Autorisations de compte et paramètres de sécurité dans SharePoint Server 2016
**Sapplique à :**SharePoint Server 2016
**Dernière rubrique modifiée :**2017-09-08
**Résumé :**Découvrez les autorisations et les paramètres de sécurité à utiliser avec un déploiement de SharePoint Server 2016.
Cet article décrit les autorisations de comptes d’administration et de services SharePoint. Il traite des sujets suivants : Microsoft SQL Server, le système de fichiers, les partages de fichiers et les entrées de Registre.
Important
N’utilisez pas de nom de compte de service contenant le symbole $.
Contenu de cet article :
À propos des autorisations de compte et des paramètres de sécurité
Comptes dֹ’administration SharePoint
Comptes d’applications de service SharePoint
Rôles de base de données
Autorisations de groupes
À propos des autorisations de compte et des paramètres de sécurité dans SharePoint Server 2016
Une grande partie des autorisations de compte de base et des paramètres de sécurité SharePoint sont configurés par l’Assistant Configuration des produits SharePoint (Psconfig) et l’Assistant Configuration de batterie, qui sont tous deux exécutés durant une installation complète.
Comptes dֹ’administration SharePoint
La plupart des autorisations de compte d’administration SharePoint Server sont configurées automatiquement durant le processus d’installation par l’un des composants SharePoint suivants :
L’Assistant Configuration des produits SharePoint (Psconfig) ;
l’Assistant Configuration de batterie ;
le site web SharePoint le site Web Administration centrale de SharePoint ;
Microsoft PowerShell.
Compte d’administrateur d’utilisateurs du programme d’installation
Ce compte permet de configurer chaque serveur de votre batterie en exécutant l’Assistant Configuration des produits SharePoint, l’Assistant Configuration de batterie initial et PowerShell. Pour les exemples présentés dans cet article, le compte d’administrateur d’utilisateurs du programme d’installation est utilisé pour l’administration des batteries et peut être géré à l’aide de l’Administration centrale. Certaines options de configuration (par exemple, configuration du serveur de requête du service Recherche SharePoint Server 2016) nécessitent des autorisations d’administration locale. Le compte d’administrateur d’utilisateurs du programme d’installation nécessite les autorisations suivantes :
Il doit détenir des autorisations de compte d’utilisateur de domaine.
Il doit être membre du groupe d’administrateurs local sur chaque serveur de la batterie de serveurs SharePoint.
Il doit avoir accès aux bases de données SharePoint.
Si vous utilisez des opérations PowerShell qui affectent une base de données, le compte d’administrateur d’utilisateurs du programme d’installation doit être membre du rôle db_owner.
Il doit être attribué aux rôles de sécurité SQL Serversecurityadmin et dbcreator durant l’installation et la configuration.
Notes
Les rôles de sécurité SQL Serversecurityadmin et dbcreator peuvent être requis pour ce compte durant une mise à niveau de version à version complète, car il peut être nécessaire de créer et sécuriser de nouvelles bases de données pour des services.
Une fois que vous avez exécuté les Assistants de configuration, les autorisations au niveau de l’ordinateur pour le compte d’administrateur d’utilisateurs du programme d’installation sont les suivantes :
appartenance au groupe de sécurité Windows WSS_ADMIN_WPG ;
appartenance au rôle IIS_WPG.
Une fois que vous avez exécuté les Assistants de configuration, les autorisations de base de données sont les suivantes :
db_owner sur la base de données de configuration de la batterie de serveurs SharePoint ;
db_owner sur la base de données de contenu de l’Administration centrale SharePoint.
Avertissement
Il en va de même si vous exécutez ces Assistants à l’aide d’un compte qui ne dispose pas de l’appartenance au rôle SQL Server spécial appropriée ou qui ne dispose pas de l’accès db_owner sur les bases de données.
Compte de service de batterie SharePoint
Le compte de la batterie de serveurs, qui est également appelé compte d’accès à la base de données, est utilisé comme identité du pool d’applications pour l’Administration centrale et comme compte de processus pour le service du minuteur SharePoint Foundation 2013. Le compte de la batterie de serveurs requiert les autorisations suivantes :
- Il doit détenir des autorisations de compte d’utilisateur de domaine.
