SharePoint Server 2016 中的帐户权限和安全设置
**上一次修改主题:**2017-09-08
**摘要:**了解部署 SharePoint Server 2016 时要使用的权限和安全设置。
本文描述了以下领域的 SharePoint 管理和服务帐户权限:Microsoft SQL Server、文件系统、文件共享和注册表项。
重要
请勿使用包含符号 $ 的服务帐户名称。
本文内容:
关于帐户权限和安全设置
管理帐户
服务应用程序帐户
数据库角色
组权限
有关 SharePoint Server 2016 中的帐户权限和安全设置
SharePoint 产品配置向导 配置向导 (Psconfig) 和场配置向导(两者均在完全安装过程中运行)配置多个 SharePoint 基线帐户权限和安全设置。
SharePoint 管理帐户
下列 SharePoint 组件之一在安装过程中自动配置大部分 SharePoint 管理员帐户权限:
SharePoint 产品配置向导 (Psconfig)。
服务器场配置向导。
SharePoint SharePoint 管理中心网站网站。
Microsoft PowerShell.
安装程序用户管理员帐户
此帐户用于通过运行 SharePoint 产品配置向导、初始场配置向导和 PowerShell 来设置您的场中的每个服务器。对于本文中的示例,安装程序用户管理员帐户用于场管理,您可以使用管理中心来管理它。某些配置选项(如 SharePoint Server 2016 搜索查询服务器的配置)需要本地管理权限。安装程序用户管理员帐户需要以下权限:
它必须具有域用户帐户权限。
它必须是 SharePoint 服务器场中每台服务器上本地管理员组的成员。
此帐户必须能够访问 SharePoint 数据库。
如果您使用任何会影响数据库的 PowerShell 操作,安装程序的用户管理员帐户必须是 db_owner 角色的成员。
在安装和配置过程中,必须将此帐户分配给 securityadmin 和 dbcreatorSQL Server 安全角色。
备注
由于在完整的版本到版本升级期间必须为服务创建和保护新数据库,可能需要 securityadmin 和 dbcreatorSQL Server 安全角色。
运行配置向导后,安装程序用户管理员帐户的计算机级别权限包括:
WSS_ADMIN_WPG Windows 安全组的成员资格。
IIS_WPG 角色的成员资格。
运行配置向导后,数据库权限包括:
SharePoint 服务器场配置数据库上的 db_owner。
SharePoint 管理中心 内容数据库上的db_owner。
警告
如果用来运行配置向导的帐户没有相应的特殊 SQL Server 角色成员身份,或无法在数据库上以 db_owner 身份进行访问,配置向导将无法正常运行。
SharePoint 场服务帐户
服务器场帐户(也称为数据库访问帐户)用作 管理中心 的应用程序池标识和 SharePoint Foundation 2013 Timer 服务的进程帐户。服务器场帐户需要以下权限:
- 它必须具有域用户帐户权限。
对于加入到服务器场中的 Web 服务器和应用程序服务器上的服务器场,会自动授予其他权限。
运行设置后,计算机级别权限包括:
SharePoint Foundation 2013 定时服务的 WSS_ADMIN_WPG Windows 安全组的成员资格。
管理中心 和计时器服务应用程序池的 WSS_RESTRICTED_WPG 中的成员身份。
管理中心 应用程序池的 WSS_WPG 中的成员身份。
在您运行配置向导后,SQL Server 和数据库权限包括:
Dbcreator 固定服务器角色。
Securityadmin 固定服务器角色。
所有 SharePoint 数据库的 db_owner。
SharePoint 服务器场配置数据库的 WSS_CONTENT_APPLICATION_POOLS 角色中的成员身份。
SharePoint_Admin 内容数据库的 WSS_CONTENT_APPLICATION_POOLS 角色中的成员身份。
SharePoint 服务应用程序帐户
本节描述安装期间默认设置的服务应用程序帐户。
应用程序池帐户
应用程序池帐户用于应用程序池标识。应用程序池帐户需要以下权限配置设置:
将自动配置以下计算机级别权限:应用程序池帐户是 WSS_WPG 的成员。
将自动为此帐户配置以下 SQL Server 和数据库权限:
将 Web 应用程序的应用程序池帐户分配给内容数据库的 SP_DATA_ACCESS 角色。
将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。
将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。
默认内容访问帐户
重要
本节中的信息仅适用于 SharePoint Server 2016。
默认内容访问帐户用于在特定服务应用程序内对内容进行爬网(除非爬网规则针对 URL 或 URL 模式指定了不同的身份验证方法)。此帐户需要以下权限配置设置:
默认内容访问帐户必须是域用户帐户,通过使用该帐户获得对要爬网的外部或安全内容源的读取访问权限。
对于不包含在服务器场中的 SharePoint Server 网站,您必须明确授予此帐户对承载网站的 Web 应用程序的完全读取权限。
此帐户不能是场管理员组的成员。
内容访问帐户
重要
本节中的信息仅适用于 SharePoint Server 2016。
内容访问帐户配置为通过运行 Search 管理爬网规则功能访问内容。此类型的帐户是可选的,您可以在创建新爬网规则时配置它。例如,外部内容(例如文件共享)可能需要这个单独的内容访问帐户。此帐户需要以下权限配置设置:
内容访问帐户必须对它被配置为进行访问的外部或安全内容源具有读取权限。
对于不包含在服务器场中的 SharePoint Server 网站,您必须明确授予此帐户对承载网站的 Web 应用程序的完全读取权限。
My Sites 应用程序池帐户
重要
本节中的信息仅适用于 SharePoint Server 2016。
“我的网站”应用程序池帐户必须是域用户帐户。此帐户不能是场管理员组的成员。
将自动配置以下计算机级别权限:此帐户是 WSS_WPG 的成员。
以下 SQL Server 和数据库权限会自动配置:
将此帐户分配给与场配置数据库相关联的 WSS_CONTENT_APPLICATION_POOLS 角色。
将此帐户分配给与 SharePoint_Admin 内容数据库相关联的 WSS_CONTENT_APPLICATION_POOLS 角色。
将 Web 应用程序的应用程序池帐户分配给内容数据库的 SP_DATA_ACCESS 角色。
