Freigeben über


Kontoberechtigungen und Sicherheitseinstellungen in SharePoint 2013

GILT FÜR:yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

In diesem Artikel werden SharePoint-Administrator- und Dienstkontoberechtigungen für die folgenden Bereiche erläutert: Microsoft SQL Server, das Dateisystem, Dateifreigaben und Registrierungseinträge.

Wichtig

Verwenden Sie keine Dienstkontonamen, die das Symbol $ enthalten, mit Ausnahme der Verwendung eines gruppenverwalteten Dienstkontos für SQL Server.

Informationen zu Kontoberechtigungen und Sicherheitseinstellungen

Der SharePoint-Konfigurations-Assistent (psconfig) und der Farmerstellungs-Assistent, die beide während einer vollständigen Installation ausgeführt werden, konfigurieren viele der SharePoint-Basiskontoberechtigungen und Sicherheitseinstellungen.

SharePoint-Administratorkonten

Während des Setupvorgangs werden die meisten SharePoint-Administratorkontoberechtigungen von einer folgenden Komponenten automatisch konfiguriert:

  • Vom SharePoint-Konfigurations-Assistenten (Psconfig)

  • Vom Farmerstellungs-Assistenten

  • Von der Website mit der SharePoint-Zentraladministration

  • PowerShell.

Benutzerkonto des Farmadministrators

Dieses Konto ist ein eindeutig identifizierbares Konto, das dem SharePoint-Administrator zugewiesen ist und zum Einrichten der einzelnen Server in Ihrer Farm verwendet wird, indem der SharePoint-Konfigurations-Assistent, der erste Assistent für die Farmerstellung und PowerShell ausgeführt werden. Das Konto muss ein Domänenbenutzer sein. In den Beispielen in diesem Artikel wird das Farmadministratorkonto für die Farmverwaltung verwendet, und Sie können es mithilfe der Zentraladministration verwalten. Einige Konfigurationsoptionen, z. B. die Konfiguration des SharePoint 2013-Suchabfrageservers, erfordern lokale Administratorberechtigungen. Das Benutzerkonto des Farmadministrators erfordert die folgenden Berechtigungen:

  • Es muss Mitglied der Gruppe Lokale Administratoren auf jedem Server in der SharePoint-Farm sein.

  • Dieses Konto muss auf die SharePoint-Datenbanken zugreifen können.

  • Wenn Sie PowerShell-Vorgänge verwenden, die sich auf eine Datenbank auswirken, muss das Setupbenutzerkonto Mitglied der db_owner Rolle oder der festen Serverrolle sysadmin sein.

  • Dieses Konto muss während des Setups und der Konfiguration den festen Serverrollen securityadmin und dbcreator oder der festen Serverrolle sysadmin in SQL Server zugewiesen werden.

Hinweis

Die SQL Server-Sicherheitsrollen securityadmin und dbcreator sind u. U. während eines vollständigen Updates von Version zu Version für dieses Konto erforderlich, da möglicherweise neue Datenbanken für Dienste erstellt und gesichert werden müssen.

Nach dem Ausführen der Konfigurations-Assistenten sind für das Setup-Benutzeradministratorkonto u. a. die folgenden Berechtigungen auf Computerebene konfiguriert:

  • Mitgliedschaft in der Windows-Sicherheitsgruppe WSS_ADMIN_WPG

  • Mitgliedschaft in der WSS_WPG Rolle.

Nach dem Ausführen der Konfigurations-Assistenten sind u. a. die folgenden Datenbankberechtigungen konfiguriert:

  • db_owner auf der Konfigurationsdatenbank der SharePoint-Serverfarm

  • db_owner auf der Inhaltsdatenbank der SharePoint -Zentraladministration

Achtung

Wenn das Konto, das Sie zum Ausführen der Konfigurations-Assistenten verwenden, nicht über die entsprechende besondere SQL Server-Rollenmitgliedschaft oder über Zugriff auf die Datenbanken als db_owner verfügt, werden die Konfigurations-Assistenten nicht ordnungsgemäß ausgeführt.

SharePoint-Farmdienstkonto

Das Serverfarmkonto, das auch als Datenbankzugriffskonto bezeichnet wird, wird als Anwendungspoolidentität für die Zentraladministration und als Prozesskonto für den SharePoint Foundation 2013-Timerdienst verwendet. Das Serverfarmkonto muss ein Domänenbenutzerkonto sein.

