Разрешения учетных записей и параметры безопасности в SharePoint 2013
**Применимо к:**SharePoint 2013, SharePoint Foundation 2013, SharePoint Server 2013
**Последнее изменение раздела:**2017-09-08
Сводка. Узнайте, какие разрешения и параметры безопасности использовать в развертывании SharePoint 2013.
В этой статье описаны учетные записи администраторов и служб SharePoint для следующих областей: Microsoft SQL Server, файловая система, общие папки с файлами и записи в реестре.
Важно!
Не используйте имена учетных записей служб, которые содержат символ "$".
Содержание
О разрешениях учетной записи и параметрах безопасности
Учетные записи администраторов
Учетные записи служб-приложений
Роли базы данных
Разрешения группы
О разрешениях учетной записи и параметрах безопасности
Мастер настройки SharePoint (Psconfig) и мастер настройки фермы, работающие во время выполнения установки, настраивают многие базовые разрешения учетных записей и параметры безопасности SharePoint.
Учетные записи администраторов SharePoint
Один из следующих компонентов SharePoint автоматически настраивает большинство разрешений учетных записей администраторов SharePoint в процессе установки.
Мастер настройки SharePoint (Psconfig).
Мастер создания ферм.
Веб-сайт Центр администрирования SharePoint.
PowerShell.
Учетная запись администратора настройки
Эта учетная запись используется для настройки каждого сервера фермы путем запуска мастера настройки SharePoint, начального мастера создания фермы и PowerShell. В примерах из этой статьи учетная запись администратора настройки используется для администрирования фермы и может управляться через Центр администрирования. Для использования некоторых параметров конфигурации, например, конфигурации сервера запросов поиска SharePoint 2013, необходимы разрешения локального администратора. Учетной записи администратора настройки необходимы следующие разрешения:
необходимо иметь разрешения учетной записи пользователя домена;
необходимо быть членом группы локальных администраторов на каждом сервере фермы SharePoint;
учетная запись должна иметь доступ к базам данных SharePoint;
при использовании любых операций PowerShell, влияющих на базу данных, учетная запись администратора настройки должна быть участником роли db_owner;
эту учетную запись необходимо назначить ролям безопасности securityadmin и dbcreatorSQL Server в ходе установки и настройки.
Примечание
При полном обновлении версии могут потребоваться роли securityadmin и dbcreatorSQL Server, так как для служб может возникнуть необходимость создания новых баз данных и обеспечения их безопасности.
После запуска мастеров настройки учетная запись администратора для пользователя установки получает следующие разрешения на уровне компьютера:
членство в группе безопасности WSS_ADMIN_WPG Windows;
членство в роли IIS_WPG.
После запуска мастеров настройки появляются следующие разрешения базы данных:
db_owner в базе данных конфигурации фермы серверов SharePoint;
db_owner в базе данных контента Центр администрирования SharePoint.
Предупреждение
Если учетная запись, которая используется для запуска мастеров настройки, не имеет соответствующее членство в специальной роли SQL Server или право доступа к базам данных как db_owner, то мастера конфигурации не будут работать правильно.
Учетная запись службы фермы SharePoint
Учетная запись фермы серверов, которая иначе называется учетной записью доступа к базе данных, используется в качестве удостоверения пула приложений для Центр администрирования и в качестве учетной записи для службы таймера SharePoint Foundation 2013. Учетной записи фермы серверов необходимы следующие разрешения:
- необходимо иметь разрешения учетной записи пользователя домена.
Дополнительные разрешения учетной записи фермы серверов предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.
После запуска программы установки появляются такие разрешения уровня компьютера:
членство в группе безопасности WSS_ADMIN_WPG Windows службы времени SharePoint Foundation 2013;
членство в WSS_RESTRICTED_WPG для пулов приложений Центр администрирования и службы таймера;
членство в WSS_WPG для пула приложений Центр администрирования.
