SharePoint Server 2016 中的帳戶權(quán)限和安全設(shè)置 | Microsoft Learn

株野 2023-10-25 發(fā)布于陜西

展開全文

項(xiàng)目
2018/03/21

**上一次修改主題：**2017-09-08

**摘要：**了解部署 SharePoint Server 2016 時(shí)要使用的權(quán)限和安全設(shè)置。

本文描述了以下領(lǐng)域的 SharePoint 管理和服務(wù)帳戶權(quán)限：Microsoft SQL Server、文件系統(tǒng)、文件共享和注冊(cè)表項(xiàng)。

重要

請(qǐng)勿使用包含符號(hào) $ 的服務(wù)帳戶名稱。

本文內(nèi)容：

關(guān)于帳戶權(quán)限和安全設(shè)置
管理帳戶
服務(wù)應(yīng)用程序帳戶
數(shù)據(jù)庫(kù)角色
組權(quán)限

有關(guān) SharePoint Server 2016 中的帳戶權(quán)限和安全設(shè)置

SharePoint 產(chǎn)品配置向?qū)?配置向?qū)?(Psconfig) 和場(chǎng)配置向?qū)В▋烧呔谕耆惭b過程中運(yùn)行）配置多個(gè) SharePoint 基線帳戶權(quán)限和安全設(shè)置。

SharePoint 管理帳戶

下列 SharePoint 組件之一在安裝過程中自動(dòng)配置大部分 SharePoint 管理員帳戶權(quán)限：

SharePoint 產(chǎn)品配置向?qū)?(Psconfig)。
服務(wù)器場(chǎng)配置向?qū)А?/p>
SharePoint SharePoint 管理中心網(wǎng)站網(wǎng)站。
Microsoft PowerShell.

安裝程序用戶管理員帳戶

此帳戶用于通過運(yùn)行 SharePoint 產(chǎn)品配置向?qū)?、初始?chǎng)配置向?qū)Ш?PowerShell 來(lái)設(shè)置您的場(chǎng)中的每個(gè)服務(wù)器。對(duì)于本文中的示例，安裝程序用戶管理員帳戶用于場(chǎng)管理，您可以使用管理中心來(lái)管理它。某些配置選項(xiàng)（如 SharePoint Server 2016 搜索查詢服務(wù)器的配置）需要本地管理權(quán)限。安裝程序用戶管理員帳戶需要以下權(quán)限：

它必須具有域用戶帳戶權(quán)限。
它必須是 SharePoint 服務(wù)器場(chǎng)中每臺(tái)服務(wù)器上本地管理員組的成員。
此帳戶必須能夠訪問 SharePoint 數(shù)據(jù)庫(kù)。
如果您使用任何會(huì)影響數(shù)據(jù)庫(kù)的 PowerShell 操作，安裝程序的用戶管理員帳戶必須是 db_owner 角色的成員。
在安裝和配置過程中，必須將此帳戶分配給 securityadmin 和 dbcreatorSQL Server 安全角色。

備注

由于在完整的版本到版本升級(jí)期間必須為服務(wù)創(chuàng)建和保護(hù)新數(shù)據(jù)庫(kù)，可能需要 securityadmin 和 dbcreatorSQL Server 安全角色。

運(yùn)行配置向?qū)Ш螅惭b程序用戶管理員帳戶的計(jì)算機(jī)級(jí)別權(quán)限包括：

WSS_ADMIN_WPG Windows 安全組的成員資格。
IIS_WPG 角色的成員資格。

運(yùn)行配置向?qū)Ш?，?shù)據(jù)庫(kù)權(quán)限包括：

SharePoint 服務(wù)器場(chǎng)配置數(shù)據(jù)庫(kù)上的 db_owner。
SharePoint 管理中心內(nèi)容數(shù)據(jù)庫(kù)上的db_owner。

警告

如果用來(lái)運(yùn)行配置向?qū)У膸魶]有相應(yīng)的特殊 SQL Server 角色成員身份，或無(wú)法在數(shù)據(jù)庫(kù)上以 db_owner 身份進(jìn)行訪問，配置向?qū)o(wú)法正常運(yùn)行。

SharePoint 場(chǎng)服務(wù)帳戶

服務(wù)器場(chǎng)帳戶（也稱為數(shù)據(jù)庫(kù)訪問帳戶）用作管理中心的應(yīng)用程序池標(biāo)識(shí)和 SharePoint Foundation 2013 Timer 服務(wù)的進(jìn)程帳戶。服務(wù)器場(chǎng)帳戶需要以下權(quán)限：

它必須具有域用戶帳戶權(quán)限。

對(duì)于加入到服務(wù)器場(chǎng)中的 Web 服務(wù)器和應(yīng)用程序服務(wù)器上的服務(wù)器場(chǎng)，會(huì)自動(dòng)授予其他權(quán)限。

運(yùn)行設(shè)置后，計(jì)算機(jī)級(jí)別權(quán)限包括：

SharePoint Foundation 2013 定時(shí)服務(wù)的 WSS_ADMIN_WPG Windows 安全組的成員資格。
管理中心和計(jì)時(shí)器服務(wù)應(yīng)用程序池的 WSS_RESTRICTED_WPG 中的成員身份。
管理中心應(yīng)用程序池的 WSS_WPG 中的成員身份。

