Compartilhar via


Permissões de conta e configurações de segurança (SharePoint Server 2010)

 

Aplica-se a: SharePoint Server 2010

Tópico modificado em: 2016-11-30

Neste artigo:

  • Sobre permissões de conta e configurações de segurança

  • Contas administrativas

  • Contas de aplicativo de serviço

  • Funções de banco de dados

  • Permissões de grupo

Este artigo descreve as permissões de conta administrativa e de serviço do Microsoft SharePoint Server 2010. Ele abrange as seguintes áreas: Microsoft SQL Server, sistema de arquivos, compartilhamentos de arquivos e entradas do registro.

Sobre permissões de conta e configurações de segurança

Muitas das configurações de segurança e permissões da conta de base do SharePoint Server 2010 são configuradas pelo Assistente de Configuração do SharePoint (Psconfig) e pelo Assistente para Criação de Farm, que são executados durante uma instalação Completa.

Contas administrativas

A maioria das permissões de contas administrativas do SharePoint Server 2010 são configuradas automaticamente durante o processo de configuração por um dos seguintes componentes do SharePoint Server 2010:

  • O Assistente de Configuração do SharePoint (Psconfig).

  • O Assistente para Criação de Farm.

  • O site da Administração Central do SharePoint.

  • O Windows PowerShell.

Conta de administrador do usuário de configuração

Esta conta é usada para instalar cada servidor do farm executando o Assistente de Configuração do SharePoint, o Assistente para Criação de Farm e o Windows PowerShell. Para os exemplos deste artigo, a conta de administrador do usuário de instalação é usada para administração do farm e pode ser gerenciada usando a Administração Central. Algumas opções de configuração exigem permissões de administração local: por exemplo, a configuração do servidor de consulta de pesquisa do SharePoint Server 2010. A conta de administrador do usuário de instalação exige as seguintes permissões:

  • Deve ter permissões de conta de usuário de domínio.

  • Ela deve ser membro do grupo de administradores locais em cada servidor do farm do SharePoint Server 2010, com exceção do SQL Server e do servidor de SMTP (Simple Mail Transfer Protocol).

  • Essa conta deve ter acesso ao bancos de dados do SharePoint Server 2010.

  • Se você usar alguma operação do Windows PowerShell que afete um banco de dados, a conta de administrador do usuário de instalação deverá ser membro da função db_owner.

  • Esta conta deve ser atribuída às funções de segurança securityadmin e dbcreator do SQL Server durante a instalação e configuração.

Observação

Durante uma atualização completa de versão a versão, as funções de segurança securityadmin e dbcreator do SQL Server podem ser necessárias para essa conta já que novos bancos de dados podem ter sido criados e estar protegidos pelos serviços.

Depois de executar os assistentes de configuração, as permissões no nível da máquina para a conta de administrador do usuário de instalação inclui:

  • Associação ao grupo de segurança WSS_ADMIN_WPG do Windows.

  • Associação à função IIS_WPG.

Depois que você executa os assistentes de configuração, as permissões de bancos de dados incluem:

  • db_owner no banco de dados de configuração do farm de servidor do SharePoint Server 2010.

  • db_owner no banco de dados de conteúdo da Administração Central do SharePoint Server 2010.

Aviso

Se a conta de administrador do usuário de instalação for removida como logon do computador de execução do SQL Server, os assistentes de configuração não serão executados corretamente. Se você executar esses assistentes usando uma conta que não tenha a associação de função SQL especial apropriada ou acesso como db_owner aos bancos de dados, os assistentes de configuração não funcionarão corretamente.

Conta de serviço do farm

A conta do farm de servidor, também chamada de conta de acesso ao banco de dados, é usada como identidade de pool de aplicativos da Administração Central, e como conta de processo do serviço de Timer do Microsoft SharePoint Foundation 2010. A conta de farm do servidor exige as seguintes permissões:

  • Deve ter permissões de conta de usuário de domínio.

Permissões adicionais são concedidas automaticamente ao farm de servidor nos servidores da Web e servidores de aplicativos que fazem parte do farm de servidor.

