Autorisations de compte et paramètres de sécurité dans les serveurs SharePoint
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Cet article décrit les autorisations de comptes d’administration et de services SharePoint. Il traite des sujets suivants : Microsoft SQL Server, le système de fichiers, les partages de fichiers et les entrées de Registre.
Importante
N’utilisez pas de noms de compte de service qui contiennent le symbole $ à l’exception de l’utilisation d’un compte de service managé de groupe pour SQL Server.
En savoir plus sur le rôle d’administrateur SharePoint dans Microsoft 365.
À propos des autorisations de compte et des paramètres de sécurité dans les serveurs SharePoint
Une grande partie des autorisations de compte de base et des paramètres de sécurité SharePoint sont configurés par l'Assistant Configuration des produits SharePoint (Psconfig) et l'Assistant Configuration de batterie, qui sont tous deux exécutés durant une installation complète.
Recommandations relatives aux comptes de service
Les sections suivantes décrivent des recommandations sur les comptes de service SharePoint.
Recommandations relatives aux comptes de service
Microsoft recommande d’utiliser un nombre minimal de comptes de pool d’applications de service dans la batterie de serveurs. Cette recommandation est de réduire l’utilisation de la mémoire et d’augmenter les performances tout en conservant le niveau de sécurité approprié.
Utilisez un compte avec élévation de privilèges et d’identification personnelle pour l’installation, la maintenance et les mises à niveau sharePoint. Ce compte contiendra les rôles requis comme indiqué dans le compte Administrateur de batterie de serveurs SharePoint. Chaque administrateur SharePoint doit utiliser un compte distinct afin que son activité effectuée sur la batterie soit clairement identifiée.
Si possible, utilisez un groupe de sécurité, groupes d’administrateurs de batterie de serveurs SharePoint, pour unifier tous les comptes d’administrateur de batterie de serveurs SharePoint individuels et pour accorder des autorisations comme indiqué dans compte Administrateur de batterie de serveurs SharePoint. Cette utilisation d’un groupe de sécurité simplifie considérablement la gestion des comptes d’administrateur de batterie de serveurs SharePoint.
Le compte de service de batterie de serveurs SharePoint doit uniquement exécuter le service de minuteur SharePoint, SharePoint Insights (le cas échéant), les pools d’applications IIS pour l’Administration centrale, le système de services web SharePoint (utilisé pour le service de topologie) et SecurityTokenServiceApplicationPool (utilisé pour le service d’émission de jetons de sécurité).
Un seul compte doit être utilisé pour toutes les applications de service, nommé compte de pool d’applications de service. Cette utilisation d’un seul compte permet à l’administrateur d’utiliser un pool d’applications IIS unique pour toutes les applications de service. En outre, ce compte doit exécuter les services Windows suivants : Contrôleur d’hôte recherche SharePoint, Recherche SharePoint Server et Cache distribué (service de mise en cache AppFabric).
Un seul compte doit être utilisé pour toutes les applications web, nommé compte de pool d’applications web. Cette utilisation d’un seul compte permet à l’administrateur d’utiliser un pool d’applications IIS unique pour toutes les applications web, à l’exception de l’application web Administration centrale qui est exécutée par le compte de service de batterie de serveurs SharePoint.
À l’exception du compte de service de jeton Revendications vers Windows, aucun compte de pool d’applications de service ne doit avoir un accès Administrateur local à un serveur SharePoint, ni à un rôle SQL Server avec élévation de privilèges, par exemple le rôle fixe sysadmin . Le compte Administrateur de batterie sharePoint nécessite les rôles fixes dbcreator et securityadmin , sauf si vous préprovisionnez les bases de données SharePoint et attribuez manuellement des autorisations à chaque base de données.
Les comptes de pool d’applications de service, à l’exception du compte exécutant le service d’émission de jetons Revendications vers Windows, doivent avoir l’ouverture de session refuser localement et refuser l’ouverture de session via les services Bureau à distance dans la stratégie de sécurité locale\Attribution des droits utilisateur. Ces valeurs sont définies via secpol.msc.
