Partilhar via


Permissões de conta e definições de segurança no SharePoint Servers

APLICA-SE A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

Este artigo descreve as permissões de conta administrativa e de serviços do SharePoint para as seguintes áreas: Microsoft SQL Server, o sistema de arquivos, compartilhamento de arquivos e entradas de registro.

Importante

Não utilize nomes de contas de serviço que contenham o símbolo $ com a exceção de utilizar uma Conta de Serviço Gerida de Grupo para o SQL Server.

Saiba mais sobre a função de administrador do SharePoint no Microsoft 365.

Acerca das permissões de conta e das definições de segurança no SharePoint Servers

O Assistente de Configuração de Produtos do SharePoint (Psconfig) e o Assistente de Criação de Farm, ambos os quais são executados durante uma instalação completa, configuram muitas das permissões e configurações de segurança de conta básicas do SharePoint.

Recomendações da conta de serviço

As secções seguintes descrevem recomendações em contas do Serviço SharePoint.

Recomendações da conta de serviço

A Microsoft recomenda a utilização de um número mínimo de contas do Conjunto Aplicacional de Serviço no farm. Esta recomendação é reduzir a utilização da memória e aumentar o desempenho, mantendo o nível de segurança adequado.

  • Utilize uma conta elevada e pessoalmente identificável para instalação, manutenção e atualizações do SharePoint. Esta conta irá manter as funções necessárias conforme descrito na conta de Administrador do Farm do SharePoint. Cada administrador do SharePoint deve utilizar uma conta separada para que a respetiva atividade efetuada no farm seja claramente identificada.

  • Se possível, utilize um grupo de segurança, Grupos de Administradores do Farm do SharePoint, para unificar todas as contas individuais de Administrador do Farm do SharePoint e para conceder permissões conforme descrito na conta de Administrador do Farm do SharePoint. Esta utilização de um grupo de segurança simplifica significativamente a gestão das contas de Administrador do Farm do SharePoint.

  • A conta do SharePoint Farm Service só deve executar o serviço de Temporizador do SharePoint, o SharePoint Insights (se aplicável), os Conjuntos de Aplicações do IIS para Administração Central, o Sistema de Serviços Web do SharePoint (utilizado para o serviço de topologia) e SecurityTokenServiceApplicationPool (utilizado para o Serviço de Tokens de Segurança).

  • Deve ser utilizada uma única conta para todas as Aplicações de Serviço, com o nome Conta do Conjunto Aplicacional de Serviço. Esta utilização de uma única conta permite ao administrador utilizar um único Conjunto Aplicacional do IIS para todas as Aplicações de Serviço. Além disso, esta conta deve executar os seguintes Serviços Windows: Controlador de Anfitrião de Pesquisa do SharePoint, Pesquisa do SharePoint Server e Cache Distribuída (AppFabric Caching Service).

  • Deve ser utilizada uma única conta para todas as Aplicações Web, denominadas conta de conjunto de Aplicações Web. Esta utilização de uma única conta permite ao administrador utilizar um único Conjunto Aplicacional do IIS para todas as Aplicações Web, exceto a Aplicação Web de Administração Central que é executada pela conta de serviço de farm do SharePoint.

  • Com exceção das Afirmações na conta do Serviço de Tokens do Windows, nenhuma conta do Conjunto Aplicacional de Serviço deve ter acesso de Administrador Local a qualquer servidor do SharePoint, nem qualquer função elevada do SQL Server, por exemplo, a função fixa sysadmin . A conta de Administrador do Farm do SharePoint requer funções fixas de dbcreator e securityadmin , a menos que pré-aprovisione bases de dados do SharePoint e atribua manualmente permissões a cada base de dados.

  • As contas do Conjunto Aplicacional de Serviço, exceto a conta que executa o Serviço de Tokens do Windows, devem ter Negar início de sessão localmente e Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto na Política de Segurança Local\Atribuição de Direitos de Utilizador. Estes valores são definidos através de secpol.msc.