Berechtigungen werden dem Serverfarmkonto automatisch auf Webservern und Anwendungsservern gewährt, die mit einer Serverfarm verknüpft sind.

Nach dem Ausführen der Konfigurations-Assistenten sind u. a. die folgenden SQL Server- und Datenbankberechtigungen konfiguriert:

  • Mitgliedschaft in der Windows-Sicherheitsgruppe WSS_ADMIN_WPG für den SharePoint Foundation 2013-Timerdienst

  • Mitgliedschaft in WSS_RESTRICTED_WPG für die Anwendungspools der Zentraladministration und des Timerdiensts

  • Mitgliedschaft in WSS_WPG für den Anwendungspool der Zentraladministration

  • Feste Serverrolle Dbcreator

  • Feste Serverrolle Securityadmin

  • db_owner für alle SharePoint-Datenbanken

  • Mitgliedschaft in der Rolle WSS_CONTENT_APPLICATION_POOLS für die Konfigurationsdatenbank der SharePoint-Serverfarm

  • Mitgliedschaft in der Rolle WSS_CONTENT_APPLICATION_POOLS für die SharePoint_Admin -Inhaltsdatenbank

SharePoint-Dienstanwendungskonten

In diesem Abschnitt werden die Dienstanwendungskonten beschrieben, die standardmäßig während der Installation eingerichtet werden.

Anwendungspoolkonto

Das Anwendungspoolkonto wird als Anwendungspoolidentität verwendet. Das Anwendungspoolkonto muss ein Domänenbenutzerkonto sein.

Die folgende Berechtigung auf Computerebene wird automatisch konfiguriert:

  • Das Anwendungspoolkonto ist Mitglied von WSS_WPG.

Die folgenden SQL Server- und Datenbankberechtigungen für dieses Konto werden automatisch konfiguriert:

  • Die Anwendungspoolkonten für Webanwendungen werden der Rolle SP_DATA_ACCESS für die Inhaltsdatenbanken zugewiesen.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der der Farmkonfigurationsdatenbank zugeordnet ist.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der SharePoint_Admin -Inhaltsdatenbank zugeordnet ist.

Standardkonto für den Inhaltszugriff

Wichtig

Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.

Das Standardkonto für den Inhaltszugriff wird innerhalb einer bestimmten Dienstanwendung zum Durchforsten von Inhalt verwendet, sofern keine andere Authentifizierungsmethode durch eine Durchforstungsregel für eine URL oder für ein URL-Muster angegeben ist. Dieses Konto erfordert die folgenden Berechtigungskonfigurationseinstellungen:

  • Das Standardkonto für den Inhaltszugriff muss ein Domänenbenutzerkonto sein, das über Lesezugriff auf externe oder sichere Inhaltsquellen verfügt, die Sie unter Verwendung dieses Kontos durchforsten möchten.

  • Für SharePoint Server-Websites, die nicht Teil der Serverfarm sind, müssen Sie diesem Konto explizit vollständige Leseberechtigungen für die Webanwendungen erteilen, von denen die Websites gehostet werden.

  • Dieses Konto darf kein Mitglied der Gruppe Farmadministratoren sein.

Inhaltszugriffskonten

Wichtig

Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.

Inhaltszugriffskonten sind Konten, die für den Zugriff auf Inhalte mithilfe des Features der Durchforstungsregeln für die Suchverwaltung konfiguriert werden. Dieser Kontotyp ist optional und kann beim Erstellen einer neuen Durchforstungsregel konfiguriert werden. Beispielsweise könnte für externe Inhalte (z. B. eine Dateifreigabe) ein solches separates Inhaltszugriffskonto erforderlich sein. Für dieses Konto sind die folgenden Berechtigungskonfigurationseinstellungen erforderlich:

  • Für das Inhaltszugriffskonto ist Lesezugriff auf externe oder sichere Inhaltsquellen erforderlich, auf die gemäß Konfiguration mithilfe dieses Kontos zugegriffen werden kann.

  • Das Inhaltszugriffskonto muss das Überwachungs- und Sicherheitsprotokoll verwalten direkt in der lokalen Benutzerrichtlinie auf Windows-Dateiservern enthalten, die für die Durchforstung konfiguriert ist.

  • Für SharePoint Server-Websites, die nicht Teil der Serverfarm sind, müssen Sie diesem Konto explizit vollständige Leseberechtigungen für die Webanwendungen erteilen, von denen die Websites gehostet werden.