在您運(yùn)行配置向?qū)Ш?，SQL Server 和數(shù)據(jù)庫(kù)權(quán)限包括：

Dbcreator 固定服務(wù)器角色。
Securityadmin 固定服務(wù)器角色。
所有 SharePoint 數(shù)據(jù)庫(kù)的 db_owner。
SharePoint 服務(wù)器場(chǎng)配置數(shù)據(jù)庫(kù)的 WSS_CONTENT_APPLICATION_POOLS 角色中的成員身份。
SharePoint_Admin 內(nèi)容數(shù)據(jù)庫(kù)的 WSS_CONTENT_APPLICATION_POOLS 角色中的成員身份。

SharePoint 服務(wù)應(yīng)用程序帳戶

本節(jié)描述安裝期間默認(rèn)設(shè)置的服務(wù)應(yīng)用程序帳戶。

應(yīng)用程序池帳戶

應(yīng)用程序池帳戶用于應(yīng)用程序池標(biāo)識(shí)。應(yīng)用程序池帳戶需要以下權(quán)限配置設(shè)置：

將自動(dòng)配置以下計(jì)算機(jī)級(jí)別權(quán)限：應(yīng)用程序池帳戶是 WSS_WPG 的成員。

將自動(dòng)為此帳戶配置以下 SQL Server 和數(shù)據(jù)庫(kù)權(quán)限：

將 Web 應(yīng)用程序的應(yīng)用程序池帳戶分配給內(nèi)容數(shù)據(jù)庫(kù)的 SP_DATA_ACCESS 角色。
將為此帳戶分配與服務(wù)器場(chǎng)配置數(shù)據(jù)庫(kù)關(guān)聯(lián)的 WSS_CONTENT_APPLICATION_POOLS 角色。
將為此帳戶分配與 SharePoint_Admin 內(nèi)容數(shù)據(jù)庫(kù)關(guān)聯(lián)的 WSS_CONTENT_APPLICATION_POOLS 角色。

默認(rèn)內(nèi)容訪問帳戶

重要

本節(jié)中的信息僅適用于 SharePoint Server 2016。

默認(rèn)內(nèi)容訪問帳戶用于在特定服務(wù)應(yīng)用程序內(nèi)對(duì)內(nèi)容進(jìn)行爬網(wǎng)（除非爬網(wǎng)規(guī)則針對(duì) URL 或 URL 模式指定了不同的身份驗(yàn)證方法）。此帳戶需要以下權(quán)限配置設(shè)置：

默認(rèn)內(nèi)容訪問帳戶必須是域用戶帳戶，通過使用該帳戶獲得對(duì)要爬網(wǎng)的外部或安全內(nèi)容源的讀取訪問權(quán)限。
對(duì)于不包含在服務(wù)器場(chǎng)中的 SharePoint Server 網(wǎng)站，您必須明確授予此帳戶對(duì)承載網(wǎng)站的 Web 應(yīng)用程序的完全讀取權(quán)限。
此帳戶不能是場(chǎng)管理員組的成員。

內(nèi)容訪問帳戶

重要

本節(jié)中的信息僅適用于 SharePoint Server 2016。

內(nèi)容訪問帳戶配置為通過運(yùn)行 Search 管理爬網(wǎng)規(guī)則功能訪問內(nèi)容。此類型的帳戶是可選的，您可以在創(chuàng)建新爬網(wǎng)規(guī)則時(shí)配置它。例如，外部?jī)?nèi)容（例如文件共享）可能需要這個(gè)單獨(dú)的內(nèi)容訪問帳戶。此帳戶需要以下權(quán)限配置設(shè)置：

內(nèi)容訪問帳戶必須對(duì)它被配置為進(jìn)行訪問的外部或安全內(nèi)容源具有讀取權(quán)限。
對(duì)于不包含在服務(wù)器場(chǎng)中的 SharePoint Server 網(wǎng)站，您必須明確授予此帳戶對(duì)承載網(wǎng)站的 Web 應(yīng)用程序的完全讀取權(quán)限。

My Sites 應(yīng)用程序池帳戶

重要

本節(jié)中的信息僅適用于 SharePoint Server 2016。

“我的網(wǎng)站”應(yīng)用程序池帳戶必須是域用戶帳戶。此帳戶不能是場(chǎng)管理員組的成員。

將自動(dòng)配置以下計(jì)算機(jī)級(jí)別權(quán)限：此帳戶是 WSS_WPG 的成員。

以下 SQL Server 和數(shù)據(jù)庫(kù)權(quán)限會(huì)自動(dòng)配置：

將此帳戶分配給與場(chǎng)配置數(shù)據(jù)庫(kù)相關(guān)聯(lián)的 WSS_CONTENT_APPLICATION_POOLS 角色。
將此帳戶分配給與 SharePoint_Admin 內(nèi)容數(shù)據(jù)庫(kù)相關(guān)聯(lián)的 WSS_CONTENT_APPLICATION_POOLS 角色。
將 Web 應(yīng)用程序的應(yīng)用程序池帳戶分配給內(nèi)容數(shù)據(jù)庫(kù)的 SP_DATA_ACCESS 角色。

