帐户权限和安全设置 (SharePoint Server 2010)

 

适用于: SharePoint Server 2010

上一次修改主题: 2016-11-30

本文内容:

  • 关于帐户权限和安全设置

  • 管理帐户

  • 服务应用程序帐户

  • 数据库角色

  • 组权限

本文介绍 Microsoft SharePoint Server 2010 管理和服务帐户权限。它涵盖以下领域:Microsoft SQL Server、文件系统、文件共享和注册表项。

关于帐户权限和安全设置

许多 SharePoint Server 2010 基准帐户权限和安全设置都是通过 SharePoint 配置向导 (Psconfig) 和服务器场创建向导配置的,这两个向导在完全安装的过程中运行。

管理帐户

大多数 SharePoint Server 2010 管理帐户权限是在安装过程中由以下 SharePoint Server 2010 组件之一自动配置的:

  • SharePoint 配置向导 (Psconfig)。

  • 服务器场创建向导。

  • SharePoint 管理中心网站。

  • Windows PowerShell。

安装程序用户管理员帐户

此帐户用于在服务器场中设置每台服务器,方法是运行 SharePoint 配置向导、初始服务器场创建向导和 Windows PowerShell。对于本文中的示例,安装程序用户管理员帐户用于服务器场管理,并且可以使用管理中心来管理该帐户。某些配置选项(例如,配置 SharePoint Server 2010 搜索查询服务器)需要本地管理权限。安装程序用户管理员帐户需要以下权限:

  • 它必须具有域用户帐户权限。

  • 它必须是 SharePoint Server 2010 服务器场中每台服务器(不包括 SQL Server 和简单邮件传输协议 (SMTP) 服务器)上本地 Administrators 组的成员。

  • 此帐户必须对 SharePoint Server 2010 数据库具有访问权限。

  • 如果使用会影响数据库的任何 Windows PowerShell 操作,则安装程序用户管理员帐户必须是 db_owner 角色的成员。

  • 在安装和配置的过程中必须为此帐户分配 securityadmin 和 dbcreator SQL Server 安全角色。

备注

在运行完整的版本到版本升级时,此帐户可能需要 securityadmin 和 dbcreator SQL Server 安全角色,因为可能必须创建新数据库并保护其服务安全。

运行配置向导后,安装程序用户管理员帐户的计算机级别权限包括:

  • WSS_ADMIN_WPG Windows 安全组的成员资格。

  • IIS_WPG 角色的成员资格。

运行配置向导后,数据库权限包括:

  • SharePoint Server 2010 服务器场配置数据库上的 db_owner。

  • SharePoint Server 2010 管理中心内容数据库上的 db_owner。

警告

如果从运行 SQL Server 的计算机中将安装程序用户管理员帐户作为登录名删除,则配置向导将无法正常运行。如果运行配置向导时使用的帐户没有适当的特殊 SQL 角色成员资格,或作为数据库上的 db_owner 进行访问,则配置向导将无法正常运行。

服务器场服务帐户

服务器场帐户也称为数据库访问帐户,并且用作管理中心的应用程序池标识,以及 Microsoft SharePoint Foundation 2010 定时服务的进程帐户。服务器场帐户需要以下权限:

  • 它必须具有域用户帐户权限。

在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为服务器场帐户授予其他权限。

运行 SharePoint 配置向导后,计算机级别权限包括:

  • SharePoint Foundation 2010 定时服务的 WSS_ADMIN_WPG Windows 安全组的成员资格。

  • 管理中心应用程序池和定时服务应用程序池的 WSS_RESTRICTED_WPG 的成员资格。

  • 管理中心应用程序池的 WSS_WPG 的成员资格。

运行配置向导后,SQL Server 和数据库权限包括:

  • Dbcreator 固定服务器角色。

  • Securityadmin 固定服务器角色。

  • 所有 SharePoint Server 2010 数据库的 db_owner。

  • SharePoint Server 2010 服务器场配置数据库的 WSS_CONTENT_APPLICATION_POOLS 角色的成员资格。

  • SharePoint Server 2010 SharePoint_Admin 内容数据库的 WSS_CONTENT_APPLICATION_POOLS 角色的成员资格。

