーザー アカウント権限が必要です。
このアカウントはファーム管理者グループのメンバーであってはなりません。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
サーバー ファーム構成データベースに対する読み取りアクセス権
SharePoint_Admin コンテンツ データベースに対する読み取りアクセス権
このアカウントは、SharePoint Foundation 2010 の検索データベースの db_owner ロールに割り当てられます。
SharePoint Foundation 2010 Search コンテンツ アクセス アカウントのすべての読み取りポリシーが、すべての Web アプリケーションで作成されます。
サービス アプリケーション アカウント
ここでは、インストール時に既定でセットアップされるサービス アプリケーション アカウントについて説明します。
アプリケーション プール アカウント
アプリケーション プール アカウントは、アプリケーション プール ID として使用されます。アプリケーション プール アカウントには、次に示す権限の構成設定が必要です。
次のコンピューター レベルの権限が自動的に構成されます。アプリケーション プール アカウントは、WSS_WPG のメンバーです。
このアカウントに対して、次の SQL Server 権限とデータベース権限が自動的に構成されます。
Web アプリケーションのアプリケーション プール アカウントは、コンテンツ データベースの db_owner ロールに割り当てられます。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
SharePoint Server Search Service アカウント
SharePoint Server 2010 Search Service アカウントは、SharePoint Server 2010 Search Service のサービス アカウントとして使用されます。SharePoint Server Search Service は、すべての検索サービス アプリケーションで使用される NT サービスです。このサービスのインスタンスは、各サーバーに 1 つだけ存在します。SharePoint Server 2010 Search Service アカウントには、次に示す権限の構成設定が必要です。SharePoint Server 2010 Search Service アカウントには、ファーム内のすべての検索クエリ サーバー上の伝達場所の共有に対するアクセス権が与えられます。
次のコンピューター レベルの権限が自動的に構成されます。SharePoint Server 2010 Search Service アカウントは、WSS_WPG のメンバーです。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
既定のコンテンツ アクセス アカウント
既定のコンテンツ アクセス アカウントは、URL または URL パターンのクロール ルールで別の認証方法が指定されていない限り、特定のサービス アプリケーション内でコンテンツをクロールする場合に使用されます。このアカウントには、次に示す権限の構成設定が必要です。
既定のコンテンツ アクセス アカウントは、ドメイン ユーザー アカウントである必要があり、このアカウントを使用してクロールする外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースへの読み取りアクセス権を必要とします。
SharePoint Server サイトがサーバー ファームに含まれていない場合は、このアカウントには、サイトをホストする Web アプリケーションへのすべて読み取り権限を明示的に与える必要があります。
このアカウントはファーム管理者グループのメンバーであってはなりません。
コンテンツ アクセス アカウント
コンテンツ アクセス アカウントは、検索管理のクロール ルール機能を使用してコンテンツにアクセスするために構成されるアカウントです。このアカウントは省略でき、新しいクロール ルールを作成するときに構成できます。たとえば、外部のコンテンツ (ファイル共有など) では、この独立したコンテンツ アクセス アカウントが要求されることがあります。このアカウントには、次に示す権限の構成設定が必要です。
コンテンツ アクセス アカウントには、このアカウントがアクセスするように構成されている外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースへの読み取りアクセス権が必要です。
SharePoint Server サイトがサーバー ファームに含まれていない場合は、このアカウントには、サイトをホストする Web アプリケーションへのすべて読み取り権限を明示的に与える必要があります。
Excel Services 無人サービス アカウント
Excel Services 無人サービス アカウントは、Windows 以外のオペレーティング システムでのユーザー名とパスワードを認証時に必要とする外部データ ソースに接続するときに、Excel Services によって使用されます。このアカウントが構成されていない場合、Excel Services はこれらの種類のデータ ソースには接続しません。Windows 以外のオペレーティング システムのデータ ソースへの接続にはアカウント資格情報が使用されますが、アカウントがドメインのメンバーでないと Excel Services はそのデータ ソースにアクセスできません。このアカウントは、ドメイン ユーザー アカウントである必要があります。
個人用サイトのアプリケーション プール アカウント
個人用サイトのアプリケーション プール アカウントは、ドメイン ユーザー アカウントである必要があります。このアカウントは、Farm Administrators グループのメンバーであってはなりません。
次のコンピューター レベルの権限が自動的に構成されます。このアカウントは WSS_WPG のメンバーです。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
その他のアプリケーション プール アカウント
その他のアプリケーション プール アカウントは、ドメイン ユーザー アカウントである必要があります。このアカウントは、サーバー ファーム内のコンピューター上の Administrators グループのメンバーであってはなりません。
次のコンピューター レベルの権限が自動的に構成されます。このアカウントは、WSS_WPG のメンバーです。
次の SQL Server 権限とデータベース権限が自動的に構成されます。
このアカウントは、コンテンツ データベースの db_owner ロールに割り当てられます。
このアカウントは、Web アプリケーションに関連付けられている検索データベースの db_owner ロールに割り当てられます。
このアカウントには、関連付けられているサービス アプリケーション データベースに対する読み取りおよび書き込みアクセス権が必要です。
このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。
データベース ロール
ここでは、インストール時に既定でセットアップされるか、必要に応じて構成できるデータベース ロールについて説明します。
WSS_CONTENT_APPLICATION_POOLS データベース ロール
WSS_CONTENT_APPLICATION_POOLS データベース ロールは、SharePoint に登録される各 Web アプリケーションのアプリケーション プール アカウントに適用されます。これにより、Web アプリケーションは、サイト マップをクエリおよび更新でき、構成データベース内の他のアイテムに対しては読み取り専用のアクセス権を持ちます。セットアップで、次のデータベースに WSS_CONTENT_APPLICATION_POOLS ロールが割り当てられます。
SharePoint_Config データベース (構成データベース)
SharePoint_AdminContent データベース
WSS_CONTENT_APPLICATION_POOLS ロールのメンバーには、データベースのストアド プロシージャのサブセットに対する実行権限が与えられます。さらに、このロールのメンバーには、SharePoint_AdminContent データベースの Versions テーブル (dbo.Versions) に対する選択権限が与えられます。その他のデータベースについては、それらのデータベースを読み取るためのアクセス権が自動的に構成されることがアカウント計画ツールで示されます。場合によっては、データベースに書き込むための制限付きアクセス権も自動的に構成されます。このアクセスを可能にするために、ストアド プロシージャに対する権限が構成されます。たとえば、SharePoint_Config データベースについては、次のストアド プロシージャへのアクセス権が自動的に構成されます。
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
WSS_SHELL_ACCESS データベース ロール
構成データベースで管理者アカウントを db_owner として追加する必要がある場合、その代わりに、構成データベースで安全な WSS_SHELL_ACCESS データベース ロールを使用できます。既定では、セットアップ アカウントが WSS_SHELL_ACCESS データベース ロールに割り当てられます。このロールのメンバーシップは、Windows PowerShell コマンドを使用して付与および削除されます。セットアップで次のデータベースに WSS_SHELL_ACCESS ロールが割り当てられます。
SharePoint_Config データベース (構成データベース)。
1 つ以上の SharePoint コンテンツ データベース。メンバーシップを管理する Windows PowerShell コマンドと、このロールに割り当てられるオブジェクトを使用して、このデータベースを構成できます。
WSS_SHELL_ACCESS ロールのメンバーには、データベースのすべてのストアド プロシージャの実行権限が与えられます。さらに、このロールのメンバーには、すべてのデータベース テーブルの読み取りおよび書き込み権限が与えられます。
グループ権限
ここでは、SharePoint Server 2010 のセットアップと構成ツールで作成されるグループの権限について説明します。
WSS_ADMIN_WPG
WSS_ADMIN_WPG は、ローカル リソースに対する読み取りおよび書き込みアクセス権を持ちます。サーバーの全体管理および Timer Service のアプリケーション プール アカウントは、WSS_ADMIN_WPG です。次の表に、WSS_ADMIN_WPG のレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_CLASSES_ROOT\APPID\{58F1D482-A132-4297-9B8A-F8E4E600CDF6} |
フル コントロール |
N/A |
これは、SharePoint Server 2010 Search サービスの COM アプリケーションです。 |
HKEY_CLASSES_ROOT\APPID\{6002D29F-1366-4523-88C1-56D59BFEF8CB} |
フル コントロール |
N/A |
これは、SharePoint Foundation 2010 Search サービスの COM アプリケーションです。 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
フル コントロール |
N/A |
N/A |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\14.0\Registration\{90120000-110D-0000-0000-0000000FF1CE} |
読み取り、書き込み |
N/A |
N/A |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
読み取り |
なし |
このキーは、SharePoint Server 2010 レジストリ設定ツリーのルートです。このキーを変更すると、SharePoint Server 2010 の機能は失敗します。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0 |
フル コントロール |
なし |
このキーは SharePoint Server 2010 レジストリ設定のルートです。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings |
読み取り、書き込み |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings |
読み取り、書き込み |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search |
フル コントロール |
N/A |
N/A |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Search |
フル コントロール |
N/A |
N/A |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
フル コントロール |
なし |
このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。このキーを変更すると、コンピューター上の SharePoint Server インストールが機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
フル コントロール |
あり |
このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。 |
次の表に、WSS_ADMIN_WPG のファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
フル コントロール |
