Plan de renforcement de la sécurité pour SharePoint ServerPlan security hardening for SharePoint Server

Résumé : Obtenir des informations sur le renforcement de la sécurité pour les rôles de serveur SharePoint Server 2013 et SharePoint Server 2016 et base de données, y compris les exigences en matière de renforcement spécifiques pour les ports, protocoles et services.Summary: Learn about security hardening for SharePoint Server 2013 and SharePoint Server 2016 and database server roles, including specific hardening requirements for ports, protocols, and services.

Captures instantanées de serveurs sécuriséesSecure server snapshots

Dans un environnement de batterie de serveurs, les serveurs ont des rôles spécifiques. Recommandations de renforcement de sécurité pour ces serveurs dépendent du rôle joué par chaque serveur. Cet article contient des instantanés sécurisés pour les deux catégories de rôles de serveur :In a server farm environment, individual servers have specific roles. Security hardening recommendations for these servers depend on the role each server plays. This article contains secure snapshots for two categories of server roles:

Les snapshots sont divisées en catégories courantes de configuration. Les caractéristiques définies pour chaque catégorie de représentent l’état de sécurité renforcée optimale pour SharePoint Server. Cet article n’inclut pas le renforcement des recommandations pour les autres logiciels dans l’environnement.The snapshots are divided into common configuration categories. The characteristics defined for each category represent the optimal hardened state for SharePoint Server. This article does not include hardening guidance for other software in the environment.

Outre le renforcement des serveurs pour des rôles spécifiques, il est important de protéger la batterie de serveurs SharePoint en plaçant un pare-feu entre les serveurs de la batterie et les requêtes externes. L'aide fournie dans cet article peut être utilisée pour configurer un pare-feu.In addition to hardening servers for specific roles, it is important to protect the SharePoint farm by placing a firewall between the farm servers and outside requests. The guidance in this article can be used to configure a firewall.

Serveurs SharePointSharePoint servers

Cette section identifie les caractéristiques de renforcement de la sécurité pour les serveurs SharePoint. Certains des conseils s’applique aux applications de service spécifique ; dans ces cas, les caractéristiques correspondantes doivent être appliqués que sur les serveurs qui exécutent les services associés aux applications de service spécifié.This section identifies hardening characteristics for SharePoint servers. Some of the guidance applies to specific service applications; in these cases, the corresponding characteristics need to be applied only on the servers that are running the services associated with the specified service applications.