  • Utilize contas separadas para Acesso a conteúdo (Crawler de pesquisa), Superdescronizador do Portal, Superutilizador do Portal e Sincronização da Aplicação do Serviço de Perfis de Utilizador, se aplicável.

  • A conta do Serviço de Tokens do Windows afirma ser uma conta altamente privilegiada no farm. Antes de implementar este serviço, verifique se é necessário. Se necessário, utilize uma conta separada para este serviço.

Descrição geral das recomendações das contas de serviço

Nome da conta de serviço Para que serve? Quantos devem ser utilizados?
Conta de Administrador do Farm do SharePoint Conta identificativa de um administrador do SharePoint 1-n
Conta do SharePoint Farm Service Serviço de Temporizador, Informações, Aplicação IIS para AC, Sistema de Serviços Web SP, Conjunto de Aplicações do Serviço de Tokens de Segurança 1
Conta de acesso de conteúdo padrão Pesquisar origens internas e externas 1
Contas de acesso de conteúdo Pesquisar origens internas e externas 1-n
Conta do Conjunto Aplicacional Web Todas as Aplicações Web sem Administração Central 1
Conta do Conjunto Aplicacional do Serviço SharePoint Todas as Aplicações de Serviço 1
Super leitor do portal Cache de objetos 1
Superutilizador do Portal Cache de objetos 1
Sincronização da Aplicação do Serviço de Perfis de Utilizador Utilizado para Importação do Active Directory 1-n

Contas administrativas do SharePoint

Um dos seguintes componentes do SharePoint configura automaticamente a maioria das permissões de conta administrativas do SharePoint durante o processo de configuração:

  • O Assistente de Configuração de Produtos do SharePoint (Psconfig).

  • O Assistente de Configuração de Farm.

  • O site da Administração Central do SharePoint.

  • Microsoft PowerShell.

Conta de Administrador do Farm do SharePoint

Esta conta é utilizada para configurar cada servidor no farm ao executar o Assistente de Configuração de Produtos SharePoint (Psconfig), o Assistente de Configuração do Farm inicial e o PowerShell. Para os exemplos neste artigo, a conta de Administrador do Farm do SharePoint é utilizada para a administração do farm e pode utilizar a Administração Central para a gerir. Algumas opções de configuração, por exemplo, configuração do servidor de consulta de Pesquisa do SharePoint Server, requerem permissões de administração local. A conta de Administrador do Farm do SharePoint tem os seguintes requisitos:

  • Ela deve ter permissões de conta de usuário de domínio.

  • Tem de ser um membro do grupo administradores local em cada servidor no farm do SharePoint.

  • Essa conta deve ter acesso aos bancos de dados do SharePoint.

  • Se utilizar quaisquer operações do PowerShell que afetem uma base de dados, a conta de Administrador do Farm do SharePoint tem de ser membro da função db_owner .

  • Essa conta deve ser atribuída às funções de segurança securityadmin e dbcreatorSQL Server durante a instalação e configuração.

Observação

As funções de segurança securityadmin e dbcreatorSQL Server podem ser necessárias nessa conta durante uma atualização completa de versão para versão, pois os novos bancos de dados podem ter sido criados e estar protegidos pelos serviços.

Depois de executar os assistentes de configuração, as permissões ao nível do computador para a conta de Administrador do Farm do SharePoint incluem:

  • Associação no WSS_ADMIN_WPG grupo de segurança do Windows.

Depois de executar os assistentes de configuração, as permissões de bancos de dados incluem:

  • db_owner no banco de dados de configuração de farm do servidor do SharePoint.

  • db_owner no banco de dados de conteúdo da Administração Central do SharePoint.

Cuidado

Se a conta que utiliza para executar os assistentes de configuração não tiver a associação ou acesso à função especial do SQL Server adequado como db_owner nas bases de dados, os assistentes de configuração não serão executados corretamente.

Conta do SharePoint Farm Service

A conta de serviço do Farm do SharePoint, também conhecida como conta de acesso à base de dados, é utilizada como a identidade do conjunto aplicacional para a Administração Central e como a conta de processo do Serviço de Temporizador do SharePoint. A conta do farm de servidores tem o seguinte requisito:

  • Ela deve ter permissões de conta de usuário de domínio.