其他應(yīng)用程序池帳戶

其他應(yīng)用程序池帳戶必須是域用戶帳戶。此帳戶不能是服務(wù)器場(chǎng)中的任何計(jì)算機(jī)上的管理員組的成員。

將自動(dòng)配置以下計(jì)算機(jī)級(jí)別權(quán)限：此帳戶是 WSS_WPG 的成員。

以下 SQL Server 和數(shù)據(jù)庫(kù)權(quán)限會(huì)自動(dòng)配置：

將此帳戶分配給內(nèi)容數(shù)據(jù)庫(kù)的 SP_DATA_ACCESS 角色。
將此帳戶分配給與 Web 應(yīng)用程序相關(guān)聯(lián)的搜索數(shù)據(jù)庫(kù)的 SP_DATA_ACCESS 角色。
此帳戶對(duì)關(guān)聯(lián)的服務(wù)應(yīng)用程序數(shù)據(jù)庫(kù)必須具有讀寫訪問權(quán)限。
將此帳戶分配給與場(chǎng)配置數(shù)據(jù)庫(kù)相關(guān)聯(lián)的 WSS_CONTENT_APPLICATION_POOLS 角色。
將此帳戶分配給與 SharePoint_Admin 內(nèi)容數(shù)據(jù)庫(kù)相關(guān)聯(lián)的 WSS_CONTENT_APPLICATION_POOLS 角色。

SharePoint 數(shù)據(jù)庫(kù)角色

本節(jié)介紹安裝在默認(rèn)情況下設(shè)置的或者您可以有選擇地配置的數(shù)據(jù)庫(kù)角色。

WSS_CONTENT_APPLICATION_POOLS 數(shù)據(jù)庫(kù)角色

WSS_CONTENT_APPLICATION_POOLS 數(shù)據(jù)庫(kù)角色適用于在 SharePoint 場(chǎng)中注冊(cè)的每個(gè) Web 應(yīng)用程序的應(yīng)用程序池帳戶。這使得 Web 應(yīng)用程序能夠查詢和更新網(wǎng)站地圖，并具有對(duì)配置數(shù)據(jù)庫(kù)中其他項(xiàng)的只讀訪問權(quán)限。安裝程序?qū)橐韵聰?shù)據(jù)庫(kù)分配 WSS_CONTENT_APPLICATION_POOLS 角色：

SharePoint_Config 數(shù)據(jù)庫(kù)（配置數(shù)據(jù)庫(kù)）
SharePoint_AdminContent 數(shù)據(jù)庫(kù)

WSS_CONTENT_APPLICATION_POOLS 角色的成員具有對(duì)數(shù)據(jù)庫(kù)的存儲(chǔ)過程的子集的執(zhí)行權(quán)限。此外，此角色的成員還具有對(duì) SharePoint_AdminContent 數(shù)據(jù)庫(kù)中的 Versions 表 (dbo.Versions) 的選擇權(quán)限。對(duì)于其他數(shù)據(jù)庫(kù)，帳戶規(guī)劃工具會(huì)指出讀取這些數(shù)據(jù)庫(kù)的訪問權(quán)限是自動(dòng)配置的。在某些情況下，還會(huì)自動(dòng)配置寫入數(shù)據(jù)庫(kù)的有限的訪問權(quán)限。若要提供此訪問權(quán)限，請(qǐng)配置對(duì)存儲(chǔ)過程的權(quán)限。

WSS_SHELL_ACCESS 數(shù)據(jù)庫(kù)角色

在配置數(shù)據(jù)庫(kù)上使用安全的 WSS_SHELL_ACCESS 數(shù)據(jù)庫(kù)角色后，就無(wú)需將管理帳戶添加為配置數(shù)據(jù)庫(kù)上的 db_owner。默認(rèn)情況下，會(huì)為安裝程序帳戶分配 WSS_SHELL_ACCESS 數(shù)據(jù)庫(kù)角色。您可以使用 PowerShell 命令對(duì)此角色授予或刪除成員身份。安裝程序?qū)?WSS_SHELL_ACCESS 角色分配給以下數(shù)據(jù)庫(kù)：

SharePoint_Config 數(shù)據(jù)庫(kù)（配置數(shù)據(jù)庫(kù)）。
一個(gè)或多個(gè) SharePoint 內(nèi)容數(shù)據(jù)庫(kù)。可通過 PowerShell 命令（用于管理分配給此角色的成員身份和對(duì)象）對(duì)此進(jìn)行配置。

WSS_SHELL_ACCESS 角色的成員具有對(duì)數(shù)據(jù)庫(kù)的所有存儲(chǔ)過程的執(zhí)行權(quán)限。此外，此角色的成員還具有對(duì)所有數(shù)據(jù)庫(kù)表的讀取和寫入權(quán)限。