CatégorieCategory CaractéristiqueCharacteristic
Services répertoriés dans le composant logiciel enfichable MMC ServicesServices listed in the Services MMC snap-in
Activez les services suivants :Enable the following services:
Service d’état de ASP.NET (si vous utilisez les Services des formulaires InfoPath ou projet serveur 2016)ASP.NET State service (if you are using InfoPath Forms Services or Project Server 2016)
Service d'état d'affichage (si vous utilisez InfoPath Forms Services)View State service (if you are using InfoPath Forms Services)
Service de publication World Wide WebWorld Wide Web Publishing Service
Assurez-vous que ces services ne sont pas désactivés :Ensure that these services are not disabled:
Revendications du service d’émissions de jeton WindowsClaims to Windows Token Service
Administration SharePointSharePoint Administration
Service du minuteur SharePointSharePoint Timer Service
Service de suivi SharePointSharePoint Tracing Service
Enregistreur VSS SharePointSharePoint VSS Writer
Assurez-vous que les services suivants ne sont pas désactivés sur les serveurs qui hébergent les rôles correspondants :Ensure that these services are not disabled on the servers that host the corresponding roles:
Service de mise en cache AppFabricAppFabric Caching Service
Hôte de code utilisateur SharePointSharePoint User Code Host
Contrôleur d'hôte de la recherche SharePointSharePoint Search Host Controller
SharePoint Server SearchSharePoint Server Search
Ports et protocolesPorts and protocols
TCP 80, TCP 443 (SSL)TCP 80, TCP 443 (SSL)
Ports personnalisés pour l'analyse de recherche, si elle est configurée (par exemple pour l'analyse d'un partage de fichiers ou d'un site web sur un port non défini par défaut)Custom ports for search crawling, if configured (such as for crawling a file share or a website on a non-default port)
Ports utilisés par le composant d'index de recherche - TCP 16500-16519 (dans la batterie de serveurs uniquement)Ports used by the search index component — TCP 16500-16519 (intra-farm only)
Ports nécessaires au service de mise en cache AppFabric - TCP 22233-22236Ports required for the AppFabric Caching Service — TCP 22233-22236
Ports nécessaires aux communications WCF (Windows Communication Foundation) - TCP 808Ports required for Windows Communication Foundation communication — TCP 808
Ports requis pour la communication entre les serveurs SharePoint et les applications de service (la valeur par défaut est HTTP) :Ports required for communication between SharePoint servers and service applications (the default is HTTP):
Liaison HTTP : TCP 32843HTTP binding: TCP 32843
Liaison HTTPS : TCP 32844HTTPS binding: TCP 32844
Liaison net.tcp : TCP 32845 (uniquement si une tierce partie a implémenté cette option pour une application de service)net.tcp binding: TCP 32845 (only if a third party has implemented this option for a service application)
Si votre environnement de réseau informatique utilise Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7 ou Windows Vista conjointement à des versions de Windows antérieures à Windows Server 2012 et Windows Vista, vous devez activer la connectivité sur les deux plages de ports suivantes :If your computer network environment uses Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7, or Windows Vista together with versions of Windows earlier than Windows Server 2012 and Windows Vista, you must enable connectivity over both the following port ranges:
Plage de port élevée : de 49152 à 65535High port range 49152 through 65535
Plage de port faible : de 1025 à 5000Low port range 1025 through 5000
Par défaut les ports pour la communication de SQL Server : TCP 1433, le port UDP 1434. Si ces ports sont bloqués sur l’ordinateur SQL Server et les bases de données sont installés sur une instance nommée, configurer un alias du client pour se connecter à l’instance nommée de SQL Server.Default ports for SQL Server communication — TCP 1433, UDP 1434. If these ports are blocked on the SQL Server computer and databases are installed on a named instance, configure a SQL Server client alias for connecting to the named instance.
Service de Code utilisateur Microsoft SharePoint Foundation (pour les solutions sandbox), TCP 32846. Ce port doit être ouvert pour les connexions sortantes sur tous les serveurs frontaux et frontal et les serveurs de Cache distribué. Ce port doit être ouvert pour les connexions entrantes sur le front-end et front-end et les serveurs de Cache distribué dans lequel ce service est activé.Microsoft SharePoint Foundation User Code Service (for sandbox solutions) — TCP 32846. This port must be open for outbound connections on all Front-end and Front-end with Distributed Cache servers. This port must be open for inbound connections on Front-end and Front-end with Distributed Cache servers where this service is turned on.
Assurez-vous que les ports restent ouverts pour les applications Web qui sont accessibles aux utilisateurs.Ensure that ports remain open for Web applications that are accessible to users.
Bloquez l'accès externe au port utilisé pour le site de l'Administration centrale.Block external access to the port that is used for the Central Administration site.
SMTP pour l’intégration de la messagerie — port TCP 25, ou un port TCP personnalisé si vous avez configuré le courrier électronique sortant pour utiliser un port non défini par défaut.SMTP for e-mail integration — TCP 25, or a custom TCP port if you've configured outbound e-mail to use a non-default port.
RegistreRegistry
Aucun conseil supplémentaireNo additional guidance
Audit et journalisationAuditing and logging
Si vous déplacez les fichiers journaux, mettez à jour les emplacements des fichiers journaux de manière appropriée. Mettez également à jour les listes de contrôle d'accès de l'annuaire.If log files are relocated, ensure that the log file locations are updated to match. Update directory access control lists (ACLs) also.
Web.configWeb.config
Appliquez les recommandations suivantes pour chaque fichier Web.config créé après l'exécution du programme d'installation :Follow these recommendations for each Web.config file that is created after you run Setup:
N'autorisez pas la compilation ou les scripts de pages de bases de données via les éléments PageParserPaths.Do not allow compilation or scripting of database pages via the PageParserPaths elements.
Assurez-vous que <SafeMode> CallStack="false" et que AllowPageLevelTrace="false".Ensure <SafeMode> CallStack="false" and AllowPageLevelTrace="false".
Assurez-vous que l'attribut MaxZoneParts de la valeur WebPartLimits est défini sur une valeur faible.Ensure that the Web Part limits around maximum controls per zone are set low.
Assurez-vous que la liste SafeControls est définie sur l'ensemble minimal de contrôles nécessaires pour vos sites.Ensure that the SafeControls list is set to the minimum set of controls needed for your sites.
Assurez-vous que votre liste Workflow SafeTypes est définie sur le niveau minimal de SafeTypes nécessaires.Ensure that your Workflow SafeTypes list is set to the minimum level of SafeTypes needed.
Assurez-vous que customErrors est activé (<customErrors mode="On"/>).Ensure that customErrors is turned on (<customErrors mode="On"/>).
Prenez en compte vos paramètres de proxy Web selon vos besoins (<system.net>/<defaultProxy>).Consider your Web proxy settings as needed (<system.net>/<defaultProxy>).
Définir la limite de Upload.aspx à la taille maximale que peut raisonnablement aux utilisateurs de télécharger. Performances peuvent être affectées par les téléchargements dépassent 100 Mo.Set the Upload.aspx limit to the highest size you reasonably expect users to upload. Performance can be affected by uploads that exceed 100 MB.