Utilisez des comptes distincts pour l’accès au contenu (analyseur de recherche), le super lecteur du portail, le super utilisateur du portail et la synchronisation des applications du service de profil utilisateur, le cas échéant.
Le compte de service de jetons Claims to Windows est un compte hautement privilégié sur la batterie de serveurs. Avant de déployer ce service, vérifiez s’il est nécessaire. Si nécessaire, utilisez un compte distinct pour ce service.
Vue d’ensemble des recommandations des comptes de service
Nom du compte de service | À quoi sert-il ? | Combien faut-il utiliser ? |
---|---|---|
Compte d’administrateur de batterie de serveurs SharePoint | Compte d’identification personnelle d’un administrateur SharePoint | 1-n |
Compte de service de batterie de serveurs SharePoint | Service du minuteur, Insights, application IIS pour autorité de certification, système de services web SP, pool d’applications service d’émission de jetons de sécurité | 1 |
Compte d’accès au contenu par défaut | Rechercher des sources internes et externes | 1 |
Comptes d’accès au contenu | Rechercher des sources internes et externes | 1-n |
Compte du pool d’applications web | Toutes les applications web sans administration centrale | 1 |
Compte du pool d’applications de service SharePoint | Toutes les applications de service | 1 |
Super lecteur du portail | Mise en cache d'objets | 1 |
Super utilisateur du portail | Mise en cache d'objets | 1 |
Synchronisation des applications du service de profil utilisateur | Utilisé pour l’importation Active Directory | 1-n |
Comptes dֹ’administration SharePoint
La plupart des autorisations de compte d’administration SharePoint Server sont configurées automatiquement durant le processus d’installation par l’un des composants SharePoint suivants :
L'Assistant Configuration des produits SharePoint (Psconfig) ;
l’Assistant Configuration de batterie ;
Site web Administration centrale de SharePoint.
Microsoft PowerShell.
Compte d’administrateur de batterie de serveurs SharePoint
Ce compte est utilisé pour configurer chaque serveur de votre batterie de serveurs en exécutant l’Assistant Configuration des produits SharePoint (Psconfig), l’Assistant Configuration de batterie initiale et PowerShell. Pour les exemples de cet article, le compte Administrateur de batterie de serveurs SharePoint est utilisé pour l’administration de batterie de serveurs, et vous pouvez utiliser l’Administration centrale pour le gérer. Certaines options de configuration, par exemple la configuration du serveur de requête Recherche SharePoint Server, nécessitent des autorisations d’administration locale. Le compte d’administrateur de batterie de serveurs SharePoint présente les exigences suivantes :
Il doit détenir des autorisations de compte d’utilisateur de domaine.
Il doit être membre du groupe Administrateurs local sur chaque serveur de la batterie de serveurs SharePoint.
Il doit avoir accès aux bases de données SharePoint.
Si vous utilisez des opérations PowerShell qui affectent une base de données, le compte Administrateur de batterie de serveurs SharePoint doit être membre du rôle db_owner .
Il doit être attribué aux rôles de sécurité SQL Server securityadmin et dbcreator durant l'installation et la configuration.
Notes
Les rôles de sécurité SQL Server securityadmin et dbcreator peuvent être requis pour ce compte durant une mise à niveau de version à version complète, car il peut être nécessaire de créer et sécuriser de nouvelles bases de données pour des services.
Après avoir exécuté les Assistants de configuration, les autorisations au niveau de l’ordinateur pour le compte d’administrateur de batterie de serveurs SharePoint sont les suivantes :
- Appartenance au groupe de sécurité WSS_ADMIN_WPG Windows.
Une fois que vous avez exécuté les Assistants de configuration, les autorisations de base de données sont les suivantes :
db_owner sur la base de données de configuration de la batterie de serveurs SharePoint ;
db_owner sur la base de données de contenu de l'Administration centrale SharePoint.
Attention
Si le compte que vous utilisez pour exécuter les Assistants de configuration n’a pas l’appartenance ou l’accès au rôle SQL Server spécial approprié en tant que db_owner sur les bases de données, les Assistants de configuration ne s’exécutent pas correctement.
