SharePoint 2013 中的帳戶權限及安全性設定
**適用版本:**SharePoint 2013, SharePoint Foundation 2013, SharePoint Server 2013
**上次修改主題的時間:**2017-09-08
**摘要:**了解要搭配 SharePoint 2013 部署使用的權限及安全性設定。
本文說明下列領域的 SharePoint 管理及服務帳戶權限:Microsoft SQL Server、檔案系統、檔案共用及登錄項目。
重要
請不要使用含有符號 $ 的服務帳戶名稱。
本文內容:
關於帳戶權限及安全性設定
管理帳戶
服務應用程式帳戶
資料庫角色
群組權限
關於帳戶權限及安全性設定
在完整安裝期間執行的 [SharePoint 設定精靈] (Psconfig) 及 [伺服器陣列建立精靈],可設定許多 SharePoint 基準帳戶權限及安全性設定。
SharePoint 管理帳戶
下列其中一個 SharePoint 元件會在安裝程序期間自動設定大部分的 SharePoint 管理帳戶權限:
SharePoint 設定精靈 (Psconfig)。
伺服器陣列建立精靈。
SharePoint 管理中心網站。
PowerShell.
安裝程式使用者管理員帳戶
此帳戶的目的是執行 [SharePoint 設定精靈]、初始 [伺服器陣列建立精靈] 及 PowerShell,在伺服器陣列中安裝每一部伺服器。在本文的範例中,安裝程式使用者管理員帳戶會用於伺服器陣列管理,並可使用管理中心加以管理。某些設定選項需要本機管理權限,例如設定 SharePoint 2013 搜尋查詢伺服器。安裝程式使用者管理員帳戶需要下列權限:
必須擁有網域使用者帳戶權限。
必須是 SharePoint 伺服器陣列中每部伺服器的本機系統管理員群組成員。
此帳戶必須擁有 SharePoint 資料庫的存取權。
若使用任何會影響資料庫的 PowerShell 作業,安裝程式使用者管理員帳戶必須是 db_owner 角色的成員。
此帳戶必須在安裝及設定期間指定給 securityadmin 及 dbcreatorSQL Server 安全性角色。
注意
因為可能必須為服務建立新的資料庫同時保護其安全,所以此帳戶在版本對版本的完整升級期間,可能需要 securityadmin 及 dbcreatorSQL Server 安全性角色。
執行設定精靈之後,安裝程式使用者管理員帳戶的機器層級權限包括:
WSS_ADMIN_WPG Windows 安全性群組的成員資格。
IIS_WPG 角色的成員資格。
執行設定精靈之後,資料庫權限包括:
SharePoint 伺服器陣列設定資料庫的 db_owner。
SharePoint 管理中心內容資料庫的 db_owner。
警告
如果您用來執行設定精靈的帳戶沒有適當的特殊 SQL Server 角色成員資格,或無法以資料庫的 db_owner 身分進行存取,則設定精靈將無法正確執行。
SharePoint 伺服器陣列服務帳戶
伺服器陣列帳戶 (又稱為資料庫存取帳戶) 會用以作為管理中心的應用程式集區身分識別及 SharePoint Foundation 2013 計時器服務的處理序帳戶。伺服器陣列帳戶需要下列權限:
- 必須擁有網域使用者帳戶權限。
在加入伺服器陣列之網頁伺服器與應用程式伺服器上,會自動將額外權限授與此伺服器陣列帳戶。
執行安裝程式之後,電腦層級權限包括:
SharePoint Foundation 2013 計時器服務之 WSS_ADMIN_WPG Windows 安全性群組的成員資格。
管理中心及計時器服務應用程式集區之 WSS_RESTRICTED_WPG 的成員資格。
管理中心應用程式集區之 WSS_WPG 的成員資格。
執行設定精靈之後,SQL Server 及資料庫權限包括:
Dbcreator 固定伺服器角色。
Securityadmin 固定伺服器角色。
所有 SharePoint 資料庫的 db_owner。
SharePoint 伺服器陣列設定資料庫之 WSS_CONTENT_APPLICATION_POOLS 角色的成員資格。
SharePoint_Admin 內容資料庫之 WSS_CONTENT_APPLICATION_POOLS 角色的成員資格。
SharePoint 服務應用程式帳戶
本節說明在安裝期間預設設定的服務應用程式帳戶。
應用程式集區帳戶
應用程式集區帳戶供應用程式集區身分識別使用。應用程式集區帳戶需要下列權限組態設定:
下列電腦層級權限會自動設定:應用程式集區帳戶是 WSS_WPG 的成員。
此帳戶的下列 SQL Server 及資料庫權限會自動設定:
Web 應用程式的應用程式集區帳戶,會指定給內容資料庫的 SP_DATA_ACCESS 角色。
此帳戶指定給與伺服器陣列設定資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帳戶指定給與 SharePoint_Admin 內容資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
預設的內容存取帳戶
重要
本節資訊僅適用於 SharePoint Server 2016。
除非編目規則另行指定其他 URL 或 URL 模式的驗證方法,否則在特定的服務應用程式內編目內容,會使用預設的內容存取帳戶。此帳戶需要下列權限組態設定:
預設的內容存取帳戶必須是網域使用者帳戶,且具有您要使用此帳戶編目之外部或安全內容來源的讀取權限。
若為不屬於伺服器陣列的 SharePoint Server 網站,您必須明確授與此帳戶架設網站之 Web 應用程式的完整讀取權限。
此帳戶不得是伺服器陣列管理員群組的成員。
內容存取帳戶
重要