São concedidas automaticamente permissões adicionais à conta do SharePoint Farm Service em servidores do SharePoint que estão associados a um farm de servidores.

Após a execução da Configuração, as permissões no nível da máquina incluirão:

  • Associação no WSS_ADMIN_WPG grupo de segurança do Windows para o Serviço de Temporizador do SharePoint.

  • Associação no WSS_RESTRICTED_WPG para os conjuntos aplicacionais da Administração Central e do Serviço de Temporizador.

  • Associação no WSS_WPG para o conjunto aplicacional da Administração Central.

Depois de executar os assistentes de configuração, as permissões do SQL Server e do banco de dados incluem:

  • A função de servidor fixa Dbcreator.

  • A função de servidor fixa Securityadmin.

  • db_owner para todos os bancos de dados do SharePoint.

  • Associação na função de WSS_CONTENT_APPLICATION_POOLS para a base de dados de configuração do farm de servidores do SharePoint.

  • Associação à função de WSS_CONTENT_APPLICATION_POOLS da base de dados de conteúdos SharePoint_Admin.

Contas do Conjunto Aplicacional do SharePoint

Esta secção descreve as contas do Conjunto Aplicacional do SharePoint que estão configuradas por predefinição durante a instalação.

Conta de acesso de conteúdo padrão

A conta de acesso de conteúdo padrão é usada dentro de um aplicativo de serviço específico para rastrear o conteúdo, a menos que um método de autenticação diferente seja especificado por uma regra de rastreamento de uma URL ou um padrão de URL. Esta conta exige as seguintes configurações de permissão:

  • A conta de acesso a conteúdos predefinida tem de ser uma conta de utilizador de domínio que tenha acesso de leitura a origens de conteúdo externas ou seguras que pretende pesquisar com esta conta.

  • Para sites do SharePoint Server que não fazem parte do farm de servidores, tem de conceder explicitamente a esta conta permissão de leitura completa às Aplicações Web que alojam os sites.

  • Esta conta não deve ser membro do grupo de administradores do farm.

Contas de acesso de conteúdo

As contas de acesso são configuradas para acessar conteúdo usando o recurso das regras de rastreamento da administração de Pesquisa. Esse tipo de conta é opcional e pode ser configurada ao criar uma nota regra de rastreamento. Por exemplo, o conteúdo externo (como um compartilhamento de arquivos) talvez exija essa conta de acesso de conteúdo separada. Tal conta exige as configurações de permissão a seguir:

  • A conta de acesso a conteúdos tem de ter acesso de leitura a origens de conteúdo externas ou seguras às quais esta conta está configurada para aceder.

  • Para sites do SharePoint Server que não fazem parte do farm de servidores, tem de conceder explicitamente a esta conta permissão de leitura completa às Aplicações Web que alojam os sites.

Conta do Conjunto Aplicacional Web

A conta do Conjunto Aplicacional Web tem de ser uma conta de utilizador de domínio. Esta conta não deve ser membro do grupo de administradores do farm.

Esta conta deve ser utilizada para todas as Aplicações Web sem Administração Central.

A seguinte permissão ao nível do computador é configurada automaticamente:

  • Esta conta é um membro do WSS_WPG.

As permissões do SQL Server e do banco de dados a seguir são configuradas automaticamente:

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS que está associada à base de dados de configuração do farm.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS que está associada à base de dados de conteúdos do Administrador do SharePoint.

  • As contas do conjunto aplicacional para Aplicações Web são atribuídas à função SPDataAccess para as bases de dados de conteúdos.

Conta do Conjunto Aplicacional do Serviço SharePoint

A conta do Conjunto Aplicacional do Serviço SharePoint tem de ser uma conta de utilizador de domínio. Esta conta não deve ser membro do grupo de administradores ou qualquer outro computador do farm de servidores.