Compte de service de batterie de serveurs SharePoint
Le compte de service de batterie de serveurs SharePoint, également appelé compte d’accès à la base de données, est utilisé comme identité du pool d’applications pour l’Administration centrale et comme compte de processus pour le service de minuteur SharePoint. Le compte de batterie de serveurs présente les conditions suivantes :
- Il doit détenir des autorisations de compte d’utilisateur de domaine.
Des autorisations supplémentaires sont automatiquement accordées au compte de service de batterie de serveurs SharePoint sur les serveurs SharePoint joints à une batterie de serveurs.
Après avoir exécuté le programme d’installation, les autorisations au niveau de l’ordinateur sont les suivantes :
Appartenance au groupe de sécurité WSS_ADMIN_WPG Windows pour le service de minuteur SharePoint.
L’appartenance à WSS_RESTRICTED_WPG pour les pools d’applications du service Administration centrale et Timer.
L’appartenance à WSS_WPG pour le pool d’applications Administration centrale.
Une fois que vous avez exécuté les Assistants de configuration, les autorisations SQL Server et de base de données sont les suivantes :
rôle serveur fixe Dbcreator;
rôle serveur fixe Securityadmin;
db_owner pour toutes les bases de données SharePoint ;
Appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données de configuration de la batterie de serveurs SharePoint.
Appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données de contenu SharePoint_Admin.
Comptes de pool d’applications SharePoint
Cette section décrit les comptes de pool d’applications SharePoint qui sont configurés par défaut pendant l’installation.
Compte d’accès au contenu par défaut
Le compte d’accès au contenu par défaut est utilisé dans une application de service spécifique pour analyser du contenu, sauf si une méthode d’authentification différente est spécifiée par une règle d’analyse pour une URL ou un modèle d’URL. Ce compte requiert les paramètres de configuration d’autorisation suivants :
Le compte d’accès au contenu par défaut doit être un compte d’utilisateur de domaine disposant d’un accès en lecture à des sources de contenu externes ou sécurisées que vous souhaitez analyser à l’aide de ce compte.
Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, vous devez accorder explicitement l’autorisation de lecture complète à ce compte aux applications web qui hébergent les sites.
Il ne doit pas être membre du groupe Administrateurs de batterie.
Comptes d’accès au contenu
Les comptes d’accès au contenu sont configurés pour accéder au contenu à l’aide de la fonctionnalité de règles d’analyse d’administration de recherche. Ce type de compte est facultatif et peut être configuré lorsque vous créez une règle d’analyse. Par exemple, du contenu externe (tel qu’un partage de fichiers) peut exiger ce compte d’accès au contenu distinct. Ce compte requiert les paramètres de configuration d’autorisation suivants :
Le compte d’accès au contenu doit disposer d’un accès en lecture aux sources de contenu externes ou sécurisées auxquelles ce compte est configuré pour accéder.
Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, vous devez accorder explicitement l’autorisation de lecture complète à ce compte aux applications web qui hébergent les sites.
Compte du pool d’applications web
Le compte du pool d’applications web doit être un compte d’utilisateur de domaine. Il ne doit pas être membre du groupe Administrateurs de batterie.
Ce compte doit être utilisé pour toutes les applications web sans Administration centrale.
L’autorisation suivante au niveau de l’ordinateur est configurée automatiquement :
- Ce compte est membre de WSS_WPG.
Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :
Ce compte est affecté au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de la batterie de serveurs.
Ce compte est affecté au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu Administrateur SharePoint.
Les comptes de pool d’applications pour les applications web sont attribués au rôle SPDataAccess pour les bases de données de contenu.
Compte du pool d’applications de service SharePoint
Le compte du pool d’applications de service SharePoint doit être un compte d’utilisateur de domaine. Ce compte ne doit être membre du groupe Administrateurs sur aucun ordinateur de la batterie de serveurs.
L’autorisation suivante au niveau de l’ordinateur est configurée automatiquement :
- Ce compte est membre de WSS_WPG.