Depois de executar o Assistente de Configuração do SharePoint, as permissões no nível da máquina incluem:

  • Associação ao grupo de segurança do Windows Membership WSS_ADMIN_WPG para o serviço de Timer do SharePoint Foundation 2010.

  • Associação ao WSS_RESTRICTED_WPG para os pools de aplicativos de serviço de Timer e da Administração Central.

  • Associação ao WSS_WPG para o pool de aplicativos da Administração Central.

Depois de executar os assistentes de configuração, as permissões do SQL Server e do banco de dados incluem:

  • Função de servidor fixo Dbcreator.

  • Função de servidor fixo Securityadmin.

  • db_owner para todos os bancos de dados do SharePoint Server 2010.

  • Associação à função WSS_CONTENT_APPLICATION_POOLS do banco de dados de configuração do farm de servidor do SharePoint Server 2010.

  • Associação à função WSS_CONTENT_APPLICATION_POOLS do banco de dados de conteúdo do SharePoint_Admin do SharePoint Server 2010.

Conta do serviço de pesquisa do Microsoft SharePoint Foundation 2010

A conta de serviços de pesquisa do SharePoint Foundation 2010 é usada como a conta do serviço de Pesquisa do SharePoint Foundation 2010. A conta do serviço de pesquisa do SharePoint Foundation 2010 exige as seguintes configurações de permissão:

  • Esta conta deve ter permissões de conta de usuário de domínio.

A permissão de nível de máquina a seguir é configurada automaticamente: a conta do serviço de pesquisa é membro do WSS_WPG.

As permissões do SQL Server e do banco de dados a seguir são concedidas pela associação à função WSS_CONTENT_APPLICATION_POOLS no banco de dados de configuração do farm de servidores:

  • Acesso de leitura ao banco de dados de configuração de farm de servidores.

  • Acesso de leitura ao banco de dados de conteúdo do SharePoint_Admin.

  • Esta conta foi atribuída à função db_owner do banco de dados de pesquisa do SharePoint Foundation 2010.

Conta de acesso ao conteúdo de pesquisa do Microsoft SharePoint Foundation 2010

A conta de acesso a conteúdo de pesquisa do SharePoint Foundation 2010 é usada pelo serviço de Pesquisa SharePoint Foundation 2010 para rastrear o conteúdo em sites. A conta de acesso a conteúdo de pesquisa do SharePoint Foundation 2010 exige as seguintes configurações de permissão:

  • Esta conta deve ter permissões de conta de usuário de domínio.

  • Esta conta não deve ser membro do grupo de administradores do farm.

As permissões do SQL Server e do banco de dados são configuradas automaticamente:

  • Acesso de leitura ao banco de dados de configuração de farm de servidores.

  • Acesso de leitura ao banco de dados de conteúdo do SharePoint_Admin.

  • Esta conta está atribuída à função db_owner do banco de dados de pesquisa do SharePoint Foundation 2010.

Uma política de Leitura completa é criada em todos os aplicativos Web para a conta de acesso a conteúdo de pesquisa do SharePoint Foundation 2010.

Contas de aplicativos de serviço

Esta seção descreve as contas de aplicativo de serviço configuradas por padrão durante a instalação padrão.

Conta do pool de aplicativos

A conta do pool de aplicativos exige as seguintes definições de configuração de permissão:

A permissão de nível de máquina a seguir é configurada automaticamente: a conta do pool de aplicativos é membro do WSS_WPG.

As seguintes permissões do SQL Server e do bancos de dados são configuradas automaticamente:

  • As contas de pool de aplicativos para aplicativos Web são atribuídas à função db_owner dos bancos de dados de conteúdo.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de configuração do farm.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de conteúdo SharePoint_Admin.

Conta do serviço de pesquisa do SharePoint Server

A conta de serviço de Pesquisa do SharePoint Server 2010 é usada como a conta de serviço do serviço de Pesquisa do SharePoint Server 2010. O serviço de Pesquisa do SharePoint é um Serviço do NT, usado por todos os Aplicativos de Serviço de Pesquisa. Para qualquer servidor dado, há apenas uma instância desse serviço. A conta de serviço de pesquisa do SharePoint Server 2010 exige a seguinte definição da configuração de permissão: a conta de serviço de pesquisa do SharePoint Server 2010 obtém acesso aos compartilhamentos de local de propagação em todos os servidores de consulta de pesquisa em um farm.