A seguinte permissão ao nível do computador é configurada automaticamente:

  • Esta conta é um membro do WSS_WPG.

Os seguintes requisitos/permissões do SQL Server e da base de dados são configurados automaticamente:

  • Esta conta é atribuída à função SPDataAccess para as bases de dados de conteúdos.

  • Esta conta é atribuída à função SPDataAccess para uma base de dados de pesquisa associada à Aplicação Web.

  • Esta conta tem de ter acesso de leitura e escrita à base de dados da aplicação de serviço associada.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS que está associada à base de dados de configuração do farm.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS que está associada à base de dados de conteúdos SharePoint_Admin.

Funções de banco de dados do SharePoint

Esta seção descreve as funções do banco de dados que a instalação configura como padrão ou que podem ser configuradas opcionalmente.

Função de banco de dados WSS_CONTENT_APPLICATION_POOLS

A função de base de dados WSS_CONTENT_APPLICATION_POOLS aplica-se à conta do conjunto aplicacional para cada Aplicação Web registada num farm do SharePoint. Esta aplicabilidade de função permite que as Aplicações Web consultem e atualizem o mapa do site e tenham acesso só de leitura a outros itens na base de dados de configuração. A configuração atribui a função de WSS_CONTENT_APPLICATION_POOLS às seguintes bases de dados:

  • A base de dados de Configuração do SharePoint (a base de dados de configuração)

  • A base de dados de Conteúdo de Administrador do SharePoint

Os membros da função WSS_CONTENT_APPLICATION_POOLS têm a permissão de execução para um subconjunto dos procedimentos armazenados para a base de dados. Além disso, os membros desta função têm a permissão selecionar para a tabela Versões (dbo. Versões) na base de dados SharePoint_AdminContent. Para outros bancos de dados, a ferramenta de planejamento de contas indica que o acesso de leitura desses bancos de dados é configurado automaticamente. Em alguns casos, o acesso limitado de gravação para bancos de dados também é configurado automaticamente. Para oferecer este acesso, as permissões de processos armazenados são configuradas.

SharePoint_SHELL_ACCESS função de base de dados

A função de base de dados de SharePoint_SHELL_ACCESS segura na base de dados de configuração substitui a necessidade de adicionar uma conta de administração como db_owner na base de dados de configuração. Por predefinição, a conta de configuração é atribuída à função de base de dados SharePoint_SHELL_ACCESS . Você pode usar o comando PowerShell para conceder ou remover associações a essa função. A configuração atribui a função de SharePoint_SHELL_ACCESS às seguintes bases de dados:

  • Banco de dados do SharePoint_Config (banco de dados de configuração).

  • Um ou mais bancos de dados de conteúdo do SharePoint. Esta base de dados é configurável com o comando do PowerShell que gere a associação e o objeto atribuído a esta função.

Os membros da função SharePoint_SHELL_ACCESS têm a permissão de execução para todos os procedimentos armazenados para a base de dados. Além disso, os membros desta função têm as permissões de leitura e escrita em todas as tabelas de bases de dados.

Função de base de dados SPREADONLY

A função SPREADONLY deve ser utilizada para definir a base de dados para o modo só de leitura em vez de utilizar sp_dboption. Esta função, tal como o nome sugere, deve ser utilizada quando apenas é necessário acesso de leitura para dados de utilização e telemetria.

Observação

O procedimento armazenado sp_dboption não está disponível no SQL Server 2012. Para obter mais informações sobre sp_dboption, veja sp_dboption (Transact-SQL).

A função SPREADONLY SQL terá as seguintes permissões:

  • Concede SELECT em todos os procedimentos e funções armazenados do SharePoint.

  • Concede SELECT em todas as tabelas do SharePoint.

  • Conceda EXECUTE em tipos definidos pelo utilizador em que o esquema é dbo.

Função de base de dados SPDataAccess

A função SPDataAccess é a função predefinida para o acesso à base de dados e deve ser utilizada para todo o acesso ao nível do modelo de objeto às bases de dados. Adicione a conta do conjunto aplicacional a esta função durante atualizações ou novas implementações.

