Autorizzazioni e impostazioni di sicurezza per gli account (SharePoint Server 2010)
Si applica a: SharePoint Server 2010
Ultima modifica dell'argomento: 2016-11-30
In questo articolo:
Informazioni sulle autorizzazioni e le impostazioni di sicurezza per gli account
Account amministrativi
Account delle applicazioni di servizio
Ruoli di database
Autorizzazioni per i gruppi
In questo articolo vengono illustrate le autorizzazioni disponibili per gli account amministrativi e di servizio di Microsoft SharePoint Server 2010, relativamente a Microsoft SQL Server, file system, condivisioni di file e voci del Registro di sistema.
Informazioni sulle autorizzazioni e le impostazioni di sicurezza per gli account
Molte delle autorizzazioni e delle impostazioni di sicurezza per gli account di base di SharePoint Server 2010 vengono configurate tramite la Configurazione guidata Prodotti SharePoint (Psconfig) e la Configurazione guidata farm, entrambe eseguite durante un'installazione Completa.
Account amministrativi
La maggior parte delle autorizzazioni per gli account amministrativi di SharePoint Server 2010 viene configurata automaticamente durante il processo di installazione tramite uno dei componenti di SharePoint Server 2010 seguenti:
La Configurazione guidata Prodotti SharePoint (Psconfig).
La Configurazione guidata farm.
Il sito Web Amministrazione centrale SharePoint.
Windows PowerShell.
Account utente Setup
Questo account viene utilizzato per configurare i singoli server della farm tramite la Configurazione guidata Prodotti SharePoint, la Configurazione guidata farm iniziale e Windows PowerShell. Negli esempi di questo articolo viene utilizzato l'account utente Setup per l'amministrazione della farm, che può essere gestito tramite Amministrazione centrale. Per alcune opzioni di configurazione sono necessarie autorizzazioni di amministratore locale, ad esempio per la configurazione del server di query di ricerca di SharePoint Server 2010. Per l'account utente Setup sono necessarie le autorizzazioni seguenti:
Deve disporre delle autorizzazioni per l'account utente di dominio.
Deve essere membro del gruppo Administrators locale di ogni server nella farm di SharePoint Server 2010, ad eccezione di SQL Server e del server SMTP (Simple Mail Transfer Protocol).
Deve disporre dell'accesso ai database di SharePoint Server 2010.
Se si eseguono operazioni di Windows PowerShell che hanno effetto su un database, l'account utente Setup deve essere membro del ruolo db_owner.
Deve essere assegnato ai ruoli di sicurezza securityadmin e dbcreator di SQL Server durante l'installazione e la configurazione.
Nota
I ruoli di sicurezza securityadmin e dbcreator di SQL Server possono essere necessari per questo account durante un aggiornamento completo da versione a versione poiché è possibile che i nuovi database debbano essere creati e protetti per i servizi.
Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di computer per l'account utente Setup includono:
Appartenenza al gruppo di sicurezza WSS_ADMIN_WPG di Windows.
Appartenenza al ruolo IIS_WPG.
Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di database includono:
Appartenenza al ruolo db_owner per il database di configurazione della server farm di SharePoint Server 2010.
Appartenenza al ruolo db_owner per il database del contenuto di Amministrazione centrale di SharePoint Server 2010.
Avviso
Se l'account utente Setup viene rimosso come account di accesso dal computer in cui viene eseguito SQL Server, le configurazioni guidate non verranno eseguite correttamente. Se per l'esecuzione delle configurazioni guidate si utilizza un account che non dispone dell'appartenenza al ruolo SQL speciale appropriato o dell'accesso come db_owner ai database, le configurazioni guidate non verranno eseguite correttamente.
Account servizio farm
L'account server farm è denominato anche account di accesso al database e viene utilizzato come identità del pool di applicazioni per Amministrazione centrale e come account di processo per il servizio Timer di Microsoft SharePoint Foundation 2010. Per l'account server farm sono necessarie le autorizzazioni seguenti:
- Deve disporre delle autorizzazioni per l'account utente di dominio.
