Informazioni su autorizzazioni e impostazioni di sicurezza per gli account in SharePoint Server 2016
**Si applica a:**SharePoint Server 2016
**Ultima modifica dell'argomento:**2017-09-08
Sintesi: informazioni sulle autorizzazioni e sulle impostazioni di sicurezza da utilizzare con una distribuzione di SharePoint Server 2016.
In questo articolo vengono illustrate le autorizzazioni disponibili per gli account amministrativi e di servizio di SharePoint, relativamente a Microsoft SQL Server, file system, condivisioni di file e voci del Registro di sistema.
Importante
Non usare nomi di account di servizio che contengono il simbolo $.
Contenuto dell'articolo:
Informazioni su autorizzazioni e impostazioni di sicurezza per gli account in SharePoint Server 2016
Account amministrativi di SharePoint
Account delle applicazioni di servizio di SharePoint
Ruoli del database di SharePoint
Autorizzazioni per i gruppi
Informazioni su autorizzazioni e impostazioni di sicurezza per gli account in SharePoint Server 2016
Molte delle autorizzazioni e delle impostazioni di sicurezza per gli account di base di SharePoint vengono configurate tramite la Configurazione guidata Prodotti SharePoint (Psconfig) e la Configurazione guidata farm, entrambe eseguite durante un'installazione completa.
Account amministrativi di SharePoint
La maggior parte delle autorizzazioni per gli account amministrativi di SharePoint vengono configurate automaticamente da uno dei componenti seguenti di SharePoint durante il processo di installazione:
Configurazione guidata Prodotti SharePoint (Psconfig).
Configurazione guidata farm.
Sito Web il sito Web Amministrazione centrale SharePoint di SharePoint.
Microsoft PowerShell.
Account utente Setup
Questo account viene utilizzato per configurare i singoli server della farm tramite la Configurazione guidata Prodotti SharePoint, la Configurazione guidata farm iniziale e PowerShell. Negli esempi di questo articolo viene utilizzato l'account utente Setup per l'amministrazione della farm, che può essere gestito tramite Amministrazione centrale. Per alcune opzioni di configurazione sono necessarie autorizzazioni di amministratore locale, ad esempio per la configurazione del server di query di ricerca di SharePoint Server 2016. Per l'account utente Setup sono necessarie le autorizzazioni seguenti:
Deve disporre delle autorizzazioni per l'account utente di dominio.
Deve essere un membro del gruppo Administrators locale di ogni server nella farm di SharePoint.
Deve disporre dell'accesso ai database di SharePoint.
Se si eseguono operazioni di PowerShell che hanno effetto su un database, l'account utente Setup deve essere un membro del ruolo db_owner.
Deve essere assegnato ai ruoli di sicurezza securityadmin e dbcreatorSQL Server durante l'installazione e la configurazione.
Nota
I ruoli di sicurezza securityadmin e dbcreatorSQL Server potrebbero essere necessari per questo account durante un aggiornamento completo da versione a versione poiché è possibile che i nuovi database debbano essere creati e protetti per i servizi.
Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di computer per l'account utente Setup includono:
Appartenenza al gruppo di sicurezza WSS_ADMIN_WPG di Windows.
Appartenenza al ruolo IIS_WPG.
Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di database includono:
db_owner nel database di configurazione della server farm di SharePoint.
db_owner nel database del contenuto di Amministrazione centrale SharePoint.
Avviso
Se per l'esecuzione delle configurazioni guidate si utilizza un account che non dispone dell'appartenenza al ruolo SQL Server speciale appropriato o dell'accesso come db_owner ai database, le configurazioni guidate non verranno eseguite correttamente.
Account servizio farm di SharePoint
L'account server farm, denominato anche account di accesso al database, viene utilizzato come identità del pool di applicazioni per Amministrazione centrale e come account di processo per il servizio Timer di SharePoint Foundation 2013. Per l'account server farm sono necessarie le autorizzazioni seguenti:
- Deve disporre delle autorizzazioni per l'account utente di dominio.
All'account server farm vengono automaticamente concesse ulteriori autorizzazioni nei server Web e nei server applicazioni aggiunti a una server farm.
Dopo l'esecuzione del programma di installazione, le autorizzazioni a livello di computer includono:
Appartenenza al gruppo di sicurezza WSS_ADMIN_WPG di Windows per il servizio Timer di SharePoint Foundation 2013.