本節資訊僅適用於 SharePoint Server 2016。
內容存取帳戶會設定為使用搜尋管理編目規則功能存取內容。此為選擇性的帳戶類型,您可以在建立新編目規則時加以設定。例如,外部內容 (如檔案共用) 可能需要此獨立的內容存取帳戶。此帳戶需要下列權限組態設定:
內容存取帳戶必須擁有此帳戶設定要存取之外部或安全內容來源的讀取權限。
若為不屬於伺服器陣列的 SharePoint Server 網站,您必須明確授與此帳戶架設網站之 Web 應用程式的完整讀取權限。
Excel Services 自動服務帳戶
重要
本節資訊僅適用於 SharePoint Server 2016。
Excel Services 使用 Excel Services 自動服務帳戶連線至需要使用者名稱與密碼的外部資料來源,這些來源是根據非 Windows 作業系統進行驗證。如果未設定此帳戶,Excel Services 即不會嘗試連線至這些資料來源類型。雖然帳戶認證是用來連線至非 Windows 作業系統的資料來源,但是帳戶如果不是網域成員,Excel Services 還是無法存取。此帳戶必須是網域使用者帳戶。
「我的網站」應用程式集區帳戶
重要
本節資訊僅適用於 SharePoint Server 2016。
「我的網站」應用程式集區帳戶必須是網域使用者帳戶。此帳戶不得是伺服器陣列管理員群組的成員。
下列電腦層級權限會自動設定:此帳戶是 WSS_WPG 的成員。
下列 SQL Server 及資料庫權限會自動設定:
此帳戶指定給與伺服器陣列設定資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帳戶指定給與 SharePoint_Admin 內容資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
Web 應用程式的應用程式集區帳戶,會指定給內容資料庫的 SP_DATA_ACCESS 角色。
其他應用程式集區帳戶
其他應用程式集區帳戶必須是網域使用者帳戶。此帳戶不得是伺服器陣列之任何電腦上的系統管理員群組成員。
下列電腦層級權限會自動設定:此帳戶是 WSS_WPG 的成員。
下列 SQL Server 及資料庫權限會自動設定:
此帳戶指定給內容資料庫的 SP_DATA_ACCESS 角色。
此帳戶指定給與 Web 應用程式相關之搜尋資料庫的 SP_DATA_ACCESS 角色。
此帳戶必須擁有相關服務應用程式資料庫的讀取及寫入權限。
此帳戶指定給與伺服器陣列設定資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帳戶指定給與 SharePoint_Admin 內容資料庫相關的 WSS_CONTENT_APPLICATION_POOLS 角色。
SharePoint 資料庫角色
本節說明安裝預設設定的資料庫角色,或可以選擇性設定的資料庫角色。
WSS_CONTENT_APPLICATION_POOLS 資料庫角色
針對 SharePoint 伺服器陣列中註冊的每個 Web 應用程式,將 WSS_CONTENT_APPLICATION_POOLS 資料庫角色套用至應用程式集區帳戶。如此可讓 Web 應用程式查詢及更新網站地圖,而且擁有設定資料庫中其他項目的唯讀權限。安裝程式會將 WSS_CONTENT_APPLICATION_POOLS 角色指定給下列資料庫:
SharePoint_Config 資料庫 (設定資料庫)。
SharePoint_AdminContent 資料庫。
WSS_CONTENT_APPLICATION_POOLS 角色的成員具有資料庫之預存程序子集的執行權限。此外,此角色成員具有 SharePoint_AdminContent 資料庫「版本」表 (dbo.Versions) 的選取權限。至於其他資料庫,帳戶規劃工具會指示自動設定這些資料庫的讀取權限。在某些情況下,也會自動設定資料庫的限制寫入權限。設定預存程序的權限,可提供此存取權。
WSS_SHELL_ACCESS 資料庫角色
有了設定資料庫上的安全 WSS_SHELL_ACCESS 資料庫角色,就不需要將管理帳戶新增為設定資料庫上的 db_owner。安裝程式帳戶預設會指定給 WSS_SHELL_ACCESS 資料庫角色。您可以使用 PowerShell 命令將成員資格授與此角色,或移除成員資格。安裝程式會將 WSS_SHELL_ACCESS 角色指定給下列資料庫:
SharePoint_Config 資料庫 (設定資料庫)。
一或多個 SharePoint 內容資料庫。其利用可管理成員資格的 PowerShell 命令以及指定給此角色的物件,加以設定。
WSS_SHELL_ACCESS 角色的成員具有資料庫之所有預存程序的執行權限。此外,此角色的成員具有所有資料庫表格的讀取及寫入權限。
SP_READ_ONLY 資料庫角色
若要將資料庫設為唯讀模式,請使用 SP_READ_ONLY 角色,而不是使用 sp_dboption。此角色如其名稱所指,可用於資料 (例如流量和遙測資料) 需要唯讀權限時。
注意
sp_dboption 預存程序無法在 SQL Server 2012 中使用。如需 sp_dboption 的相關資訊,請參閱 sp_dboption (Transact-SQL)。
SP_READ_ONLY SQL 角色具有下列權限:
對所有 SharePoint 預存程序和功能授與 SELECT
對所有 SharePoint 表格授與 SELECT
對結構描述為 dbo 的使用者定義類型授與 EXECUTE
SP_DATA_ACCESS 資料庫角色
SP_DATA_ACCESS 角色是存取資料庫的預設角色,應用於資料庫的所有物件模型層級存取。在升級或新部署期間,將應用程式集區帳戶新增至此角色。