All'account server farm vengono automaticamente concesse ulteriori autorizzazioni nei server Web e nei server applicazioni aggiunti a una server farm.
Dopo l'esecuzione della Configurazione guidata Prodotti SharePoint, le autorizzazioni a livello di computer includono:
Appartenenza al gruppo di sicurezza WSS_ADMIN_WPG di Windows per il servizio Timer di SharePoint Foundation 2010.
Appartenenza a WSS_RESTRICTED_WPG per i pool di applicazioni di Amministrazione centrale e del servizio timer.
Appartenenza a WSS_WPG per il pool di applicazioni di Amministrazione centrale.
Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di SQL Server e di database includono:
Ruolo predefinito del server dbcreator.
Ruolo predefinito del server securityadmin.
Ruolo db_owner per tutti i database di SharePoint Server 2010.
Appartenenza al ruolo WSS_CONTENT_APPLICATION_POOLS per il database di configurazione della server farm di SharePoint Server 2010.
Appartenenza al ruolo WSS_CONTENT_APPLICATION_POOLS per il database del contenuto SharePoint_Admin di SharePoint Server 2010.
Account del servizio di ricerca di Microsoft SharePoint Foundation 2010
L'account del servizio di ricerca di SharePoint Foundation 2010 viene utilizzato come account di servizio per il servizio di ricerca di SharePoint Foundation 2010. Per l'account del servizio di ricerca di SharePoint Foundation 2010 sono necessarie le impostazioni di configurazione seguenti relative alle autorizzazioni:
- L'account deve disporre delle autorizzazioni per l'account utente di dominio.
Viene automaticamente configurata un'autorizzazione a livello di computer che imposta questo account come membro di WSS_WPG.
Vengono concesse le autorizzazioni database e SQL Server seguenti per appartenenza al ruolo WSS_CONTENT_APPLICATION_POOLS nel database di configurazione della server farm:
Accesso in lettura al database di configurazione della server farm.
Accesso in lettura al database SharePoint_AdminContent.
A questo account viene assegnato il ruolo db_owner per il database di ricerca di SharePoint Foundation 2010.
Account di accesso al contenuto del servizio di ricerca di Microsoft SharePoint Foundation 2010
L'account di accesso al contenuto del servizio di ricerca di SharePoint Foundation 2010 viene utilizzato dal servizio di ricerca di SharePoint Foundation 2010 per sottoporre a ricerca per indicizzazione il contenuto dei siti. Per l'account di accesso al contenuto del servizio di ricerca di SharePoint Foundation 2010 sono necessarie le impostazioni di configurazione seguenti relative alle autorizzazioni:
Questo account deve disporre delle autorizzazioni per l'account utente di dominio.
Questo account non deve essere membro del gruppo Amministratori farm.
Le autorizzazioni per SQL Server e il database vengono configurate automaticamente:
Accesso in lettura al database di configurazione della server farm.
Accesso in lettura al database SharePoint_AdminContent.
Questo account viene assegnato al ruolo db_owner per il database di ricerca di SharePoint Foundation 2010.
In tutte le applicazioni Web viene creato un criterio Lettura completa per l'account di accesso al contenuto del servizio di ricerca di SharePoint Foundation 2010.
Account delle applicazioni di servizio
In questa sezione vengono descritti gli account delle applicazioni di servizio che vengono configurati per impostazione predefinita durante l'installazione.
Account del pool di applicazioni
L'account del pool di applicazioni viene utilizzato come identità del pool di applicazioni. Per l'account del pool di applicazioni sono necessarie le impostazioni di configurazione seguenti relative alle autorizzazioni:
Viene automaticamente configurata un'autorizzazione a livello di computer che imposta questo account come membro di WSS_WPG.
Per questo account vengono automaticamente configurate le seguenti autorizzazioni relative a SQL Server e ai database:
Gli account dei pool di applicazioni per le applicazioni Web vengono assegnati al ruolo db_owner per i database del contenuto.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database SharePoint_AdminContent.