Appartenenza a WSS_RESTRICTED_WPG per i pool di applicazioni di Amministrazione centrale e del servizio Timer.
Appartenenza a WSS_WPG per il pool di applicazioni di Amministrazione centrale.
Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di database e SQL Server includono:
Ruolo predefinito del server Dbcreator.
Ruolo predefinito del server Securityadmin.
db_owner per tutti i database di SharePoint.
Appartenenza al ruolo WSS_CONTENT_APPLICATION_POOLS per il database di configurazione della server farm di SharePoint.
Appartenenza al ruolo WSS_CONTENT_APPLICATION_POOLS per il database del contenuto SharePoint_Admin.
Account delle applicazioni di servizio di SharePoint
In questa sezione vengono descritti gli account delle applicazioni di servizio configurati per impostazione predefinita durante l'installazione.
Account del pool di applicazioni
L'account del pool di applicazioni viene utilizzato come identità del pool di applicazioni. Per l'account del pool di applicazioni sono necessarie le impostazioni di configurazione seguenti relative alle autorizzazioni:
Viene automaticamente configurata un'autorizzazione a livello di computer che imposta questo account come membro di WSS_WPG.
Per questo account vengono automaticamente configurate le seguenti autorizzazioni relative a SQL Server e ai database:
Gli account dei pool di applicazioni per le applicazioni Web vengono assegnati al ruolo SP_DATA_ACCESS per i database del contenuto.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database SharePoint_AdminContent.
Account predefinito di accesso al contenuto
Importante
Le informazioni contenute in questa sezione sono applicabili solo a SharePoint Server 2016.
L'account di accesso al contenuto predefinito viene utilizzato con un'applicazione di servizio specifica per eseguire la ricerca per indicizzazione del contenuto, a meno che non sia presente una regola di ricerca per indicizzazione che specifica un metodo di autenticazione diverso per un determinato URL o formato URL. Per questo account è necessario specificare le impostazioni di configurazione seguenti relative alle autorizzazioni:
L'account di accesso al contenuto predefinito deve essere un account utente di dominio dotato di accesso in lettura alle origini di contenuto esterne o protette da sottoporre a ricerca per indicizzazione tramite tale account.
Per i siti di SharePoint Server che non fanno parte della server farm, è necessario concedere esplicitamente all'account autorizzazioni di lettura completa per le applicazioni Web che ospitano i siti.
Questo account non deve essere un membro del gruppo Amministratori farm.
Account di accesso al contenuto
Importante
Le informazioni contenute in questa sezione sono applicabili solo a SharePoint Server 2016.
Gli account di accesso al contenuto vengono configurati per consentire l'accesso al contenuto tramite la caratteristica delle regole di ricerca per indicizzazione dell'amministrazione del servizio di ricerca. Questo tipo di account è facoltativo ed è possibile configurarlo quando si crea una nuova regola di ricerca per indicizzazione. Questo account di accesso al contenuto separato può essere necessario ad esempio per accedere a contenuto esterno quale una condivisione di file. Per questo account è necessario specificare le impostazioni di configurazione seguenti relative alle autorizzazioni:
L'account di accesso al contenuto deve avere accesso in lettura alle origini di contenuto esterne o protette per cui è configurato.
Per i siti di SharePoint Server che non fanno parte della server farm, è necessario concedere esplicitamente all'account autorizzazioni di lettura completa per le applicazioni Web che ospitano i siti.
Account pool applicazioni dei Siti personali
Importante
Le informazioni contenute in questa sezione sono applicabili solo a SharePoint Server 2016.
L'account del pool di applicazioni dei siti personali deve essere un account utente di dominio e non deve essere un membro del gruppo Amministratori farm.
Viene automaticamente configurata un'autorizzazione a livello di computer che imposta questo account come membro di WSS_WPG.
Le autorizzazioni seguenti per SQL Server e il database vengono configurate automaticamente:
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database del contenuto di SharePoint_Admin.
Gli account dei pool di applicazioni per le applicazioni Web vengono assegnati al ruolo SP_DATA_ACCESS per i database del contenuto.
Account degli altri pool di applicazioni
L'account degli altri pool di applicazioni deve essere un account utente di dominio e non deve essere un membro del gruppo Administrators di alcun computer nella server farm.
Viene automaticamente configurata un'autorizzazione a livello di computer che imposta questo account come membro di WSS_WPG.
Le autorizzazioni seguenti per SQL Server e il database vengono configurate automaticamente:
Questo account viene assegnato al ruolo SP_DATA_ACCESS per i database del contenuto.