После запуска мастеров настройки появляются следующие разрешения SQL Server и баз данных:
предопределенная роль сервера Dbcreator;
предопределенная роль сервера Securityadmin;
разрешение db_owner для всех баз данных SharePoint;
членство в роли WSS_CONTENT_APPLICATION_POOLS для базы данных конфигурации фермы серверов SharePoint;
членство в роли WSS_CONTENT_APPLICATION_POOLS для базы данных контента SharePoint_Admin.
Учетные записи приложений-служб SharePoint
В этом разделе описаны учетные записи служб-приложений, настраиваемые по умолчанию в ходе установки.
Учетная запись пулов приложений
Учетная запись пула приложений поставщика общих служб используется как удостоверение пула приложений. Этой учетной записи необходимы следующие параметры конфигурации разрешений:
Автоматически настраиваются следующие разрешения уровня компьютера: учетная запись пула приложений является участником роли WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются для этой учетной записи автоматически:
учетные записи пула веб-приложений назначаются роли SP_DATA_ACCESS для баз данных контента;
учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы;
учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.
Учетная запись по умолчанию для доступа к контенту
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Учетная запись доступа к контенту, выбранная по умолчанию, используется приложением-службой для обхода контента, если правилом обхода не определен иной метод проверки подлинности для URL-адресов или шаблонов URL. Эта учетная запись требует настройки следующих параметров разрешений:
учетная запись по умолчанию для доступа к контенту должна быть учетной записью пользователя домена, имеющей право чтения внешних или защищенных источников контента, которые предполагается обходить с помощью этой записи;
для сайтов SharePoint Server, не являющихся частью фермы серверов, необходимо явно предоставить этой учетной записи полные разрешения на чтение в веб-приложениях, размещенных на этих сайтах;
эта учетная запись не должна быть членом группы администраторов фермы.
Учетные записи для доступа контенту
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Учетные записи для доступа к контенту настраиваются для доступа к контенту с помощью компонента правил обхода администрирования поиска. Это необязательный тип учетной записи, который можно настроить при создании нового правила обхода контента. Например, такая отдельная запись может понадобиться для внешнего контента (например, общей папки с файлами). Этой учетной записи необходимы следующие параметры конфигурации разрешений:
учетная запись для доступа к контенту должна иметь право чтения внешних или защищенных источников контента, к которым у нее настроен доступ;
для сайтов SharePoint Server, не являющихся частью фермы серверов, необходимо явно предоставить этой учетной записи полные разрешения на чтение в веб-приложениях, размещенных на этих сайтах.
Автоматическая учетная запись службы Службы Excel
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Службы Excel использует автоматическую учетную запись службы Службы Excel для подключения к внешним источникам данных на основе операционной системы, отличной от Windows, которым требуется имя пользователя и пароль. Если эта учетная запись не настроена, Службы Excel не будут пытаться подключиться к этим типам источников данных. Хотя учетные данные учетной записи используются для подключения к источникам данных операционных систем, отличных от Windows, если эта учетная запись не является членом домена, службы Excel не имеют к ней доступа. Она должна быть учетной записью пользователя домена.
Учетная запись пула приложений Личные сайты
Важно!
Сведения из этого раздела относятся только к SharePoint Server 2016.
Учетная запись пула приложений "Мои сайты" должна быть учетной записью пользователя домена. Учетная запись не должна быть членом группы администраторов фермы.
Автоматически настраиваются следующие разрешения уровня компьютера: данная учетная запись является участником роли WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются автоматически:
эта учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы;
эта учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin;
учетные записи пула веб-приложений назначаются роли SP_DATA_ACCESS для баз данных контента.
Другие учетные записи пула приложений
Другая учетная запись пула приложений должна быть записью пользователя домена. Она не должна быть членом группы администраторов на любом компьютере сервера фермы.
Автоматически настраиваются следующие разрешения уровня компьютера: данная учетная запись является участником роли WSS_WPG.