SP_READ_ONLY 數(shù)據(jù)庫(kù)角色

SP_READ_ONLY 角色應(yīng)該用于將數(shù)據(jù)庫(kù)設(shè)置為只讀模式，而不是使用 sp_dboption。顧名思義，在使用率和遙測(cè)數(shù)據(jù)之類的數(shù)據(jù)需要只讀訪問權(quán)限時(shí)，應(yīng)該使用該角色。

備注

sp_dboption 存儲(chǔ)過程在 SQL Server 2012 中不可用。有關(guān) sp_dboption 的詳細(xì)信息，請(qǐng)參閱 sp_dboption (Transact-SQL)。

SP_READ_ONLY SQL 角色將具有以下權(quán)限：

授予對(duì)所有 SharePoint 存儲(chǔ)過程和函數(shù)的 SELECT 權(quán)限。
授予對(duì)所有 SharePoint 表的 SELECT 權(quán)限。
授予對(duì)架構(gòu)為 dbo 的用戶定義類型的 EXECUTE 權(quán)限。

SP_DATA_ACCESS 數(shù)據(jù)庫(kù)角色

SP_DATA_ACCESS 角色是數(shù)據(jù)庫(kù)訪問的默認(rèn)角色，應(yīng)該用于對(duì)數(shù)據(jù)庫(kù)的所有對(duì)象模型級(jí)訪問。在升級(jí)或新部署期間，將應(yīng)用程序池帳戶添加到此角色。

備注

SP_DATA_ACCESS 角色取代了 SharePoint Server 2016 中的 db_owner 角色。

SP_DATA_ACCESS 角色將具有以下權(quán)限：

授予對(duì)所有 SharePoint 存儲(chǔ)過程和函數(shù)的 EXECUTE 或 SELECT 權(quán)限。
授予對(duì)所有 SharePoint 表的 SELECT 權(quán)限。
授予對(duì)架構(gòu)為 dbo 的用戶定義類型的 EXECUTE 權(quán)限。
授予對(duì) AllUserDataJunctions 表的 INSERT 權(quán)限。
授予對(duì)網(wǎng)站視圖的 UPDATE 權(quán)限。
授予對(duì) UserData 視圖的 UPDATE 權(quán)限。
授予對(duì) AllUserData 表的 UPDATE 權(quán)限。
授予對(duì) NameValuePair 表的 INSERT 和 DELETE 權(quán)限。
授予創(chuàng)建表的權(quán)限。

組權(quán)限

本節(jié)描述 SharePoint Server 2016 安裝和配置工具創(chuàng)建的組權(quán)限。

WSS_ADMIN_WPG

WSS_ADMIN_WPG 具有對(duì)本地資源的讀寫訪問權(quán)限。管理中心和 Timer 服務(wù)的應(yīng)用程序池帳戶在 WSS_ADMIN_WPG 中。下表顯示 WSS_ADMIN_WPG 注冊(cè)表項(xiàng)權(quán)限。

項(xiàng)名稱	權(quán)限	繼承	說(shuō)明
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS	完全控制	不適用	不適用
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration\{90150000-110D-0000-1000-0000000FF1CE}	讀取、寫入	不適用	不適用
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server	讀取	否	此項(xiàng)是 SharePoint Server 2016 注冊(cè)表設(shè)置樹的根。如果更改此項(xiàng)，SharePoint Server 2016 功能將失敗。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0	完全控制	否	此項(xiàng)是 SharePoint Server 2016 注冊(cè)表設(shè)置的根。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings	讀取、寫入	否	此項(xiàng)包含用于文檔轉(zhuǎn)換服務(wù)的設(shè)置。更改此項(xiàng)將損壞文檔轉(zhuǎn)換功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings	讀取、寫入	否	此項(xiàng)包含用于文檔轉(zhuǎn)換服務(wù)的設(shè)置。更改此項(xiàng)將損壞文檔轉(zhuǎn)換功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search	完全控制	不適用	不適用
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search	完全控制	不適用	不適用
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure	完全控制	否	此項(xiàng)包含計(jì)算機(jī)要聯(lián)接到的配置數(shù)據(jù)庫(kù)的連接字符串和 ID。如果更改此項(xiàng)，計(jì)算機(jī)上安裝的 SharePoint Server 2016 將無(wú)法工作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS	完全控制	是	此項(xiàng)包含安裝過程中使用的設(shè)置。如果更改此項(xiàng)，診斷日志記錄可能會(huì)失敗，并且安裝或安裝后配置可能會(huì)失敗。