Rôle serveur de base de donnéesDatabase server role

Note

Avec l’ajout de la fonction MinRole dans SharePoint Server 2016, le concept de rôles a été modifié. Pour plus d’informations sur les rôles, consultez planification d’un déploiement de serveur MinRole dans SharePoint Server 2016.With the addition to the MinRole feature in SharePoint Server 2016, the concept of roles has changed. For information about roles, see Planning for a MinRole server deployment in SharePoint Server 2016.

La principale recommandation de SharePoint Server est pour sécuriser la communication d’entre les batteries en bloquant par défaut les ports utilisés pour la communication de SQL Server et l’établissement des ports personnalisés pour cette communication à la place. Pour plus d’informations sur la configuration des ports pour la communication de SQL Server, consultez le blocage des ports SQL Server standard, plus loin dans cet article.The primary recommendation for SharePoint Server is to secure inter-farm communication by blocking the default ports used for SQL Server communication and establishing custom ports for this communication instead. For more information about how to configure ports for SQL Server communication, see Blocking the standard SQL Server ports, later in this article.

CatégorieCategory CaractéristiqueCharacteristic
PortsPorts
Bloquez le port UDP 1434.Block UDP 1434.
Envisagez le blocage du port TCP 1433.Consider blocking TCP 1433.

Cet article ne décrit pas comment sécuriser SQL Server. Pour plus d'informations sur la façon de sécuriser SQL Server, voir Sécurisation de SQL Server (http://go.microsoft.com/fwlink/p/?LinkId=186828).This article does not describe how to secure SQL Server. For more information about how to secure SQL Server, see Securing SQL Server (http://go.microsoft.com/fwlink/p/?LinkId=186828).

Conseils spécifiques aux ports, protocoles et servicesSpecific port, protocol, and service guidance

Le reste de cet article décrit en détail les exigences en matière de renforcement spécifiques pour SharePoint Server.The rest of this article describes in greater detail the specific hardening requirements for SharePoint Server.

Dans cette section :In this section:

Blocage des ports SQL Server standardBlocking the standard SQL Server ports

Le fait que les bases de données soient installées sur une instance par défaut de SQL Server ou sur une instance nommée de SQL Server a une incidence sur les ports spécifiques utilisés pour se connecter à SQL Server. L'instance par défaut de SQL Server écoute les requêtes des clients sur le port TCP 1433, tandis qu'une instance nommée de SQL Server écoute sur un numéro de port affecté de manière aléatoire. En outre, le numéro de port d'une instance nommée peut être réaffecté si l'instance est redémarrée (à condition que le numéro de port déjà affecté soit toujours disponible).The specific ports used to connect to SQL Server are affected by whether databases are installed on a default instance of SQL Server or a named instance of SQL Server. The default instance of SQL Server listens for client requests on TCP 1433. A named instance of SQL Server listens on a randomly assigned port number. Additionally, the port number for a named instance can be reassigned if the instance is restarted (depending on whether the previously assigned port number is available).

Par défaut, les ordinateurs clients qui se connectent à SQL Server se connectent d'abord par l'intermédiaire du port TCP 1433. Si cette communication échoue, ils interrogent le service de résolution SQL Server qui écoute sur le port UDP 1434 afin de déterminer le port sur lequel l'instance de base de données est à l'écoute.By default, client computers that connect to SQL Server first connect by using TCP 1433. If this communication is unsuccessful, the client computers query the SQL Server Resolution Service that is listening on UDP 1434 to determine the port on which the database instance is listening.