其他应用程序池帐户
其他应用程序池帐户必须是域用户帐户。此帐户不能是服务器场中的任何计算机上的管理员组的成员。
将自动配置以下计算机级别权限:此帐户是 WSS_WPG 的成员。
以下 SQL Server 和数据库权限会自动配置:
将此帐户分配给内容数据库的 SP_DATA_ACCESS 角色。
将此帐户分配给与 Web 应用程序相关联的搜索数据库的 SP_DATA_ACCESS 角色。
此帐户对关联的服务应用程序数据库必须具有读写访问权限。
将此帐户分配给与场配置数据库相关联的 WSS_CONTENT_APPLICATION_POOLS 角色。
将此帐户分配给与 SharePoint_Admin 内容数据库相关联的 WSS_CONTENT_APPLICATION_POOLS 角色。
SharePoint 数据库角色
本节介绍安装在默认情况下设置的或者您可以有选择地配置的数据库角色。
WSS_CONTENT_APPLICATION_POOLS 数据库角色
WSS_CONTENT_APPLICATION_POOLS 数据库角色适用于在 SharePoint 场中注册的每个 Web 应用程序的应用程序池帐户。这使得 Web 应用程序能够查询和更新网站地图,并具有对配置数据库中其他项的只读访问权限。安装程序将为以下数据库分配 WSS_CONTENT_APPLICATION_POOLS 角色:
SharePoint_Config 数据库(配置数据库)
SharePoint_AdminContent 数据库
WSS_CONTENT_APPLICATION_POOLS 角色的成员具有对数据库的存储过程的子集的执行权限。此外,此角色的成员还具有对 SharePoint_AdminContent 数据库中的 Versions 表 (dbo.Versions) 的选择权限。对于其他数据库,帐户规划工具会指出读取这些数据库的访问权限是自动配置的。在某些情况下,还会自动配置写入数据库的有限的访问权限。若要提供此访问权限,请配置对存储过程的权限。
WSS_SHELL_ACCESS 数据库角色
在配置数据库上使用安全的 WSS_SHELL_ACCESS 数据库角色后,就无需将管理帐户添加为配置数据库上的 db_owner。默认情况下,会为安装程序帐户分配 WSS_SHELL_ACCESS 数据库角色。您可以使用 PowerShell 命令对此角色授予或删除成员身份。安装程序将 WSS_SHELL_ACCESS 角色分配给以下数据库:
SharePoint_Config 数据库(配置数据库)。
一个或多个 SharePoint 内容数据库。可通过 PowerShell 命令(用于管理分配给此角色的成员身份和对象)对此进行配置。
WSS_SHELL_ACCESS 角色的成员具有对数据库的所有存储过程的执行权限。此外,此角色的成员还具有对所有数据库表的读取和写入权限。
SP_READ_ONLY 数据库角色
SP_READ_ONLY 角色应该用于将数据库设置为只读模式,而不是使用 sp_dboption。顾名思义,在使用率和遥测数据之类的数据需要只读访问权限时,应该使用该角色。
备注
sp_dboption 存储过程在 SQL Server 2012 中不可用。有关 sp_dboption 的详细信息,请参阅 sp_dboption (Transact-SQL)。
SP_READ_ONLY SQL 角色将具有以下权限:
授予对所有 SharePoint 存储过程和函数的 SELECT 权限。
授予对所有 SharePoint 表的 SELECT 权限。
授予对架构为 dbo 的用户定义类型的 EXECUTE 权限。
SP_DATA_ACCESS 数据库角色
SP_DATA_ACCESS 角色是数据库访问的默认角色,应该用于对数据库的所有对象模型级访问。在升级或新部署期间,将应用程序池帐户添加到此角色。
备注
SP_DATA_ACCESS 角色取代了 SharePoint Server 2016 中的 db_owner 角色。
SP_DATA_ACCESS 角色将具有以下权限:
授予对所有 SharePoint 存储过程和函数的 EXECUTE 或 SELECT 权限。
授予对所有 SharePoint 表的 SELECT 权限。
授予对架构为 dbo 的用户定义类型的 EXECUTE 权限。
授予对 AllUserDataJunctions 表的 INSERT 权限。
授予对网站视图的 UPDATE 权限。
授予对 UserData 视图的 UPDATE 权限。
授予对 AllUserData 表的 UPDATE 权限。
授予对 NameValuePair 表的 INSERT 和 DELETE 权限。
授予创建表的权限。
组权限
本节描述 SharePoint Server 2016 安装和配置工具创建的组权限。
WSS_ADMIN_WPG
WSS_ADMIN_WPG 具有对本地资源的读写访问权限。管理中心 和 Timer 服务的应用程序池帐户在 WSS_ADMIN_WPG 中。下表显示 WSS_ADMIN_WPG 注册表项权限。
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
完全控制 |
不适用 |
不适用 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration\{90150000-110D-0000-1000-0000000FF1CE} |
读取、写入 |
不适用 |
不适用 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
读取 |
否 |
此项是 SharePoint Server 2016 注册表设置树的根。如果更改此项,SharePoint Server 2016 功能将失败。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 |
完全控制 |
否 |
此项是 SharePoint Server 2016 注册表设置的根。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
读取、写入 |
否 |
此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
读取、写入 |
否 |
此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search |
完全控制 |
不适用 |
不适用 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search |
完全控制 |
不适用 |