Account del servizio di ricerca di SharePoint Server
L'account del servizio di ricerca di SharePoint Server 2010 viene utilizzato come account di servizio per il servizio di ricerca di SharePoint Server 2010. Il servizio di ricerca di SharePoint Server 2010 è un servizio di Windows NT utilizzato da tutte le applicazioni del servizio di ricerca. Esiste una sola istanza di questo servizio per ogni server. Per l'account del servizio di ricerca di SharePoint Server 2010 è necessario specificare l'impostazione di configurazione relativa alle autorizzazioni che concede a tale account l'accesso alle condivisioni del percorso di propagazione in tutti i server di query di ricerca di una farm.
Viene automaticamente configurata un'autorizzazione a livello di computer che imposta l'account del servizio di ricerca di SharePoint Server 2010 come membro di WSS_WPG.
Le autorizzazioni per SQL Server e il database vengono configurate automaticamente:
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database SharePoint_AdminContent.
Account di accesso al contenuto predefinito
L'account di accesso al contenuto predefinito viene utilizzato con un'applicazione di servizio specifica per eseguire la ricerca per indicizzazione del contenuto, a meno che non sia presente una regola di ricerca per indicizzazione che specifica un metodo di autenticazione diverso per un determinato URL o formato URL. Per questo account è necessario specificare le impostazioni di configurazione seguenti relative alle autorizzazioni:
L'account di accesso al contenuto predefinito deve essere un account utente di dominio dotato di accesso in lettura alle origini di contenuto esterne o protette da sottoporre a ricerca per indicizzazione tramite tale account.
Per i siti di SharePoint Server che non fanno parte della server farm, è necessario concedere esplicitamente all'account autorizzazioni di lettura completa per le applicazioni Web che ospitano i siti.
Questo account non deve essere membro del gruppo Amministratori farm.
Account di accesso al contenuto
Gli account di accesso al contenuto sono account che vengono configurati per consentire l'accesso al contenuto tramite la funzionalità delle regole di ricerca per indicizzazione dell'amministrazione del servizio di ricerca. Questo tipo di account è facoltativo e può essere configurato quando si crea una nuova regola di ricerca per indicizzazione. Questo account di accesso al contenuto separato può essere necessario ad esempio per accedere a contenuto esterno quale una condivisione di file. Per questo account è necessario specificare le impostazioni di configurazione seguenti relative alle autorizzazioni:
L'account di accesso al contenuto deve avere accesso in lettura alle origini di contenuto esterne o protette per cui è configurato.
Per i siti di SharePoint Server che non fanno parte della server farm, è necessario concedere esplicitamente all'account autorizzazioni di lettura completa per le applicazioni Web che ospitano i siti.
Account di servizio automatico di Excel Services
L'account di servizio automatico di Excel Services viene utilizzato da Excel Services per connettersi a origini dati esterne per cui è necessario specificare nome utente e password e che utilizzano sistemi operativi diversi da Windows per l'autenticazione. Se tale account non è configurato, Excel Services non tenterà di connettersi a origini dati di questi tipo. Sebbene per l'accesso alle origini dati basate su sistemi operativi diversi da Windows vengano utilizzate le credenziali di questo account, se l'account non è membro del dominio Excel Services non sarà in grado di effettuare l'accesso. Questo account deve essere un account utente di dominio.
Account del pool di applicazioni dei siti personali
L'account del pool di applicazioni dei siti personali deve essere un account utente di dominio e non deve essere membro del gruppo Amministratori farm.
Viene automaticamente configurata un'autorizzazione a livello di computer che imposta questo account come membro di WSS_WPG.
Le autorizzazioni per SQL Server e il database vengono configurate automaticamente:
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database SharePoint_AdminContent.
Account degli altri pool di applicazioni
L'account degli altri pool di applicazioni deve essere un account utente di dominio e non deve essere membro del gruppo Administrators di alcun computer nella server farm.