Le comportement par défaut de SQL Server, qui consiste à communiquer par le biais des ports, présente plusieurs problèmes qui affectent le renforcement de la sécurité des serveurs. Tout d'abord, les ports utilisés par SQL Server sont des ports largement ouverts au public et le service de résolution SQL Server a déjà été la cible d'attaques par dépassement de mémoire tampon et d'attaques par déni de service, y compris du ver informatique « Slammer ». Même si SQL Server est mis à jour pour atténuer les problèmes de sécurité dans le service de résolution SQL Server, les ports largement ouverts au public demeurent une cible. Ensuite, si les bases de données sont installées sur une instance nommée de SQL Server, le port de communication correspondant est affecté de manière aléatoire et peut changer. Ce comportement risque d'empêcher la communication de serveur à serveur dans un environnement renforcé. La possibilité de contrôler l'ouverture et le blocage des ports TCP est essentielle pour sécuriser votre environnement.The default port-communication behavior of SQL Server introduces several issues that affect server hardening. First, the ports used by SQL Server are well-publicized ports and the SQL Server Resolution Service has been the target of buffer overrun attacks and denial-of-service attacks, including the "Slammer" worm virus. Even if SQL Server is updated to mitigate security issues in the SQL Server Resolution Service, the well-publicized ports remain a target. Second, if databases are installed on a named instance of SQL Server, the corresponding communication port is randomly assigned and can change. This behavior can potentially prevent server-to-server communication in a hardened environment. The ability to control which TCP ports are open or blocked is essential to securing your environment.

Note

Nous vous recommandons d’utiliser les ports SQL standard, mais assurez-vous que le pare-feu est configuré pour autoriser uniquement les communications avec les serveurs qui ont besoin d’accéder à du SQL Server. Les serveurs qui ne doivent pas accéder à la SQL Server doivent être bloqués à partir de la connexion à la SQL Server via le port TCP 1433 et UDP 1444.We recommend to use the standard SQL ports, but ensure the firewall is configured to only allow communication with the servers that need access to the SQL Server. Servers that don't need access to the SQL Server should be blocked from connecting to the SQL Server over TCP port 1433 and UDP port 1444.

Il existe plusieurs manières de bloquer les ports. Vous pouvez le faire à l'aide d'un pare-feu. Toutefois, à moins d'être certain qu'il n'existe aucun autre itinéraire dans le segment réseau et qu'aucun utilisateur malveillant n'a accès au segment réseau, la recommandation consiste à bloquer ces ports directement sur le serveur qui héberge SQL Server. Pour ce faire, vous pouvez utiliser le Pare-feu Windows dans le Panneau de configuration.There are several methods you can use to block ports. You can block these ports by using a firewall. However, unless you can be sure that there are no other routes into the network segment and that there are no malicious users that have access to the network segment, the recommendation is to block these ports directly on the server that hosts SQL Server. This can be accomplished by using Windows Firewall in Control Panel.

Configuration des instances de base de données SQL Server pour écouter sur un port non standardConfiguring SQL Server database instances to listen on a nonstandard port

SQL Server permet de réassigner les ports utilisés par l'instance par défaut et toute instance nommée. Dans SQL Server, vous réassignez les ports à l'aide du Gestionnaire de configuration SQL Server.SQL Server provides the ability to reassign the ports that are used by the default instance and any named instances. In SQL Server, you reassign ports by using SQL Server Configuration Manager.

Configuration des alias clients SQL ServerConfiguring SQL Server client aliases

Dans une batterie de serveurs, tous les serveurs web frontaux et les serveurs d'applications sont des ordinateurs clients SQL Server. Si vous bloquez le port UDP 1434 sur l'ordinateur SQL Server ou si vous modifiez le port par défaut de l'instance par défaut, vous devez configurer un alias client SQL Server sur tous les serveurs qui se connectent à l'ordinateur SQL Server. Dans ce scénario, l'alias client SQL Server spécifie le port TCP sur lequel l'instance nommée est à l'écoute.In a server farm, all front-end Web servers and application servers are SQL Server client computers. If you block UDP 1434 on the SQL Server computer, or you change the default port for the default instance, you must configure a SQL Server client alias on all servers that connect to the SQL Server computer. In this scenario, the SQL Server client alias specifies the TCP port that the named instance is listening on.