Des autorisations supplémentaires sont automatiquement accordées au compte de la batterie de serveurs sur les serveurs web et les serveurs d’applications qui sont joints à une batterie de serveurs.
Après avoir exécuté le programme d’installation, les autorisations au niveau de l’ordinateur sont les suivantes :
appartenance au groupe de sécurité Windows WSS_ADMIN_WPG pour le service Minuteur SharePoint Foundation 2013 ;
appartenance à WSS_RESTRICTED_WPG pour les pools d’applications du service Minuteur et Administration centrale ;
appartenance à WSS_WPG pour le pool d’applications Administration centrale.
Une fois que vous avez exécuté les Assistants de configuration, les autorisations SQL Server et de base de données sont les suivantes :
rôle serveur fixe Dbcreator ;
rôle serveur fixe Securityadmin ;
db_owner pour toutes les bases de données SharePoint ;
appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données de configuration de batterie de serveurs SharePoint ;
appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données de contenu SharePoint_Admin.
Comptes d’applications de service SharePoint
Cette section décrit les comptes d’applications de service configurés par défaut durant l’installation.
Comptes de pool d’applications
Le compte de pool d’applications est utilisé pour l’identité du pool d’applications. Il requiert les paramètres de configuration d’autorisation suivants :
L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : le compte du pool d’applications est membre de WSS_WPG.
Les autorisations SQL Server et de base de données suivantes pour ce compte sont configurées automatiquement :
Les comptes de pool d’applications pour les applications web sont affectés au rôle SP_DATA_ACCESS pour les bases de données de contenu.
affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;
affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.
Compte d’accès au contenu par défaut
Important
Les informations dans cette section s’appliquent uniquement à SharePoint Server 2016.
Le compte d’accès au contenu par défaut est utilisé dans une application de service spécifique pour analyser du contenu, sauf si une méthode d’authentification différente est spécifiée par une règle d’analyse pour une URL ou un modèle d’URL. Ce compte requiert les paramètres de configuration d’autorisation suivants :
Le compte d’accès au contenu par défaut doit être un compte d’utilisateur de domaine qui dispose d’un accès en lecture aux sources de contenu externes ou sécurisées que vous souhaitez analyser en utilisant ce compte.
Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, vous devez explicitement lui accorder les autorisations de lecture totale sur les applications web qui hébergent les sites.
Il ne doit pas être membre du groupe Administrateurs de batterie.
Comptes d’accès au contenu
Important
Les informations dans cette section s’appliquent uniquement à SharePoint Server 2016.
Les comptes d’accès au contenu sont configurés pour accéder au contenu à l’aide de la fonctionnalité de règles d’analyse d’administration de recherche. Ce type de compte est facultatif et peut être configuré lorsque vous créez une règle d’analyse. Par exemple, du contenu externe (tel qu’un partage de fichiers) peut exiger ce compte d’accès au contenu distinct. Ce compte requiert les paramètres de configuration d’autorisation suivants :
Il doit disposer d’un accès en lecture aux sources de contenu externes ou sécurisées dont l’accès lui est associé.
Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, vous devez explicitement lui accorder les autorisations de lecture totale sur les applications web qui hébergent les sites.
Compte de pool d’applications Mes sites
Important
Les informations dans cette section s’appliquent uniquement à SharePoint Server 2016.
Le compte de pool d’applications Mes sites doit être un compte d’utilisateur de domaine. Ce compte ne doit pas être membre du groupe Administrateurs de batterie.
L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : ce compte est membre de WSS_WPG.
Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :
affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;
affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.
Les comptes de pool d’applications pour les applications web sont affectés au rôle SP_DATA_ACCESS pour les bases de données de contenu.
Autres comptes de pool d’applications
L’autre compte de pool d’applications doit être un compte d’utilisateur de domaine. Ce compte ne doit être membre du groupe Administrateurs sur aucun ordinateur de la batterie de serveurs.
L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : ce compte est membre de WSS_WPG.
Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :
affectation de ce compte au rôle SP_DATA_ACCESS pour les bases de données de contenu ;
affectation de ce compte au rôle SP_DATA_ACCESS pour la base de données de recherche associé à l’application web ;
ce compte doit disposer d’un accès en lecture et en écriture à la base de données d’application de service associée ;
affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;
affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.
Rôles de base de données SharePoint
Cette section décrit les rôles de base de données qui sont configurés par défaut durant l’installation ou qui peuvent être configurés de façon facultative.