Unbeaufsichtigtes Excel Services-Dienstkonto

Wichtig

Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.

Von Excel Services wird das unbeaufsichtigte Excel Services-Dienstkonto verwendet, um eine Verbindung mit externen Datenquellen herzustellen, für die ein Benutzername und ein Kennwort erforderlich sind, die für die Authentifizierung auf anderen Betriebssystemen als Windows basieren. Ist dieses Konto nicht konfiguriert, wird von Excel Services nicht versucht, eine Verbindung mit diesen Arten von Datenquellen herzustellen. Es werden zwar Kontoanmeldeinformationen zum Herstellen einer Verbindung mit Datenquellen von anderen Betriebssystemen als Windows verwendet, jedoch wenn das Konto kein Mitglied der Domäne ist, kann Excel Services nicht darauf zugreifen. Dieses Konto muss ein Domänenbenutzerkonto sein.

Meine Website-Anwendungspoolkonto

Wichtig

Die Informationen in diesem Abschnitt beziehen sich ausschließlich auf SharePoint Server 2016.

Das Anwendungspoolkonto für Meine Websites muss ein Domänenbenutzerkonto sein. Dieses Konto darf kein Mitglied der Gruppe Farmadministratoren sein.

Die folgende Berechtigung auf Computerebene wird automatisch konfiguriert:

  • Dieses Konto ist Mitglied von WSS_WPG.

Die folgenden SQL Server- und Datenbankberechtigungen werden automatisch konfiguriert:

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der Farmkonfigurationsdatenbank zugeordnet ist.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der SharePoint_Admin -Inhaltsdatenbank zugeordnet ist.

  • Die Anwendungspoolkonten für Webanwendungen werden der Rolle SP_DATA_ACCESS für die Inhaltsdatenbanken zugewiesen.

Andere Anwendungspoolkonten

Das andere Anwendungspoolkonto muss ein Domänenbenutzerkonto sein. Dieses Konto darf auf keinem Computer in der Serverfarm Mitglied der Administratorengruppe sein.

Die folgende Berechtigung auf Computerebene wird automatisch konfiguriert:

  • Dieses Konto ist Mitglied von WSS_WPG.

Die folgenden SQL Server- und Datenbankberechtigungen werden automatisch konfiguriert:

  • Dieses Konto wird der Rolle SP_DATA_ACCESS für die Inhaltsdatenbanken zugewiesen.

  • Dieses Konto wird der Rolle SP_DATA_ACCESS für die Suchdatenbank zugewiesen, die der Webanwendung zugeordnet ist.

  • Dieses Konto muss über Lese- und Schreibzugriff auf die zugeordnete Dienstanwendungsdatenbank verfügen.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der Farmkonfigurationsdatenbank zugeordnet ist.

  • Dieses Konto wird der Rolle WSS_CONTENT_APPLICATION_POOLS zugewiesen, die der SharePoint_Admin -Inhaltsdatenbank zugeordnet ist.

Hinweis

Es wird dringend empfohlen, ein einzelnes Webanwendungspoolkonto für alle Webanwendungen in der Farm zu verwenden, einschließlich der Webanwendung "Meine Websites". Die Ausnahme ist die Webanwendung der Zentraladministration, die das Farmdienstkonto verwendet.

SharePoint-Datenbankrollen

In diesem Abschnitt werden die Datenbankrollen beschrieben, die entweder standardmäßig während der Installation eingerichtet werden oder die optional konfiguriert werden können.

Datenbankrolle "WSS_CONTENT_APPLICATION_POOLS"

Die Datenbankrolle WSS_CONTENT_APPLICATION_POOLS gilt für das Anwendungspoolkonto für jede in einer SharePoint-Farm registrierte Webanwendung. Dadurch können Webanwendungen die Websiteübersicht abfragen und aktualisieren, und sie besitzen schreibgeschützten Zugriff auf andere Elemente in der Konfigurationsdatenbank. Vom Setupprogramm wird die Rolle WSS_CONTENT_APPLICATION_POOLS den folgenden Datenbanken zugewiesen:

  • Der SharePoint_Config -Datenbank (Konfigurationsdatenbank)

  • Die SharePoint_Admin Inhaltsdatenbank.