Pour vous connecter à une instance de SQL Server, installez les composants clients SQL Server sur l'ordinateur client, puis configurez l'alias client SQL Server à l'aide du Gestionnaire de configuration SQL Server. Pour installer les composants clients SQL Server, exécutez le programme d'installation et sélectionnez uniquement les composants clients suivants à installer :To connect to an instance of SQL Server, you install SQL Server client components on the target computer and then configure the SQL Server client alias by using SQL Server Configuration Manager. To install SQL Server client components, run Setup and select only the following client components to install:

  • Composants de connectivitéConnectivity Components

  • Outils de gestion (notamment le Gestionnaire de configuration SQL Server)Management Tools (includes SQL Server Configuration Manager)

Pour renforcement spécifiques pour le blocage des ports SQL Server standard, consultez sécurité de SQL Server Configuration de SharePoint Server.For specific hardening steps for blocking the standard SQL Server ports, see Configure SQL Server security for SharePoint Server.

Communication d'application de serviceService application communication

Par défaut, la communication entre les serveurs SharePoint et les applications de service dans une batterie de serveurs s’effectue à l’aide de HTTP avec une liaison TCP 32843. Lorsque vous publiez une application de service, vous pouvez sélectionner HTTP ou HTTPS avec les liaisons suivantes :By default, communication between SharePoint servers and service applications within a farm takes place by using HTTP with a binding to TCP 32843. When you publish a service application, you can select either HTTP or HTTPS with the following bindings:

  • Liaison HTTP : TCP 32843HTTP binding: TCP 32843

  • Liaison HTTPS : TCP 32844HTTPS binding: TCP 32844

De plus, les tierces parties qui développent des applications de service peuvent implémenter un troisième choix :Additionally, third parties that develop service applications can implement a third choice:

  • Liaison net.tcp : TCP 32845net.tcp binding: TCP 32845

Vous pouvez modifier le protocole et la liaison de port pour chaque application de service. Dans la page Applications de service de l'Administration centrale, sélectionnez l'application de service, puis cliquez sur Publier.You can change the protocol and port binding for each service application. On the Service Applications page in Central Administration, select the service application, and then click Publish.

Les liaisons HTTP/HTTPS/net.tcp peuvent également être affichées et modifiées à l’aide des applets de commande Get-SPServiceHostConfig et SPServiceHostConfig de l’ensemble de Microsoft PowerShell.The HTTP/HTTPS/net.tcp bindings can also be viewed and changed by using the Get-SPServiceHostConfig and Set-SPServiceHostConfig Microsoft PowerShell cmdlets.

La communication entre les applications de service et SQL Server s'effectue sur les ports SQL Server standard ou sur les ports que vous configurez pour la communication SQL Server.Communication between service applications and SQL Server takes place over the standard SQL Server ports or the ports that you configure for SQL Server communication.

Connexions aux serveurs externesConnections to external servers

Plusieurs fonctionnalités de SharePoint Server peuvent être configurées pour accéder aux données qui résident sur des serveurs à l’extérieur de la batterie de serveurs. Si vous configurez l’accès aux données se trouvant sur des serveurs externes, assurez-vous que vous activez la communication entre les ordinateurs appropriés. Dans la plupart des cas, les ports, protocoles et services utilisés dépendent de la ressource externe. Par exemple :Several features of SharePoint Server can be configured to access data that resides on server computers outside of the server farm. If you configure access to data that is located on external server computers, ensure that you enable communication between the appropriate computers. In most cases, the ports, protocols, and services that are used depend on the external resource. For example:

  • Les connexions aux partages de fichiers utilisent le service Partage de fichiers et d'imprimantes.Connections to file shares use the File and Printer Sharing service.

  • Les connexions aux bases de données SQL Server externes utilisent les ports par défaut ou personnalisés pour la communicationSQL Server.Connections to external SQL Server databases use the default or customized ports for SQL Server communication.

  • Les connexions aux bases de données Oracle utilisent généralement OLE DB.Connections to Oracle databases typically use OLE DB.

  • Les connexions aux services Web utilisent à la fois HTTP et HTTPS.Connections to Web services use both HTTP and HTTPS.

Le tableau suivant répertorie les fonctionnalités qui peuvent être configurées pour accéder aux données qui résident sur des serveurs externes à la batterie de serveurs.The following table lists features that can be configured to access data that resides on server computers outside the server farm.