不适用 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
完全控制 |
否 |
此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 SharePoint Server 2016 将无法工作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
完全控制 |
是 |
此项包含安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。 |
下表显示 WSS_ADMIN_WPG 文件系统权限。
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
完全控制 |
否 |
此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。 |
C:\Inetpub\wwwroot\wss |
完全控制 |
否 |
此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 SharePoint Server 2016 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。 |
%ProgramFiles%\Microsoft Office Servers\16.0 |
完全控制 |
否 |
此目录是 SharePoint Server 2016 二进制文件和数据的安装位置。可以在安装过程中更改此目录。如果在安装后移除或更改了此目录,所有 SharePoint Server 2016 功能将失败。某些 SharePoint Server 2016 服务需要 WSS_ADMIN_WPG Windows 安全组的成员资格。才能将数据存储在磁盘上。 |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices |
读取、写入 |
否 |
此目录是承载后端 Web 服务(例如 Excel 和搜索)的根目录。如果移除或更改此目录,依赖于这些服务的 SharePoint Server 2016 功能将失败。 |
%ProgramFiles%\Microsoft Office Servers\16.0\Data |
完全控制 |
否 |
此目录是存储本地数据(包括搜索索引)的根位置。如果移除或更改此目录,搜索功能将失败。需要 WSS_ADMIN_WPG Windows 安全组权限才能使搜索在此文件夹中保存数据和保护数据安全。 |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
完全控制 |
是 |
此目录是在其中生成运行时诊断日志记录的位置。如果移除或更改此目录,日志记录将无法正常工作。 |
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server |
完全控制 |
是 |
与父文件夹相同。 |
%windir%\System32\drivers\etc\HOSTS |
读取、写入 |
不适用 |
不适用 |
%windir%\Tasks |
完全控制 |
不适用 |
不适用 |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 |
修改 |
是 |
此目录是核心 SharePoint Server 2016 文件的安装目录。如果修改了访问控制列表 (ACL),功能激活、解决方案部署和其他功能将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
完全控制 |
是 |
此目录包含 管理中心 的 SOAP 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
完全控制 |
是 |
此目录包含用于扩展具有 SharePoint Server 2016 的 IIS 网站的文件。如果更改此目录或其内容,Web 应用程序设置将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
完全控制 |
否 |
此目录包含安装和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。 |
%windir%\temp |
完全控制 |
是 |
此目录由 SharePoint Server 2016 所依赖的平台组件使用。如果修改了访问控制列表,Web 部件呈现和其他反序列化操作可能失败。 |
%windir%\System32\logfiles\SharePoint |
完全控制 |
否 |
此目录由 SharePoint Server 使用率日志记录使用。如果修改此目录,使用率日志记录将无法正常工作。 此注册表项仅适用于 SharePoint Server。 |
索引服务器上的 %systemdrive\program files\Microsoft Office Servers\16 文件夹 |
完全控制 |
不适用 |
对索引服务器上的 %systemdrive\program files\Microsoft Office Servers\16 文件夹授予此权限。 |
WSS_WPG
WSS_WPG 具有对本地资源的读取访问权限。所有应用程序池和服务帐户都位于 WSS_WPG 中。下表显示 WSS_WPG 注册表项权限。
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 |
读取 |
否 |
此项是 SharePoint Server 2016 注册表设置的根。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics |
读取、写入 |
否 |
此项包含用于 SharePoint Server 2016 诊断日志记录的设置。更改此项将损坏日志记录功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
读取、写入 |
否 |
此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
读取、写入 |
否 |
此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
读取 |
否 |
此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 SharePoint Server 2016 将无法工作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