Observação

A função SPDataAccess substituiu a função db_owner no SharePoint Server 2016.

A função SPDataAccess terá as seguintes permissões:

  • Concede EXECUTE ou SELECT em todos os procedimentos e funções armazenados do SharePoint.

  • Concede SELECT em todas as tabelas do SharePoint.

  • Conceda EXECUTE em tipos definidos pelo utilizador em que o esquema é dbo.

  • Concede INSERT na tabela AllUserDataJunctions.

  • Concede UPDATE em exibições de site.

  • Concede UPDATE na exibição UserData.

  • Concede UPDATE na tabela AllUserData.

  • Concede INSERT e DELETE nas tabelas NameValuePair.

  • Concede permissão para criação de tabelas.

Permissões de grupo

Esta secção descreve as permissões dos grupos criados pelas ferramentas de configuração e configuração do SharePoint Servers 2016 e 2019.

WSS_ADMIN_WPG

WSS_ADMIN_WPG tem acesso de leitura e escrita aos recursos locais. As contas do conjunto aplicacional para os serviços de Administração Central e Temporizador estão em WSS_ADMIN_WPG. A tabela seguinte mostra as permissões de entrada do registo WSS_ADMIN_WPG :

Observação

O SharePoint 2013 utiliza o caminho de registo "15.0" em vez de "16.0" e o caminho do sistema de ficheiros "15" em vez de "16". Alguns caminhos listados nas tabelas subsequentes não se aplicam ao SharePoint Foundation 2013.

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS Controle total Não aplicável Não aplicável
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} Leitura, gravação Não aplicável Não aplicável
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server Leitura Não Esta chave é a raiz da árvore de definições do registo do SharePoint Server. Se esta chave for alterada, a funcionalidade do SharePoint Server falhará.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 Controle total Não Essa chave é a raiz das configurações de Registro do SharePoint Server 2016.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings Leitura, gravação Não Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings Leitura, gravação Não Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search Controle total Não aplicável Não aplicável
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search Controle total Não aplicável Não aplicável
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Controle total Não Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se esta chave for alterada, a instalação do SharePoint Server no computador não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Controle total Sim Essa chave contém configurações usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões do sistema de arquivos da função WSS_ADMIN_WPG.