Rôle de base de données WSS_CONTENT_APPLICATION_POOLS
Le rôle de base de données WSS_CONTENT_APPLICATION_POOLS s’applique au compte de pool d’applications pour chaque application web enregistrée dans une batterie SharePoint. Cela permet aux applications web d’interroger et de mettre à jour la carte de site, et de disposer d’un accès en lecture seule à d’autres éléments dans la base de données de configuration. Le programme d’installation attribue le rôle WSS_CONTENT_APPLICATION_POOLS aux bases de données suivantes :
base de données SharePoint_Config (base de données de configuration) ;
base de données SharePoint_AdminContent.
Les membres du rôle WSS_CONTENT_APPLICATION_POOLS bénéficient de l’autorisation d’exécution sur un sous-ensemble des procédures stockées de la base de données. En outre, ils bénéficient également de l’autorisation de sélection sur la table des versions (dbo.Versions) de la base de données SharePoint_AdminContent. Pour les autres bases de données, l’outil de planification des comptes indique que l’accès pour lire ces bases de données est automatiquement configuré. Dans certains cas, un accès limité pour écrire dans une base de données est également automatiquement configuré. Pour assurer cet accès, des autorisations sont configurées pour les procédures stockées.
Rôle de base de données WSS_SHELL_ACCESS
Le rôle de base de données WSS_SHELL_ACCESS sur la base de données de configuration remplace la nécessité d’ajouter un compte d’administration comme db_owner sur la base de données de configuration. Par défaut, le compte d’installation est affecté au rôle de base de données WSS_SHELL_ACCESS. L’appartenance à ce rôle est accordée et supprimée au moyen d’une commande PowerShell. Le programme d’installation assigne le rôle WSS_SHELL_ACCESS aux bases de données suivantes :
base de données SharePoint_Config (base de données de configuration) ;
une ou plusieurs des bases de données de contenu SharePoint. Ceci est configurable à l’aide de la commande PowerShell qui gère l’appartenance, et à l’aide de l’objet assigné à ce rôle.
Les membres du rôle WSS_SHELL_ACCESS bénéficient de l’autorisation d’exécution pour toutes les procédures stockées de la base de données. De plus, les membres de ce rôle bénéficient d’autorisations de lecture et écriture sur toutes les tables de bases de données.
Rôle de base de données SP_READ_ONLY
Le rôle SP_READ_ONLY doit être utilisé pour définir la base de données sur le mode Lecture seule au lieu d’utiliser sp_dboption. Comme son nom l’indique, ce rôle doit être utilisé lorsque seul l’accès en lecture seule est requis pour les données telles que les données d’utilisation et de télémétrie.
Notes
La procédure stockée sp_dboption n’est pas disponible dans SQL Server 2012. Pour plus d’informations sur sp_dboption, voir sp_dboption (Transact-SQL).
Le rôle SQL SP_READ_ONLY disposera des autorisations suivantes :
octroi de SELECT sur toutes les procédures stockées et fonctions SharePoint ;
octroi de SELECT sur toutes les tables SharePoint ;
octroi d’EXECUTE sur le type défini par l’utilisateur lorsque le schéma DBO est utilisé ;
Rôle de base de données SP_DATA_ACCESS
Le rôle SP_DATA_ACCESS est défini par défaut pour l’accès aux bases de données et doit être utilisé pour l’accès de niveau modèle d’objet aux bases de données. Ajoutez le compte de pool d’applications à ce rôle lors des mises à niveau ou de l’exécution de nouveaux déploiements.
Notes
Le rôle SP_DATA_ACCESS a remplacé le rôle db_owner dans SharePoint Server 2016.
Le rôle SP_DATA_ACCESS disposera des autorisations suivantes :
octroi d’EXECUTE ou de SELECT sur toutes les procédures stockées et fonctions SharePoint ;
octroi de SELECT sur toutes les tables SharePoint ;
octroi d’EXECUTE sur le type défini par l’utilisateur lorsque le schéma DBO est utilisé ;
octroi d’INSERT sur la table AllUserDataJunctions ;
octroi d’UPDATE sur la vue Sites ;
octroi d’UPDATE sur la vue UserData ;
octroi d’UPDATE sur la table AllUserData ;
octroi d’INSERT et DELETE sur la table NameValuePair ;
octroi de l’autorisation de création de tables.