Microsoft SharePoint Foundation 2010 搜索服务帐户

SharePoint Foundation 2010 搜索服务帐户用作 SharePoint Foundation 2010 搜索服务的服务帐户。SharePoint Foundation 2010 搜索服务帐户需要以下权限配置设置:

  • 此帐户必须具有域用户帐户权限。

将自动配置以下计算机级别权限:搜索服务帐户是 WSS_WPG 角色的成员。

以下 SQL Server 和数据库权限由服务器场配置数据库中的 WSS_CONTENT_APPLICATION_POOLS 角色的成员资格授予:

  • 对服务器场配置数据库的读取权限。

  • 对 SharePoint_Admin 内容数据库的读取权限。

  • 为此帐户分配 SharePoint Foundation 2010 搜索数据库的 db_owner 角色。

Microsoft SharePoint Foundation 2010 搜索内容访问帐户

SharePoint Foundation 2010 搜索服务使用 SharePoint Foundation 2010 搜索内容访问帐户对跨网站的内容进行爬网。SharePoint Foundation 2010 搜索内容访问帐户需要以下权限配置设置:

  • 此帐户必须具有域用户帐户权限。

  • 此帐户不得是 Farm Administrators 组的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 对服务器场配置数据库的读取权限。

  • 对 SharePoint_Admin 内容数据库的读取权限。

  • 为此帐户分配 SharePoint Foundation 2010 搜索数据库的 db_owner 角色。

针对所有 Web 应用程序创建 SharePoint Foundation 2010 搜索内容访问帐户的完全读取策略。

服务应用程序帐户

本节介绍安装过程中默认设置的服务应用程序帐户。

应用程序池帐户

应用程序池帐户用于应用程序池标识。应用程序池帐户需要以下权限配置设置:

将自动配置以下计算机级别权限:应用程序池帐户是 WSS_WPG 的成员。

将自动为此帐户配置以下 SQL Server 和数据库权限:

  • 将为 Web 应用程序的应用程序池帐户分配内容数据库的 db_owner 角色。

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

SharePoint Server 搜索服务帐户

SharePoint Server 2010 搜索服务帐户用作 SharePoint Server 2010 搜索服务的服务帐户。SharePoint Server 搜索服务是由所有搜索服务应用程序使用的 NT 服务。对于任何给定的服务器,都只有此服务的一个实例。SharePoint Server 2010 搜索服务帐户需要以下权限配置设置:将为 SharePoint Server 2010 搜索服务帐户授予访问服务器场中所有搜索查询服务器上的一个或多个传播位置共享的权限。

将自动配置以下计算机级别权限:SharePoint Server 2010 搜索服务帐户是 WSS_WPG 的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

默认内容访问帐户

默认内容访问帐户用于在特定服务应用程序内对内容进行爬网(除非爬网规则针对 URL 或 URL 模式指定了不同的身份验证方法)。此帐户需要以下权限配置设置:

  • 默认内容访问帐户必须是域用户帐户,并且对您想要使用此帐户进行爬网的外部或安全内容源必须具有读取权限。

  • 对于不属于服务器场的 SharePoint Server 网站,必须为此帐户明确授予对承载网站的 Web 应用程序的完全读取权限。

  • 此帐户不得是 Farm Administrators 组的成员。

内容访问帐户

内容访问帐户是配置为通过使用搜索管理爬网规则功能访问内容的帐户。此类型的帐户是可选的,并且可在创建新爬网规则时配置。例如,外部内容(例如文件共享)可能需要这个单独的内容访问帐户。此帐户需要以下权限配置设置:

  • 内容访问帐户必须对它被配置为进行访问的外部或安全内容源具有读取权限。

  • 对于不属于服务器场的 SharePoint Server 网站,必须为此帐户明确授予对承载网站的 Web 应用程序的完全读取权限。

Excel Services 无人参与服务帐户

Excel Services 使用 Excel Services 无人参与服务帐户来连接到需要用户名和密码(基于 Windows 以外的操作系统)进行身份验证的外部数据源。如果未配置此帐户,Excel Services 将不会尝试连接到这些类型的数据源。尽管帐户凭据用于连接到 Windows 以外的操作系统的数据源,如果帐户不是域的成员,那么 Excel Services 将无法访问它。此帐户必须是域用户帐户。