Les exigences/autorisations suivantes pour SQL Server et la base de données sont configurées automatiquement :
Ce compte est affecté au rôle SPDataAccess pour les bases de données de contenu.
Ce compte est affecté au rôle SPDataAccess pour une base de données de recherche associée à l’application web.
Ce compte doit disposer d’un accès en lecture et en écriture à la base de données d’application de service associée.
Ce compte est affecté au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de la batterie de serveurs.
Ce compte est affecté au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.
Rôles de base de données SharePoint
Cette section décrit les rôles de base de données qui sont configurés par défaut durant l’installation ou qui peuvent être configurés de façon facultative.
Rôle de base de données WSS_CONTENT_APPLICATION_POOLS
Le rôle de base de données WSS_CONTENT_APPLICATION_POOLS s’applique au compte du pool d’applications pour chaque application web inscrite dans une batterie de serveurs SharePoint. Cette applicabilité de rôle permet aux applications web d’interroger et de mettre à jour le plan de site et d’avoir un accès en lecture seule à d’autres éléments de la base de données de configuration. Le programme d’installation attribue le rôle WSS_CONTENT_APPLICATION_POOLS aux bases de données suivantes :
Base de données de configuration SharePoint (base de données de configuration)
Base de données de contenu d’administration SharePoint
Les membres du rôle WSS_CONTENT_APPLICATION_POOLS disposent de l’autorisation d’exécution pour un sous-ensemble des procédures stockées pour la base de données. En outre, les membres de ce rôle disposent de l’autorisation de sélection sur la table Versions (dbo. Versions) dans la base de données SharePoint_AdminContent. Pour les autres bases de données, l’outil de planification des comptes indique que l’accès pour lire ces bases de données est automatiquement configuré. Dans certains cas, un accès limité pour écrire dans une base de données est également automatiquement configuré. Pour assurer cet accès, des autorisations sont configurées pour les procédures stockées.
SharePoint_SHELL_ACCESS rôle de base de données
Le rôle de base de données de SharePoint_SHELL_ACCESS sécurisé sur la base de données de configuration remplace la nécessité d’ajouter un compte d’administration en tant que db_owner sur la base de données de configuration. Par défaut, le compte d’installation est affecté au rôle de base de données SharePoint_SHELL_ACCESS . L'appartenance à ce rôle est accordée et supprimée au moyen d'une commande PowerShell. Le programme d’installation attribue le rôle SharePoint_SHELL_ACCESS aux bases de données suivantes :
base de données SharePoint_Config (base de données de configuration) ;
une ou plusieurs des bases de données de contenu SharePoint. Cette base de données est configurable à l’aide de la commande PowerShell qui gère l’appartenance et l’objet affecté à ce rôle.
Les membres du rôle SharePoint_SHELL_ACCESS ont l’autorisation d’exécution pour toutes les procédures stockées pour la base de données. En outre, les membres de ce rôle disposent des autorisations de lecture et d’écriture sur toutes les tables de base de données.
Rôle de base de données SPREADONLY
Le rôle SPREADONLY doit être utilisé pour définir la base de données en mode lecture seule au lieu d’utiliser sp_dboption. Ce rôle, comme son nom l’indique, doit être utilisé lorsque seul l’accès en lecture est requis pour les données d’utilisation et de télémétrie.
Notes
La procédure stockée sp_dboption n’est pas disponible dans SQL Server 2012. Pour plus d’informations sur sp_dboption, consultez sp_dboption (Transact-SQL).
Le rôle SQL SPREADONLY aura les autorisations suivantes :
octroi de SELECT sur toutes les procédures stockées et fonctions SharePoint ;
octroi de SELECT sur toutes les tables SharePoint ;
Accordez EXECUTE sur les types définis par l’utilisateur où le schéma est dbo.
Rôle de base de données SPDataAccess
Le rôle SPDataAccess est le rôle par défaut pour l’accès aux bases de données et doit être utilisé pour tous les accès aux bases de données au niveau du modèle objet. Ajoutez le compte du pool d’applications à ce rôle pendant les mises à niveau ou les nouveaux déploiements.