Autorisations de groupes
Cette section décrit les autorisations des groupes créés par les outils d’installation et de configuration de SharePoint Server 2016.
WSS_ADMIN_WPG
WSS_ADMIN_WPG dispose d’un accès en lecture et écriture aux ressources locales. Les comptes de pool d’applications pour les services Administration centrale et Minuteur sont dans WSS_ADMIN_WPG. Le tableau suivant montre les autorisations d’entrée de Registre WSS_ADMIN_WPG.
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
Contrôle total |
Non applicable |
Non applicable |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration\{90150000-110D-0000-1000-0000000FF1CE} |
Lecture, écriture |
Non applicable |
Non applicable |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
Lecture |
Non |
Cette clé est la racine de l’arborescence des paramètres du Registre SharePoint Server 2016. Si elle est modifiée, les fonctionnalités SharePoint Server 2016 échouent. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 |
Contrôle total |
Non |
Cette clé est la racine des paramètres du Registre SharePoint Server 2016. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
Lecture, écriture |
Non |
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
Lecture, écriture |
Non |
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search |
Contrôle total |
Non applicable |
Non applicable |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search |
Contrôle total |
Non applicable |
Non applicable |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Contrôle total |
Non |
Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si elle est modifiée, l’installation de SharePoint Server 2016 sur l’ordinateur échoue. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Contrôle total |
Oui |
Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers WSS_ADMIN_WPG.
| Chemin d’accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Contrôle total |
Non |
Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé. |
C:\Inetpub\wwwroot\wss |
Contrôle total |
Non |
Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Les sites SharePoint sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d’accès aux sites web IIS personnalisés ne soient fournis pour tous les sites web IIS étendus avec SharePoint Server 2016. |
%ProgramFiles%\Microsoft Office Servers\16.0 |
Contrôle total |
Non |
Ce répertoire est l’emplacement d’installation pour les données et les fichiers binaires SharePoint Server 2016. Le répertoire peut être modifié au cours de l’installation. Toutes les fonctionnalités SharePoint Server 2016 échouent si ce répertoire est supprimé, modifié ou supprimé après l’installation. L’appartenance au groupe de sécurité Windows WSS_ADMIN_WPG est requise pour que certains services SharePoint Server 2016 puissent stocker des données sur le disque. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices |
Lecture, écriture |
Non |
Ce répertoire est le répertoire racine où les services web principaux sont hébergés, par exemple Excel et Search. Les fonctionnalités SharePoint Server 2016 qui dépendent de ces services échouent si ce répertoire est supprimé ou modifié. |
%ProgramFiles%\Microsoft Office Servers\16.0\Data |
Contrôle total |
Non |
Ce répertoire est l’emplacement racine où les données locales sont stockées, y compris les index de recherche. La fonctionnalité de recherche échoue si ce répertoire est supprimé ou modifié. Les autorisations de groupe de sécurité Windows WSS_ADMIN_WPG sont requises pour que la recherche puisse enregistrer et sécuriser les données dans ce dossier. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
Contrôle total |
Oui |
Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Les fonctionnalités de journalisation ne fonctionnent pas correctement si ce répertoire est supprimé ou modifié. |
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server |
Contrôle total |
Oui |
Identique au dossier parent. |
%windir%\System32\drivers\etc\HOSTS |
Lecture, écriture |
Non applicable |
Non applicable |
%windir%\Tasks |
Contrôle total |
Non applicable |
Non applicable |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 |
Modification |
Oui |
Ce répertoire est le répertoire d’installation des fichiers SharePoint Server 2016 principaux. Si la liste de contrôle d’accès (ACL) est modifiée, l’activation des fonctionnalités, le déploiement des solutions et d’autres fonctionnalités ne fonctionnent pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Contrôle total |
Oui |
Ce répertoire contient les services SOAP pour l’Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Contrôle total |
Oui |
Ce répertoire contient des fichiers utilisés pour étendre les sites web IIS avec SharePoint Server 2016. Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Contrôle total |
Non |
Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
%windir%\temp |
Contrôle total |
Oui |
Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server 2016. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer. |
%windir%\System32\logfiles\SharePoint |
Contrôle total |
Non |
Ce répertoire est utilisé par la journalisation de l’utilisation de SharePoint Server. S’il est modifié, la journalisation de l’utilisation ne fonctionne pas correctement. Cette clé de Registre s’applique uniquement à SharePoint Server. |
Dossier %systemdrive\program files\Microsoft Office Servers\16 sur les serveurs d’index |
Contrôle total |
Non applicable |
Cette autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\16 sur les serveurs d’index. |
WSS_WPG
WSS_WPG dispose d’un accès en lecture aux ressources locales. Tous les comptes de services et pools d’applications sont dans WSS_WPG. Le tableau suivant montre les autorisations d’entrée de Registre WSS_WPG.