注意
SP_DATA_ACCESS 角色取代 SharePoint 2013 中的 db_owner 角色。
SP_DATA_ACCESS 角色具有下列權限:
對所有 SharePoint 預存程序和功能授與 EXECUTE 或 SELECT
對所有 SharePoint 表格授與 SELECT
對結構描述為 dbo 的使用者定義類型授與 EXECUTE
對 AllUserDataJunctions 表格授與 INSERT
對網站檢視授與 UPDATE
對 UserData 檢視授與 UPDATE
對 AllUserData 表格授與 UPDATE
對 NameValuePair 表格授與 INSERT 和 DELETE
授與建立表格權限
群組權限
本節說明 SharePoint 2013 安裝及設定工具所建立之群組的權限。
WSS_ADMIN_WPG
WSS_ADMIN_WPG 具有本機資源的讀取及寫入權限。管理中心及計時器服務的應用程式集區帳戶,位於 WSS_ADMIN_WPG 中。下表顯示 WSS_ADMIN_WPG 登錄項目權限。
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS |
完全控制 |
不適用 |
不適用 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration\{90150000-110D-0000-1000-0000000FF1CE} |
讀取、寫入 |
不適用 |
不適用 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server |
讀取 |
否 |
此機碼是 SharePoint 2013 登錄設定樹狀目錄的根目錄。若變更此機碼,則 SharePoint 2013 功能會失敗。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0 |
完全控制 |
否 |
此機碼是 SharePoint 2013 登錄設定的根目錄。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
讀取、寫入 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
讀取、寫入 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search |
完全控制 |
不適用 |
不適用 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search |
完全控制 |
不適用 |
不適用 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
完全控制 |
否 |
此機碼包含機器要加入之設定資料庫的連線字串及識別碼。若變更此機碼,機器上的 SharePoint 2013 安裝將無法運作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
完全控制 |
是 |
此機碼包含安裝期間使用的設定。如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示 WSS_ADMIN_WPG 檔案系統權限。
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
完全控制 |
否 |
此目錄包含伺服器陣列設定的檔案系統備份快取。如果變更或刪除此目錄,程序可能無法啟動,且管理動作也可能失敗。 |
C:\Inetpub\wwwroot\wss |
完全控制 |
否 |
此目錄 (或伺服器 Inetpub 根目錄下相對應的目錄) 會用以作為預設的 IIS 網站位置。除非提供自訂 IIS 網站路徑給以 SharePoint 2013 擴充的所有 IIS 網站,否則若變更或刪除此目錄,SharePoint 網站會無法使用,且管理動作也可能失敗。 |
%ProgramFiles%\Microsoft Office Servers\15.0 |
完全控制 |
否 |
此目錄是 SharePoint 2013 二進位檔案及資料的安裝位置。您可以在安裝期間變更目錄。如果移除、變更或在安裝後移除此目錄,所有的 SharePoint 2013 功能將會失敗。某些 SharePoint 2013 服務需要有 WSS_ADMIN_WPG Windows 安全性群組的成員資格,才能在磁碟中儲存資料。 |
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices |
讀取、寫入 |
否 |
此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。如果移除或變更此目錄,與這些服務相依的 SharePoint 2013 功能將會失敗。 |
%ProgramFiles%\Microsoft Office Servers\15.0\Data |
完全控制 |
否 |
此目錄是本機資料 (包括搜尋索引) 儲存所在的根目錄位置。如果移除或變更此目錄,搜尋功能將會失敗。需要有 WSS_ADMIN_WPG Windows 安全性群組權限才能啟用搜尋功能,以在此資料夾中儲存及保護資料。 |
%ProgramFiles%\Microsoft Office Servers\15.0\Logs |
完全控制 |
是 |
此目錄是產生執行階段診斷記錄的位置。如果移除或變更此目錄,記錄功能將無法正常運作。 |