Questo account viene assegnato al ruolo SP_DATA_ACCESS per i database di ricerca associati all'applicazione Web.
L'account deve disporre dell'accesso in lettura e scrittura al database applicazioni del servizio associato.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database del contenuto di SharePoint_Admin.
Ruoli del database di SharePoint
In questa sezione vengono descritti i ruoli di database installati per impostazione predefinita o che è possibile configurare facoltativamente.
Ruolo del database WSS_CONTENT_APPLICATION_POOLS
Il ruolo del database WSS_CONTENT_APPLICATION_POOLS si applica all'account del pool di applicazioni per ogni applicazione Web registrata in una farm di SharePoint. Consente alle applicazioni Web di eseguire query e aggiornamenti della mappa del sito e di disporre dell'accesso in sola lettura ad altri elementi del database di configurazione. Il programma di installazione assegna il ruolo WSS_CONTENT_APPLICATION_POOLS ai database seguenti:
Database SharePoint_Config (database di configurazione)
Database SharePoint_AdminContent
I membri del ruolo WSS_CONTENT_APPLICATION_POOLS dispongono dell'autorizzazione di esecuzione per un sottoinsieme di stored procedure del database, oltre all'autorizzazione SELECT per la tabella delle versioni (dbo.Versions) del database SharePoint_AdminContent. Per gli altri database, lo strumento di pianificazione degli account indica che l'accesso in lettura a tali database viene configurato automaticamente. In alcuni casi, viene configurato automaticamente anche un diritto di accesso limitato per la scrittura in un database. Per garantire tale tipo di accesso vengono configurate le autorizzazioni per le stored procedure.
Ruolo del database WSS_SHELL_ACCESS
Grazie al ruolo del database WSS_SHELL_ACCESS sicuro nel database di configurazione non è necessario aggiungere un account di amministrazione come db_owner nel database di configurazione. Per impostazione predefinita, al ruolo del database WSS_SHELL_ACCESS viene assegnato l'account Setup. È possibile utilizzare un comando di PowerShell per concedere o rimuovere l'appartenenza a tale ruolo. Il programma di installazione assegna il ruolo WSS_SHELL_ACCESS ai database seguenti:
Database SharePoint_Config (database di configurazione).
Uno o più database del contenuto di SharePoint. L'assegnazione è configurabile tramite il comando di PowerShell che gestisce le appartenenze e tramite l'oggetto assegnato a questo ruolo.
I membri del ruolo WSS_SHELL_ACCESS dispongono dell'autorizzazione di esecuzione di tutte le stored procedure del database, nonché le autorizzazioni di lettura e scrittura in tutte le tabelle di database.
Ruolo del database SP_READ_ONLY
È necessario utilizzare il ruolo SP_READ_ONLY per impostare il database in modalità di sola lettura invece di utilizzare sp_dboption. Tale ruolo deve essere utilizzato quando è richiesto l'accesso in sola lettura per dati come quelli di telemetria e di utilizzo.
Nota
La procedura sp_dboption archiviata non è disponibile in SQL Server 2012. Per ulteriori informazioni su sp_dboption, vedere sp_dboption (Transact-SQL).
Il ruolo SP_READ_ONLY SQL deve disporre delle autorizzazioni seguenti:
Concedere l'autorizzazione SELECT per tutte le funzioni e le stored procedure di SharePoint.
Concedere l'autorizzazione SELECT per tutte le tabelle di SharePoint.
Concedere l'autorizzazione EXECUTE per i tipi definiti dall'utente in cui lo schema è dbo.
Ruolo del database SP_DATA_ACCESS
Il ruolo SP_DATA_ACCESS è il ruolo predefinito per l'accesso al database e deve essere utilizzato per tutti gli accessi ai database a livello di modello a oggetti. Aggiungere l'account del pool di applicazioni a questo ruolo durante l'aggiornamento o nuove distribuzioni.
Nota
Il ruolo SP_DATA_ACCESS ha sostituito il ruolo db_owner in SharePoint Server 2016.
Per il ruolo SP_DATA_ACCESS saranno disponibili le autorizzazioni seguenti:
Concedere l'autorizzazione SELECT o EXECUTE per tutte le funzioni e le stored procedure di SharePoint.
Concedere l'autorizzazione SELECT per tutte le tabelle di SharePoint.
Concedere l'autorizzazione EXECUTE per i tipi definiti dall'utente in cui lo schema è dbo.