なし |
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。 |
C:\Inetpub\wwwroot\wss |
フル コントロール |
なし |
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。SharePoint Server で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。 |
%ProgramFiles%\Microsoft Office Servers\14.0 |
フル コントロール |
なし |
このディレクトリは、SharePoint Server 2010 のバイナリとデータがインストールされる場所です。ディレクトリはインストール時に変更できます。このディレクトリを削除、変更、またはインストール後に削除すると、SharePoint Server 2010 のすべての機能が失敗します。一部の SharePoint Server 2010 サービスは、データをディスクに格納するために、WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップを必要とします。 |
%ProgramFiles%\Microsoft Office Servers\14.0\WebServices |
読み取り、書き込み |
なし |
このディレクトリは、Excel、Search など、バックエンドの Web サービスがホストされるルート ディレクトリです。このディレクトリを削除または変更すると、これらのサービスに依存する SharePoint Server 2010 の機能が失敗します。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Data |
フル コントロール |
なし |
このディレクトリは、検索インデックスをはじめとするローカル データが格納されるルートの場所です。このディレクトリを削除または変更すると、検索機能が失敗します。検索でこのフォルダーにデータを保存してセキュリティで保護するには、WSS_ADMIN_WPG Windows セキュリティ グループ権限が必要です。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Logs |
フル コントロール |
あり |
このディレクトリは、ランタイム診断ログが生成される場所です。このディレクトリを削除または変更すると、ログ機能が正しく機能しなくなります。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Data\Office Server |
フル コントロール |
あり |
親フォルダーと同じです。 |
%windir%\System32\drivers\etc\HOSTS |
読み取り、書き込み |
N/A |
N/A |
%windir%\Tasks |
フル コントロール |
N/A |
N/A |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\14 |
変更 |
あり |
このディレクトリは、SharePoint Server のコア ファイルのインストール ディレクトリです。アクセス制御リスト (ACL) を変更すると、機能のアクティブ化、ソリューションの導入などの機能が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
フル コントロール |
あり |
このディレクトリには、サーバーの全体管理の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
フル コントロール |
あり |
このディレクトリには、SharePoint Server で IIS Web サイトを拡張するために使用されるファイルが格納されています。このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
フル コントロール |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\Data |
フル コントロール |
あり |
N/A |
%windir%\temp |
フル コントロール |
あり |
このディレクトリは、SharePoint Server が依存するプラットフォーム コンポーネントで使用されます。ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。 |
%windir%\System32\logfiles\SharePoint |
フル コントロール |
なし |
このディレクトリは、SharePoint Server の利用状況ログで使用されます。このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 |
インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\14 フォルダー |
フル コントロール |
N/A |
この権限は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\14 フォルダーに与えられます。 |
WSS_WPG
WSS_WPG は、ローカル リソースに対する読み取りアクセス権を持ちます。すべてのアプリケーション プール アカウントおよびサービス アカウントは、WSS_WPG です。次の表に、WSS_WPG のレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0 |
読み取り |
なし |
このキーは SharePoint Server 2010 レジストリ設定のルートです。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Diagnostics |
読み取り、書き込み |
なし |
このキーには、SharePoint Server 2010 診断ログの設定が格納されています。このキーを変更すると、ログ機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings |
読み取り、書き込み |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings |
読み取り、書き込み |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
読み取り |
なし |
このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。このキーを変更すると、コンピューター上の SharePoint Server インストールが機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
読み取り |
あり |
このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。 |