Viene automaticamente configurata un'autorizzazione a livello di computer che imposta questo account come membro di WSS_WPG.
Le autorizzazioni per SQL Server e il database vengono configurate automaticamente:
Questo account viene assegnato al ruolo db_owner per i database del contenuto.
Questo account viene assegnato al ruolo db_owner per i database di ricerca associati all'applicazione Web.
L'account deve disporre dell'accesso in lettura e scrittura al database applicazioni del servizio associato.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database SharePoint_AdminContent.
Ruoli di database
In questa sezione vengono descritti i ruoli di database che vengono configurati per impostazione predefinita durante l'installazione o che possono essere configurati facoltativamente.
Ruolo del database WSS_CONTENT_APPLICATION_POOLS
Il ruolo del database WSS_CONTENT_APPLICATION_POOLS si applica all'account del pool di applicazioni per ogni applicazione Web registrata in SharePoint. Consente alle applicazioni Web di eseguire query e aggiornamenti della mappa del sito e di disporre dell'accesso in sola lettura ad altri elementi del database di configurazione. Il programma di installazione assegna il ruolo WSS_CONTENT_APPLICATION_POOLS ai database seguenti:
Database SharePoint_Config (database di configurazione).
Database SharePoint_AdminContent.
Ai membri del ruolo WSS_CONTENT_APPLICATION_POOLS viene concessa l'autorizzazione di esecuzione per un sottoinsieme delle stored procedure del database, oltre all'autorizzazione SELECT per la tabella delle versioni (dbo.Versions) del database SharePoint_AdminContent. Per gli altri database, lo strumento di pianificazione degli account indica che l'accesso in lettura a tali database viene configurato automaticamente. In alcuni casi, viene automaticamente configurato anche un diritto di accesso limitato per la scrittura in un database. Per garantire tale tipo di accesso vengono configurate autorizzazioni per le stored procedure. Per il database SharePoint_Config, ad esempio, viene automaticamente configurato l'accesso per le stored procedure seguenti:
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
Ruolo del database WSS_SHELL_ACCESS
Grazie al ruolo del database WSS_SHELL_ACCESS sicuro nel database di configurazione non è necessario aggiungere un account di amministrazione come db_owner nel database di configurazione. Per impostazione predefinita, al ruolo del database WSS_SHELL_ACCESS viene assegnato l'account Setup. L'appartenenza a questo ruolo viene concessa e rimossa tramite un comando di Windows PowerShell. Il programma di installazione assegna il ruolo WSS_SHELL_ACCESS ai database seguenti:
Database SharePoint_Config (database di configurazione).
Uno o più database del contenuto di SharePoint. L'assegnazione è configurabile tramite il comando di Windows PowerShell che gestisce le appartenenze e tramite l'oggetto assegnato a questo ruolo.
Ai membri del ruolo WSS_SHELL_ACCESS viene concessa l'autorizzazione di esecuzione di tutte le stored procedure del database, nonché le autorizzazioni di lettura e scrittura in tutte le tabelle di database.
Autorizzazioni per i gruppi
In questa sezione vengono illustrate le autorizzazioni per i gruppi create dagli strumenti di installazione e configurazione di SharePoint Server 2010.