Concedere l'autorizzazione INSERT per la tabella AllUserDataJunctions.
Concedere l'autorizzazione UPDATE per la visualizzazione Sites.
Concedere l'autorizzazione UPDATE per la visualizzazione UserData.
Concedere l'autorizzazione UPDATE per la tabella AllUserData.
Concedere le autorizzazioni INSERT e DELETE per le tabelle NameValuePair.
Concedere l'autorizzazione CREATE TABLE.
Autorizzazioni per i gruppi
In questa sezione vengono illustrate le autorizzazioni per i gruppi create dagli strumenti di installazione e configurazione di SharePoint Server 2016.
WSS_ADMIN_WPG
WSS_ADMIN_WPG dispone dell'accesso in lettura e scrittura alle risorse locali. Gli account del pool di applicazioni per i servizi Timer e Amministrazione centrale sono inclusi in WSS_ADMIN_WPG. Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per WSS_ADMIN_WPG.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
Controllo completo |
Non applicabile |
Non applicabile |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration\{90150000-110D-0000-1000-0000000FF1CE} |
Lettura e scrittura |
Non applicabile |
Non applicabile |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
Lettura |
No |
Chiave radice dell'albero delle impostazioni del Registro di sistema per SharePoint Server 2016. Se tale chiave viene modificata, non sarà possibile utilizzare le funzionalità di SharePoint Server 2016. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 |
Controllo completo |
No |
Chiave radice delle impostazioni del Registro di sistema per SharePoint Server 2016. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search |
Controllo completo |
Non applicabile |
Non applicabile |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search |
Controllo completo |
Non applicabile |
Non applicabile |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Controllo completo |
No |
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint Server 2016 nel computer non funzionerà. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Controllo completo |
Sì |
Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo WSS_ADMIN_WPG.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Controllo completo |
No |
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente. |
C:\Inetpub\wwwroot\wss |
Controllo completo |
No |
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint Server 2016. |
%ProgramFiles%\Microsoft Office Servers\16.0 |
Controllo completo |
No |
Questa directory è il percorso di installazione per i file binari e di dati di SharePoint Server 2016. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2016. L'appartenenza al gruppo di sicurezza WSS_ADMIN_WPG di Windows è necessaria per consentire ad alcuni servizi di SharePoint Server 2016 di archiviare dati sul disco. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices |
Lettura e scrittura |
No |
Questa è la directory radice in cui sono ospitati i servizi Web back-end, ad esempio Excel e il servizio di ricerca. Se la directory viene rimossa o modificata, le caratteristiche di SharePoint Server 2016 che dipendono da questi servizi non verranno eseguite correttamente. |
%ProgramFiles%\Microsoft Office Servers\16.0\Data |
Controllo completo |
No |
Questa è la directory radice in cui sono archiviati i dati locali, inclusi gli indici di ricerca. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare la funzionalità di ricerca. Per consentire alla funzionalità di ricerca di salvare e proteggere i dati in questa cartella, sono necessarie le autorizzazioni del gruppo di sicurezza WSS_ADMIN_WPG di Windows. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
Controllo completo |
Sì |
Questa directory è la posizione in cui viene generata la registrazione diagnostica di runtime. Se la directory viene rimossa o modificata, la caratteristica di registrazione non funzionerà correttamente. |
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server |
Controllo completo |
Sì |
Come per la cartella padre. |
%windir%\System32\drivers\etc\HOSTS |
Lettura e scrittura |
Non applicabile |
Non applicabile |
%windir%\Tasks |
Controllo completo |
Non applicabile |
Non applicabile |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 |
Modifica |
Sì |
Questa è la directory di installazione per i file principali di SharePoint Server 2016. Se l'elenco di controllo di accesso (ACL) viene modificato, l'attivazione delle caratteristiche, la distribuzione delle soluzioni e altre caratteristiche non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Controllo completo |
Sì |
Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Controllo completo |
Sì |
Questa directory contiene i file utilizzati per estendere i siti Web IIS con SharePoint Server 2016. Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Controllo completo |
No |
Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
%windir%\temp |
Controllo completo |
Sì |
Questa directory viene utilizzata dai componenti della piattaforma da cui SharePoint Server 2016 dipende. Se viene modificato l'elenco di controllo di accesso, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguite correttamente. |
%windir%\System32\logfiles\SharePoint |
Controllo completo |
No |
Questa directory viene utilizzata dalla registrazione dei dati di utilizzo di SharePoint Server. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente. Questa chiave del Registro di sistema è applicabile solo a SharePoint Server. |
Cartella %systemdrive\Programmi\Microsoft Office Servers\16 nei server di indicizzazione |
Controllo completo |
Non applicabile |
Questa autorizzazione viene concessa per una cartella %systemdrive\Programmi\Microsoft Office Servers\16 nei server di indicizzazione. |
WSS_WPG