A permissão de nível de máquina a seguir é configurada automaticamente: a conta de serviço de pesquisa do SharePoint Server 2010 é membro da função WSS_WPG.

As permissões do SQL Server e do banco de dados são configuradas automaticamente:

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de configuração do farm.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de conteúdo SharePoint_Admin.

Conta de acesso de conteúdo padrão

A conta de acesso de conteúdo padrão é usada dentro de um aplicativo de serviço específico para rastrear o conteúdo, a menos que um método de autenticação diferente seja especificado por uma regra de rastreamento para uma URL ou um padrão de URL. Esta conta exige as seguintes configurações de permissão:

  • A conta de acesso de conteúdo padrão deve ser uma conta de usuário de domínio com acesso de leitura às fontes de conteúdo externas ou seguras que você deseja rastrear com esta conta.

  • Para sites do SharePoint Server que não fazem parte do farm de servidores, esta conta deve receber explicitamente permissões de leitura total para aplicativos Web que hospedam sites.

  • Esta conta não deve ser membro do grupo de administradores do farm.

Contas de acesso de conteúdo

As contas de acesso de conteúdo são contas configuradas para acessar conteúdo usando o recurso das regras de rastreamento da administração de Pesquisa. Esse tipo de conta é opcional e pode ser configurado quando você cria uma nota regra de rastreamento. Por exemplo, o conteúdo externo (como um compartilhamento de arquivos) talvez exija essa conta de acesso de conteúdo separada. Tal conta exige as configurações de permissão a seguir:

  • A conta de acesso de conteúdo deve ter acesso de leitura a fontes de conteúdo externas ou seguras que esta conta está configurada a acessar.

  • Para sites do SharePoint Server que não fazem parte do farm de servidores, esta conta deve receber explicitamente permissões de leitura total para aplicativos Web que hospedam sites.

Conta de serviço sem supervisão dos Serviços do Excel

A conta de serviço autônoma do Excel Services é usada pelo Excel Services para conectar-se a fontes de dados externas que exigem nome de usuário e senha baseados nos sistemas operacionais diferentes do Windows para autenticação. Se esta conta não estiver configurada, o Excel Services não tentará se conectar a esses tipos de fontes de dados. Embora as credenciais de conta sejam usadas para conectar a fontes de dados de sistemas operacionais diferentes do Windows, se a conta não for membro do domínio, o Excel Services não pode acessá-la. Esta conta deve ser uma conta de usuário de domínio.

Conta de pool de aplicativos de Meus Sites

A conta do pool de aplicativos de Meus Sites deve ser uma conta de usuário de domínio. Ela não deve ser membro do grupo de administradores do farm.

A permissão de nível de máquina a seguir é configurada automaticamente: esta conta é membro da função WSS_WPG.

As permissões do SQL Server e do banco de dados são configuradas automaticamente:

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de configuração do farm.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de conteúdo SharePoint_Admin.

Outras contas de pool de aplicativos

A outra conta de pool de aplicativos deve ser uma conta de usuário de domínio. Esta conta não deve ser membro do grupo de administradores ou qualquer outro computador do farm de servidores.

A permissão de nível de máquina a seguir é configurada automaticamente: esta conta é membro da função WSS_WPG.

As permissões do SQL Server e do banco de dados são configuradas automaticamente:

  • Esta conta é atribuída à função db_owner dos bancos de dados de conteúdo.

  • Esta conta é atribuída à função db_owner dos bancos de dados de pesquisa associados ao aplicativo Web.

  • Esta conta deve ter acesso de leitura e gravação ao banco de dados de aplicativo do serviço associado.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de configuração do farm.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de conteúdo SharePoint_Admin.

