帳戶權限與安全性設定 (SharePoint Server 2010)
適用版本: SharePoint Server 2010
上次修改主題的時間: 2016-11-30
本文內容:
關於帳戶權限及安全性設定
管理帳戶
服務應用程式帳戶
資料庫角色
群組權限
本文說明 Microsoft SharePoint Server 2010 的管理及服務帳戶權限。其涵蓋下列領域:Microsoft SQL Server、檔案系統、檔案共用及登錄項目。
關於帳戶權限及安全性設定
許多 SharePoint Server 2010 基準帳戶權限及安全性設定皆透過 [SharePoint 設定精靈] (Psconfig) 及 [伺服器陣列建立精靈] 進行設定,這兩個精靈都會在完整安裝期間執行。
管理帳戶
大部分的 SharePoint Server 2010 管理帳戶權限,會在安裝程序期間由下列一種 SharePoint Server 2010 元件自動設定:
SharePoint 設定精靈 (Psconfig)。
伺服器陣列建立精靈。
SharePoint 管理中心網站。
Windows PowerShell。
安裝程式使用者管理員帳戶
此帳戶的目的是執行 [SharePoint 設定精靈]、初始 [伺服器陣列建立精靈] 及 Windows PowerShell,在伺服器陣列中安裝每一部伺服器。在本文的範例中,安裝程式使用者管理員帳戶會用於伺服器陣列管理,並可使用管理中心加以管理。某些設定選項需要本機管理權限:例如,設定 SharePoint Server 2010 搜尋查詢伺服器。安裝程式使用者管理員帳戶需要下列權限:
必須擁有網域使用者帳戶權限。
必須是 SharePoint Server 2010 伺服器陣列中每一部伺服器的本機管理員群組成員,SQL Server 及簡易郵件傳送通訊協定 (SMTP) 伺服器除外。
此帳戶必須擁有 SharePoint Server 2010 資料庫的存取權。
若使用任何會影響資料庫的 Windows PowerShell 作業,安裝程式使用者管理員帳戶必須是 db_owner 角色的成員。
此帳戶必須在安裝及設定期間指定給 securityadmin 及 dbcreator SQL Server 安全性角色。
注意
因為可能必須為服務建立新的資料庫同時保護其安全,所以此帳戶在完整版本的版本升級期間,可能需要 securityadmin 及 dbcreator SQL Server 安全性角色。
執行設定精靈之後,安裝程式使用者管理員帳戶的機器層級權限包括:
WSS_ADMIN_WPG Windows 安全性群組的成員資格。
IIS_WPG 角色的成員資格。
執行設定精靈之後,資料庫權限包括:
SharePoint Server 2010 伺服器陣列設定資料庫的 db_owner。
SharePoint Server 2010 管理中心內容資料庫的 db_owner。
警告
若以登入身分從執行 SQL Server 的電腦移除安裝程式使用者管理員帳戶,設定精靈將無法正確執行。若使用沒有適當的特殊 SQL 角色成員資格之帳戶執行設定精靈,或以資料庫的 db_owner 身分加以存取,則設定精靈會無法正確執行。
伺服器陣列服務帳戶
伺服器陣列帳戶亦稱為資料庫存取帳戶,會用以作為管理中心的應用程式集區身分識別及 Microsoft SharePoint Foundation 2010 計時器服務的處理序帳戶。伺服器陣列帳戶需要下列權限:
- 必須擁有網域使用者帳戶權限。
在加入伺服器陣列之網頁伺服器與應用程式伺服器上,會自動將額外權限授與此伺服器陣列帳戶。
執行 [SharePoint 設定精靈] 之後,機器層級權限包括:
SharePoint Foundation 2010 計時器服務之 WSS_ADMIN_WPG Windows 安全性群組的成員資格。
管理中心及計時器服務應用程式集區之 WSS_RESTRICTED_WPG 的成員資格。
管理中心應用程式集區之 WSS_WPG 的成員資格。
執行設定精靈之後,SQL Server 及資料庫權限包括:
Dbcreator 固定伺服器角色。
Securityadmin 固定伺服器角色。
所有 SharePoint Server 2010 資料庫的 db_owner。
SharePoint Server 2010 伺服器陣列設定資料庫之 WSS_CONTENT_APPLICATION_POOLS 角色的成員資格。
SharePoint Server 2010 SharePoint_Admin 內容資料庫之 WSS_CONTENT_APPLICATION_POOLS 角色的成員資格。
Microsoft SharePoint Foundation 2010 Search Service 帳戶
SharePoint Foundation 2010 Search Service 帳戶會用作為 SharePoint Foundation 2010 Search Service 的服務帳戶。SharePoint Foundation 2010 Search Service 帳戶需要下列權限組態設定:
- 此帳戶必須擁有網域使用者帳戶權限。
下列機器層級權限會自動設定:Search Service 帳戶是 WSS_WPG 的成員。
下列 SQL Server 及資料庫權限利用伺服器陣列設定資料庫的 WSS_CONTENT_APPLICATION_POOLS 角色之成員資格授與:
伺服器陣列設定資料庫的讀取權限。
SharePoint_Admin 內容資料庫的讀取權限。
此帳戶指定給 SharePoint Foundation 2010 搜尋資料庫的 db_owner 角色。
Microsoft SharePoint Foundation 2010 搜尋內容存取帳戶
SharePoint Foundation 2010 搜尋內容存取帳戶供 SharePoint Foundation 2010 Search Service 跨網站編目內容。SharePoint Foundation 2010 搜尋內容存取帳戶需要下列權限組態設定:
此帳戶必須擁有網域使用者帳戶權限。