Notes
Le rôle SPDataAccess a remplacé le rôle db_owner dans SharePoint Server 2016.
Le rôle SPDataAccess aura les autorisations suivantes :
octroi d’EXECUTE ou de SELECT sur toutes les procédures stockées et fonctions SharePoint ;
octroi de SELECT sur toutes les tables SharePoint ;
Accordez EXECUTE sur les types définis par l’utilisateur où le schéma est dbo.
octroi d’INSERT sur la table AllUserDataJunctions ;
octroi d’UPDATE sur la vue Sites ;
octroi d’UPDATE sur la vue UserData ;
octroi d’UPDATE sur la table AllUserData ;
octroi d’INSERT et DELETE sur la table NameValuePair ;
octroi de l’autorisation de création de tables.
Autorisations de groupes
Cette section décrit les autorisations des groupes créés par les outils d’installation et de configuration de SharePoint Servers 2016 et 2019.
WSS_ADMIN_WPG
WSS_ADMIN_WPG dispose d’un accès en lecture et en écriture aux ressources locales. Les comptes du pool d’applications pour les services Administration centrale et Timer sont en WSS_ADMIN_WPG. Le tableau suivant présente les autorisations d’entrée de Registre WSS_ADMIN_WPG :
Notes
SharePoint 2013 utilise le chemin du Registre « 15.0 » au lieu de « 16.0 » et le chemin du système de fichiers « 15 » au lieu de « 16 ». Certains chemins répertoriés dans les tableaux suivants ne s’appliquent pas à SharePoint Foundation 2013.
Nom de la clé | Autorisations | Héritage | Description |
---|---|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | Contrôle total | Non applicable | Non applicable |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | Lecture, écriture | Non applicable | Non applicable |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | Lecture | Non | Cette clé est la racine de l’arborescence des paramètres du Registre SharePoint Server. Si cette clé est modifiée, les fonctionnalités de SharePoint Server échouent. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Contrôle total | Non | Cette clé est la racine des paramètres du Registre SharePoint Server 2016. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Lecture, écriture | Non | Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Lecture, écriture | Non | Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | Contrôle total | Non applicable | Non applicable |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | Contrôle total | Non applicable | Non applicable |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Contrôle total | Non | Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si cette clé est modifiée, l’installation de SharePoint Server sur l’ordinateur ne fonctionnera pas. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Contrôle total | Oui | Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers WSS_ADMIN_WPG.
Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint | Contrôle total | Non | Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Si ce répertoire est modifié ou supprimé, les processus risquent de ne pas démarrer et les actions d’administration peuvent échouer. |
C:\Inetpub\wwwroot\wss | Contrôle total | Non | Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Si ce répertoire est modifié ou supprimé, les sites SharePoint ne seront pas disponibles et les actions d’administration risquent d’échouer, sauf si des chemins de site web IIS personnalisés sont fournis pour tous les sites web IIS étendus avec SharePoint Server. |
%ProgramFiles%\Microsoft Office Servers\16.0 | Contrôle total | Non | Ce répertoire est l'emplacement d'installation pour les données et les fichiers binaires SharePoint Server 2016. Le répertoire peut être modifié au cours de l'installation. Si ce répertoire est supprimé, modifié ou supprimé après l’installation, toutes les fonctionnalités de SharePoint Server échouent. L’appartenance au groupe de sécurité WSS_ADMIN_WPG Windows est requise pour que certains services SharePoint Server puissent stocker des données sur le disque. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Lecture, écriture | Non | Ce répertoire est le répertoire racine où les services web principaux sont hébergés, par exemple Excel et Search. Si ce répertoire est supprimé ou modifié, les fonctionnalités SharePoint Server qui dépendent de ces services échouent. |
%ProgramFiles%\Microsoft Office Servers\16.0\Data | Contrôle total | Non | Ce répertoire est l’emplacement racine où les données locales sont stockées, y compris les index de recherche. Si ce répertoire est supprimé ou modifié, la fonctionnalité de recherche échoue. WSS_ADMIN_WPG autorisations de groupe de sécurité Windows sont requises pour activer la fonctionnalité de recherche afin d’enregistrer et de sécuriser les données dans ce dossier. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs | Contrôle total | Oui | Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Si ce répertoire est supprimé ou modifié, la fonctionnalité de journalisation ne fonctionnera pas correctement. |
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | Contrôle total | Oui | Identique au dossier parent. |
%windir%\System32\drivers\etc\HOSTS | Lecture, écriture | Non applicable | Non applicable |