次の表に、WSS_WPG のファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
読み取り |
なし |
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。 |
C:\Inetpub\wwwroot\wss |
読み取り、実行 |
なし |
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。SharePoint Server で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。 |
%ProgramFiles%\Microsoft Office Servers\14.0 |
読み取り、実行 |
なし |
このディレクトリは、SharePoint Server 2010 のバイナリとデータがインストールされる場所です。ディレクトリはインストール時に変更できます。このディレクトリを削除、変更、またはインストール後に移動すると、SharePoint Server 2010 のすべての機能が失敗します。IIS サイトで SharePoint Server 2010 バイナリを読み込むには、WSS_WPG の読み取り権限と実行権限が必要です。 |
%ProgramFiles%\Microsoft Office Servers\14.0\WebServices |
読み取り |
なし |
このディレクトリは、Excel、Search など、バックエンドの Web サービスがホストされるルート ディレクトリです。このディレクトリを削除または変更すると、これらのサービスに依存する SharePoint Server 2010 の機能が失敗します。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Logs |
読み取り、書き込み |
あり |
このディレクトリは、ランタイム診断ログが生成される場所です。このディレクトリを削除または変更すると、ログ機能が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
読み取り |
あり |
このディレクトリには、サーバーの全体管理の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
読み取り |
あり |
このディレクトリには、SharePoint Server で IIS Web サイトを拡張するために使用されるファイルが格納されています。このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
変更 |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。 |
%windir%\temp |
読み取り |
あり |
このディレクトリは、SharePoint Server が依存するプラットフォーム コンポーネントで使用されます。ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。 |
%windir%\System32\logfiles\SharePoint |
読み取り |
なし |
このディレクトリは、SharePoint Server の利用状況ログで使用されます。このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 |
%systemdrive\program files\Microsoft Office Servers\14 |
読み取り、実行 |
N/A |
この権限は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\14 フォルダーに与えられます。 |
ローカル サービス
次の表に、ローカル サービスのレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings |
読み取り |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
次の表に、ローカル サービスのファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\14.0\Bin |
読み取り、実行 |
なし |
このディレクトリは、SharePoint Server 2010 のバイナリがインストールされる場所です。このディレクトリを削除または変更すると、SharePoint Server 2010 のすべての機能が失敗します。 |
ローカル システム
次の表に、ローカル システムのレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings |
読み取り |
なし |
このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
フル コントロール |
なし |
このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。このキーを変更すると、コンピューター上の SharePoint Server インストールが機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin |
フル コントロール |
なし |
このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。このキーを変更すると、サービスの準備やその他の機能が失敗します。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
フル コントロール |
あり |
このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。 |
次の表に、ローカル ファイル システムの権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
フル コントロール |
なし |
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。 |
C:\Inetpub\wwwroot\wss |
フル コントロール |
なし |
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。SharePoint Server で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
フル コントロール |
あり |
このディレクトリには、サーバーの全体管理の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
フル コントロール |
あり |
このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
フル コントロール |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。 |
%windir%\temp |
フル コントロール |
あり |