此帳戶不得是伺服器陣列管理員群組的成員。
下列 SQL Server 及資料庫權限會自動設定:
伺服器陣列設定資料庫的讀取權限。
SharePoint_Admin 內容資料庫的讀取權限。
此帳戶指定給 SharePoint Foundation 2010 搜尋資料庫的 db_owner 角色。
SharePoint Foundation 2010 搜尋內容存取帳戶的「完整讀取」原則,建立在所有 Web 應用程式上。
服務應用程式帳戶
本節說明在安裝期間預設設定的服務應用程式帳戶。
應用程式集區帳戶
應用程式集區帳戶供應用程式集區身分識別使用。應用程式集區帳戶需要下列權限組態設定:
下列機器層級權限會自動設定:應用程式集區帳戶是 WSS_WPG 的成員。
此帳戶的下列 SQL Server 及資料庫權限會自動設定:
Web 應用程式的應用程式集區帳戶,會指定給內容資料庫的 db_owner 角色。
此帳戶指定給與伺服器陣列設定資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帳戶指定給與 SharePoint_Admin 內容資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
SharePoint Server Search Service 帳戶
SharePoint Server 2010 Search Service 帳戶是用以作為 SharePoint Server 2010 Search Service 的服務帳戶。SharePoint Server Search Service 是所有 Search Service 應用程式所使用的 NT 服務。任何指定的伺服器都只有此服務的一個執行個體。SharePoint Server 2010 Search Service 帳戶需要下列權限組態設定:授與 SharePoint Server 2010 Search Service 帳戶在伺服器陣列中所有搜尋查詢伺服器上傳播位置共用的存取權。
下列機器層級權限會自動設定:SharePoint Server 2010 Search Service 帳戶是 WSS_WPG 的成員。
下列 SQL Server 及資料庫權限會自動設定:
此帳戶指定給與伺服器陣列設定資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帳戶指定給與 SharePoint_Admin 內容資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
預設的內容存取帳戶
除非編目規則另行指定其他 URL 或 URL 模式的驗證方法,否則在特定的服務應用程式內編目內容,會使用預設的內容存取帳戶。此帳戶需要下列權限組態設定:
預設的內容存取帳戶必須是網域使用者帳戶,且必須有您要使用此帳戶編目之外部或安全內容來源的讀取權限。
若為不屬於伺服器陣列的 SharePoint Server 網站,即必須明確授與此帳戶架設網站之 Web 應用程式的完整讀取權限。
此帳戶不得是伺服器陣列管理員群組的成員。
內容存取帳戶
內容存取帳戶是設定為使用搜尋管理編目規則功能存取內容的帳戶。此為選擇性的帳戶類型,可於建立新編目規則時加以設定。例如,外部內容 (例如檔案共用) 可能需要此獨立的內容存取帳戶。此帳戶需要下列權限組態設定:
內容存取帳戶必須擁有此帳戶設定要存取之外部或安全內容來源的讀取權限。
若為不屬於伺服器陣列的 SharePoint Server 網站,即必須明確授與此帳戶架設網站之 Web 應用程式的完整讀取權限。
Excel Services 自動服務帳戶
Excel Services 使用 Excel Services 自動服務帳戶連線至需要使用者名稱與密碼的外部資料來源,這些來源是根據非 Windows 作業系統進行驗證。如果未設定此帳戶,Excel Services 即不會嘗試連線至這些資料來源類型。雖然帳戶認證是用來連線至非 Windows 作業系統的資料來源,但是帳戶如果不是網域成員,Excel Services 還是無法存取。此帳戶必須是網域使用者帳戶。
「我的網站」應用程式集區帳戶
「我的網站」應用程式集區帳戶必須是網域使用者帳戶。此帳戶不得是伺服器陣列管理員群組的成員。
下列機器層級權限會自動設定:此帳戶是 WSS_WPG 的成員。
下列 SQL Server 及資料庫權限會自動設定:
此帳戶指定給與伺服器陣列設定資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帳戶指定給與 SharePoint_Admin 內容資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
其他應用程式集區帳戶
其他應用程式集區帳戶必須是網域使用者帳戶。此帳戶不得是伺服器陣列之任何電腦上的管理員群組成員。
下列機器層級權限會自動設定:此帳戶是 WSS_WPG 的成員。
下列 SQL Server 及資料庫權限會自動設定:
此帳戶指定給內容資料庫的 db_owner 角色。
此帳戶指定給與 Web 應用程式相關之搜尋資料庫的 db_owner 角色。
此帳戶必須擁有相關服務應用程式資料庫的讀取及寫入權限。
此帳戶指定給與伺服器陣列設定資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帳戶指定給與 SharePoint_Admin 內容資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
資料庫角色
本節說明在安裝期間預設設定的資料庫角色,或可以選擇性設定的資料庫角色。
WSS_CONTENT_APPLICATION_POOLS 資料庫角色
針對 SharePoint 中註冊的每個 Web 應用程式,將 WSS_CONTENT_APPLICATION_POOLS 資料庫角色套用至應用程式集區帳戶。如此可讓 Web 應用程式查詢及更新網站地圖,而且擁有設定資料庫中其他項目的唯讀權限。安裝程式會將 WSS_CONTENT_APPLICATION_POOLS 角色指定給下列資料庫:
SharePoint_Config 資料庫 (設定資料庫)。
SharePoint_AdminContent 資料庫。
授與 WSS_CONTENT_APPLICATION_POOLS 角色的成員資料庫預存程序子集的執行權限。此外,也授與此角色成員 SharePoint_AdminContent 資料庫「版本」表 (dbo.Versions) 的選取權限。至於其他資料庫,帳戶規劃工具會指示自動設定這些資料庫的讀取權限。在某些情況下,也會自動設定資料庫的限制寫入權限。設定預存程序的權限,可提供此存取權。以 SharePoint_Config 資料庫為例,下列預存程式的存取權會自動設定:
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
WSS_SHELL_ACCESS 資料庫角色
有了設定資料庫上的安全 WSS_SHELL_ACCESS 資料庫角色,就不需要將管理帳戶新增為設定資料庫上的 db_owner。安裝程式帳戶預設會指定給 WSS_SHELL_ACCESS 資料庫角色。使用 Windows PowerShell 命令,可以授與及移除此角色中的成員資格。安裝程式會將 WSS_SHELL_ACCESS 角色指定給下列資料庫:
SharePoint_Config 資料庫 (設定資料庫)。
一或多個 SharePoint 內容資料庫。其利用可管理成員資格的 Windows PowerShell 命令以及指定給此角色的物件,加以設定。
系統會將資料庫的所有預存程序之執行權限,授與 WSS_SHELL_ACCESS 角色的成員。此外,會將所有資料庫表格的讀取及寫入權限,授與此角色的成員。
群組權限
本節說明 SharePoint Server 2010 安裝及設定工具所建立之群組的權限。
WSS_ADMIN_WPG
WSS_ADMIN_WPG 具有本機資源的讀取及寫入權限。管理中心及計時器服務的應用程式集區帳戶,位於 WSS_ADMIN_WPG 中。下表顯示 WSS_ADMIN_WPG 登錄項目權限。
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_CLASSES_ROOT\APPID\{58F1D482-A132-4297-9B8A-F8E4E600CDF6} |
完全控制 |
N/A |
此為 SharePoint Server 2010 Search Service COM 應用程式。 |
HKEY_CLASSES_ROOT\APPID\{6002D29F-1366-4523-88C1-56D59BFEF8CB} |
完全控制 |
N/A |
此為 SharePoint Foundation 2010 Search Service COM 應用程式。 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
完全控制 |
N/A |
N/A |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\14.0\Registration\{90120000-110D-0000-0000-0000000FF1CE} |
讀取、寫入 |
N/A |
N/A |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
讀取 |
否 |
此機碼是 SharePoint Server 2010 登錄設定樹狀目錄的根目錄。若變更此機碼,則 SharePoint Server 2010 功能會失敗。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0 |
完全控制 |
否 |
此機碼是 SharePoint Server 2010 登錄設定的根目錄。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings |
讀取、寫入 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings |
讀取、寫入 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search |
完全控制 |
N/A |
N/A |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Search |
完全控制 |
N/A |
N/A |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
完全控制 |
否 |
此機碼包含機器要加入之設定資料庫的連線字串及識別碼。若變更此機碼,機器上的 SharePoint Server 安裝將無法運作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
完全控制 |
是 |
此機碼包含安裝期間使用的設定。如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示 WSS_ADMIN_WPG 檔案系統權限。
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
完全控制 |
否 |
此目錄包含伺服器陣列設定的檔案系統備份快取。如果變更或刪除此目錄,程序可能無法啟動,且管理動作也可能失敗。 |
C:\Inetpub\wwwroot\wss |
完全控制 |
否 |
此目錄 (或伺服器 Inetpub 根目錄下相對應的目錄) 會用以作為預設的 IIS 網站位置。除非提供自訂 IIS 網站路徑給以 SharePoint Server 擴充的所有 IIS 網站,否則若變更或刪除此目錄,SharePoint 網站會無法使用,且管理動作也可能失敗。 |
%ProgramFiles%\Microsoft Office Servers\14.0 |
完全控制 |
否 |