%windir%\Tasks | Contrôle total | Non applicable | Non applicable |
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | Modification | Oui | Ce répertoire est le répertoire d’installation des fichiers SharePoint Server principaux. Si la liste de contrôle d’accès (ACL) est modifiée, l’activation des fonctionnalités, le déploiement de la solution et d’autres fonctionnalités ne fonctionnent pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Contrôle total | Oui | Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de site distant et les autres méthodes exposées dans le service ne fonctionneront pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Contrôle total | Oui | Ce répertoire contient des fichiers utilisés pour étendre les sites Web IIS avec SharePoint Server. Si ce répertoire ou son contenu sont modifiés, l’approvisionnement de l’application web ne fonctionnera pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Contrôle total | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
%windir%\temp | Contrôle total | Oui | Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès est modifiée, le rendu du composant WebPart et d’autres opérations de désérialisation peuvent échouer. |
%windir%\System32\logfiles\SharePoint | Contrôle total | Non | Ce répertoire est utilisé par la journalisation de l'utilisation de SharePoint Server. Si ce répertoire est modifié, la journalisation de l’utilisation ne fonctionnera pas correctement. Cette clé de registre s’applique uniquement à SharePoint Server. |
Dossier %systemdrive\program files\Microsoft Office Servers\16 sur les serveurs d’index | Contrôle total | Non applicable | Cette autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\16 sur les serveurs d’index. |
WSS_WPG
WSS_WPG dispose d’un accès en lecture aux ressources locales. Tous les comptes de services et pools d’applications sont dans WSS_WPG. Le tableau suivant présente WSS_WPG autorisations d’entrée de Registre :
Nom de la clé | Autorisations | Héritage | Description |
---|---|---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Lecture | Non | Cette clé est la racine des paramètres du Registre SharePoint Server. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | Lecture, écriture | Non | Cette clé contient des paramètres pour la journalisation des diagnostics SharePoint Server. Si cette clé est modifiée, la fonctionnalité de journalisation s’arrête. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Lecture, écriture | Non | Cette clé contient des paramètres du service de conversion de documents. Si cette clé est modifiée, la fonctionnalité de conversion de document s’arrête. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Lecture, écriture | Non | Cette clé contient des paramètres du service de conversion de documents. Si cette clé est modifiée, la fonctionnalité de conversion de document s’arrête. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Lecture | Non | Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si cette clé est modifiée, l’installation de SharePoint Server 2016 sur l’ordinateur ne fonctionnera pas. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Lecture | Oui | Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg | Lecture | Non | Cette clé contient des paramètres qui contrôlent l’accès à distance au Registre. |
Le tableau suivant présente les autorisations WSS_WPG système de fichiers :
Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint | Lecture | Non | Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Si ce répertoire est modifié ou supprimé, les processus peuvent ne pas démarrer et les actions d’administration peuvent échouer. |
C:\Inetpub\wwwroot\wss | Lecture, exécution | Non | Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Si ce répertoire est modifié ou supprimé, les sites SharePoint ne seront pas disponibles et les actions administratives risquent d’échouer, sauf si des chemins de site web IIS personnalisés sont fournis pour tous les sites web IIS étendus avec SharePoint Server. |
%ProgramFiles%\Microsoft Office Servers\16.0 | Lecture, exécution | Non | Ce répertoire est l’emplacement d’installation des fichiers binaires et des données SharePoint Server. Il peut être modifié au cours de l’installation. Si ce répertoire est supprimé, modifié ou déplacé après l’installation, toutes les fonctionnalités SharePoint Server échouent. WSS_WPG autorisations de lecture et d’exécution sont nécessaires pour permettre aux sites web IIS de charger des fichiers binaires SharePoint Server. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Lecture | Non | Ce répertoire est le répertoire racine où les services web principaux sont hébergés, par exemple Excel et Search. Si ce répertoire est supprimé ou modifié, les fonctionnalités SharePoint Server qui dépendent de ces services échouent. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs | Lecture, écriture | Oui | Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Si ce répertoire est supprimé ou modifié, la fonctionnalité de journalisation ne fonctionnera pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Lecture | Oui | Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de site distant et les autres méthodes exposées dans le service ne fonctionneront pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Lecture | Oui | Ce répertoire contient des fichiers utilisés pour étendre les sites Web IIS avec SharePoint Server. Si ce répertoire ou son contenu sont modifiés, l’approvisionnement de l’application web ne fonctionnera pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Modification | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