Composant fonctionnelFeature DescriptionDescription
Analyse de contenuContent crawling
Vous pouvez configurer des règles d'analyse pour analyser les données qui résident sur des ressources externes, notamment des sites web, partages de fichiers, dossiers publics Exchange et applications de données métiers. Lors de l'analyse de sources de données externes, le rôle d'analyse communique directement avec ces ressources externes.You can configure crawl rules to crawl data that resides on external resources, including Web sites, file shares, Exchange public folders, and business data applications. When crawling external data sources, the crawl role communicates directly with these external resources.
Pour plus d’informations, voir gérer l’analyse dans SharePoint Server.For more information, see Manage crawling in SharePoint Server.
Connexions Business Data ConnectivityBusiness Data Connectivity connections
Les serveurs Web et les serveurs d'applications communiquent directement avec les ordinateurs configurés pour les connexions Business Data Connectivity.Web servers and application servers communicate directly with computers that are configured for Business Data Connectivity connections.

Services requis pour l'intégration de messagerieService requirements for e-mail integration

L'intégration de messagerie nécessite l'utilisation de deux services :E-mail integration requires the use of two services:

Service SMTPSMTP service

L'intégration de la messagerie nécessite l'utilisation du service SMTP (Simple Mail Transfer Protocol) sur au moins l'un des serveurs Web frontaux de la batterie de serveurs. Le service SMTP est requis pour le courrier électronique entrant. Pour le courrier électronique sortant, vous pouvez utiliser le service SMTP ou router le courrier électronique sortant par l'intermédiaire d'un serveur de messagerie dédié dans votre organisation, tel qu'un ordinateur Microsoft Exchange Server.E-mail integration requires the use of the Simple Mail Transfer Protocol (SMTP) service on at least one of the front-end Web servers in the server farm. The SMTP service is required for incoming e-mail. For outgoing e-mail, you can either use the SMTP service or route outgoing email through a dedicated e-mail server in your organization, such as a Microsoft Exchange Server computer.

Service de gestion d'annuaire Microsoft SharePointMicrosoft SharePoint Directory Management service

SharePoint Server inclut un service interne, le Service Gestion d’annuaire SharePoint Microsoft, pour créer des groupes de distribution de courrier électronique. Lorsque vous configurez intégration du courrier électronique, vous avez la possibilité d’activer la fonctionnalité de Service de gestion d’annuaire, ce qui permet aux utilisateurs de créer des listes de distribution. Lorsque les utilisateurs créent un groupe SharePoint et ils sélectionnent l’option pour créer une liste de distribution, le Service Microsoft de gestion d’annuaire SharePoint crée la liste de distribution Active Directory correspondante dans l’environnement Active Directory.SharePoint Server includes an internal service, the Microsoft SharePoint Directory Management Service, for creating e-mail distribution groups. When you configure e-mail integration, you have the option to enable the Directory Management Service feature, which lets users create distribution lists. When users create a SharePoint group and they select the option to create a distribution list, the Microsoft SharePoint Directory Management Service creates the corresponding Active Directory distribution list in the Active Directory environment.

Dans les environnements à sécurité renforcée, il est recommandé de restreindre l'accès au service de gestion d'annuaire Microsoft SharePoint en sécurisant le fichier associé à ce service, qui est SharePointEmailws.asmx. Par exemple, vous pourriez autoriser l'accès à ce fichier uniquement par le compte de batterie de serveurs.In security-hardened environments, the recommendation is to restrict access to the Microsoft SharePoint Directory Management Service by securing the file associated with this service, which is SharePointEmailws.asmx. For example, you might allow access to this file by the server farm account only.

En outre, ce service nécessite des autorisations dans l’environnement Active Directory pour créer des objets de la liste de distribution d’Active Directory. Il est recommandé de configurer une entité organisationnelle (UO) dans Active Directory pour les objets de SharePoint Server. Seulement cette unité d’organisation doit permettre un accès en écriture au compte utilisé par le Service Microsoft de gestion d’annuaire SharePoint.Additionally, this service requires permissions in the Active Directory environment to create Active Directory distribution list objects. The recommendation is to set up a separate organizational unit (OU) in Active Directory for SharePoint Server objects. Only this OU should allow write access to the account that is used by the Microsoft SharePoint Directory Management Service.