此目錄是 SharePoint Server 2010 二進位檔案及資料的安裝位置。您可以在安裝期間變更目錄。如果移除、變更或在安裝後移除此目錄,所有的 SharePoint Server 2010 功能將會失敗。某些 SharePoint Server 2010 服務需要有 WSS_ADMIN_WPG Windows 安全性群組的成員資格,才能在磁碟中儲存資料。 |
%ProgramFiles%\Microsoft Office Servers\14.0\WebServices |
讀取、寫入 |
否 |
此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。如果移除或變更此目錄,與這些服務相依的 SharePoint Server 2010 功能將會失敗。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Data |
完全控制 |
否 |
此目錄是本機資料 (包括搜尋索引) 儲存所在的根目錄位置。如果移除或變更此目錄,搜尋功能將會失敗。需要有 WSS_ADMIN_WPG Windows 安全性群組權限才能啟用搜尋功能,以在此資料夾中儲存及保護資料。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Logs |
完全控制 |
是 |
此目錄是產生執行階段診斷記錄的位置。如果移除或變更此目錄,記錄功能將無法正常運作。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Data\Office Server |
完全控制 |
是 |
與上層資料夾相同。 |
%windir%\System32\drivers\etc\HOSTS |
讀取、寫入 |
N/A |
N/A |
%windir%\Tasks |
完全控制 |
N/A |
N/A |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\14 |
修改 |
是 |
此目錄是核心 SharePoint Server 檔案的安裝目錄。如果修改存取控制清單 (ACL),功能啟動、方案部署及其他功能將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
完全控制 |
是 |
此目錄包含管理中心的 soap 服務。如果變更此目錄,服務中公開的遠端網站建立及其他方法將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
完全控制 |
是 |
此目錄包含以 SharePoint Server 擴充 IIS 網站所使用的檔案。如果變更此目錄或其內容,Web 應用程式佈建將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
完全控制 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\Data |
完全控制 |
是 |
N/A |
%windir%\temp |
完全控制 |
是 |
此目錄係由 SharePoint Server 相依的平台元件所使用。如果修改 ACL,網頁組件轉譯及其他還原序列化作業可能會失敗。 |
%windir%\System32\logfiles\SharePoint |
完全控制 |
否 |
此目錄係由 SharePoint Server 流量記錄所使用。如果修改此目錄,流量記錄將無法正常運作。 |
索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\14 資料夾 |
完全控制 |
N/A |
此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\14 資料夾。 |
WSS_WPG
WSS_WPG 具有本機資源的讀取權。所有應用程式集區及服務帳戶都位於 WSS_WPG 中。下表顯示 WSS_WPG 登錄項目權限。
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0 |
讀取 |
否 |
此機碼是 SharePoint Server 2010 登錄設定的根目錄。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Diagnostics |
讀取、寫入 |
否 |
此機碼包含 SharePoint Server 2010 診斷記錄的設定。變更此機碼會中斷記錄功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings |
讀取、寫入 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings |
讀取、寫入 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
讀取 |
否 |
此機碼包含機器要加入之設定資料庫的連線字串及識別碼。若變更此機碼,機器上的 SharePoint Server 安裝將無法運作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
讀取 |
是 |
此機碼包含安裝期間使用的設定。如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示 WSS_WPG 檔案系統權限。
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
讀取 |
否 |
此目錄包含伺服器陣列設定的檔案系統備份快取。如果變更或刪除此目錄,程序可能無法啟動,且管理動作也可能失敗。 |
C:\Inetpub\wwwroot\wss |
讀取、執行 |
否 |
此目錄 (或伺服器 Inetpub 根目錄下相對應的目錄) 會用以作為預設的 IIS 網站位置。除非提供自訂 IIS 網站路徑給以 SharePoint Server 擴充的所有 IIS 網站,否則若變更或刪除此目錄,SharePoint 網站會無法使用,且管理動作也可能失敗。 |