このディレクトリは、SharePoint Server が依存するプラットフォーム コンポーネントで使用されます。ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。 |
%windir%\System32\logfiles\SharePoint |
フル コントロール |
なし |
このディレクトリは、SharePoint Server の利用状況ログで使用されます。このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 |
ネットワーク サービス
次の表に、ネットワーク サービスのレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search\Setup |
読み取り |
N/A |
N/A |
管理者
次の表に、管理者のレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
フル コントロール |
なし |
このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。このキーを変更すると、コンピューター上の SharePoint Server インストールが機能しなくなります。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin |
フル コントロール |
なし |
このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。このキーを変更すると、サービスの準備やその他の機能が失敗します。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
フル コントロール |
あり |
このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。 |
次の表に、管理者のファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
フル コントロール |
なし |
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。 |
C:\Inetpub\wwwroot\wss |
フル コントロール |
なし |
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。SharePoint Server で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
フル コントロール |
あり |
このディレクトリには、サーバーの全体管理の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
フル コントロール |
あり |
このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
フル コントロール |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。 |
%windir%\temp |
フル コントロール |
あり |
このディレクトリは、SharePoint Server が依存するプラットフォーム コンポーネントで使用されます。ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。 |
%windir%\System32\logfiles\SharePoint |
フル コントロール |
なし |
このディレクトリは、SharePoint Server の利用状況ログで使用されます。このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG は、暗号化されたファーム管理者の資格情報のレジストリ エントリを読み取ることができます。WSS_RESTRICTED_WPG は、構成データベースに格納されるパスワードの暗号化と解読でのみ使用されます。次の表に、WSS_RESTRICTED_WPG のレジストリ エントリ権限を示します。
| キー名 | 権限 | 継承 | 説明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin |
フル コントロール |
なし |
このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。このキーを変更すると、サービスの準備やその他の機能が失敗します。 |
ユーザー グループ
次の表に、ユーザー グループのファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\14.0 |
読み取り、実行 |
なし |
このディレクトリは、SharePoint Server 2010 のバイナリとデータがインストールされる場所です。ディレクトリはインストール時に変更できます。このディレクトリを削除、変更、またはインストール後に移動すると、SharePoint Server 2010 のすべての機能が失敗します。 |
%ProgramFiles%\Microsoft Office Servers\14.0\WebServices\Root |
読み取り、実行 |
なし |
このディレクトリは、バックエンドのルート Web サービスがホストされるルート ディレクトリです。このディレクトリに最初にインストールされるのは、検索グローバル管理サービスだけです。このディレクトリを削除または変更すると、サーバー固有のサーバーの全体管理 [検索の設定] ページを使用する検索管理機能の一部が機能しなくなります。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Logs |
読み取り、書き込み |
あり |
このディレクトリは、ランタイム診断ログが生成される場所です。このディレクトリを削除または変更すると、ログが正しく機能しなくなります。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Bin |
読み取り、実行 |
なし |
このディレクトリは、SharePoint Server 2010 のバイナリがインストールされる場所です。このディレクトリを削除または変更すると、SharePoint Server 2010 のすべての機能が失敗します。 |
すべての Office SharePoint Server サービス アカウント
次の表に、すべての Office SharePoint Server サービス アカウントのファイル システム権限を示します。
| ファイル システム パス | 権限 | 継承 | 説明 |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
変更 |
なし |
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。すべての SharePoint Server サービス アカウントに、このディレクトリに対する書き込み権限が必要です。 |