Il gruppo WSS_WPG dispone dell'accesso in lettura alle risorse locali. Tutti gli account del pool di applicazioni e dei servizi sono inclusi in WSS_WPG. Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per WSS_WPG.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 |
Lettura |
No |
Chiave radice delle impostazioni del Registro di sistema per SharePoint Server 2016. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per la registrazione diagnostica di SharePoint Server 2016. Se la chiave viene modificata, non sarà più possibile utilizzare tale funzionalità di registrazione. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
Lettura e scrittura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Lettura |
No |
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint Server 2016 nel computer non funzionerà. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Lettura |
Sì |
Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo WSS_WPG.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Lettura |
No |
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente. |
C:\Inetpub\wwwroot\wss |
Lettura ed esecuzione |
No |
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint Server 2016. |
%ProgramFiles%\Microsoft Office Servers\16.0 |
Lettura ed esecuzione |
No |
Questa directory è il percorso di installazione per i file binari e di dati di SharePoint Server 2016. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2016. Per consentire a IIS di caricare i file binari di SharePoint Server 2016, sono necessarie le autorizzazioni di lettura e scrittura di WSS_WPG. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices |
Lettura |
No |
Questa è la directory radice in cui sono ospitati i servizi Web back-end, ad esempio Excel e il servizio di ricerca. Se la directory viene rimossa o modificata, le caratteristiche di SharePoint Server 2016 che dipendono da questi servizi non verranno eseguite correttamente. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
Lettura e scrittura |
Sì |
Questa directory è la posizione in cui viene generata la registrazione diagnostica di runtime. Se la directory viene rimossa o modificata, la caratteristica di registrazione non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Lettura |
Sì |
Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Lettura |
Sì |
Questa directory contiene i file utilizzati per estendere i siti Web IIS con SharePoint Server 2016. Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Modifica |
No |
Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
%windir%\temp |
Lettura |
Sì |
Questa directory viene utilizzata dai componenti della piattaforma da cui SharePoint Server 2016 dipende. Se viene modificato l'elenco di controllo di accesso, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguite correttamente. |
%windir%\System32\logfiles\SharePoint |
Lettura |
No |
Questa directory viene utilizzata dalla registrazione dei dati di utilizzo di SharePoint Server. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente. La chiave del Registro di sistema è applicabile solo a SharePoint Server. |
%systemdrive\program files\Microsoft Office Servers\16 |
Lettura ed esecuzione |
Non applicabile |
Questa autorizzazione viene concessa per una cartella %systemdrive\Programmi\Microsoft Office Servers\16 nei server di indicizzazione. |
Servizio locale
Nella tabella seguente è illustrata l'autorizzazione relative alle voci del Registro di sistema per l'account Servizio locale.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
Lettura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
Nella tabella seguente è illustrata l'autorizzazione relativa al file system per l'account Servizio locale.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0\Bin |
Lettura ed esecuzione |
No |
Questa directory è il percorso di installazione dei file binari di SharePoint Server 2016. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2016. |
Sistema locale
Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per l'account Sistema locale.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
Lettura |
No |
Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. Questa chiave del Registro di sistema è applicabile solo a SharePoint Server. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Controllo completo |
No |
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint Server 2016 nel computer non funzionerà. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
Controllo completo |
No |
Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre caratteristiche avranno esito negativo. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Controllo completo |
Sì |
Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per l'account Sistema locale.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Controllo completo |
No |
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente. |
C:\Inetpub\wwwroot\wss |
Controllo completo |
No |
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint Server 2016. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Controllo completo |
Sì |
Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Controllo completo |
Sì |
Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Controllo completo |
No |
Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
%windir%\temp |
Controllo completo |
Sì |
Questa directory viene utilizzata dai componenti della piattaforma da cui SharePoint Server 2016 dipende. Se viene modificato l'elenco di controllo di accesso, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguite correttamente. |
%windir%\System32\logfiles\SharePoint |
Controllo completo |
No |