%ProgramFiles%\Microsoft Office Servers\14.0 |
讀取、執行 |
否 |
此目錄是 SharePoint Server 2010 二進位檔案及資料的安裝位置。其可在安裝期間變更。如果移除、變更或在安裝後移動此目錄,所有的 SharePoint Server 2010 功能將會失敗。需要有 WSS_WPG 讀取與執行權限,才能讓 IIS 網站載入 SharePoint Server 2010 二進位檔案。 |
%ProgramFiles%\Microsoft Office Servers\14.0\WebServices |
讀取 |
否 |
此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。如果移除或變更此目錄,與這些服務相依的 SharePoint Server 2010 功能將會失敗。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Logs |
讀取、寫入 |
是 |
此目錄是產生執行階段診斷記錄的位置。如果移除或變更此目錄,記錄功能將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
讀取 |
是 |
此目錄包含管理中心的 soap 服務。如果變更此目錄,服務中公開的遠端網站建立及其他方法將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
讀取 |
是 |
此目錄包含以 SharePoint Server 擴充 IIS 網站所使用的檔案。如果變更此目錄或其內容,Web 應用程式佈建將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
修改 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。 |
%windir%\temp |
讀取 |
是 |
此目錄係由 SharePoint Server 相依的平台元件所使用。如果修改 ACL,網頁組件轉譯及其他還原序列化作業可能會失敗。 |
%windir%\System32\logfiles\SharePoint |
讀取 |
否 |
此目錄係由 SharePoint Server 流量記錄所使用。如果修改此目錄,流量記錄將無法正常運作。 |
%systemdrive\program files\Microsoft Office Servers\14 |
讀取、執行 |
N/A |
此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\14 資料夾。 |
本機服務
下表顯示本機服務登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings |
讀取 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
下表顯示本機服務檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\14.0\Bin |
讀取、執行 |
否 |
此目錄是 SharePoint Server 2010 二進位檔案的安裝位置。如果移除或變更此目錄,所有的 SharePoint Server 2010 功能將會失敗。 |
本機系統
下表顯示本機系統登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings |
讀取 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
完全控制 |
否 |
此機碼包含機器要加入之設定資料庫的連線字串及識別碼。若變更此機碼,機器上的 SharePoint Server 安裝將無法運作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin |
完全控制 |
否 |
此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。如果變更此機碼,服務佈建及其他功能將會失敗。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
完全控制 |
是 |
此機碼包含安裝期間使用的設定。如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示本機檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
完全控制 |
否 |
此目錄包含伺服器陣列設定的檔案系統備份快取。如果變更或刪除此目錄,程序可能無法啟動,且管理動作也可能失敗。 |
C:\Inetpub\wwwroot\wss |
完全控制 |
否 |
此目錄 (或伺服器 Inetpub 根目錄下相對應的目錄) 會用以作為預設的 IIS 網站位置。除非提供自訂 IIS 網站路徑給以 SharePoint Server 擴充的所有 IIS 網站,否則若變更或刪除此目錄,SharePoint 網站會無法使用,且管理動作也可能失敗。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
完全控制 |
是 |
此目錄包含管理中心的 soap 服務。如果變更此目錄,服務中公開的遠端網站建立及其他方法將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
完全控制 |
是 |
如果變更此目錄或其內容,Web 應用程式佈建將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
完全控制 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。 |
%windir%\temp |
完全控制 |
是 |
此目錄係由 SharePoint Server 相依的平台元件所使用。如果修改 ACL,網頁組件轉譯及其他還原序列化作業可能會失敗。 |