Funções do banco de dados

Esta seção descreve as funções do banco de dados que são instaladas por padrão durante a instalação ou que podem ser configuradas opcionalmente.

Função de banco de dados WSS_CONTENT_APPLICATION_POOLS

A função do banco de dados WSS_CONTENT_APPLICATION_POOLS é aplicada à conta do pool de aplicativos de cada aplicativo Web registrado no SharePoint. Isso permite que os aplicativos Web façam consultas e atualizem o mapa de sites, e tenham acesso de somente leitura a outros itens no banco de dados de configuração. A Instalação atribui a função WSS_CONTENT_APPLICATION_POOLS aos seguintes bancos de dados:

  • Banco de dados do SharePoint_Config (banco de dados de configuração).

  • Banco de dados do SharePoint_AdminContent.

Os membros da função WSS_CONTENT_APPLICATION_POOLS recebem permissão de execução de um subconjunto do banco de dados. Além disso, os membros desta função recebem permissão de seleção da tabela de Versões (dbo.Versions) no banco de dados do SharePoint_AdminContent. Para outros bancos de dados, a ferramenta de planejamento de contas indica que o acesso de leitura desses bancos de dados é configurado automaticamente. Em alguns casos, o acesso limitado de gravação para bancos de dados também é configurado automaticamente. Para oferecer este acesso, as permissões de processos armazenados são configuradas. Para o banco de dados do SharePoint_Config, por exemplo, o acesso aos seguintes procedimentos armazenados é configurado automaticamente:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

Função do banco de dados WSS_SHELL_ACCESS

A função WSS_SHELL_ACCESS no banco de dados de configuração substitui a necessidade de adicionar uma conta de administração como um db_owner no banco de dados de configuração. Por padrão, a conta de configuração é atribuída à função do banco de dados WSS_SHELL_ACCESS. A associação a essa função é concedida e removida usando um comando do Windows PowerShell. A Instalação designa a função WSS_SHELL_ACCESS aos seguintes bancos de dados:

  • Banco de dados do SharePoint_Config (banco de dados de configuração).

  • Um ou mais bancos de dados de conteúdo do SharePoint. Isso pode ser configurado usando o comando do Windows PowerShell que gerencia a associação, e o objeto atribuído a essa função.

É concedida aos membros da função WSS_SHELL_ACCESS permissão de execução para todos os procedimentos armazenados do banco de dados. Além disso, eles recebem permissões de leitura e gravação para todas as tabelas do banco de dados.

Permissões de grupo

Esta seção descreve permissões de grupos criadas pelas ferramentas de instalação e configuração do SharePoint Server 2010.

WSS_ADMIN_WPG

A função WSS_ADMIN_WPG tem acesso de leitura e gravação a recursos locais. As contas de pool de aplicativos dos serviços de Administração Central e de Timer estão na função WSS_ADMIN_WPG. A tabela a seguir apresenta as permissões da entrada de registro de WSS_ADMIN_WPG.

Nome da chave Permissões Herdar Descrição

HKEY_CLASSES_ROOT\APPID\{58F1D482-A132-4297-9B8A-F8E4E600CDF6}

Controle total

N/A

Este é o aplicativo COM do serviço de Pesquisa do SharePoint Server 2010.

HKEY_CLASSES_ROOT\APPID\{6002D29F-1366-4523-88C1-56D59BFEF8CB}

Controle total

N/A

Este é o aplicativo COM do serviço de Pesquisa do SharePoint Foundation 2010.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS

Controle total

N/A

N/A

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\14.0\Registration\{90120000-110D-0000-0000-0000000FF1CE}

Leitura, gravação

N/A

N/A

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server

Leitura

Não

Esta chave é a raiz da árvore de configurações do registro do SharePoint Server 2010. Se ela for alterada, a funcionalidade do SharePoint Server 2010 falhará.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0

Controle total

Não

Essa chave é a raiz das configurações de Registro do SharePoint Server 2010.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

Leitura, gravação

Não

Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

Leitura, gravação

Não

Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search

Controle total

N/A

N/A

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Search

Controle total

N/A

N/A

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Controle total

Não

Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se a chave for alterada, a instalação do SharePoint Server não funcionará.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Controle total

Sim

Essa chave contém configurações usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões do sistema de arquivos da função WSS_ADMIN_WPG.