Mitglieder der Rolle WSS_CONTENT_APPLICATION_POOLS verfügen über die Berechtigung zum Ausführen für eine Teilmenge der gespeicherten Prozeduren für die Datenbank. Darüber hinaus verfügen Mitglieder dieser Rolle über die Berechtigung auswählen für die Tabelle Versionen (dbo. Versionen) in der SharePoint_Admin Inhaltsdatenbank. Für andere Datenbanken wird vom Kontoplanungstool angegeben, dass der Lesezugriff auf diese Datenbanken automatisch konfiguriert wird. In manchen Fällen wird auch beschränkter Zugriff zum Schreiben in eine Datenbank automatisch konfiguriert. Damit dieser Zugriff bereitgestellt werden kann, werden Berechtigungen für gespeicherte Prozeduren konfiguriert.

WSS_SHELL_ACCESS-Datenbankrolle

Bei Vorhandensein der sicheren Datenbankrolle WSS_SHELL_ACCESS in der Konfigurationsdatenbank muss kein Administratorkonto als db_owner zur Konfigurationsdatenbank hinzugefügt werden. Standardmäßig wird das Farmadministratorkonto, das ursprünglich den Konfigurations-Assistenten ausgeführt hat, der datenbankrolle WSS_SHELL_ACCESS zugewiesen. Mithilfe eines PowerShell-Befehls können Sie die Mitgliedschaft in dieser Rolle gewähren oder aufheben. Vom Setupprogramm wird die WSS_SHELL_ACCESS -Rolle den folgenden Datenbanken zugewiesen:

  • Der SharePoint_Config -Datenbank (Konfigurationsdatenbank).

  • Mindestens einer SharePoint-Inhaltsdatenbank. Dies kann mithilfe des PowerShell-Befehls zum Verwalten der Mitgliedschaft und des Objekts, das dieser Rolle zugewiesen ist, konfiguriert werden.

Mitglieder der Rolle WSS_SHELL_ACCESS verfügen über die Ausführungsberechtigung für alle gespeicherten Prozeduren für die Datenbank. Zudem verfügen die Mitglieder dieser Rolle über die Lese- und Schreibberechtigung für alle Datenbanktabellen.

Datenbankrolle "SP_READ_ONLY"

Die Rolle SP_READ_ONLY sollte anstelle von "sp_dboption" verwendet werden, um den schreibgeschützten Modus für die Datenbank zu aktivieren. Wie der Name der Rolle verrät sollte sie nur verwendet werden, wenn für Daten wie etwa Verwendungs- und Telemetriedaten ausschließlich schreibgeschützter Zugriff erforderlich ist.

Hinweis

[!HINWEIS] Die gespeicherte Prozedur „sp_dboption" ist in SQL Server 2012 nicht verfügbar. Weitere Informationen zu „sp_dboption" finden Sie unter sp_dboption (Transact-SQL).

Die Rolle "SP_READ_ONLY SQL" verfügt über die folgenden Berechtigungen:

  • AUSWÄHLEN gewähren für alle gespeicherten SharePoint-Prozeduren und -Funktionen

  • AUSWÄHLEN gewähren für alle SharePoint-Tabellen

  • AUSFÜHREN gewähren für benutzerdefinierte Typen mit Schema "dbo"

Datenbankrolle "SP_DATA_ACCESS"

Die Rolle SP_DATA_ACCESS ist die Standardrolle für den Datenbankzugriff und sollte für alle Datenbankzugriffe auf der Objektmodellebene verwendet werden. Fügen Sie dieser Rolle während Upgrades oder neuen Bereitstellungen das Anwendungspoolkonto hinzu.

Hinweis

Die Rolle "SP_DATA_ACCESS" ersetzt die Rolle "db_owner" in SharePoint 2013.

Die Rolle "SP_DATA_ACCESS" verfügt über die folgenden Berechtigungen:

  • AUSFÜHREN oder AUSWÄHLEN gewähren für alle gespeicherten SharePoint-Prozeduren und -Funktionen

  • AUSWÄHLEN gewähren für alle SharePoint-Tabellen

  • AUSFÜHREN gewähren für benutzerdefinierte Typen mit Schema "dbo"

  • EINFÜGEN gewähren für Tabelle "AllUserDataJunctions"

  • AKTUALISIEREN gewähren für Website-Ansicht

  • AKTUALISIEREN gewähren für Ansicht "UserData "

  • AKTUALISIEREN gewähren für Tabelle "AllUserData"

  • EINFÜGEN und LÖSCHEN gewähren für "NameValuePair"-Tabellen

  • Berechtigung zum Erstellen von Tabellen gewähren

Gruppenberechtigungen

In diesem Abschnitt werden die Berechtigungen der Gruppen beschrieben, die von den SharePoint 2013-Setup- und Konfigurationstools erstellt werden.