%windir%\System32\logfiles\SharePoint |
完全控制 |
否 |
此目錄係由 SharePoint Server 流量記錄所使用。如果修改此目錄,流量記錄將無法正常運作。 |
網路服務
下表顯示網路服務登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search\Setup |
讀取 |
N/A |
N/A |
管理員
下表顯示管理員登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure |
完全控制 |
否 |
此機碼包含機器要加入之設定資料庫的連線字串及識別碼。若變更此機碼,機器上的 SharePoint Server 安裝將無法運作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin |
完全控制 |
否 |
此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。如果變更此機碼,服務佈建及其他功能將會失敗。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS |
完全控制 |
是 |
此機碼包含安裝期間使用的設定。如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示管理員檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%AllUsersProfile%\Application Data\Microsoft\Sharepoint |
完全控制 |
否 |
此目錄包含伺服器陣列設定的檔案系統備份快取。如果變更或刪除此目錄,程序可能無法啟動,且管理動作也可能失敗。 |
C:\Inetpub\wwwroot\wss |
完全控制 |
否 |
此目錄 (或伺服器 Inetpub 根目錄下相對應的目錄) 會用以作為預設的 IIS 網站位置。除非提供自訂 IIS 網站路徑給以 SharePoint Server 擴充的所有 IIS 網站,否則若變更或刪除此目錄,SharePoint 網站會無法使用,且管理動作也可能失敗。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI |
完全控制 |
是 |
此目錄包含管理中心的 soap 服務。如果變更此目錄,服務中公開的遠端網站建立及其他方法將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG |
完全控制 |
是 |
如果變更此目錄或其內容,Web 應用程式佈建將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
完全控制 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。 |
%windir%\temp |
完全控制 |
是 |
此目錄係由 SharePoint Server 相依的平台元件所使用。如果修改 ACL,網頁組件轉譯及其他還原序列化作業可能會失敗。 |
%windir%\System32\logfiles\SharePoint |
完全控制 |
否 |
此目錄係用於 SharePoint Server 流量記錄。如果修改此目錄,流量記錄將無法正常運作。 |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG 可以讀取加密的伺服器陣列管理認證登錄項目。WSS_RESTRICTED_WPG 只用於加密及解密設定資料庫中所儲存的密碼。下表顯示 WSS_RESTRICTED_WPG 登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin |
完全控制 |
否 |
此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。如果變更此機碼,服務佈建及其他功能將會失敗。 |
使用者群組
下表顯示使用者群組檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\14.0 |
讀取、執行 |
否 |
此目錄是 SharePoint Server 2010 二進位檔案及資料的安裝位置。其可在安裝期間變更。如果移除、變更或在安裝後移動此目錄,所有的 SharePoint Server 2010 功能將會失敗。 |
%ProgramFiles%\Microsoft Office Servers\14.0\WebServices\Root |
讀取、執行 |
否 |
此目錄是後端根 Web 服務架設所在的根目錄。最初安裝在此目錄的唯一一項服務是搜尋全域管理服務。如果移除或變更此目錄,某些使用伺服器特定管理中心 [搜尋設定] 頁面上的搜尋管理功能將無法運作。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Logs |
讀取、寫入 |
是 |
此目錄是產生執行階段診斷記錄的位置。如果移除或變更此目錄,記錄將無法正常運作。 |
%ProgramFiles%\Microsoft Office Servers\14.0\Bin |
讀取、執行 |
否 |
此目錄是 SharePoint Server 2010 二進位檔案的安裝位置。如果移除或變更此目錄,所有的 SharePoint Server 2010 功能將會失敗。 |
所有 Office SharePoint Server 服務帳戶
下表顯示所有 Office SharePoint Server 服務帳戶的檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS |
修改 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。所有 SharePoint Server 服務帳戶都必須擁有此目錄的寫入權限。 |