Caminho do sistema de arquivos Permissões Herdar Descrição

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Controle total

Não

Esse diretório contém o cache do sistema de arquivos da configuração do farm. Os processos podem não ser iniciados e as ações administrativas poderão falhar se esse diretório for alterado ou excluído.

C:\Inetpub\wwwroot\wss

Controle total

Não

Este diretório (ou o diretório correspondente subordinado à raiz Inetpub do servidor) é usado como local padrão dos sites do IIS. Os sites do SharePoint não ficarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que os caminhos personalizados do site do IIS sejam fornecidos para todos os sites do IIS estendidos com o SharePoint Server.

%ProgramFiles%\Microsoft Office Servers\14.0

Controle total

Não

Este diretório é o local de instalação dos binários e dados do SharePoint Server 2010. O diretório pode ser alterado durante a instalação. Toda a funcionalidade do SharePoint Server 2010 falhará se esse diretório for removido, alterado ou movido depois da instalação. A associação ao grupo de segurança WSS_ADMIN_WPG do Windows é exigida para que alguns serviços do SharePoint Server 2010 possam armazenar dados no disco.

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices

Leitura, gravação

Não

Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Os recursos do SharePoint Server 2010 que dependem desses serviços falharão se esse diretório for removido ou alterado.

%ProgramFiles%\Microsoft Office Servers\14.0\Data

Controle total

Não

Este diretório é o local raiz onde os dados locais são armazenados, inclusive os índices de pesquisa. A funcionalidade de pesquisa falhará se ele for removido ou alterado. São exigidas permissões do grupo de segurança WSS_ADMIN_WPG do Windows para habilitar a pesquisa a salvar e proteger dados nesta pasta.

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

Controle total

Sim

Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. A funcionalidade de log não funcionará adequadamente se esse diretório for removido ou alterado.

%ProgramFiles%\Microsoft Office Servers\14.0\Data\Office Server

Controle total

Sim

O mesmo que a pasta pai.

%windir%\System32\drivers\etc\HOSTS

Leitura, gravação

N/A

N/A

%windir%\Tasks

Controle total

N/A

N/A

%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\14

Modificar

Sim

Este diretório é o diretório de instalação dos arquivos centrais do SharePoint Server. Se a lista de controle de acesso (ACL) for modificada, a ativação de recursos, a implementação de soluções e outros recursos não funcionarão corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Controle total

Sim

Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Controle total

Sim

Esse diretório contém arquivos usados para estender sites do IIS com o SharePoint Server. Se o diretório ou seu conteúdo forem alterados, o provisionamento de aplicativos Web não funcionará corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Controle total

Não

Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\Data

Controle total

Sim

N/A

%windir%\temp

Controle total

Sim

Esse diretório é usado pelos componentes de plataforma dos quais depende o SharePoint Server. Se a ACL for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.

%windir%\System32\logfiles\SharePoint

Controle total

Não

Esse diretório é usado pelo log de utilização do SharePoint Server. Se ele for modificado, o log de utilização não funcionará corretamente.

A pasta %systemdrive\arquivos de programas\Microsoft Office Servers\14 nos servidores de Índices

Controle total

N/A

Esta permissão é concedida a uma pasta %systemdrive\arquivos de programas\Microsoft Office Servers\14 dos servidores de Índice.

WSS_WPG

A função WSS_WPG tem acesso de leitura aos recursos locais. Todas as contas de pool de aplicativos e de serviços estão na WSS_WPG. A tabela a seguir mostra as permissões da entrada de registro do WSS_WPG.

Nome da chave Permissões Herdar Descrição

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0

Leitura

Não

Essa chave é a raiz das configurações de Registro do SharePoint Server 2010.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Diagnostics

Leitura, gravação

Não

Esta chave contém as configurações do log de diagnóstico do SharePoint Server 2010. A alteração desta chave destruirá a funcionalidade de log.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

Leitura, gravação

Não

Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

Leitura, gravação

Não

Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Leitura

Não

Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se a chave for alterada, a instalação do SharePoint Server não funcionará.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Leitura

Sim

Essa chave contém configurações usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões dos sistema de arquivos da função WSS_WPG.