“我的网站”应用程序池帐户

“我的网站”应用程序池帐户必须是域用户帐户。此帐户不得是 Farm Administrators 组的成员。

将自动配置以下计算机级别权限:此帐户是 WSS_WPG 的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

其他应用程序池帐户

其他应用程序池帐户必须是域用户帐户。此帐户不得是服务器场中任何计算机上的 Administrators 组的成员。

将自动配置以下计算机级别权限:此帐户是 WSS_WPG 的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 将为此帐户分配内容数据库的 db_owner 角色。

  • 将为此帐户分配与 Web 应用程序关联的搜索数据库的 db_owner 角色。

  • 此帐户对关联的服务应用程序数据库必须具有读写访问权限。

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

数据库角色

本节介绍安装过程中默认设置的数据库角色或可选择配置的数据库角色。

WSS_CONTENT_APPLICATION_POOLS 数据库角色

WSS_CONTENT_APPLICATION_POOLS 数据库角色适用于 SharePoint 中注册的每个 Web 应用程序的应用程序池帐户。这使得 Web 应用程序能够查询和更新站点地图,并且能够对配置数据库中的其他项目进行只读访问。安装程序将为以下数据库分配 WSS_CONTENT_APPLICATION_POOLS 角色:

  • SharePoint_Config 数据库(配置数据库)。

  • SharePoint_AdminContent 数据库。

WSS_CONTENT_APPLICATION_POOLS 角色的成员将被授予对数据库的部分存储过程的执行权限。此外,将为此角色的成员授予对 SharePoint_AdminContent 数据库中的 Versions 表 (dbo.Versions) 的选择权限。对于其他数据库,帐户规划工具会指出读取这些数据库的访问权限是自动配置的。在某些情况下,还会自动配置写入数据库的有限的访问权限。若要提供此访问权限,请配置对存储过程的权限。例如,对于 SharePoint_Config 数据库,会自动配置对以下存储过程的访问权限:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

WSS_SHELL_ACCESS 数据库角色

配置数据库上有了安全 WSS_SHELL_ACCESS 数据库角色,就无需将管理帐户添加为配置数据库上的 db_owner。默认情况下,会为安装程序帐户分配 WSS_SHELL_ACCESS 数据库角色。此角色的成员资格是通过使用 Windows PowerShell 命令授予和移除的。安装程序将 WSS_SHELL_ACCESS 角色分配给以下数据库:

  • SharePoint_Config 数据库(配置数据库)。

  • 一个或多个 SharePoint 内容数据库。这可以通过使用管理成员资格和分配给此角色的对象的 Windows PowerShell 命令进行配置。

WSS_SHELL_ACCESS 角色的成员获授予对数据库的所有存储过程的执行权限。此外,此角色的成员获授予对所有数据库表的读写权限。

组权限

本节介绍 SharePoint Server 2010 安装和配置工具创建的组的权限。

WSS_ADMIN_WPG

WSS_ADMIN_WPG 具有对本地资源的读写访问权限。管理中心和定时服务的应用程序池帐户位于 WSS_ADMIN_WPG 中。下表显示 WSS_ADMIN_WPG 注册表项权限。

项名称 权限 继承 说明

HKEY_CLASSES_ROOT\APPID\{58F1D482-A132-4297-9B8A-F8E4E600CDF6}

完全控制

不适用

这是 SharePoint Server 2010 搜索服务 COM 应用程序。

HKEY_CLASSES_ROOT\APPID\{6002D29F-1366-4523-88C1-56D59BFEF8CB}

完全控制

不适用

这是 SharePoint Foundation 2010 搜索服务 COM 应用程序。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS

完全控制

不适用

不适用

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\14.0\Registration\{90120000-110D-0000-0000-0000000FF1CE}

读取、写入

不适用

不适用

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server

读取

此项是 SharePoint Server 2010 注册表设置树的根。如果更改此项,SharePoint Server 2010 功能将失败。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0

完全控制

此项是 SharePoint Server 2010 注册表设置的根。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

读取、写入

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

读取、写入

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search

完全控制

不适用

不适用

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Search

完全控制

不适用

不适用

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

完全控制

此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 SharePoint Server 将无法工作。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