下表顯示 WSS_ADMIN_WPG 文件系統(tǒng)權(quán)限。

文件系統(tǒng)路徑	權(quán)限	繼承	說(shuō)明
%AllUsersProfile%\ Microsoft\SharePoint	完全控制	否	此目錄包含支持文件系統(tǒng)的服務(wù)器場(chǎng)配置緩存。如果更改或刪除此目錄，進(jìn)程可能無(wú)法啟動(dòng)，并且管理操作可能會(huì)失敗。
C:\Inetpub\wwwroot\wss	完全控制	否	此目錄（或服務(wù)器上 Inetpub 根目錄下的對(duì)應(yīng)目錄）用作 IIS 網(wǎng)站的默認(rèn)位置。如果更改或刪除此目錄，除非為使用 SharePoint Server 2016 擴(kuò)展的所有 IIS 網(wǎng)站提供了自定義 IIS 網(wǎng)站路徑，否則 SharePoint 網(wǎng)站將不可用，并且管理操作可能會(huì)失敗。
%ProgramFiles%\Microsoft Office Servers\16.0	完全控制	否	此目錄是 SharePoint Server 2016 二進(jìn)制文件和數(shù)據(jù)的安裝位置?？梢栽诎惭b過程中更改此目錄。如果在安裝后移除或更改了此目錄，所有 SharePoint Server 2016 功能將失敗。某些 SharePoint Server 2016 服務(wù)需要 WSS_ADMIN_WPG Windows 安全組的成員資格。才能將數(shù)據(jù)存儲(chǔ)在磁盤上。
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices	讀取、寫入	否	此目錄是承載后端 Web 服務(wù)（例如 Excel 和搜索）的根目錄。如果移除或更改此目錄，依賴于這些服務(wù)的 SharePoint Server 2016 功能將失敗。
%ProgramFiles%\Microsoft Office Servers\16.0\Data	完全控制	否	此目錄是存儲(chǔ)本地?cái)?shù)據(jù)（包括搜索索引）的根位置。如果移除或更改此目錄，搜索功能將失敗。需要 WSS_ADMIN_WPG Windows 安全組權(quán)限才能使搜索在此文件夾中保存數(shù)據(jù)和保護(hù)數(shù)據(jù)安全。
%ProgramFiles%\Microsoft Office Servers\16.0\Logs	完全控制	是	此目錄是在其中生成運(yùn)行時(shí)診斷日志記錄的位置。如果移除或更改此目錄，日志記錄將無(wú)法正常工作。
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server	完全控制	是	與父文件夾相同。
%windir%\System32\drivers\etc\HOSTS	讀取、寫入	不適用	不適用
%windir%\Tasks	完全控制	不適用	不適用
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16	修改	是	此目錄是核心 SharePoint Server 2016 文件的安裝目錄。如果修改了訪問控制列表 (ACL)，功能激活、解決方案部署和其他功能將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI	完全控制	是	此目錄包含管理中心的 SOAP 服務(wù)。如果更改此目錄，遠(yuǎn)程網(wǎng)站創(chuàng)建和服務(wù)中公開的其他方法將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG	完全控制	是	此目錄包含用于擴(kuò)展具有 SharePoint Server 2016 的 IIS 網(wǎng)站的文件。如果更改此目錄或其內(nèi)容，Web 應(yīng)用程序設(shè)置將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS	完全控制	否	此目錄包含安裝和運(yùn)行時(shí)跟蹤日志。如果更改此目錄，診斷日志記錄將無(wú)法正常工作。
%windir%\temp	完全控制	是	此目錄由 SharePoint Server 2016 所依賴的平臺(tái)組件使用。如果修改了訪問控制列表，Web 部件呈現(xiàn)和其他反序列化操作可能失敗。
%windir%\System32\logfiles\SharePoint	完全控制	否	此目錄由 SharePoint Server 使用率日志記錄使用。如果修改此目錄，使用率日志記錄將無(wú)法正常工作。此注冊(cè)表項(xiàng)僅適用于 SharePoint Server。
索引服務(wù)器上的 %systemdrive\program files\Microsoft Office Servers\16 文件夾	完全控制	不適用	對(duì)索引服務(wù)器上的 %systemdrive\program files\Microsoft Office Servers\16 文件夾授予此權(quán)限。

WSS_WPG

WSS_WPG 具有對(duì)本地資源的讀取訪問權(quán)限。所有應(yīng)用程序池和服務(wù)帳戶都位于 WSS_WPG 中。下表顯示 WSS_WPG 注冊(cè)表項(xiàng)權(quán)限。

項(xiàng)名稱	權(quán)限	繼承	說(shuō)明
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0	讀取	否	此項(xiàng)是 SharePoint Server 2016 注冊(cè)表設(shè)置的根。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics	讀取、寫入	否	此項(xiàng)包含用于 SharePoint Server 2016 診斷日志記錄的設(shè)置。更改此項(xiàng)將損壞日志記錄功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings	讀取、寫入	否	此項(xiàng)包含用于文檔轉(zhuǎn)換服務(wù)的設(shè)置。更改此項(xiàng)將損壞文檔轉(zhuǎn)換功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings	讀取、寫入	否	此項(xiàng)包含用于文檔轉(zhuǎn)換服務(wù)的設(shè)置。更改此項(xiàng)將損壞文檔轉(zhuǎn)換功能。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure	讀取	否	此項(xiàng)包含計(jì)算機(jī)要聯(lián)接到的配置數(shù)據(jù)庫(kù)的連接字符串和 ID。如果更改此項(xiàng)，計(jì)算機(jī)上安裝的 SharePoint Server 2016 將無(wú)法工作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS	讀取	是	此注冊(cè)表項(xiàng)包含在安裝過程中使用的設(shè)置。如果更改此項(xiàng)，診斷日志記錄可能會(huì)失敗，并且安裝或安裝后配置可能會(huì)失敗。