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server |
完全控制 |
是 |
與上層資料夾相同。 |
%windir%\System32\drivers\etc\HOSTS |
讀取、寫入 |
不適用 |
不適用 |
%windir%\Tasks |
完全控制 |
不適用 |
不適用 |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15 |
修改 |
是 |
此目錄是核心 SharePoint 2013 檔案的安裝目錄。如果修改存取控制清單 (ACL),功能啟動、方案部署及其他功能將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
完全控制 |
是 |
此目錄包含管理中心的 SOAP 服務。如果變更此目錄,服務中公開的遠端網站建立及其他方法將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
完全控制 |
是 |
此目錄包含以 SharePoint 2013 擴充 IIS 網站所使用的檔案。如果變更此目錄或其內容,Web 應用程式佈建將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
完全控制 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。 |
%windir%\temp |
完全控制 |
是 |
此目錄係由 SharePoint 2013 相依的平台元件所使用。如果修改存取控制清單,網頁組件轉譯及其他還原序列化作業可能會失敗。 |
%windir%\System32\logfiles\SharePoint |
完全控制 |
否 |
此目錄係由 SharePoint Server 流量記錄所使用。如果修改此目錄,流量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\15 資料夾 |
完全控制 |
不適用 |
此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\15 資料夾。 |
WSS_WPG
WSS_WPG 具有本機資源的讀取權。所有應用程式集區及服務帳戶都位於 WSS_WPG 中。下表顯示 WSS_WPG 登錄項目權限。
| 機碼名稱 | 權限 | 繼承 | 說明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0 |
讀取 |
否 |
此機碼是 SharePoint 2013 登錄設定的根目錄。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics |
讀取、寫入 |
否 |
此機碼包含 SharePoint 2013 診斷記錄的設定。變更此機碼會中斷記錄功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
讀取、寫入 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
讀取、寫入 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
讀取 |
否 |
此機碼包含機器要加入之設定資料庫的連線字串及識別碼。若變更此機碼,機器上的 SharePoint 2013 安裝將無法運作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
讀取 |
是 |
此機碼包含安裝期間使用的設定。如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示 WSS_WPG 檔案系統權限。
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
讀取 |
否 |
此目錄包含伺服器陣列設定的檔案系統備份快取。如果變更或刪除此目錄,程序可能無法啟動,且管理動作也可能失敗。 |
C:\Inetpub\wwwroot\wss |
讀取、執行 |
否 |
此目錄 (或伺服器 Inetpub 根目錄下相對應的目錄) 會用以作為預設的 IIS 網站位置。除非提供自訂 IIS 網站路徑給以 SharePoint 2013 擴充的所有 IIS 網站,否則若變更或刪除此目錄,SharePoint 網站會無法使用,且管理動作也可能失敗。 |
%ProgramFiles%\Microsoft Office Servers\15.0 |
讀取、執行 |
否 |
此目錄是 SharePoint 2013 二進位檔案及資料的安裝位置。其可在安裝期間變更。如果移除、變更或在安裝後移動此目錄,所有的 SharePoint 2013 功能將會失敗。需要有 WSS_WPG 讀取與執行權限,才能讓 IIS 網站載入 SharePoint 2013 二進位檔案。 |
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices |
讀取 |
否 |
此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。如果移除或變更此目錄,與這些服務相依的 SharePoint 2013 功能將會失敗。 |
%ProgramFiles%\Microsoft Office Servers\15.0\Logs |
讀取、寫入 |
是 |
此目錄是產生執行階段診斷記錄的位置。如果移除或變更此目錄,記錄功能將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