Caminho do sistema de arquivos Permissões Herdar Descrição

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Leitura

Não

Esse diretório contém o cache do sistema de arquivos da configuração do farm. Os processos podem não ser iniciados e as ações administrativas poderão falhar se esse diretório for alterado ou excluído.

C:\Inetpub\wwwroot\wss

Leitura, execução

Não

Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para sites do IIS. Os sites do SharePoint ficarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que sejam fornecidos caminhos de site IIS personalizados para todos os sites IIS estendidos com o SharePoint Server.

%ProgramFiles%\Microsoft Office Servers\14.0

Leitura, execução

Não

Este diretório é o local de instalação dos binários e dados do SharePoint Server 2010. Ele pode ser alterado durante a instalação. Toda a funcionalidade do SharePoint Server 2010 falhará se ele for removido, alterado ou movido depois da instalação. Permissões de leitura e execução da WSS_WPG são exigidas para habilitar os sites IIS a carregar binários do SharePoint Server 2010.

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices

Leitura

Não

Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Os recursos do SharePoint Server 2010 que dependem desses serviços falharão se esse diretório for removido ou alterado.

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

Leitura, gravação

Sim

Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. A funcionalidade de log não funcionará adequadamente se esse diretório for removido ou alterado.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Leitura

Sim

Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Leitura

Sim

Esse diretório contém arquivos usados para estender sites do IIS com o SharePoint Server. Se o diretório ou seu conteúdo forem alterados, o provisionamento de aplicativos Web não funcionará corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Modificar

Não

Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.

%windir%\temp

Leitura

Sim

Este diretório é usado pelos componentes da plataforma da qual depende o SharePoint Server. Se a ACL for modificada, a renderização do Web Parts e outras operações de desserialização podem falhar.

%windir%\System32\logfiles\SharePoint

Leitura

Não

Esse diretório é usado pelo log de utilização do SharePoint Server. Se ele for modificado, o log de utilização não funcionará corretamente.

%systemdrive\arquivos de programas\Microsoft Office Servers\14

Leitura, execução

N/A

A permissão é concedida a uma pasta %systemdrive\arquivos de programas\Microsoft Office Servers\14 dos servidores de Índice.

Serviço local

A tabela a seguir exibe as permissões de entrada de registro do serviço local:

Nome da chave Permissões Herdar Descrição

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

Leitura

Não

Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.

A tabela a seguir exibe as permissões do sistema de arquivos do serviço local:

Caminho do sistema de arquivos Permissões Herdar Descrição

%ProgramFiles%\Microsoft Office Servers\14.0\Bin

Leitura, execução

Não

Este diretório é o local de instalação dos binários do SharePoint Server 2010. Toda a funcionalidade do SharePoint Server 2010 falhará se ele for removido ou alterado.

Sistema local

A tabela a seguir exibe as permissões de entrada do registro do sistema local:

Nome da chave Permissões Herdar Descrição

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

Leitura

Não

Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Controle total

Não

Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se a chave for alterada, a instalação do SharePoint Server não funcionará.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

Controle total

Não

Essa chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Controle total

Sim

Essa chave contém configurações usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir mostra as permissões do sistema de arquivos local:

Caminho do sistema de arquivos Permissões Herdar Descrição

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Controle total

Não

Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se ele for alterado ou excluído, poderão ocorrer falhas nas ações administrativas e na inicialização.

C:\Inetpub\wwwroot\wss

Controle total

Não

Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para sites do IIS. Os sites do SharePoint ficarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que sejam fornecidos caminhos de site IIS personalizados para todos os sites IIS estendidos com o SharePoint Server.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Controle total

Sim

Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Controle total

Sim

Se este diretório ou seu conteúdo forem alterados, o provisionamento do aplicativo Web não funcionará corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Controle total

Não

Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.