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint Controle total Não Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se este diretório for alterado ou eliminado, os processos poderão falhar ao iniciar e as ações administrativas poderão falhar.
C:\Inetpub\wwwroot\wss Controle total Não Este diretório (ou o diretório correspondente na raiz Inetpub no servidor) é utilizado como a localização predefinida para Sites do IIS. Se este diretório for alterado ou eliminado, os sites do SharePoint ficarão indisponíveis e as ações administrativas poderão falhar, a menos que sejam fornecidos caminhos de Web sites do IIS personalizados para todos os Sites IIS expandidos com o SharePoint Server.
%ProgramFiles%\Microsoft Office Servers\16.0 Controle total Não Este diretório é o local de instalação dos binários e dados do SharePoint Server 2016. O diretório pode ser alterado durante a instalação. Se este diretório for removido, alterado ou removido após a instalação, todas as funcionalidades do SharePoint Server falharão. A associação no grupo de segurança WSS_ADMIN_WPG Windows é necessária para que alguns serviços do SharePoint Server possam armazenar dados no disco.
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices Leitura, gravação Não Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Se este diretório for removido ou alterado, as funcionalidades do SharePoint Server que dependem destes serviços falharão.
%ProgramFiles%\Microsoft Office Servers\16.0\Data Controle total Não Este diretório é o local raiz no qual os dados locais estão armazenados, inclusive os índices de pesquisa. Se este diretório for removido ou alterado, a funcionalidade Procurar falhará. WSS_ADMIN_WPG permissões do grupo de segurança do Windows são necessárias para ativar a funcionalidade De pesquisa para guardar e proteger dados nesta pasta.
%ProgramFiles%\Microsoft Office Servers\16.0\Logs Controle total Sim Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. Se este diretório for removido ou alterado, a funcionalidade Registo não funcionará corretamente.
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server Controle total Sim O mesmo que a pasta pai.
%windir%\System32\drivers\etc\HOSTS Leitura, gravação Não aplicável Não aplicável
%windir%\Tasks Controle total Não aplicável Não aplicável
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 Modificar Sim Este diretório é o diretório de instalação dos ficheiros principais do SharePoint Server. Se a lista de controlo de acesso (ACL) for modificada, a ativação de funcionalidades, a implementação de soluções e outras funcionalidades não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Controle total Sim Esse diretório contém os serviços soap da Administração Central. Se este diretório for alterado, a criação remota de sites e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Controle total Sim Este diretório contém ficheiros utilizados para expandir Sites do IIS com o SharePoint Server. Se este diretório ou os respetivos conteúdos forem alterados, o aprovisionamento de Aplicações Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Controle total Não Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se o diretório for alterado, o registo de diagnósticos não funcionará corretamente.
%windir%\temp Controle total Sim Este diretório é utilizado por componentes da plataforma dos quais o SharePoint Server depende. Se a ACL for modificada, a composição de Peças Web e outras operações de desserialização poderão falhar.
%windir%\System32\logfiles\SharePoint Controle total Não Esse diretório é usado pelo log de utilização do SharePoint Server. Se este diretório for modificado, o registo de utilização não funcionará corretamente. Esta chave do Registro aplica-se apenas ao SharePoint Server.
Pasta %systemdrive\arquivos de programas\Microsoft Office Servers\16 nos servidores de Índice Controle total Não aplicável Essa permissão é concedida para uma pasta %systemdrive\arquivos de programas\Microsoft Office Servers\16 folder nos servidores de indexação.

WSS_WPG

WSS_WPG tem acesso de leitura aos recursos locais. Todas as contas de pool de aplicativos e de serviços estão na WSS_WPG. A tabela seguinte mostra WSS_WPG permissões de entrada de registo:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 Leitura Não Esta chave é a raiz das definições de registo do SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics Leitura, gravação Não Esta chave contém definições para o registo de diagnósticos do SharePoint Server. Se esta chave for alterada, a funcionalidade Registo irá falhar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings Leitura, gravação Não Essa chave contém configurações para o serviço de conversão de documento. Se esta chave for alterada, a funcionalidade de conversão de documentos será alterada.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings Leitura, gravação Não Essa chave contém configurações para o serviço de conversão de documento. Se esta chave for alterada, a funcionalidade de conversão de documentos será alterada.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Leitura Não Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se esta chave for alterada, a instalação do SharePoint Server 2016 no computador não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Leitura Sim Essa chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg Leitura Não Esta chave contém definições que controlam o acesso remoto ao registo.

A tabela seguinte mostra as WSS_WPG permissões do sistema de ficheiros:

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint Leitura Não Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se este diretório for alterado ou eliminado, os processos poderão falhar ao iniciar e as ações administrativas poderão falhar.
C:\Inetpub\wwwroot\wss Leitura, execução Não Este diretório (ou o diretório correspondente na raiz Inetpub no servidor) é utilizado como a localização predefinida para Sites do IIS. Se este diretório for alterado ou eliminado, os sites do SharePoint estarão indisponíveis e as ações administrativas poderão falhar, a menos que sejam fornecidos caminhos de Web sites IIS personalizados para todos os Sites IIS expandidos com o SharePoint Server.
%ProgramFiles%\Microsoft Office Servers\16.0 Leitura, execução Não Este diretório é a localização de instalação dos binários e dados do SharePoint Server. Ele pode ser alterado durante a instalação. Se este diretório for removido, alterado ou movido após a instalação, todas as funcionalidades do SharePoint Server falharão. WSS_WPG permissões de leitura e execução são necessárias para permitir que os Sites do IIS carreguem binários do SharePoint Server.
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices Leitura Não Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Se este diretório for removido ou alterado, as funcionalidades do SharePoint Server que dependem destes serviços falharão.
%ProgramFiles%\Microsoft Office Servers\16.0\Logs Leitura, gravação Sim Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. Se este diretório for removido ou alterado, a funcionalidade Registo não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Leitura Sim Esse diretório contém os serviços soap da Administração Central. Se este diretório for alterado, a criação remota de sites e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Leitura Sim Este diretório contém ficheiros utilizados para expandir Sites do IIS com o SharePoint Server. Se este diretório ou os respetivos conteúdos forem alterados, o aprovisionamento de Aplicações Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Modificar Não Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se o diretório for alterado, o registo de diagnósticos não funcionará corretamente.
%windir%\temp Leitura Sim Este diretório é utilizado por componentes da plataforma dos quais o SharePoint Server depende. Se a ACL for modificada, a composição de Peças Web e outras operações de desserialização poderão falhar.
%windir%\System32\logfiles\SharePoint Leitura Não Esse diretório é usado pelo log de utilização do SharePoint Server. Se este diretório for modificado, o registo de utilização não funcionará corretamente. A chave do registro aplica-se apenas ao SharePoint Server.
%systemdrive\arquivos de programas\Microsoft Office Servers\16 Leitura, execução Não aplicável A permissão é concedida a uma pasta %systemdrive\arquivos de programas\Microsoft Office Servers\16 dos servidores de Índice.

Serviço local

A tabela a seguir exibe as permissões de entrada de registro do serviço local:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings Leitura Não Essa chave contém configurações para o serviço de conversão de documento. Se esta chave for alterada, a funcionalidade de conversão de documentos será alterada.

A tabela a seguir exibe as permissões do sistema de arquivos do serviço local:

Caminho do sistema de arquivos Permissões Herdar Descrição
%ProgramFiles%\Microsoft Office Servers\16.0\Bin Leitura, execução Não Este diretório é a localização instalada dos binários do SharePoint Server. Se este diretório for removido ou alterado, todas as funcionalidades do SharePoint Server falharão.

Sistema local

A tabela a seguir exibe as permissões de entrada do registro do sistema local:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings Leitura Não Essa chave contém configurações para o serviço de conversão de documento. Se esta chave for alterada, a funcionalidade de conversão de documentos será alterada. Esta chave do Registro aplica-se apenas ao SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Controle total Não Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se esta chave for alterada, a instalação do SharePoint Server no computador não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin Controle total Não Essa chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Controle total Sim Essa chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir mostra as permissões do sistema de arquivos local:

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint Controle total Não Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se este diretório for alterado ou eliminado, os processos poderão falhar ao iniciar e as ações administrativas poderão falhar.
C:\Inetpub\wwwroot\wss Controle total Não Este diretório (ou o diretório correspondente na raiz Inetpub no servidor) é utilizado como a localização predefinida para Sites do IIS. Se este diretório for alterado ou eliminado, os sites do SharePoint estarão indisponíveis e as ações administrativas poderão falhar, a menos que sejam fornecidos caminhos de Web sites IIS personalizados para todos os Sites IIS expandidos com o SharePoint Server.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Controle total Sim Esse diretório contém os serviços soap da Administração Central. Se este diretório for alterado, a criação remota de sites e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Controle total Sim Este diretório contém ficheiros de configuração utilizados para aprovisionar aplicações Web e aplicações de serviço. Se este diretório ou os respetivos conteúdos forem alterados, o aprovisionamento de Aplicações Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Controle total Não Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se este diretório for alterado, o registo de diagnósticos não funcionará corretamente.
%windir%\temp Controle total Sim Este diretório é utilizado por componentes da plataforma dos quais o SharePoint Server depende. Se a ACL for modificada, a composição de Peças Web e outras operações de desserialização poderão falhar.
%windir%\System32\logfiles\SharePoint Controle total Não Este diretório é usado para log de uso do SharePoint Server. Se este diretório for modificado, o registo de utilização não funcionará corretamente. Esta chave do Registro aplica-se apenas ao SharePoint Server.