WSS_ADMIN_WPG

WSS_ADMIN_WPG verfügt über Lese- und Schreibzugriff auf lokale Ressourcen. Die Anwendungspoolkonten für die Zentraladministration und die Timerdienste befinden sich in WSS_ADMIN_WPG. In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für WSS_ADMIN_WPG aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
Vollzugriff
Nicht zutreffend
Nicht zutreffend
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration{90150000-110D-0000-1000-0000000FF1CE}
Lesen, Schreiben
Nicht zutreffend
Nicht zutreffend
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server
Lesen
Nein
Dieser Schlüssel ist der Stamm in der Struktur der SharePoint 2013-Registrierungseinstellungen. Wenn dieser Schlüssel geändert wird, tritt für die SharePoint 2013-Funktionalität ein Fehler auf.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Vollzugriff
Nein
Dieser Schlüssel ist der Stamm der SharePoint 2013-Registrierungseinstellungen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lesen, Schreiben
Nein
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lesen, Schreiben
Nein
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search
Vollzugriff
Nicht zutreffend
Nicht zutreffend
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search
Vollzugriff
Nicht zutreffend
Nicht zutreffend
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Vollzugriff
Nein
Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint 2013-Installation auf dem Computer nicht mehr funktionsfähig.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Vollzugriff
Ja
Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten.

In der folgenden Tabelle sind die Dateisystemberechtigungen für WSS_ADMIN_WPG aufgeführt.

Dateisystempfad Berechtigungen Erben Beschreibung
%AllUsersProfile%\ Microsoft\SharePoint
Vollzugriff
Nein
Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird.
C:\Inetpub\wwwroot\wss
Vollzugriff
Nein
This directory (or the corresponding directory under the Inetpub root on the server) is used as the default location for IIS Web sites. SharePoint sites will be unavailable and administrative actions might fail if this directory is altered or deleted, unless custom IIS Web site paths are provided for all IIS Web sites extended with SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Vollzugriff
Nein
Dieses Verzeichnis ist der Installationspfad für SharePoint 2013-Binärdateien und -Daten. Das Verzeichnis kann während der Installation geändert werden. Wenn dieses Verzeichnis nach der Installation entfernt, geändert oder verschoben wird, kann die gesamte SharePoint 2013-Funktionalität nicht mehr verwendet werden. Für einige SharePoint 2013-Dienste ist zum Speichern von Daten auf dem Datenträger die Mitgliedschaft in der Windows-Sicherheitsgruppe WSS_ADMIN_WPG erforderlich.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Lesen, Schreiben
Nein
Dieses Verzeichnis ist das Stammverzeichnis, in dem Back-End-Webdienste gehostet werden, z. B. Excel und Suche. Die SharePoint 2013-Features, die von diesen Diensten abhängig sind, schlagen fehl, wenn dieses Verzeichnis entfernt oder geändert wird.
%ProgramFiles%\Microsoft Office Servers\15.0\Data
Vollzugriff
Nein
Dieses Verzeichnis ist das Stammverzeichnis, in dem lokale Daten einschließlich Suchindizes gespeichert werden. Die Suchfunktionalität schlägt fehl, wenn dieses Verzeichnis entfernt oder geändert wird. Berechtigungen der Windows-Sicherheitsgruppe WSS_ADMIN_WPG sind erforderlich, um das Speichern und Sichern von Suchdaten in diesem Ordner zu ermöglichen.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Vollzugriff
Ja
In diesem Verzeichnis wird zur Laufzeit die Diagnoseprotokollierung generiert. Die Protokollierungsfunktionalität kann nicht ordnungsgemäß ausgeführt werden, wenn dieses Verzeichnis entfernt oder geändert wird.
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server
Vollzugriff
Ja
Identisch mit dem übergeordneten Ordner.
%windir%\System32\drivers\etc\HOSTS
Lesen, Schreiben
Nicht zutreffend
Nicht zutreffend
%windir%\Tasks
Vollzugriff
Nicht zutreffend
Nicht zutreffend
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15
Ändern
Ja
Dieses Verzeichnis ist das Installationsverzeichnis für SharePoint 2013-Kerndateien. Wenn die Zugriffssteuerungsliste (Access Control List, ACL) geändert wird, sind die Featureaktivierung, Lösungsbereitstellung und andere Features nicht ordnungsgemäß funktionsfähig.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Vollzugriff
Ja
Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Vollzugriff
Ja
Dieses Verzeichnis enthält Dateien zum Erweitern von IIS-Websites mit SharePoint 2013. Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Vollzugriff
Nein
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig.
%windir%\temp
Vollzugriff
Ja
Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint 2013 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten.
%windir%\System32\logfiles\SharePoint
Vollzugriff
Nein
Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, ist die Verwendungsprotokollierung nicht mehr ordnungsgemäß funktionsfähig.
Dieser Registrierungsschlüssel gilt nur für SharePoint Server.
Ordner %systemdrive\Programme\Microsoft Office Servers\15 auf Indexservern
Vollzugriff
Nicht zutreffend
Die Berechtigung wird für den Ordner %systemdrive%\Programme\Microsoft Office Servers\15 auf Indexservern erteilt.