Questa directory viene utilizzata da SharePoint Server per la registrazione dei dati di utilizzo. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente. Questa chiave del Registro di sistema è applicabile solo a SharePoint Server. |
Servizio di rete
Nella tabella seguente è illustrata l'autorizzazione relativa alle voci del Registro di sistema per l'account Servizio di rete.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup |
Lettura |
Non applicabile |
Non applicabile |
Amministratori
Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per il gruppo Administrators.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
Controllo completo |
No |
Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se la chiave viene modificata, l'installazione di SharePoint Server 2016 nel computer non funzionerà. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
Controllo completo |
No |
Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre caratteristiche avranno esito negativo. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
Controllo completo |
Sì |
Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo Administrators.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
Controllo completo |
No |
Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se la directory viene modificata o eliminata, è possibile che i processi non vengano avviati e che le azioni amministrative non vengano eseguite correttamente. |
C:\Inetpub\wwwroot\wss |
Controllo completo |
No |
Questa directory (o la directory corrispondente nella directory radice Inetpub del server) viene utilizzata come posizione predefinita per i siti Web IIS. Se la directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non essere eseguite correttamente, a meno che non vengano specificati i percorsi dei siti Web IIS personalizzati per tutti i siti Web IIS in cui sono installate le estensioni di SharePoint Server 2016. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
Controllo completo |
Sì |
Questa directory contiene i servizi SOAP per Amministrazione centrale. Se la directory viene modificata, la creazione dei siti remoti e altri metodi esposti nel servizio non funzioneranno correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
Controllo completo |
Sì |
Se si modifica la directory o il relativo contenuto, il provisioning dell'applicazione Web non funzionerà correttamente. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Controllo completo |
No |
Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
%windir%\temp |
Controllo completo |
Sì |
Questa directory viene utilizzata dai componenti della piattaforma da cui SharePoint Server 2016 dipende. Se viene modificato l'ACL, è possibile che il rendering delle web part e altre operazioni di deserializzazione non vengano eseguite correttamente. |
%windir%\System32\logfiles\SharePoint |
Controllo completo |
No |
Questa directory viene utilizzata da SharePoint Server per la registrazione dei dati di utilizzo. Se la directory viene modificata, la registrazione dei dati di utilizzo non funzionerà correttamente. Questa chiave del Registro di sistema è applicabile solo a SharePoint Server. |
WSS_RESTRICTED_WPG
Il gruppo WSS_RESTRICTED_WPG è in grado di leggere la voce del Registro di sistema relativa alle credenziali di amministrazione della farm crittografate. WSS_RESTRICTED_WPG viene utilizzato solo per la crittografia e la decrittografia di password archiviate nel database di configurazione. Nella tabella seguente è illustrata l'autorizzazione relativa alle voci del Registro di sistema per WSS_RESTRICTED_WPG.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
Controllo completo |
No |
Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre caratteristiche avranno esito negativo. |
Gruppo Utenti
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo Utenti.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0 |
Lettura ed esecuzione |
No |
Questa directory è il percorso di installazione per i file binari e di dati di SharePoint Server 2016. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2016. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root |
Lettura ed esecuzione |
No |
Questa è la directory radice in cui sono ospitati i servizi Web back-end radice. L'unico servizio installato inizialmente in questa directory è un servizio di amministrazione globale della ricerca. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare alcune delle funzionalità di amministrazione della ricerca che utilizzano la pagina Impostazioni di ricerca di Amministrazione centrale specifica del server. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
Lettura e scrittura |
Sì |
Questa directory è la posizione in cui viene generata la registrazione diagnostica di runtime. Se la directory viene rimossa o modificata, la caratteristica di registrazione non funzionerà correttamente. |
%ProgramFiles%\Microsoft Office Servers\16.0\Bin |
Lettura ed esecuzione |
No |
Questa directory è il percorso di installazione dei file binari di SharePoint Server 2016. Se questa directory viene rimossa o modificata, non sarà possibile utilizzare alcuna funzionalità di SharePoint Server 2016. |
Tutti gli account del servizio di SharePoint Server 2016
Nella tabella seguente viene illustrata l'autorizzazione relativa al file system per tutti gli account di servizio di SharePoint Server 2016.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
Modifica |
No |
Questa directory contiene i log di traccia dell'installazione e di runtime. Se questa directory viene modificata, la registrazione diagnostica non funzionerà correttamente. Tutti gli account del servizio di SharePoint Server 2016 devono disporre dell'autorizzazione di scrittura per questa directory. |