Следующие разрешения SQL Server и базы данных настраиваются автоматически:
эта учетная запись назначается роли SP_DATA_ACCESS для баз данных контента;
эта учетная запись назначается роли SP_DATA_ACCESS для базы данных поиска, связанной с веб-приложением;
учетная запись должна иметь разрешение на чтение и запись в связанной базе данных приложения-службы;
учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы;
учетная запись назначается роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.
Роли базы данных SharePoint
В этом разделе описываются роли базы данных, которые настраиваются в процессе установки по умолчанию или настраиваются вами дополнительно.
Роль базы данных WSS_CONTENT_APPLICATION_POOLS
Роль базы данных WSS_CONTENT_APPLICATION_POOLS применяется к учетной записи пула приложений для каждого веб-приложения, зарегистрированного в ферме SharePoint. Это позволяет веб-приложениям запрашивать карту сайта и обновлять ее. Также им предоставляется доступ только для чтения к другим элементам базы данных конфигурации. Программа настройки назначает роль WSS_CONTENT_APPLICATION_POOLS следующим базам данных:
базе данных SharePoint_Config (базе данных конфигурации);
базе данных SharePoint_AdminContent.
Члены роли WSS_CONTENT_APPLICATION_POOLS имеют разрешение Execute на подмножество хранимых процедур для базы данных. Кроме того, члены этой роли имеют разрешение Select на таблицу версий (dbo.Versions) в базе данных SharePoint_AdminContent. Для остальных баз данных в средстве планирования учетных записей указано, что доступ на чтение из этих баз данных настраивается автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Для получения такого доступа настраиваются разрешения на хранимые процедуры.
Роль базы данных WSS_SHELL_ACCESS
Безопасная роль базы данных WSS_SHELL_ACCESS в базе данных конфигурации устраняет необходимость добавления учетной записи администрирования в качестве db_owner базы данных конфигурации. Учетная запись настройки по умолчанию присваивается роли базы данных WSS_SHELL_ACCESS. Для предоставления или удаления членства в этой роли можно использовать команду PowerShell. Программа настройки присваивает роль WSS_SHELL_ACCESS следующим базам данных:
базе данных SharePoint_Config (базе данных конфигурации);
одной или нескольким базам данных контента SharePoint; это настраивается с помощью команды PowerShell, которая управляет членством, и объекта, который назначается этой роли.
Члены роли WSS_SHELL_ACCESS имеют разрешение Execute на все хранимые процедуры для базы данных. Кроме того, члены этой роли имеют разрешения на чтение и запись во всех таблицах базы данных.
Роль базы данных SP_READ_ONLY
Роль SP_READ_ONLY должна использоваться для настройки режима только чтения базы данных вместо sp_dboption. Эта роль, как можно предположить из ее названия, должна использоваться, когда для данных требуется доступ только на чтение, например, для данных об использовании или данных телеметрии.
Примечание
Хранимая процедура sp_dboption недоступна в SQL Server 2012. Дополнительные сведения о sp_dboption см. в статье sp_dboption (Transact-SQL).
Роль SQL SP_READ_ONLY будет иметь следующие разрешения на предоставление:
разрешения SELECT во всех хранимых процедурах и функциях SharePoint;
разрешения SELECT во всех таблицах SharePoint;
разрешения EXECUTE в пользовательском типе, если схемой является dbo.
Роль базы данных SP_DATA_ACCESS
Роль SP_DATA_ACCESS является ролью по умолчанию для доступа к базе данных и должна использоваться для всего доступа к базам данных на уровне объектной модели. Добавьте в эту роль учетную запись пула приложений во время обновления или нового развертывания.
Примечание
Роль SP_DATA_ACCESS заменяет роль db_owner в SharePoint 2013.
Роль SP_DATA_ACCESS будет иметь следующие разрешения на предоставление:
разрешения EXECUTE или SELECT во всех хранимых процедурах и функциях SharePoint;
разрешения SELECT во всех таблицах SharePoint;
разрешения EXECUTE в пользовательском типе, если схемой является dbo;
разрешения INSERT в таблице AllUserDataJunctions;
разрешения UPDATE в представлении Sites;
разрешения UPDATE в представлении UserData;
разрешения UPDATE в таблице AllUserData;
разрешения INSERT и DELETE в таблицах NameValuePair;
разрешения Create Table.