WSS_WPG

WSS_WPG besitzt Lesezugriff auf lokale Ressourcen. Alle Anwendungspool- und Dienstkonten befinden sich in WSS_WPG. In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für WSS_WPG aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Lesen
Nein
Dieser Schlüssel ist der Stamm der SharePoint 2013-Registrierungseinstellungen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics
Lesen, Schreiben
Nein
Dieser Schlüssel enthält Einstellungen für die SharePoint 2013-Diagnoseprotokollierung. Durch Ändern dieses Schlüssels wird die Protokollierungsfunktionalität beschädigt.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lesen, Schreiben
Nein
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lesen, Schreiben
Nein
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Lesen
Nein
Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint 2013-Installation auf dem Computer nicht mehr funktionsfähig.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Lesen
Ja
Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten.

In der folgenden Tabelle sind die Dateisystemberechtigungen für WSS_WPG aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung
%AllUsersProfile%\ Microsoft\SharePoint
Lesen
Nein
Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird.
C:\Inetpub\wwwroot\wss
Lesen, Ausführen
Nein
This directory (or the corresponding directory under the Inetpub root on the server) is used as the default location for IIS Web sites. SharePoint sites will be unavailable and administrative actions might fail if this directory is altered or deleted, unless custom IIS Web site paths are provided for all IIS Web sites extended with SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Lesen, Ausführen
Nein
Dieses Verzeichnis ist der Installationspfad für die SharePoint 2013-Binärdateien und -Daten. Es kann während der Installation geändert werden. Wenn dieses Verzeichnis nach der Installation entfernt, geändert oder verschoben wird, ist die gesamte SharePoint 2013-Funktionalität nicht mehr funktionsfähig. Zum Laden von SharePoint 2013-Binärdateien auf IIS-Websites sind WSS_WPG -Berechtigungen zum Lesen und Ausführen erforderlich.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Lesen
Nein
Dieses Verzeichnis ist das Stammverzeichnis, in dem Back-End-Webdienste gehostet werden, z. B. Excel und Suche. Die SharePoint 2013-Features, die von diesen Diensten abhängig sind, schlagen fehl, wenn dieses Verzeichnis entfernt oder geändert wird.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Lesen, Schreiben
Ja
In diesem Verzeichnis wird zur Laufzeit die Diagnoseprotokollierung generiert. Die Protokollierungsfunktionalität kann nicht ordnungsgemäß ausgeführt werden, wenn dieses Verzeichnis entfernt oder geändert wird.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Lesen
Ja
Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Lesen
Ja
Dieses Verzeichnis enthält Dateien zum Erweitern von IIS-Websites mit SharePoint 2013. Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Ändern
Nein
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig.
%windir%\temp
Lesen
Ja
Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint 2013 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten.
%windir%\System32\logfiles\SharePoint
Lesen
Nein
Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, ist die Verwendungsprotokollierung nicht mehr ordnungsgemäß funktionsfähig.
Der Registrierungsschlüssel gilt nur für SharePoint Server.
%systemdrive\Programme\Microsoft Office Servers\15
Lesen, Ausführen
Nicht zutreffend
Die Berechtigung wird für den Ordner %systemdrive%\Programme\Microsoft Office Servers\15 auf Indexservern erteilt.

Lokaler Dienst

In der folgenden Tabelle ist die Registrierungseintragsberechtigung für den lokalen Dienst aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Lesen
Nein
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.