讀取 |
是 |
此目錄包含管理中心的 SOAP 服務。如果變更此目錄,服務中公開的遠端網站建立及其他方法將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
讀取 |
是 |
此目錄包含以 SharePoint 2013 擴充 IIS 網站所使用的檔案。如果變更此目錄或其內容,Web 應用程式佈建將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
修改 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。 |
%windir%\temp |
讀取 |
是 |
此目錄係由 SharePoint 2013 相依的平台元件所使用。如果修改存取控制清單,網頁組件轉譯及其他還原序列化作業可能會失敗。 |
%windir%\System32\logfiles\SharePoint |
讀取 |
否 |
此目錄係由 SharePoint Server 流量記錄所使用。如果修改此目錄,流量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
%systemdrive\program files\Microsoft Office Servers\15 |
讀取、執行 |
不適用 |
此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\15 資料夾。 |
本機服務
下表顯示本機服務登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 說明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings |
讀取 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 |
下表顯示本機服務檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\15.0\Bin |
讀取、執行 |
否 |
此目錄是 SharePoint 2013 二進位檔案的安裝位置。如果移除或變更此目錄,所有的 SharePoint 2013 功能將會失敗。 |
本機系統
下表顯示本機系統登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 說明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings |
讀取 |
否 |
此機碼包含文件轉換服務的設定。變更此機碼會中斷文件轉換功能。 此登錄機碼僅適用於 SharePoint Server。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
完全控制 |
否 |
此機碼包含機器要加入之設定資料庫的連線字串及識別碼。若變更此機碼,機器上的 SharePoint 2013 安裝將無法運作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
完全控制 |
否 |
此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。如果變更此機碼,服務佈建及其他功能將會失敗。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
完全控制 |
是 |
此機碼包含安裝期間使用的設定。如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示本機檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
完全控制 |
否 |
此目錄包含伺服器陣列設定的檔案系統備份快取。如果變更或刪除此目錄,程序可能無法啟動,且管理動作也可能失敗。 |
C:\Inetpub\wwwroot\wss |
完全控制 |
否 |
此目錄 (或伺服器 Inetpub 根目錄下相對應的目錄) 會用以作為預設的 IIS 網站位置。除非提供自訂 IIS 網站路徑給以 SharePoint 2013 擴充的所有 IIS 網站,否則若變更或刪除此目錄,SharePoint 網站會無法使用,且管理動作也可能失敗。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
完全控制 |
是 |
此目錄包含管理中心的 SOAP 服務。如果變更此目錄,服務中公開的遠端網站建立及其他方法將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
完全控制 |
是 |
如果變更此目錄或其內容,Web 應用程式佈建將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
完全控制 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。 |
%windir%\temp |
完全控制 |
是 |
此目錄係由 SharePoint 2013 相依的平台元件所使用。如果修改存取控制清單,網頁組件轉譯及其他還原序列化作業可能會失敗。 |
%windir%\System32\logfiles\SharePoint |
完全控制 |
否 |
此目錄係由 SharePoint Server 流量記錄所使用。如果修改此目錄,流量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