Разрешения групп
В этом разделе описываются разрешения групп, которые создают средства установки и настройки SharePoint 2013.
WSS_ADMIN_WPG
Роль WSS_ADMIN_WPG имеет доступ к локальным ресурсам для чтения и записи. Учетные записи пула приложений для служб Центр администрирования и таймера находятся в WSS_ADMIN_WPG. В следующей таблице перечислены разрешения записей реестра WSS_ADMIN_WPG.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
Полный контроль |
Неприменимо |
Неприменимо |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration\{90150000-110D-0000-1000-0000000FF1CE} |
Чтение, запись |
Неприменимо |
Неприменимо |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
Чтение |
Нет |
Этот ключ является корневым каталогом дерева параметров реестра SharePoint 2013. Его изменение приведет к нарушению работы функции SharePoint 2013. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0 |
Полный контроль |
Нет |
Этот ключ является корневым каталогом параметров реестра SharePoint 2013. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
Чтение, запись |
Нет |
Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
Чтение, запись |
Нет |
Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search |
Полный контроль |
Неприменимо |
Неприменимо |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search |
Полный контроль |
Неприменимо |
Неприменимо |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Полный контроль |
Нет |
Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint 2013 на компьютере работать не будет. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Полный контроль |
Да |
Этот ключ содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки. |
В следующей таблице перечислены разрешения файловой системы WSS_ADMIN_WPG.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Полный контроль |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
C:\Inetpub\wwwroot\wss |
Полный контроль |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то сайты SharePoint станут недоступны, а действия администрирования, возможно, не удастся выполнить, если вы не указали пути ко всем веб-сайтам IIS, дополненным SharePoint 2013. |
%ProgramFiles%\Microsoft Office Servers\15.0 |
Полный контроль |
Нет |
Это каталог установки двоичных файлов и данных SharePoint 2013. При установке каталог можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint 2013 перестанут работать. Членство в группе безопасности WSS_ADMIN_WPG Windows необходимо для того, чтобы некоторые службы SharePoint 2013 смогли сохранять данные на диск. |
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices |
Чтение, запись |
Нет |
Это корневой каталог, в котором размещаются серверные веб-службы, например, Excel и служба поиска. Если этот каталог будет удален или изменен, то возникнет сбой функций SharePoint 2013, использующих эти службы. |
%ProgramFiles%\Microsoft Office Servers\15.0\Data |
Полный контроль |
Нет |
Это корневой каталог для хранения локальных данных, включая индексы поиска. Если его удалить или изменить, функция поиска перестанет работать. Чтобы функция поиска смогла сохранять и защищать данные из этой папки, необходимы разрешения группы безопасности WSS_ADMIN_WPG Windows. |
%ProgramFiles%\Microsoft Office Servers\15.0\Logs |
Полный контроль |
Да |
Это место создания диагностического журнала работы. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать. |
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server |
Полный контроль |
Да |
То же, что и родительская папка. |
%windir%\System32\drivers\etc\HOSTS |
Чтение, запись |
Неприменимо |
Неприменимо |
%windir%\Tasks |
Полный контроль |
Неприменимо |
Неприменимо |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15 |
Изменение |
Да |
Это каталог установки основных файлов SharePoint 2013. Если изменить списки доступа (ACL), активация функции, развертывание приложений и другие возможности не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Полный контроль |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Полный контроль |
Да |
В этом каталоге находятся файлы, используемые при добавлении к веб-сайтам IIS SharePoint 2013. Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Полный контроль |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
%windir%\temp |
Полный контроль |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint 2013. Если изменить список управления доступом, возможны сбои отображения веб-частей и других операций десериализации. |
%windir%\System32\logfiles\SharePoint |
Полный контроль |
Нет |
Этот каталог использует функция ведения журнала использования SharePoint Server. Если его изменить, эта функция не будет нормально работать. Этот раздел реестра применяется только к SharePoint Server. |
Папка %systemdrive\program files\Microsoft Office Servers\15 на серверах индекса |
Полный контроль |
Неприменимо |
Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\15 на серверах индекса. |
WSS_WPG
Роль WSS_WPG имеет доступ к локальным ресурсам для чтения и записи. Все учетные записи пула приложений и служб находятся в WSS_WPG. В следующей таблице перечислены разрешения записей реестра WSS_WPG.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0 |