In der folgenden Tabelle ist die Dateisystemberechtigung für den lokalen Dienst aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Lesen, Ausführen
Nein
Dieses Verzeichnis ist der Installationsort der SharePoint 2013-Binärdateien. Wenn dieses Verzeichnis nach der Installation entfernt oder geändert wird, ist die gesamte SharePoint 2013-Funktionalität nicht mehr funktionsfähig.

Lokales System

In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für das lokale System aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Lesen
Nein
Dieser Schlüssel enthält Einstellungen für den Dokumentkonvertierungsdienst. Durch Ändern dieses Schlüssels wird die Dokumentkonvertierungsfunktionalität beschädigt.
Dieser Registrierungsschlüssel gilt nur für SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Vollzugriff
Nein
Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint 2013-Installation auf dem Computer nicht mehr funktionsfähig.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Vollzugriff
Nein
Dieser Schlüssel enthält den Verschlüsselungsschlüssel zum Speichern von Schlüsseln in der Konfigurationsdatenbank. Wenn dieser Schlüssel geändert wird, treten bei der Dienstbereitstellung und anderen Features Fehler auf.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Vollzugriff
Ja
Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten.

In der folgenden Tabelle sind die lokalen Dateisystemberechtigungen aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung
%AllUsersProfile%\ Microsoft\SharePoint
Vollzugriff
Nein
Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird.
C:\Inetpub\wwwroot\wss
Vollzugriff
Nein
This directory (or the corresponding directory under the Inetpub root on the server) is used as the default location for IIS Web sites. SharePoint sites will be unavailable and administrative actions might fail if this directory is altered or deleted, unless custom IIS Web site paths are provided for all IIS Web sites extended with SharePoint 2013.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Vollzugriff
Ja
Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Vollzugriff
Ja
Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Vollzugriff
Nein
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig.
%windir%\temp
Vollzugriff
Ja
Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint 2013 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten.
%windir%\System32\logfiles\SharePoint
Vollzugriff
Nein
Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, kann die Verwendungsprotokollierung nicht mehr ordnungsgemäß verwendet werden.
Dieser Registrierungsschlüssel gilt nur für SharePoint Server.

Netzwerkdienst

In der folgenden Tabelle ist die Registrierungseintragsberechtigung für den Netzwerkdienst aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup
Lesen
Nicht zutreffend
Nicht zutreffend

Administratoren

In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für Administratoren aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Vollzugriff
Nein
Dieser Schlüssel enthält die Verbindungszeichenfolge und die ID der Konfigurationsdatenbank, der der Computer angehört. Wenn dieser Schlüssel geändert wird, ist die SharePoint 2013-Installation auf dem Computer nicht mehr funktionsfähig.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Vollzugriff
Nein
Dieser Schlüssel enthält den Verschlüsselungsschlüssel zum Speichern von Schlüsseln in der Konfigurationsdatenbank. Wenn dieser Schlüssel geändert wird, treten bei der Dienstbereitstellung und anderen Features Fehler auf.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Vollzugriff
Ja
Dieser Schlüssel enthält Einstellungen, die während der Installation verwendet werden. Wenn dieser Schlüssel geändert wird, können bei der Diagnoseprotokollierung sowie beim Setup oder bei der Konfiguration nach dem Setup Fehler auftreten.