读取 |
是 |
此注册表项包含在安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。 |
下表显示 WSS_WPG 文件系统权限。
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
读取 |
否 |
此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。 |
C:\Inetpub\wwwroot\wss |
读取、执行 |
否 |
此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 SharePoint Server 2016 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。 |
%ProgramFiles%\Microsoft Office Servers\16.0 |
读取、执行 |
否 |
此目录是 SharePoint Server 2016 二进制文件和数据的安装位置。可以在安装过程中更改此目录。如果在安装后移除、更改或移动了此目录,所有 SharePoint Server 2016 功能将失败。需要 WSS_WPG 读取和执行权限才能使 IIS 网站加载 SharePoint Server 2016 二进制文件。 |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices |
读取 |
否 |
此目录是承载后端 Web 服务(例如 Excel 和搜索)的根目录。如果移除或更改此目录,依赖于这些服务的 SharePoint Server 2016 功能将失败。 |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
读取、写入 |
是 |
此目录是生成运行时诊断日志的位置。如果移除或更改此目录,日志记录将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
读取 |
是 |
此目录包含 管理中心 的 SOAP 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
读取 |
是 |
此目录包含用于扩展具有 SharePoint Server 2016 的 IIS 网站的文件。如果更改此目录或其内容,Web 应用程序设置将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
修改 |
否 |
此目录包含安装和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。 |
%windir%\temp |
读取 |
是 |
此目录由 SharePoint Server 2016 所依赖的平台组件使用。如果修改了访问控制列表,Web 部件呈现和其他反序列化操作可能失败。 |
%windir%\System32\logfiles\SharePoint |
读取 |
否 |
此目录由 SharePoint Server 使用率日志记录使用。如果修改此目录,使用率日志记录将无法正常工作。 注册表项仅适用于 SharePoint Server。 |
%systemdrive\program files\Microsoft Office Servers\16 |
读取、执行 |
不适用 |
对索引服务器上的 %systemdrive\program files\Microsoft Office Servers\16 文件夹授予此权限。 |
本地服务
下表显示本地服务注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings |
读取 |
否 |
此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。 |
下表显示本地服务文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0\Bin |
读取、执行 |
否 |
此目录是 SharePoint Server 2016 二进制文件的安装位置。如果移除或更改此目录,所有 SharePoint Server 2016 功能将失败。 |
本地系统
下表显示本地系统注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings |
读取 |
否 |
此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。 此注册表项仅适用于 SharePoint Server。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
完全控制 |
否 |
此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 SharePoint Server 2016 将无法工作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
完全控制 |
否 |
此注册表项包含用于在配置数据库中存储机密的加密密钥。如果更改此项,服务设置和其他功能将失败。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
完全控制 |
是 |
此注册表项包含在安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。 |
下表显示本地文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
完全控制 |
否 |
此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。 |
C:\Inetpub\wwwroot\wss |
完全控制 |
否 |
此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 SharePoint Server 2016 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
完全控制 |
是 |
此目录包含 管理中心 的 SOAP 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
完全控制 |
是 |