Чтение |
Нет |
Этот ключ является корневым каталогом параметров реестра SharePoint 2013. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics |
Чтение, запись |
Нет |
Этот ключ содержит параметры ведения журналов диагностики SharePoint 2013. Если его изменить, работа сбора данных нарушится. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
Чтение, запись |
Нет |
Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
Чтение, запись |
Нет |
Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Чтение |
Нет |
Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint 2013 на компьютере работать не будет. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Чтение |
Да |
Этот раздел содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки. |
В следующей таблице перечислены разрешения файловой системы WSS_WPG.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Чтение |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
C:\Inetpub\wwwroot\wss |
Чтение, выполнение |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то сайты SharePoint станут недоступны, а действия администрирования, возможно, не удастся выполнить, если вы не указали пути ко всем веб-сайтам IIS, дополненным SharePoint 2013. |
%ProgramFiles%\Microsoft Office Servers\15.0 |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов и данных SharePoint 2013. При установке его можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint 2013 перестанут работать. Разрешения на чтение и выполнение WSS_WPG необходимы для того, чтобы сайты IIS смогли загружать двоичные файлы SharePoint 2013. |
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices |
Чтение |
Нет |
Это корневой каталог, в котором размещаются серверные веб-службы, например, Excel и служба поиска. Если этот каталог будет удален или изменен, то возникнет сбой функций SharePoint 2013, использующих эти службы. |
%ProgramFiles%\Microsoft Office Servers\15.0\Logs |
Чтение, запись |
Да |
Это каталог, в котором создается диагностический журнал времени выполнения. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Чтение |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Чтение |
Да |
В этом каталоге находятся файлы, используемые при добавлении к веб-сайтам IIS SharePoint 2013. Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Изменить |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
%windir%\temp |
Чтение |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint 2013. Если изменить список управления доступом, может произойти сбой отображения веб-части и других операций десериализации. |
%windir%\System32\logfiles\SharePoint |
Чтение |
Нет |
Этот каталог использует функция ведения журнала использования SharePoint Server. Если его изменить, эта функция не будет нормально работать. Этот раздел реестра применяется только к SharePoint Server. |
%systemdrive\program files\Microsoft Office Servers\15 |
Чтение, выполнение |
Неприменимо |
Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\15 на серверах индекса. |
Локальная служба
В следующей таблице перечислены разрешения записи реестра локальной службы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
Чтение |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. |
В следующей таблице перечислены разрешения файловой системы локальной службы.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\15.0\Bin |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов SharePoint 2013. Если его удалить или изменить, все функции SharePoint 2013 перестанут работать. |
Локальная система
В следующей таблице перечислены разрешения записи реестра локальной системы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
Чтение |
Нет |
Этот раздел содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать. Этот раздел реестра применяется только к SharePoint Server. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Полный контроль |
Нет |
Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint 2013 на компьютере работать не будет. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
Полный контроль |
Нет |
Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Полный контроль |
Да |
Этот раздел содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки. |
В следующей таблице перечислены разрешения файловой системы локальной системы.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Полный контроль |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
C:\Inetpub\wwwroot\wss |
Полный контроль |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) используется по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то сайты SharePoint станут недоступны, а действия администрирования, возможно, не удастся выполнить, если вы не указали пути ко всем веб-сайтам IIS, дополненным SharePoint 2013. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Полный контроль |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Полный контроль |
Да |
Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Полный контроль |