下表顯示 WSS_WPG 文件系統(tǒng)權(quán)限。

文件系統(tǒng)路徑	權(quán)限	繼承	說(shuō)明
%AllUsersProfile%\ Microsoft\SharePoint	讀取	否	此目錄包含支持文件系統(tǒng)的服務(wù)器場(chǎng)配置緩存。如果更改或刪除此目錄，進(jìn)程可能無(wú)法啟動(dòng)，并且管理操作可能會(huì)失敗。
C:\Inetpub\wwwroot\wss	讀取、執(zhí)行	否	此目錄（或服務(wù)器上 Inetpub 根目錄下的對(duì)應(yīng)目錄）用作 IIS 網(wǎng)站的默認(rèn)位置。如果更改或刪除此目錄，除非為使用 SharePoint Server 2016 擴(kuò)展的所有 IIS 網(wǎng)站提供了自定義 IIS 網(wǎng)站路徑，否則 SharePoint 網(wǎng)站將不可用，并且管理操作可能會(huì)失敗。
%ProgramFiles%\Microsoft Office Servers\16.0	讀取、執(zhí)行	否	此目錄是 SharePoint Server 2016 二進(jìn)制文件和數(shù)據(jù)的安裝位置?？梢栽诎惭b過程中更改此目錄。如果在安裝后移除、更改或移動(dòng)了此目錄，所有 SharePoint Server 2016 功能將失敗。需要 WSS_WPG 讀取和執(zhí)行權(quán)限才能使 IIS 網(wǎng)站加載 SharePoint Server 2016 二進(jìn)制文件。
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices	讀取	否	此目錄是承載后端 Web 服務(wù)（例如 Excel 和搜索）的根目錄。如果移除或更改此目錄，依賴于這些服務(wù)的 SharePoint Server 2016 功能將失敗。
%ProgramFiles%\Microsoft Office Servers\16.0\Logs	讀取、寫入	是	此目錄是生成運(yùn)行時(shí)診斷日志的位置。如果移除或更改此目錄，日志記錄將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI	讀取	是	此目錄包含管理中心的 SOAP 服務(wù)。如果更改此目錄，遠(yuǎn)程網(wǎng)站創(chuàng)建和服務(wù)中公開的其他方法將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG	讀取	是	此目錄包含用于擴(kuò)展具有 SharePoint Server 2016 的 IIS 網(wǎng)站的文件。如果更改此目錄或其內(nèi)容，Web 應(yīng)用程序設(shè)置將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS	修改	否	此目錄包含安裝和運(yùn)行時(shí)跟蹤日志。如果更改此目錄，診斷日志記錄將無(wú)法正常工作。
%windir%\temp	讀取	是	此目錄由 SharePoint Server 2016 所依賴的平臺(tái)組件使用。如果修改了訪問控制列表，Web 部件呈現(xiàn)和其他反序列化操作可能失敗。
%windir%\System32\logfiles\SharePoint	讀取	否	此目錄由 SharePoint Server 使用率日志記錄使用。如果修改此目錄，使用率日志記錄將無(wú)法正常工作。注冊(cè)表項(xiàng)僅適用于 SharePoint Server。
%systemdrive\program files\Microsoft Office Servers\16	讀取、執(zhí)行	不適用	對(duì)索引服務(wù)器上的 %systemdrive\program files\Microsoft Office Servers\16 文件夾授予此權(quán)限。

本地服務(wù)

下表顯示本地服務(wù)注冊(cè)表項(xiàng)權(quán)限：

項(xiàng)名稱	權(quán)限	繼承	說(shuō)明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings	讀取	否	此項(xiàng)包含用于文檔轉(zhuǎn)換服務(wù)的設(shè)置。更改此項(xiàng)將損壞文檔轉(zhuǎn)換功能。

下表顯示本地服務(wù)文件系統(tǒng)權(quán)限：

文件系統(tǒng)路徑	權(quán)限	繼承	說(shuō)明
%ProgramFiles%\Microsoft Office Servers\16.0\Bin	讀取、執(zhí)行	否	此目錄是 SharePoint Server 2016 二進(jìn)制文件的安裝位置。如果移除或更改此目錄，所有 SharePoint Server 2016 功能將失敗。

本地系統(tǒng)

下表顯示本地系統(tǒng)注冊(cè)表項(xiàng)權(quán)限：

項(xiàng)名稱	權(quán)限	繼承	說(shuō)明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings	讀取	否	此項(xiàng)包含用于文檔轉(zhuǎn)換服務(wù)的設(shè)置。更改此項(xiàng)將損壞文檔轉(zhuǎn)換功能。此注冊(cè)表項(xiàng)僅適用于 SharePoint Server。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure	完全控制	否	此項(xiàng)包含計(jì)算機(jī)要聯(lián)接到的配置數(shù)據(jù)庫(kù)的連接字符串和 ID。如果更改此項(xiàng)，計(jì)算機(jī)上安裝的 SharePoint Server 2016 將無(wú)法工作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin	完全控制	否	此注冊(cè)表項(xiàng)包含用于在配置數(shù)據(jù)庫(kù)中存儲(chǔ)機(jī)密的加密密鑰。如果更改此項(xiàng)，服務(wù)設(shè)置和其他功能將失敗。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS	完全控制	是	此注冊(cè)表項(xiàng)包含在安裝過程中使用的設(shè)置。如果更改此項(xiàng)，診斷日志記錄可能會(huì)失敗，并且安裝或安裝后配置可能會(huì)失敗。