%windir%\temp | Lecture | Oui | Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès est modifiée, le rendu du composant WebPart et d’autres opérations de désérialisation peuvent échouer. |
%windir%\System32\logfiles\SharePoint | Lecture | Non | Ce répertoire est utilisé par la journalisation de l'utilisation de SharePoint Server. Si ce répertoire est modifié, la journalisation de l’utilisation ne fonctionnera pas correctement. La clé de registre s’applique uniquement à SharePoint Server. |
%systemdrive\program files\Microsoft Office Servers\16 | Lecture, exécution | Non applicable | L’autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\16 sur les serveurs d’index. |
Service local
Le tableau suivant montre l’autorisation d’entrée de Registre du service local :
Nom de la clé | Autorisations | Héritage | Description |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Lecture | Non | Cette clé contient des paramètres du service de conversion de documents. Si cette clé est modifiée, la fonctionnalité de conversion de document s’arrête. |
Le tableau suivant montre l’autorisation de système de fichiers du service local :
Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0\Bin | Lecture, exécution | Non | Ce répertoire est l’emplacement installé des fichiers binaires SharePoint Server. Si ce répertoire est supprimé ou modifié, toutes les fonctionnalités de SharePoint Server échouent. |
Système local
Le tableau suivant montre les autorisations d’entrée de Registre du système local :
Nom de la clé | Autorisations | Héritage | Description |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Lecture | Non | Cette clé contient des paramètres du service de conversion de documents. Si cette clé est modifiée, la fonctionnalité de conversion de document s’arrête. Cette clé de registre s’applique uniquement à SharePoint Server. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Contrôle total | Non | Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si cette clé est modifiée, l’installation de SharePoint Server sur l’ordinateur ne fonctionnera pas. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Contrôle total | Non | Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Contrôle total | Oui | Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers local :
Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint | Contrôle total | Non | Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Si ce répertoire est modifié ou supprimé, le démarrage des processus peut échouer et les actions d’administration peuvent échouer. |
C:\Inetpub\wwwroot\wss | Contrôle total | Non | Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Si ce répertoire est modifié ou supprimé, les sites SharePoint ne seront pas disponibles et les actions administratives risquent d’échouer, sauf si des chemins de site web IIS personnalisés sont fournis pour tous les sites web IIS étendus avec SharePoint Server. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Contrôle total | Oui | Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de site distant et les autres méthodes exposées dans le service ne fonctionneront pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Contrôle total | Oui | Ce répertoire contient des fichiers de configuration utilisés pour provisionner des applications web et des applications de service. Si ce répertoire ou son contenu sont modifiés, l’approvisionnement de l’application web ne fonctionnera pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Contrôle total | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si ce répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
%windir%\temp | Contrôle total | Oui | Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès est modifiée, le rendu du composant WebPart et d’autres opérations de désérialisation peuvent échouer. |
%windir%\System32\logfiles\SharePoint | Contrôle total | Non | Ce répertoire est utilisé par SharePoint Server pour la journalisation de l'utilisation. Si ce répertoire est modifié, la journalisation de l’utilisation ne fonctionnera pas correctement. Cette clé de registre s’applique uniquement à SharePoint Server. |
Service réseau
Le tableau suivant montre l’autorisation d’entrée de Registre du service réseau :
Nom de la clé | Autorisations | Héritage | Description |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | Lecture | Non applicable | Non applicable |
Administrateurs
Le tableau suivant montre les autorisations d’entrée de Registre des administrateurs.