%windir%\temp

Controle total

Sim

Esse diretório é usado pelos componentes de plataforma dos quais depende o SharePoint Server. Se a ACL for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.

%windir%\System32\logfiles\SharePoint

Controle total

Não

Este diretório é usado para log de uso do SharePoint Server. Se for modificado, o log de uso não funcionará corretamente.

Serviço de rede

A tabela a seguir exibe as permissões de entrada de registro do serviço de rede:

Nome da chave Permissões Herdar Descrição

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search\Setup

Leitura

N/A

N/A

Administradores

A tabela a seguir exibe as permissões de entrada do registro dos administradores:

Nome da chave Permissões Herdar Descrição

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Controle total

Não

Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se a chave for alterada, a instalação do SharePoint Server não funcionará.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

Controle total

Não

Essa chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Controle total

Sim

Essa chave contém configurações usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões do sistema de arquivos dos administradores::

Caminho do sistema de arquivos Permissões Herdar Descrição

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Controle total

Não

Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se ele for alterado ou excluído, poderão ocorrer falhas nas ações administrativas e na inicialização.

C:\Inetpub\wwwroot\wss

Controle total

Não

Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para sites do IIS. Os sites do SharePoint ficarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que sejam fornecidos caminhos de site IIS personalizados para todos os sites IIS estendidos com o SharePoint Server.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Controle total

Sim

Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Controle total

Sim

Se este diretório, ou seu conteúdo, for alterado, o provisionamento do aplicativo Web não funcionará corretamente.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Controle total

Não

Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.

%windir%\temp

Controle total

Sim

Esse diretório é usado pelos componentes de plataforma dos quais depende o SharePoint Server. Se a ACL for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.

%windir%\System32\logfiles\SharePoint

Controle total

Não

Este diretório é usado para log de uso do SharePoint Server. Se for modificado, o log de uso não funcionará corretamente..

WSS_RESTRICTED_WPG

A função WSS_RESTRICTED_WPG pode ler a entrada de registro da credencial de administração do farm. Essa função é usada apenas para criptografia e descriptografia de senhas armazenadas no banco de dados de configuração. A tabela a seguir exibe as permissões de entrada de registro da função WSS_RESTRICTED_WPG:

Nome da chave Permissões Herdar Descrição

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

Controle total

Não

Essa chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.

Grupo de usuários

A tabela a seguir exibe as permissões do sistema de arquivos do grupo de usuários:

Caminho do sistema de arquivos Permissões Herdar Descrição

%ProgramFiles%\Microsoft Office Servers\14.0

Leitura, execução

Não

Este diretório é o local de instalação para binários e dados do SharePoint Server 2010. Ele pode ser alterado durante a instalação. Toda a funcionalidade do SharePoint Server 2010 falhará se ele for removido, alterado ou movido depois da instalação.

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices\Root

Leitura, execução

Não

Este diretório é a raiz onde os serviços Web de raiz de back-end ficam hospedados. O único serviço inicialmente instalado neste diretório é um serviço de administração global de pesquisa. Parte da funcionalidade de administração de pesquisa específica de servidor que usa a página Configurações de Pesquisa da Administração Central não funcionará se ele for removido ou alterado.

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

Leitura, gravação

Sim

Este diretório é o local onde o log de diagnóstico do tempo de execução é gerado. O log não funcionará adequadamente se ele for removido ou alterado.

%ProgramFiles%\Microsoft Office Servers\14.0\Bin

Leitura, execução

Não

Este diretório é o local instalado dos binários do SharePoint Server 2010. Toda a funcionalidade do SharePoint Server 2010 falhará se ele for removido, alterado ou movido depois da instalação.

Todas as contas de serviço do Office SharePoint Server

A tabela a seguir exibe todas as permissões do sistema de arquivos das contas de serviço do Office SharePoint Server:

Caminho do sistema de arquivos Permissões Herdar Descrição

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Modificar

Não

Este diretório contém os logs de rastreamento de configuração e tempo de execução. Se for alterado, o log de diagnóstico não funcionará corretamente. Todas as contas de serviço do SharePoint Server devem ter permissão de gravação a este diretório.