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 |
Lecture |
Non |
Cette clé est la racine des paramètres du Registre SharePoint Server 2016. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics |
Lecture, écriture |
Non |
Cette clé contient des paramètres pour la journalisation des diagnostics SharePoint Server 2016. Sa modification altère la fonctionnalité de journalisation. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
Lecture, écriture |
Non |
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
Lecture, écriture |
Non |
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Lecture |
Non |
Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si elle est modifiée, l’installation de SharePoint Server 2016 sur l’ordinateur échoue. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Lecture |
Oui |
Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers WSS_WPG.
| Chemin d’accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Lecture |
Non |
Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé. |
C:\Inetpub\wwwroot\wss |
Lecture, exécution |
Non |
Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Les sites SharePoint sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d’accès aux sites web IIS personnalisés ne soient fournis pour tous les sites web IIS étendus avec SharePoint Server 2016. |
%ProgramFiles%\Microsoft Office Servers\16.0 |
Lecture, exécution |
Non |
Ce répertoire est l’emplacement d’installation pour les données et les fichiers binaires SharePoint Server 2016. Il peut être modifié au cours de l’installation. Toutes les fonctionnalités SharePoint Server 2016 échouent si ce répertoire est supprimé, modifié ou déplacé après l’installation. Les autorisations de lecture et d’exécution WSS_WPG sont requises pour que les sites IIS puissent charger les fichiers binaires SharePoint Server 2016. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices |
Lecture |
Non |
Ce répertoire est le répertoire racine où les services web principaux sont hébergés, par exemple Excel et Search. Les fonctionnalités SharePoint Server 2016 qui dépendent de ces services échouent si ce répertoire est supprimé ou modifié. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
Lecture, écriture |
Oui |
Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Les fonctionnalités de journalisation ne fonctionnent pas correctement si ce répertoire est supprimé ou modifié. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Lecture |
Oui |
Ce répertoire contient les services SOAP pour l’Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Lecture |
Oui |
Ce répertoire contient des fichiers utilisés pour étendre les sites web IIS avec SharePoint Server 2016. Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Modification |
Non |
Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
%windir%\temp |
Lecture |
Oui |
Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server 2016. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer. |
%windir%\System32\logfiles\SharePoint |
Lecture |
Non |
Ce répertoire est utilisé par la journalisation de l’utilisation de SharePoint Server. S’il est modifié, la journalisation de l’utilisation ne fonctionne pas correctement. La clé de Registre s’applique uniquement à SharePoint Server. |
%systemdrive\program files\Microsoft Office Servers\16 |
Lecture, exécution |
Non applicable |
L’autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\16 sur les serveurs d’index. |
Service local
Le tableau suivant montre l’autorisation d’entrée de Registre du service local :
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
Lecture |
Non |
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
Le tableau suivant montre l’autorisation de système de fichiers du service local :
| Chemin d’accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0\Bin |
Lecture, exécution |
Non |
Ce répertoire est l’emplacement d’installation des fichiers binaires SharePoint Server 2016. Toutes les fonctionnalités SharePoint Server 2016 échouent si ce répertoire est supprimé ou modifié. |
Système local
Le tableau suivant montre les autorisations d’entrée de Registre du système local :
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
Lecture |
Non |
Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. Cette clé de Registre s’applique uniquement à SharePoint Server. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Contrôle total |
Non |
Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si elle est modifiée, l’installation de SharePoint Server 2016 sur l’ordinateur échoue. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
Contrôle total |
Non |
Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Contrôle total |
Oui |
Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers local :
| Chemin d’accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Contrôle total |
Non |
Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et des actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé. |
C:\Inetpub\wwwroot\wss |
Contrôle total |
Non |
Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Les sites SharePoint sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d’accès aux sites web IIS personnalisés ne soient fournis pour tous les sites web IIS étendus avec SharePoint Server 2016. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Contrôle total |
Oui |
Ce répertoire contient les services SOAP pour l’Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Contrôle total |
Oui |
Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Contrôle total |
Non |
Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
%windir%\temp |
Contrôle total |
Oui |
Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server 2016. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer. |
%windir%\System32\logfiles\SharePoint |
Contrôle total |
Non |
Ce répertoire est utilisé par SharePoint Server pour la journalisation de l’utilisation. S’il est modifié, la journalisation de l’utilisation ne fonctionne pas correctement. Cette clé de Registre s’applique uniquement à SharePoint Server. |
Service réseau
Le tableau suivant montre l’autorisation d’entrée de Registre du service réseau :
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup |
Lecture |
Non applicable |
Non applicable |
Administrateurs
Le tableau suivant montre les autorisations d’entrée de Registre des administrateurs.