完全控制

此项包含安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示 WSS_ADMIN_WPG 文件系统权限。

文件系统路径 权限 继承 说明

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

完全控制

此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。

C:\Inetpub\wwwroot\wss

完全控制

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。

%ProgramFiles%\Microsoft Office Servers\14.0

完全控制

此目录是 SharePoint Server 2010 二进制文件和数据的安装位置。可以在安装过程中更改此目录。如果在安装后移除或更改了此目录,所有 SharePoint Server 2010 功能将失败。某些 SharePoint Server 2010 服务需要 WSS_ADMIN_WPG Windows 安全组的成员资格。才能将数据存储在磁盘上。

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices

读取、写入

此目录是承载后端 Web 服务(例如 Excel 和搜索)的根目录。如果移除或更改此目录,依赖于这些服务的 SharePoint Server 2010 功能将失败。

%ProgramFiles%\Microsoft Office Servers\14.0\Data

完全控制

此目录是存储本地数据(包括搜索索引)的根位置。如果移除或更改此目录,搜索功能将失败。需要 WSS_ADMIN_WPG Windows 安全组权限才能使搜索在此文件夹中保存数据和保护数据安全。

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

完全控制

此目录是在其中生成运行时诊断日志记录的位置。如果移除或更改此目录,日志记录将无法正常工作。

%ProgramFiles%\Microsoft Office Servers\14.0\Data\Office Server

完全控制

与父文件夹相同。

%windir%\System32\drivers\etc\HOSTS

读取、写入

不适用

不适用

%windir%\Tasks

完全控制

不适用

不适用

%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\14

修改

此目录是核心 SharePoint Server 文件的安装目录。如果修改了访问控制列表 (ACL),功能激活、解决方案部署和其他功能将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

完全控制

此目录包含管理中心的 Soap 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

完全控制

此目录包含用于通过 SharePoint Server 扩展 IIS 网站的文件。如果更改此目录或其内容,Web 应用程序设置将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

完全控制

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\Data

完全控制

不适用

%windir%\temp

完全控制

此目录由 SharePoint Server 所依赖的平台组件使用。如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。

%windir%\System32\logfiles\SharePoint

完全控制

此目录由 SharePoint Server 使用率日志记录使用。如果修改此目录,使用率日志记录将无法正常工作。

索引服务器上的 %systemdrive\program files\Microsoft Office Servers\14 文件夹

完全控制

不适用

为索引服务器上的 %systemdrive\program files\Microsoft Office Servers\14 文件夹授予此权限。

WSS_WPG

WSS_WPG 具有对本地资源的读取访问权限。所有应用程序池和服务帐户都位于 WSS_WPG 中。下表显示 WSS_WPG 注册表项权限。

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0

读取

此项是 SharePoint Server 2010 注册表设置的根。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Diagnostics

读取、写入

此项包含用于 SharePoint Server 2010 诊断日志记录的设置。更改此项将损坏日志记录功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

读取、写入

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

读取、写入

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

读取

此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 SharePoint Server 将无法工作。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

读取

此项包含安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示 WSS_WPG 文件系统权限。

文件系统路径 权限 继承 说明

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

读取

此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。

C:\Inetpub\wwwroot\wss

读取、执行

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。

%ProgramFiles%\Microsoft Office Servers\14.0

读取、执行

此目录是 SharePoint Server 2010 二进制文件和数据的安装位置。可以在安装过程中更改此目录。如果在安装后移除、更改或移动了此目录,所有 SharePoint Server 2010 功能将失败。需要 WSS_WPG 读取和执行权限才能使 IIS 网站加载 SharePoint Server 2010 二进制文件。

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices

读取

此目录是承载后端 Web 服务(例如 Excel 和搜索)的根目录。如果移除或更改此目录,依赖于这些服务的 SharePoint Server 2010 功能将失败。

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

读取、写入

此目录是在其中生成运行时诊断日志记录的位置。如果移除或更改此目录,日志记录将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

读取

此目录包含管理中心的 Soap 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

读取

此目录包含用于通过 SharePoint Server 扩展 IIS 网站的文件。如果更改此目录或其内容,Web 应用程序设置将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