Nom de la clé | Autorisations | Héritage | Description |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Contrôle total | Non | Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si cette clé est modifiée, l’installation de SharePoint Server sur l’ordinateur ne fonctionnera pas. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Contrôle total | Non | Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Contrôle total | Oui | Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers des administrateurs :
Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
---|---|---|---|
%AllUsersProfile%\ Microsoft\SharePoint | Contrôle total | Non | Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Si ce répertoire est modifié ou supprimé, le démarrage des processus peut échouer et les actions d’administration peuvent échouer. |
C:\Inetpub\wwwroot\wss | Contrôle total | Non | Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. Si ce répertoire est modifié ou supprimé, les sites SharePoint ne seront pas disponibles et les actions d’administration risquent d’échouer, sauf si des chemins de site web IIS personnalisés sont fournis pour tous les sites web IIS étendus avec SharePoint Server. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Contrôle total | Oui | Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de site distant et les autres méthodes exposées dans le service ne fonctionneront pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Contrôle total | Oui | Ce répertoire contient des fichiers de configuration utilisés pour provisionner des applications web et des applications de service. Si ce répertoire ou son contenu sont modifiés, l’approvisionnement de l’application web ne fonctionnera pas correctement. |
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Contrôle total | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
%windir%\temp | Contrôle total | Oui | Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès est modifiée, le rendu du composant WebPart et d’autres opérations de désérialisation peuvent échouer. |
%windir%\System32\logfiles\SharePoint | Contrôle total | Non | Ce répertoire est utilisé par SharePoint Server pour la journalisation de l'utilisation. Si ce répertoire est modifié, la journalisation de l’utilisation ne fonctionnera pas correctement. Cette clé de registre s’applique uniquement à SharePoint Server. |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG pouvez lire l’entrée de registre des informations d’identification d’administration de batterie chiffrée. WSS_RESTRICTED_WPG est utilisé uniquement pour le chiffrement et le déchiffrement des mots de passe stockés dans la base de données de configuration. Le tableau suivant montre l’autorisation d’entrée de Registre WSS_RESTRICTED_WPG :
Nom de la clé | Autorisations | Héritage | Description |
---|---|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Contrôle total | Non | Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent. |
Groupe Utilisateurs
Le tableau suivant montre les autorisations de système de fichiers du groupe Utilisateurs :
Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
---|---|---|---|
%ProgramFiles%\Microsoft Office Servers\16.0 | Lecture, exécution | Non | Ce répertoire est l’emplacement d’installation des fichiers binaires et des données SharePoint Server. Il peut être modifié au cours de l’installation. Si ce répertoire est supprimé, modifié ou déplacé après l’installation, toutes les fonctionnalités de SharePoint Server échouent. |
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | Lecture, exécution | Non | Ce répertoire est le répertoire racine où les services web racine principaux sont hébergés. Le seul service initialement installé dans ce répertoire est un service d’administration global de recherche. Si ce répertoire est supprimé ou modifié, certaines fonctionnalités d’administration de recherche qui utilisent la page Paramètres d’administration centrale spécifique au serveur ne fonctionneront pas. |
%ProgramFiles%\Microsoft Office Servers\16.0\Logs | Lecture, écriture | Oui | Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Si ce répertoire est supprimé ou modifié, la journalisation ne fonctionnera pas correctement. |
%ProgramFiles%\Microsoft Office Servers\16.0\Bin | Lecture, exécution | Non | Ce répertoire est l’emplacement installé des fichiers binaires SharePoint Server. Si ce répertoire est supprimé ou modifié, toutes les fonctionnalités de SharePoint Server échouent. |
Tous les comptes de service SharePoint Server
Le tableau suivant montre l’autorisation du système de fichiers des comptes de service SharePoint Server :
Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
---|---|---|---|
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Modification | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si ce répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. Tous les comptes de service SharePoint Server doivent disposer d’une autorisation d’écriture sur ce répertoire. |