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Contrôle total |
Non |
Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si elle est modifiée, l’installation de SharePoint Server 2016 sur l’ordinateur échoue. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
Contrôle total |
Non |
Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Contrôle total |
Oui |
Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers des administrateurs :
| Chemin d’accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Contrôle total |
Non |
Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et des actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé. |
C:\Inetpub\wwwroot\wss |
Contrôle total |
Non |
Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Les sites SharePoint sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d’accès aux sites web IIS personnalisés ne soient fournis pour tous les sites web IIS étendus avec SharePoint Server 2016. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Contrôle total |
Oui |
Ce répertoire contient les services SOAP pour l’Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Contrôle total |
Oui |
Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Contrôle total |
Non |
Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
%windir%\temp |
Contrôle total |
Oui |
Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server 2016. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer. |
%windir%\System32\logfiles\SharePoint |
Contrôle total |
Non |
Ce répertoire est utilisé par SharePoint Server pour la journalisation de l’utilisation. S’il est modifié, la journalisation de l’utilisation ne fonctionne pas correctement. Cette clé de Registre s’applique uniquement à SharePoint Server. |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG peut lire l’entrée de Registre d’informations d’identification d’administration de batterie chiffrée. WSS_RESTRICTED_WPG sert uniquement au chiffrement et au déchiffrement des mots de passe stockés dans la base de données de configuration. Le tableau suivant montre les autorisations d’entrée de Registre WSS_RESTRICTED_WPG.
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
Contrôle total |
Non |
Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent. |
Groupe Utilisateurs
Le tableau suivant montre les autorisations de système de fichiers du groupe Utilisateurs :
| Chemin d’accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0 |
Lecture, exécution |
Non |
Ce répertoire est l’emplacement d’installation pour les données et les fichiers binaires SharePoint Server 2016. Il peut être modifié au cours de l’installation. Toutes les fonctionnalités SharePoint Server 2016 échouent si ce répertoire est supprimé, modifié ou déplacé après l’installation. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root |
Lecture, exécution |
Non |
Ce répertoire est le répertoire racine où les services web racine principaux sont hébergés. Le seul service initialement installé dans ce répertoire est un service d’administration global de recherche. Certaines des fonctionnalités d’administration de recherche utilisées par le biais de la page des paramètres de recherche de l’Administration centrale spécifique au serveur ne fonctionnent pas si ce répertoire est supprimé ou modifié. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
Lecture, écriture |
Oui |
Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. La journalisation ne fonctionne pas correctement si ce répertoire est supprimé ou modifié. |
%ProgramFiles%\Microsoft Office Servers\16.0\Bin |
Lecture, exécution |
Non |
Ce répertoire est l’emplacement d’installation des fichiers binaires SharePoint Server 2016. Toutes les fonctionnalités SharePoint Server 2016 échouent si ce répertoire est supprimé ou modifié. |
Tous les comptes de service SharePoint Server 2016
Le tableau suivant montre l’autorisation de système de fichier de tous les comptes de service SharePoint Server 2016 :
| Chemin d’accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Modification |
Non |
Ce répertoire contient les journaux de suivi d’installation et d’exécution. S’il est modifié, la journalisation des diagnostics ne fonctionne pas correctement. Tous les comptes de service SharePoint Server 2016 doivent disposer de l’autorisation d’écriture dans ce répertoire. |