Gruppo WSS_ADMIN_WPG
WSS_ADMIN_WPG dispone dell'accesso in lettura e scrittura alle risorse locali. Gli account del pool di applicazioni per i servizi timer e Amministrazione centrale sono inclusi in WSS_ADMIN_WPG. Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per WSS_ADMIN_WPG.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_CLASSES_ROOT\APPID\{58F1D482-A132-4297-9B8A-F8E4E600CDF6} |
Controllo completo |
N/D |
Applicazione COM del servizio di ricerca di SharePoint Server 2010. |
HKEY_CLASSES_ROOT\APPID\{6002D29F-1366-4523-88C1-56D59BFEF8CB} |
Controllo completo |
N/D |
Applicazione COM del servizio di ricerca di SharePoint Foundation 2010. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
Controllo completo |
N/D |
N/D |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\14.0\Registration\{90120000-110D-0000-0000-0000000FF1CE} |
Lettura e scrittura |
N/D |
N/D |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
Lettura |
No |
Chiave radice dell'albero delle impostazioni del Registro di sistema per SharePoint Server 2010. Se tale chiave viene modificata, non sarà possibile utilizzare le funzionalità di SharePoint Server 2010. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0 |
Controllo completo |
No |
Chiave radice delle impostazioni del Registro di sistema per SharePoint Server 2010. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search |
Controllo completo |
N/D |
N/D |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Search |
Controllo completo |
N/D |
N/D |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
Controllo completo |
No |
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint Server nel computer non funzionerà. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
Controllo completo |
Sì |
Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo WSS_ADMIN_WPG.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%AllUsersProfile%\Dati applicazioni\Microsoft\Sharepoint |
Controllo completo |
No |
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente. |
C:\Inetpub\wwwroot\wss |
Controllo completo |
No |
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint Server. |
%Programmi%\Microsoft Office Servers\14.0 |
Controllo completo |
No |
Questa directory è il percorso di installazione per i file binari e di dati di SharePoint Server 2010. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2010. L'appartenenza al gruppo di sicurezza WSS_ADMIN_WPG di Windows è necessaria per consentire ad alcuni servizi di SharePoint Server 2010 di archiviare dati sul disco. |
%Programmi%\Microsoft Office Servers\14.0\WebServices |
Lettura e scrittura |
No |
Questa è la directory radice in cui sono ospitati i servizi Web back-end, ad esempio Excel e il servizio di ricerca. Se la directory viene rimossa o modificata, le caratteristiche di SharePoint Server 2010 che dipendono da questi servizi non verranno eseguite correttamente. |
%Programmi%\Microsoft Office Servers\14.0\Data |
Controllo completo |
No |
Questa è la directory radice in cui sono archiviati i dati locali, inclusi gli indici di ricerca. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare la funzionalità di ricerca. Per consentire alla funzionalità di ricerca di salvare e proteggere i dati in questa cartella, sono necessarie le autorizzazioni del gruppo di sicurezza WSS_ADMIN_WPG di Windows. |
%Programmi%\Microsoft Office Servers\14.0\Logs |
Controllo completo |
Sì |
Questa directory è la posizione in cui viene generata la registrazione diagnostica di run-time. Se la directory viene rimossa o modificata, la caratteristica di registrazione non funzionerà correttamente. |
%Programmi%\Microsoft Office Servers\14.0\Data\Office Server |
Controllo completo |
Sì |
Come per la cartella padre. |
%windir%\System32\drivers\etc\HOSTS |
Lettura e scrittura |
N/D |
N/D |
%windir%\Tasks |
Controllo completo |
N/D |
N/D |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\14 |
Modifica |
Sì |
Questa è la directory di installazione per i file principali di SharePoint Server. Se l'elenco di controllo di accesso (ACL) viene modificato, l'attivazione delle caratteristiche, la distribuzione delle soluzioni e altre caratteristiche non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
Controllo completo |
Sì |
Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
Controllo completo |
Sì |
Questa directory contiene i file utilizzati per estendere i siti Web IIS con SharePoint Server. Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
Controllo completo |
No |
Questa directory contiene i registri di traccia dell'installazione e di run-time. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\Data |
Controllo completo |
Sì |
N/D |
%windir%\temp |
Controllo completo |
Sì |
Questa directory viene utilizzata dai componenti della piattaforma da cui dipende SharePoint Server. Se viene modificato l'ACL, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguiti correttamente. |
%windir%\System32\logfiles\SharePoint |
Controllo completo |
No |
Questa directory viene utilizzata dalla registrazione dei dati di utilizzo di SharePoint Server. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente. |
Cartella %systemdrive\Programmi\Microsoft Office Servers\14 nei server di indicizzazione |
Controllo completo |
N/D |