Serviço de rede

A tabela a seguir exibe as permissões de entrada de registro do serviço de rede:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup Leitura Não aplicável Não aplicável

Administradores

A tabela a seguir exibe as permissões de entrada do registro dos administradores:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Controle total Não Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se esta chave for alterada, a instalação do SharePoint Server no computador não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin Controle total Não Essa chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Controle total Sim Essa chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões do sistema de arquivos dos administradores:

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint Controle total Não Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se este diretório for alterado ou eliminado, os processos poderão falhar ao iniciar e as ações administrativas poderão falhar.
C:\Inetpub\wwwroot\wss Controle Total Não Este diretório (ou o diretório correspondente na raiz Inetpub no servidor) é utilizado como a localização predefinida para Sites do IIS. Se este diretório for alterado ou eliminado, os sites do SharePoint ficarão indisponíveis e as ações administrativas poderão falhar, a menos que sejam fornecidos caminhos de Web sites IIS personalizados para todos os Sites do IIS expandidos com o SharePoint Server.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Controle total Sim Esse diretório contém os serviços soap da Administração Central. Se este diretório for alterado, a criação remota de sites e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Controle total Sim Este diretório contém ficheiros de configuração utilizados para aprovisionar aplicações Web e aplicações de serviço. Se este diretório ou os respetivos conteúdos forem alterados, o aprovisionamento de Aplicações Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Controle total Não Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se o diretório for alterado, o registo de diagnósticos não funcionará corretamente.
%windir%\temp Controle total Sim Este diretório é utilizado por componentes da plataforma dos quais o SharePoint Server depende. Se a ACL for modificada, a composição de Peças Web e outras operações de desserialização poderão falhar.
%windir%\System32\logfiles\SharePoint Controle total Não Este diretório é usado para log de uso do SharePoint Server. Se este diretório for modificado, o registo de utilização não funcionará corretamente. Esta chave do Registro aplica-se apenas ao SharePoint Server.

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG pode ler a entrada de registo de credenciais de administração do farm encriptado. WSS_RESTRICTED_WPG só é utilizada para encriptação e desencriptação de palavras-passe armazenadas na base de dados de configuração. A tabela seguinte mostra a permissão de entrada de registo WSS_RESTRICTED_WPG :

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin Controle total Não Essa chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.

Grupo de usuários

A tabela a seguir exibe as permissões do sistema de arquivos do grupo de usuários:

Caminho do sistema de arquivos Permissões Herdar Descrição
%ProgramFiles%\Microsoft Office Servers\16.0 Leitura, execução Não Este diretório é a localização de instalação para dados e binários do SharePoint Server. Ele pode ser alterado durante a instalação. Se este diretório for removido, alterado ou movido após a instalação, todas as funcionalidades do SharePoint Server falharão.
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root Leitura, execução Não Este diretório é a raiz no qual os serviços Web de raiz de back-end ficam hospedados. O único serviço inicialmente instalado neste diretório é um serviço de administração global de pesquisa. Se este diretório for removido ou alterado, algumas funcionalidades de administração de pesquisa que utilizam a página Definições de Administração Central específicas do servidor não funcionarão.
%ProgramFiles%\Microsoft Office Servers\16.0\Logs Leitura, gravação Sim Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. Se este diretório for removido ou alterado, o Registo não funcionará corretamente.
%ProgramFiles%\Microsoft Office Servers\16.0\Bin Leitura, execução Não Este diretório é a localização instalada dos binários do SharePoint Server. Se este diretório for removido ou alterado, todas as funcionalidades do SharePoint Server falharão.

Todas as contas de serviço do SharePoint Server

A tabela seguinte mostra a permissão do sistema de ficheiros das contas de serviço do SharePoint Server:

Caminho do sistema de arquivos Permissões Herdar Descrição
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Modificar Não Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se este diretório for alterado, o registo de diagnósticos não funcionará corretamente. Todas as contas de serviço do SharePoint Server têm de ter permissão de escrita para este diretório.

Confira também

Conceitos

Instalar e configurar o SharePoint Server 2016