網路服務
下表顯示網路服務登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 說明 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup |
讀取 |
不適用 |
不適用 |
管理員
下表顯示管理員登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure |
完全控制 |
否 |
此機碼包含機器要加入之設定資料庫的連線字串及識別碼。若變更此機碼,機器上的 SharePoint 2013 安裝將無法運作。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
完全控制 |
否 |
此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。如果變更此機碼,服務佈建及其他功能將會失敗。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS |
完全控制 |
是 |
此機碼包含安裝期間使用的設定。如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示管理員檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint |
完全控制 |
否 |
此目錄包含伺服器陣列設定的檔案系統備份快取。如果變更或刪除此目錄,程序可能無法啟動,且管理動作也可能失敗。 |
C:\Inetpub\wwwroot\wss |
完全控制 |
否 |
此目錄 (或伺服器 Inetpub 根目錄下相對應的目錄) 會用以作為預設的 IIS 網站位置。除非提供自訂 IIS 網站路徑給以 SharePoint 2013 擴充的所有 IIS 網站,否則若變更或刪除此目錄,SharePoint 網站會無法使用,且管理動作也可能失敗。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI |
完全控制 |
是 |
此目錄包含管理中心的 SOAP 服務。如果變更此目錄,服務中公開的遠端網站建立及其他方法將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG |
完全控制 |
是 |
如果變更此目錄或其內容,Web 應用程式佈建將無法正常運作。 |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
完全控制 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。 |
%windir%\temp |
完全控制 |
是 |
此目錄係由 SharePoint 2013 相依的平台元件所使用。如果修改 ACL,網頁組件轉譯及其他還原序列化作業可能會失敗。 |
%windir%\System32\logfiles\SharePoint |
完全控制 |
否 |
此目錄係由 SharePoint Server 流量記錄所使用。如果修改此目錄,流量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG 可以讀取加密的伺服器陣列管理認證登錄項目。WSS_RESTRICTED_WPG 只用於加密及解密設定資料庫中所儲存的密碼。下表顯示 WSS_RESTRICTED_WPG 登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin |
完全控制 |
否 |
此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。如果變更此機碼,服務佈建及其他功能將會失敗。 |
使用者群組
下表顯示使用者群組檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\15.0 |
讀取、執行 |
否 |
此目錄是 SharePoint 2013 二進位檔案及資料的安裝位置。其可在安裝期間變更。如果移除、變更或在安裝後移動此目錄,所有的 SharePoint 2013 功能將會失敗。 |
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root |
讀取、執行 |
否 |
此目錄是後端根 Web 服務架設所在的根目錄。最初安裝在此目錄的唯一一項服務是搜尋全域管理服務。如果移除或變更此目錄,某些使用伺服器特定管理中心設定頁面上的搜尋管理功能將無法運作。 |
%ProgramFiles%\Microsoft Office Servers\15.0\Logs |
讀取、寫入 |
是 |
此目錄是產生執行階段診斷記錄的位置。如果移除或變更此目錄,記錄將無法正常運作。 |
%ProgramFiles%\Microsoft Office Servers\15.0\Bin |
讀取、執行 |
否 |
此目錄是 SharePoint 2013 二進位檔案的安裝位置。如果移除或變更此目錄,所有的 SharePoint 2013 功能將會失敗。 |
所有 SharePoint 2013 服務帳戶
下表顯示所有 SharePoint 2013 服務帳戶的檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS |
修改 |
否 |
此目錄包含安裝程式及執行階段追蹤記錄。如果變更此目錄,診斷記錄將無法正常運作。所有 SharePoint 2013 服務帳戶都必須擁有此目錄的寫入權限。 |