下表顯示本地文件系統(tǒng)權(quán)限：

文件系統(tǒng)路徑	權(quán)限	繼承	說(shuō)明
%AllUsersProfile%\ Microsoft\SharePoint	完全控制	否	此目錄包含支持文件系統(tǒng)的服務(wù)器場(chǎng)配置緩存。如果更改或刪除此目錄，進(jìn)程可能無(wú)法啟動(dòng)，并且管理操作可能會(huì)失敗。
C:\Inetpub\wwwroot\wss	完全控制	否	此目錄（或服務(wù)器上 Inetpub 根目錄下的對(duì)應(yīng)目錄）用作 IIS 網(wǎng)站的默認(rèn)位置。如果更改或刪除此目錄，除非為使用 SharePoint Server 2016 擴(kuò)展的所有 IIS 網(wǎng)站提供了自定義 IIS 網(wǎng)站路徑，否則 SharePoint 網(wǎng)站將不可用，并且管理操作可能會(huì)失敗。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI	完全控制	是	此目錄包含管理中心的 SOAP 服務(wù)。如果更改此目錄，遠(yuǎn)程網(wǎng)站創(chuàng)建和服務(wù)中公開的其他方法將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG	完全控制	是	如果更改此目錄或其內(nèi)容，Web 應(yīng)用程序設(shè)置將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS	完全控制	否	此目錄包含安裝程序跟蹤日志和運(yùn)行時(shí)跟蹤日志。如果更改此目錄，診斷日志記錄將無(wú)法正常工作。
%windir%\temp	完全控制	是	此目錄由 SharePoint Server 2016 所依賴的平臺(tái)組件使用。如果修改了訪問控制列表，Web 部件呈現(xiàn)和其他反序列化操作可能失敗。
%windir%\System32\logfiles\SharePoint	完全控制	否	SharePoint Server 使用此目錄進(jìn)行使用率日志記錄。如果修改此目錄，使用率日志記錄將無(wú)法正常工作。此注冊(cè)表項(xiàng)僅適用于 SharePoint Server。

網(wǎng)絡(luò)服務(wù)

下表顯示網(wǎng)絡(luò)服務(wù)注冊(cè)表項(xiàng)權(quán)限：

項(xiàng)名稱	權(quán)限	繼承	說(shuō)明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup	讀取	不適用	不適用

管理員

下表顯示管理員注冊(cè)表項(xiàng)權(quán)限：

項(xiàng)名稱	權(quán)限	繼承	說(shuō)明
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure	完全控制	否	此項(xiàng)包含計(jì)算機(jī)要聯(lián)接到的配置數(shù)據(jù)庫(kù)的連接字符串和 ID。如果更改此項(xiàng)，計(jì)算機(jī)上安裝的 SharePoint Server 2016 將無(wú)法工作。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin	完全控制	否	此注冊(cè)表項(xiàng)包含用于在配置數(shù)據(jù)庫(kù)中存儲(chǔ)機(jī)密的加密密鑰。如果更改此項(xiàng)，服務(wù)設(shè)置和其他功能將失敗。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS	完全控制	是	此注冊(cè)表項(xiàng)包含在安裝過程中使用的設(shè)置。如果更改此項(xiàng)，診斷日志記錄可能會(huì)失敗，并且安裝或安裝后配置可能會(huì)失敗。

下表顯示管理員文件系統(tǒng)權(quán)限：

文件系統(tǒng)路徑	權(quán)限	繼承	說(shuō)明
%AllUsersProfile%\ Microsoft\SharePoint	完全控制	否	此目錄包含支持文件系統(tǒng)的服務(wù)器場(chǎng)配置緩存。如果更改或刪除此目錄，進(jìn)程可能無(wú)法啟動(dòng)，并且管理操作可能會(huì)失敗。
C:\Inetpub\wwwroot\wss	完全控制	否	此目錄（或服務(wù)器上 Inetpub 根目錄下的對(duì)應(yīng)目錄）用作 IIS 網(wǎng)站的默認(rèn)位置。如果更改或刪除此目錄，SharePoint 網(wǎng)站會(huì)不可用且管理操作可能失敗，除非為使用 SharePoint Server 2016 擴(kuò)展的所有 IIS 網(wǎng)站提供自定義 IIS 網(wǎng)站路徑。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI	完全控制	是	此目錄包含管理中心的 SOAP 服務(wù)。如果更改此目錄，遠(yuǎn)程網(wǎng)站創(chuàng)建和服務(wù)中公開的其他方法將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG	完全控制	是	如果更改此目錄或其內(nèi)容，Web 應(yīng)用程序設(shè)置將無(wú)法正常工作。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS	完全控制	否	此目錄包含安裝程序跟蹤日志和運(yùn)行時(shí)跟蹤日志。如果更改此目錄，診斷日志記錄將無(wú)法正常工作。
%windir%\temp	完全控制	是	此目錄由 SharePoint Server 2016 所依賴的平臺(tái)組件使用。如果修改了 ACL，Web 部件呈現(xiàn)和其他反序列化操作可能會(huì)失敗。
%windir%\System32\logfiles\SharePoint	完全控制	否	SharePoint Server 使用此目錄進(jìn)行使用率日志記錄。如果修改此目錄，使用率日志記錄將無(wú)法正常工作。此注冊(cè)表項(xiàng)僅適用于 SharePoint Server。