Нет |
В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
%windir%\temp |
Полный контроль |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint 2013. Если изменить список управления доступом, возможны сбои отображения веб-частей и других операций десериализации. |
%windir%\System32\logfiles\SharePoint |
Полный контроль |
Нет |
Этот каталог используется SharePoint Server для ведения журнала использования. Изменение каталога приведет к неверной работе журнала. Этот раздел реестра применяется только к SharePoint Server. |
Сетевая служба
В следующей таблице перечислены разрешения записи реестра сетевой службы.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup |
Чтение |
Неприменимо |
Неприменимо |
Администраторы
В следующей таблице перечислены разрешения записей реестра администраторов.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
Полный контроль |
Нет |
Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint 2013 на компьютере работать не будет. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
Полный контроль |
Нет |
Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
Полный контроль |
Да |
Этот раздел содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки. |
В следующей таблице перечислены разрешения файловой системы администраторов.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Полный контроль |
Нет |
В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования. |
C:\Inetpub\wwwroot\wss |
Полный контроль |
Нет |
Этот каталог (или соответствующий каталог в корневом каталоге сервера Inetpub) выбран по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то доступ к сайтам SharePoint будет потерян, а действия администрирования, возможно, не удастся выполнить, если пути к веб-сайтам IIS не указаны для всех сайтов IIS, дополненных SharePoint 2013. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
Полный контроль |
Да |
В этом каталоге находятся службы SOAP для Центр администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
Полный контроль |
Да |
Если изменить каталог или его контент, подготовка веб-приложения не будет нормально работать. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Полный контроль |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. |
%windir%\temp |
Полный контроль |
Да |
Этот каталог используют компоненты платформы, от которых зависит работа SharePoint 2013. Если изменить ACL, возможны сбои отображения веб-части и других операций десериализации |
%windir%\System32\logfiles\SharePoint |
Полный контроль |
Нет |
Этот каталог используется SharePoint Server для ведения журнала использования. Изменение каталога приведет к неверной работе журнала. Этот раздел реестра применяется только к SharePoint Server. |
WSS_RESTRICTED_WPG
Роль WSS_RESTRICTED_WPG предоставляет право на чтение зашифрованной записи реестра с учетными данными администратора. WSS_RESTRICTED_WPG используется только для шифрования и расшифровки паролей, хранящихся в базе данных конфигурации. В следующей таблице перечислены разрешения записей реестра WSS_RESTRICTED_WPG.
| Имя ключа | Разрешения | Наследование | Описание |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
Полный контроль |
Нет |
Этот раздел содержит ключ шифрования, использовавшийся для сохранения секретов в базе данных конфигурации. Если его изменить, произойдет сбой предоставления услуги и других функций. |
Группа пользователей
В следующей таблице перечислены разрешения файловой системы групп пользователей.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\15.0 |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов и данных SharePoint 2013. При установке его можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint 2013 перестанут работать. |
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root |
Чтение, выполнение |
Нет |
Это корневой каталог, где размещаются корневые интерфейсные веб-службы. Первоначально сюда устанавливается только служба глобального администрирования поиска. Если изменить или удалить каталог, некоторые функции администрирования поиска, использующие страницу параметров Центр администрирования конкретного сервера, не будут работать. |
%ProgramFiles%\Microsoft Office Servers\15.0\Logs |
Чтение, запись |
Да |
Это место создания диагностического журнала работы. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать. |
%ProgramFiles%\Microsoft Office Servers\15.0\Bin |
Чтение, выполнение |
Нет |
Это каталог установки двоичных файлов SharePoint 2013. Если его удалить или изменить, все функции SharePoint 2013 перестанут работать. |
Все учетные записи служб SharePoint 2013
В таблице ниже перечислены все разрешения файловой системы для учетных записей служб SharePoint 2013.
| Путь к файловой системе | Разрешения | Наследование | Описание |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
Изменить |
Нет |
В этом каталоге находятся журналы трассировки установки и времени выполнения. Если его изменить, функция сбора данных диагностики не будет нормально работать. Все учетные записи служб SharePoint 2013 должны иметь разрешение на запись в этот каталог. |