Questa autorizzazione viene concessa per una cartella %systemdrive\Programmi\Microsoft Office Servers\14 nei server di indicizzazione. |
Gruppo WSS_WPG
Il gruppo WSS_WPG dispone dell'accesso in lettura alle risorse locali. Tutti gli account del pool di applicazioni e dei servizi sono inclusi in WSS_WPG. Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per WSS_WPG.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0 |
Lettura |
No |
Chiave radice delle impostazioni del Registro di sistema per SharePoint Server 2010. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Diagnostics |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per la registrazione diagnostica di SharePoint Server 2010. Se la chiave viene modificata, non sarà più possibile utilizzare tale funzionalità di registrazione. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
Lettura |
No |
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint Server nel computer non funzionerà. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
Lettura |
Sì |
Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo WSS_WPG.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%AllUsersProfile%\Dati applicazioni\Microsoft\Sharepoint |
Lettura |
No |
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente. |
C:\Inetpub\wwwroot\wss |
Lettura ed esecuzione |
No |
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint Server. |
%Programmi%\Microsoft Office Servers\14.0 |
Lettura ed esecuzione |
No |
Questa directory è il percorso di installazione per i file binari e di dati di SharePoint Server 2010. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2010. Per consentire a IIS di caricare i file binari di SharePoint Server 2010, sono necessarie le autorizzazioni di lettura e scrittura di WSS_WPG. |
%Programmi%\Microsoft Office Servers\14.0\WebServices |
Lettura |
No |
Questa è la directory radice in cui sono ospitati i servizi Web back-end, ad esempio Excel e il servizio di ricerca. Se la directory viene rimossa o modificata, le caratteristiche di SharePoint Server 2010 che dipendono da questi servizi non verranno eseguite correttamente. |
%Programmi%\Microsoft Office Servers\14.0\Logs |
Lettura e scrittura |
Sì |
Questa directory è la posizione in cui viene generata la registrazione diagnostica di run-time. Se la directory viene rimossa o modificata, la caratteristica di registrazione non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
Lettura |
Sì |
Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
Lettura |
Sì |
Questa directory contiene i file utilizzati per estendere i siti Web IIS con SharePoint Server. Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
Modifica |
No |
Questa directory contiene i registri di traccia dell'installazione e di run-time. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
%windir%\temp |
Lettura |
Sì |
Questa directory viene utilizzata dai componenti della piattaforma da cui dipende SharePoint Server. Se viene modificato l'ACL, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguiti correttamente. |
%windir%\System32\logfiles\SharePoint |
Lettura |
No |
Questa directory viene utilizzata dalla registrazione dei dati di utilizzo di SharePoint Server. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente. |
%systemdrive\Programmi\Microsoft Office Servers\14 |
Lettura ed esecuzione |
N/D |
Questa autorizzazione viene concessa per una cartella %systemdrive\Programmi\Microsoft Office Servers\14 nei server di indicizzazione. |
Servizio locale
Nella tabella seguente è illustrata l'autorizzazione relative alle voci del Registro di sistema per l'account Servizio locale.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings |
Lettura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
Nella tabella seguente è illustrata l'autorizzazione relativa al file system per l'account Servizio locale.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%Programmi%\Microsoft Office Servers\14.0\Bin |
Lettura ed esecuzione |
No |
Questa directory è il percorso di installazione dei file binari di SharePoint Server 2010. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2010. |
Sistema locale
Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per l'account Sistema locale.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings |
Lettura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
Controllo completo |
No |
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint Server nel computer non funzionerà. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin |
Controllo completo |
No |
Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se la chiave viene modificata, il provisioning del servizio e altre caratteristiche non funzioneranno. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
Controllo completo |
Sì |
Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per l'account Sistema locale.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%AllUsersProfile%\Dati applicazioni\Microsoft\Sharepoint |
Controllo completo |
No |
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente. |
C:\Inetpub\wwwroot\wss |
Controllo completo |
No |
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint Server. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
Controllo completo |
Sì |
Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
Controllo completo |