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG 可以讀取加密的服務(wù)器場(chǎng)管理憑據(jù)注冊(cè)表項(xiàng)。WSS_RESTRICTED_WPG 僅用于加密和解密在配置數(shù)據(jù)庫(kù)中存儲(chǔ)的密碼。下表顯示 WSS_RESTRICTED_WPG 注冊(cè)表項(xiàng)權(quán)限：

項(xiàng)名稱	權(quán)限	繼承	說(shuō)明
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin	完全控制	否	此注冊(cè)表項(xiàng)包含用于在配置數(shù)據(jù)庫(kù)中存儲(chǔ)機(jī)密的加密密鑰。如果更改此項(xiàng)，服務(wù)設(shè)置和其他功能將失敗。

用戶組

下表顯示用戶組文件系統(tǒng)權(quán)限：

文件系統(tǒng)路徑	權(quán)限	繼承	說(shuō)明
%ProgramFiles%\Microsoft Office Servers\16.0	讀取、執(zhí)行	否	此目錄是 SharePoint Server 2016 二進(jìn)制文件和數(shù)據(jù)的安裝位置?？梢栽诎惭b過程中更改此目錄。如果在安裝后移除、更改或移動(dòng)了此目錄，所有 SharePoint Server 2016 功能將失敗。
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root	讀取、執(zhí)行	否	此目錄是承載后端根 Web 服務(wù)的根目錄。最初安裝于此目錄中的唯一服務(wù)是搜索全局管理服務(wù)。如果移除或修改此目錄，使用特定于服務(wù)器的管理中心設(shè)置頁(yè)的某些搜索管理功能可能無(wú)法工作。
%ProgramFiles%\Microsoft Office Servers\16.0\Logs	讀取、寫入	是	此目錄是在其中生成運(yùn)行時(shí)診斷日志記錄的位置。如果移除或更改此目錄，日志記錄將無(wú)法正常工作。
%ProgramFiles%\Microsoft Office Servers\16.0\Bin	讀取、執(zhí)行	否	此目錄是 SharePoint Server 2016 二進(jìn)制文件的安裝位置。如果移除或更改此目錄，所有 SharePoint Server 2016 功能將失敗。

所有 SharePoint Server 2016 服務(wù)帳戶

下表顯示了所有 SharePoint Server 2016 服務(wù)帳戶文件系統(tǒng)權(quán)限：

文件系統(tǒng)路徑	權(quán)限	繼承	說(shuō)明
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS	修改	否	此目錄包含安裝和運(yùn)行時(shí)跟蹤日志。如果更改此目錄，診斷日志記錄將無(wú)法正常工作。所有 SharePoint Server 2016 服務(wù)帳戶對(duì)此目錄都必須具有寫入權(quán)限。

一区二区三区日韩精品-日韩经典一区二区三区-五月激情综合丁香婷婷-欧美精品中文字幕专区

SharePoint Server 2016 中的帳戶權(quán)限和安全設(shè)置 | Microsoft Learn

有關(guān) SharePoint Server 2016 中的帳戶權(quán)限和安全設(shè)置

SharePoint 管理帳戶

安裝程序用戶管理員帳戶

SharePoint 場(chǎng)服務(wù)帳戶

SharePoint 服務(wù)應(yīng)用程序帳戶

應(yīng)用程序池帳戶

默認(rèn)內(nèi)容訪問帳戶

內(nèi)容訪問帳戶

My Sites 應(yīng)用程序池帳戶

其他應(yīng)用程序池帳戶

SharePoint 數(shù)據(jù)庫(kù)角色

WSS_CONTENT_APPLICATION_POOLS 數(shù)據(jù)庫(kù)角色

WSS_SHELL_ACCESS 數(shù)據(jù)庫(kù)角色

SP_READ_ONLY 數(shù)據(jù)庫(kù)角色

SP_DATA_ACCESS 數(shù)據(jù)庫(kù)角色

組權(quán)限

WSS_ADMIN_WPG

WSS_WPG

本地服務(wù)

本地系統(tǒng)

網(wǎng)絡(luò)服務(wù)

管理員

WSS_RESTRICTED_WPG

用戶組

所有 SharePoint Server 2016 服務(wù)帳戶

See also