如果更改此目录或其内容,Web 应用程序设置将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
完全控制 |
否 |
此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。 |
%windir%\temp |
完全控制 |
是 |
此目录由 SharePoint Server 2016 所依赖的平台组件使用。如果修改了访问控制列表,Web 部件呈现和其他反序列化操作可能失败。 |
%windir%\System32\logfiles\SharePoint |
完全控制 |
否 |
SharePoint Server 使用此目录进行使用率日志记录。如果修改此目录,使用率日志记录将无法正常工作。 此注册表项仅适用于 SharePoint Server。 |
网络服务
下表显示网络服务注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup |
读取 |
不适用 |
不适用 |
管理员
下表显示管理员注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure |
完全控制 |
否 |
此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 SharePoint Server 2016 将无法工作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
完全控制 |
否 |
此注册表项包含用于在配置数据库中存储机密的加密密钥。如果更改此项,服务设置和其他功能将失败。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS |
完全控制 |
是 |
此注册表项包含在安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。 |
下表显示管理员文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
完全控制 |
否 |
此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。 |
C:\Inetpub\wwwroot\wss |
完全控制 |
否 |
此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,SharePoint 网站会不可用且管理操作可能失败,除非为使用 SharePoint Server 2016 扩展的所有 IIS 网站提供自定义 IIS 网站路径。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI |
完全控制 |
是 |
此目录包含 管理中心 的 SOAP 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG |
完全控制 |
是 |
如果更改此目录或其内容,Web 应用程序设置将无法正常工作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
完全控制 |
否 |
此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。 |
%windir%\temp |
完全控制 |
是 |
此目录由 SharePoint Server 2016 所依赖的平台组件使用。如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。 |
%windir%\System32\logfiles\SharePoint |
完全控制 |
否 |
SharePoint Server 使用此目录进行使用率日志记录。如果修改此目录,使用率日志记录将无法正常工作。 此注册表项仅适用于 SharePoint Server。 |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG 可以读取加密的服务器场管理凭据注册表项。WSS_RESTRICTED_WPG 仅用于加密和解密在配置数据库中存储的密码。下表显示 WSS_RESTRICTED_WPG 注册表项权限:
| 项名称 | 权限 | 继承 | 说明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin |
完全控制 |
否 |
此注册表项包含用于在配置数据库中存储机密的加密密钥。如果更改此项,服务设置和其他功能将失败。 |
用户组
下表显示用户组文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0 |
读取、执行 |
否 |
此目录是 SharePoint Server 2016 二进制文件和数据的安装位置。可以在安装过程中更改此目录。如果在安装后移除、更改或移动了此目录,所有 SharePoint Server 2016 功能将失败。 |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root |
读取、执行 |
否 |
此目录是承载后端根 Web 服务的根目录。最初安装于此目录中的唯一服务是搜索全局管理服务。如果移除或修改此目录,使用特定于服务器的 管理中心 设置页的某些搜索管理功能可能无法工作。 |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs |
读取、写入 |
是 |
此目录是在其中生成运行时诊断日志记录的位置。如果移除或更改此目录,日志记录将无法正常工作。 |
%ProgramFiles%\Microsoft Office Servers\16.0\Bin |
读取、执行 |
否 |
此目录是 SharePoint Server 2016 二进制文件的安装位置。如果移除或更改此目录,所有 SharePoint Server 2016 功能将失败。 |
所有 SharePoint Server 2016 服务帐户
下表显示了所有 SharePoint Server 2016 服务帐户文件系统权限:
| 文件系统路径 | 权限 | 继承 | 说明 |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS |
修改 |
否 |
此目录包含安装和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。所有 SharePoint Server 2016 服务帐户对此目录都必须具有写入权限。 |