Sì |
Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
Controllo completo |
No |
Questa directory contiene i registri di traccia dell'installazione e di run-time. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
%windir%\temp |
Controllo completo |
Sì |
Questa directory viene utilizzata dai componenti della piattaforma da cui dipende SharePoint Server. Se viene modificato l'ACL, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguiti correttamente. |
%windir%\System32\logfiles\SharePoint |
Controllo completo |
No |
Questa directory viene utilizzata da SharePoint Server per la registrazione dei dati di utilizzo. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente. |
Servizio di rete
Nella tabella seguente è illustrata l'autorizzazione relativa alle voci del Registro di sistema per l'account Servizio di rete.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search\Setup |
Lettura |
N/D |
N/D |
Gruppo Administrators
Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per il gruppo Administrators.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
Controllo completo |
No |
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint Server nel computer non funzionerà. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin |
Controllo completo |
No |
Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se la chiave viene modificata, il provisioning del servizio e altre caratteristiche non funzioneranno. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
Controllo completo |
Sì |
Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo Administrators.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%AllUsersProfile%\Dati applicazioni\Microsoft\Sharepoint |
Controllo completo |
No |
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente. |
C:\Inetpub\wwwroot\wss |
Controllo completo |
No |
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint Server. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
Controllo completo |
Sì |
Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
Controllo completo |
Sì |
Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
Controllo completo |
No |
Questa directory contiene i registri di traccia dell'installazione e di run-time. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
%windir%\temp |
Controllo completo |
Sì |
Questa directory viene utilizzata dai componenti della piattaforma da cui SharePoint Server dipende. Se viene modificato l'ACL, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguite correttamente. |
%windir%\System32\logfiles\SharePoint |
Controllo completo |
No |
Questa directory viene utilizzata per la registrazione dei dati di utilizzo di SharePoint Server. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente. |
Gruppo WSS_RESTRICTED_WPG
Il gruppo WSS_RESTRICTED_WPG è in grado di leggere la voce del Registro di sistema relativa alle credenziali di amministrazione della farm crittografate. WSS_RESTRICTED_WPG viene utilizzato solo per la crittografia e la decrittografia di password archiviate nel database di configurazione. Nella tabella seguente è illustrata l'autorizzazione relativa alle voci del Registro di sistema per WSS_RESTRICTED_WPG.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin |
Controllo completo |
No |
Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre funzionalità avrà esito negativo. |
Gruppo Utenti
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo Utenti.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%Programmi%\Microsoft Office Servers\14.0 |
Lettura ed esecuzione |
No |
Questa directory è il percorso di installazione per i file binari e di dati di SharePoint Server 2010. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2010. |
%Programmi%\Microsoft Office Servers\14.0\WebServices\Root |
Lettura ed esecuzione |
No |
Questa è la directory radice in cui sono ospitati i servizi Web back-end radice. L'unico servizio installato inizialmente in questa directory è un servizio di amministrazione globale della ricerca. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare alcune delle funzionalità di amministrazione della ricerca che utilizzano la pagina Impostazioni di ricerca di Amministrazione centrale specifica del server. |
%Programmi%\Microsoft Office Servers\14.0\Logs |
Lettura e scrittura |
Sì |
Questa directory è la posizione in cui viene generata la registrazione diagnostica di run-time. Se la directory viene rimossa o modificata, la caratteristica di registrazione non funzionerà correttamente. |
%Programmi%\Microsoft Office Servers\14.0\Bin |
Lettura ed esecuzione |
No |
Questa directory è il percorso di installazione dei file binari di SharePoint Server 2010. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2010. |
Tutti gli account di servizio di Office SharePoint Server
Nella tabella seguente è illustrata l'autorizzazione relativa al file system per tutti gli account di servizio di Office SharePoint Server.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
Modifica |
No |
Questa directory contiene i registri di traccia dell'installazione e di run-time. Se questa directory viene modificata, la registrazione diagnostica non funzionerà correttamente. Tutti gli account di servizio di SharePoint Server devono disporre dell'autorizzazione di scrittura per questa directory. |