In der folgenden Tabelle sind die Dateisystemberechtigungen für Administratoren aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung
%AllUsersProfile%\ Microsoft\SharePoint
Vollzugriff
Nein
Dieses Verzeichnis enthält den vom Dateisystem gesicherten Cache der Farmkonfiguration. Prozesse können möglicherweise nicht gestartet werden, und bei administrativen Aktionen treten möglicherweise Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird.
C:\Inetpub\wwwroot\wss
Vollzugriff
Nein
Dieses Verzeichnis (oder das entsprechende Verzeichnis im Stammverzeichnis Inetpub auf dem Server) wird als Standardspeicherort für IIS-Websites verwendet. SharePoint-Websites sind nicht verfügbar, und für Verwaltungsvorgänge tritt möglicherweise ein Fehler auf, wenn dieses Verzeichnis geändert oder gelöscht wird, außer benutzerdefinierte IIS-Websitepfade werden für alle mit SharePoint 2013 erweiterte IIS-Websites verwendet.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Vollzugriff
Ja
Dieses Verzeichnis enthält die SOAP-Dienste für die Zentraladministration. Wenn dieses Verzeichnis geändert wird, sind die Remotewebsiteerstellung und andere durch den Dienst verfügbar gemachte Methoden nicht ordnungsgemäß funktionsfähig.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Vollzugriff
Ja
Wenn dieses Verzeichnis oder dessen Inhalt geändert werden, ist die Webanwendungsbereitstellung nicht einwandfrei funktionsfähig.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Vollzugriff
Nein
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn das Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig.
%windir%\temp
Vollzugriff
Ja
Dieses Verzeichnis wird von Plattformkomponenten verwendet, von denen SharePoint 2013 abhängt. Wenn die Zugriffssteuerungsliste geändert wird, können bei der Webpartdarstellung und anderen Deserialisierungsvorgängen Fehler auftreten.
%windir%\System32\logfiles\SharePoint
Vollzugriff
Nein
Dieses Verzeichnis wird von der SharePoint Server-Verwendungsprotokollierung genutzt. Wenn dieses Verzeichnis geändert wird, kann die Verwendungsprotokollierung nicht mehr ordnungsgemäß verwendet werden.
Dieser Registrierungsschlüssel gilt nur für SharePoint Server.

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG kann den verschlüsselten Registrierungseintrag der Anmeldeinformationen für die Farmadministration lesen. WSS_RESTRICTED_WPG wird nur für die Ver- und Entschlüsselung von Kennwörtern verwendet, die in der Konfigurationsdatenbank gespeichert sind. In der folgenden Tabelle sind die Registrierungseintragsberechtigungen für WSS_RESTRICTED_WPG aufgeführt:

Schlüsselname Berechtigungen Erben Beschreibung
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Vollzugriff
Nein
Dieser Schlüssel enthält den Verschlüsselungsschlüssel zum Speichern von Schlüsseln in der Konfigurationsdatenbank. Wenn dieser Schlüssel geändert wird, treten bei der Dienstbereitstellung und anderen Features Fehler auf.

Gruppe Benutzer

In der folgenden Tabelle sind die Dateisystemberechtigungen für die Gruppe Benutzer aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung
%ProgramFiles%\Microsoft Office Servers\15.0
Lesen, Ausführen
Nein
Dieses Verzeichnis ist der Installationspfad für SharePoint 2013-Binärdateien und -Daten. Es kann während der Installation geändert werden. Wenn dieses Verzeichnis nach der Installation entfernt, geändert oder verschoben wird, ist die gesamte SharePoint 2013-Funktionalität nicht mehr funktionsfähig.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root
Lesen, Ausführen
Nein
Dieses Verzeichnis ist das Stammverzeichnis, in dem Back-End-Stammwebdienste gehostet werden. Der einzige Dienst, der zunächst in diesem Verzeichnis installiert wird, ist ein globaler Verwaltungsdienst für die Suche. Ein Teil der Verwaltungsfunktionen für die Suche, von denen die serverspezifische Zentraladministration-Einstellungsseite verwendet wird, ist nicht mehr funktionsfähig, wenn dieses Verzeichnis entfernt oder geändert wird.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Lesen, Schreiben
Ja
In diesem Verzeichnis wird zur Laufzeit die Diagnoseprotokollierung generiert. Die Protokollierung kann nicht ordnungsgemäß ausgeführt werden, wenn dieses Verzeichnis entfernt oder geändert wird.
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Lesen, Ausführen
Nein
Dieses Verzeichnis ist der Installationsort der SharePoint 2013-Binärdateien. Wenn dieses Verzeichnis nach der Installation entfernt oder geändert wird, ist die gesamte SharePoint 2013-Funktionalität nicht mehr funktionsfähig.

Alle Dienstkonten in SharePoint 2013

In der folgenden Tabelle ist die Dateisystemberechtigung für alle SharePoint 2013-Dienstkonten aufgeführt:

Dateisystempfad Berechtigungen Erben Beschreibung
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Ändern
Nein
Dieses Verzeichnis enthält Setup- und Laufzeit-Ablaufverfolgungsprotokolle. Wenn dieses Verzeichnis geändert wird, ist die Diagnoseprotokollierung nicht mehr ordnungsgemäß funktionsfähig. Alle SharePoint 2013-Dienstkonten benötigen Schreibberechtigungen für dieses Verzeichnis.

Siehe auch

Konzepte

Installieren und Konfigurieren von SharePoint Server 2016