修改

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。

%windir%\temp

读取

此目录由 SharePoint Server 所依赖的平台组件使用。如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。

%windir%\System32\logfiles\SharePoint

读取

此目录由 SharePoint Server 使用率日志记录使用。如果修改此目录,使用率日志记录将无法正常工作。

%systemdrive\program files\Microsoft Office Servers\14

读取、执行

不适用

为索引服务器上的 %systemdrive\program files\Microsoft Office Servers\14 文件夹授予此权限。

本地服务

下表显示本地服务注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

读取

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

下表显示本地服务文件系统权限:

文件系统路径 权限 继承 说明

%ProgramFiles%\Microsoft Office Servers\14.0\Bin

读取、执行

此目录是 SharePoint Server 2010 二进制文件的安装位置。如果移除或更改此目录,所有 SharePoint Server 2010 功能将失败。

本地系统

下表显示本地系统注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

读取

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

完全控制

此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 SharePoint Server 将无法工作。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

完全控制

此项包含用于将机密存储在配置数据库中的加密密钥。如果更改此项,服务设置和其他功能将失败。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

完全控制

此项包含安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示本地文件系统权限:

文件系统路径 权限 继承 说明

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

完全控制

此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。

C:\Inetpub\wwwroot\wss

完全控制

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

完全控制

此目录包含管理中心的 Soap 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

完全控制

如果更改此目录或其内容,Web 应用程序设置将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

完全控制

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。

%windir%\temp

完全控制

此目录由 SharePoint Server 所依赖的平台组件使用。如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。

%windir%\System32\logfiles\SharePoint

完全控制

SharePoint Server 使用此目录进行使用率日志记录。如果修改此目录,使用率日志记录将无法正常工作。

网络服务

下表显示网络服务注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search\Setup

读取

不适用

不适用

管理员

下表显示管理员注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

完全控制

此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 SharePoint Server 将无法工作。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

完全控制

此项包含用于将机密存储在配置数据库中的加密密钥。如果更改此项,服务设置和其他功能将失败。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

完全控制

此项包含安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示管理员文件系统权限:

文件系统路径 权限 继承 说明

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

完全控制

此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。

C:\Inetpub\wwwroot\wss

完全控制

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

完全控制

此目录包含管理中心的 Soap 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

完全控制

如果更改此目录或其内容,Web 应用程序设置将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

完全控制

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。

%windir%\temp

完全控制

此目录由 SharePoint Server 所依赖的平台组件使用。如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。

%windir%\System32\logfiles\SharePoint

完全控制

SharePoint Server 使用此目录进行使用率日志记录。如果修改此目录,使用率日志记录将无法正常工作。

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG 可以读取加密的服务器场管理凭据注册表项。WSS_RESTRICTED_WPG 只用于加密和解密配置数据库中存储的密码。下表显示 WSS_RESTRICTED_WPG 注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

完全控制

此项包含用于将机密存储在配置数据库中的加密密钥。如果更改此项,服务设置和其他功能将失败。

用户组

下表显示用户组文件系统权限:

文件系统路径 权限 继承 说明

%ProgramFiles%\Microsoft Office Servers\14.0

读取、执行

此目录是 SharePoint Server 2010 二进制文件和数据的安装位置。可以在安装过程中更改此目录。如果在安装后移除、更改或移动了此目录,所有 SharePoint Server 2010 功能将失败。

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices\Root

读取、执行

此目录是承载后端根 Web 服务的根目录。最初安装于此目录中的唯一服务是搜索全局管理服务。如果移除或更改此目录,使用特定于服务器的管理中心“搜索设置”页的某些搜索管理功能将无法工作。

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

读取、写入

此目录是在其中生成运行时诊断日志记录的位置。如果移除或更改此目录,日志记录将无法正常工作。

%ProgramFiles%\Microsoft Office Servers\14.0\Bin

读取、执行

此目录是 SharePoint Server 2010 二进制文件的安装位置。如果移除或更改此目录,所有 SharePoint Server 2010 功能将失败。

所有 Office SharePoint Server 服务帐户

下表显示所有 Office SharePoint Server 服务帐户文件系统权限:

文件系统路径 权限 继承 说明

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

修改

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。所有 SharePoint Server 服务帐户对此目录都必须具有写入权限。