Conditions de service requises pour l'état de sessionService requirements for session state

Projet serveur 2016 et Services des formulaires InfoPath mettre à jour l’état de session. Si vous déployez ces fonctions ou des produits au sein de votre batterie de serveurs, ne désactivez pas le service d’état de ASP.NET. En outre, si vous déployez des Services des formulaires InfoPath, ne désactivez pas le service d’état d’affichage.Both Project Server 2016 and InfoPath Forms Services maintain session state. If you are deploying these features or products within your server farm, do not disable the ASP.NET State service. Additionally, if you are deploying InfoPath Forms Services, do not disable the View State service.

Produits de serveur SharePoint servicesSharePoint Server Products services

Ne désactivez pas de services qui sont installés par SharePoint Server (énumérées précédemment dans l’instantané).Do not disable services that are installed by SharePoint Server (listed in the snapshot previously).

Si votre environnement n'autorise pas les services qui s'exécutent en tant que système local, vous pouvez désactiver le service Administration SharePoint uniquement si vous en connaissez les conséquences et êtes en mesure de les contourner. Ce service est un service Win32 qui s'exécute en tant que système local.If your environment disallows services that run as a local system, you can consider disabling the SharePoint Administration service only if you are aware of the consequences and can work around them. This service is a Win32 service that runs as a local system.

Ce service est utilisé par le service du minuteur SharePoint pour effectuer des actions qui requièrent des autorisations administratives sur le serveur, telles que la création de sites Web de Internet Information Services (IIS), le déploiement de code et l’arrêt et démarrage des services. Si ce service est désactivé, Impossible d’effectuer des tâches liées au déploiement à partir du site d’Administration centrale. Vous devez utiliser Microsoft PowerShell pour exécuter l’applet de commande Start-SPAdminJob (ou utilisez l’outil de ligne de commande Stsadm.exe pour exécuter l’opération execadmsvcjobs ) pour des déploiements à plusieurs serveurs complets pour SharePoint Server et d’exécuter d’autres tâches liées au déploiement.This service is used by the SharePoint Timer service to perform actions that require administrative permissions on the server, such as creating Internet Information Services (IIS) Web sites, deploying code, and stopping and starting services. If you disable this service, you cannot complete deployment-related tasks from the Central Administration site. You must use Microsoft PowerShell to run the Start-SPAdminJob cmdlet (or use the Stsadm.exe command-line tool to run the execadmsvcjobs operation) to complete multiple-server deployments for SharePoint Server and to run other deployment-related tasks.

Fichier Web.configWeb.config file

Le .NET Framework, et ASP.NET en particulier, utilise des fichiers de configuration au format XML pour configurer les applications. Le .NET Framework repose sur les fichiers de configuration pour définir les options de configuration. Les fichiers de configuration sont des fichiers texte XML. En règle générale, plusieurs fichiers de configuration existent sur un seul système.The .NET Framework, and ASP.NET in particular, use XML-formatted configuration files to configure applications. The .NET Framework relies on configuration files to define configuration options. The configuration files are text-based XML files. Multiple configuration files can, and typically do, exist on a single system.

Les paramètres de configuration à l’échelle du système pour le.NET Framework sont définies dans le fichier Machine.config. Le fichier Machine.config se trouve dans le %SystemRoot%\Microsoft.NET\Framework%VersionNumber%\CONFIG\ dossier. Les paramètres par défaut qui sont contenus dans le fichier Machine.config peuvent être modifiés pour changer le comportement des applications qui utilisent le.NET Framework sur l’ensemble du système.System-wide configuration settings for the .NET Framework are defined in the Machine.config file. The Machine.config file is located in the %SystemRoot%\Microsoft.NET\Framework%VersionNumber%\CONFIG\ folder. The default settings that are contained in the Machine.config file can be modified to affect the behavior of applications that use the .NET Framework on the whole system.

Vous pouvez modifier les paramètres de configuration ASP.NET pour une application si vous créez un fichier web.config dans le dossier racine de l'application. Lorsque vous procédez ainsi, les paramètres du fichier web.config remplacent les paramètres du fichier Machine.config.You can change the ASP.NET configuration settings for a single application if you create a Web.config file in the root folder of the application. When you do this, the settings in the Web.config file override the settings in the Machine.config file.

Lorsque vous étendez une application Web à l’aide de l’Administration centrale, SharePoint Server crée automatiquement un fichier Web.config pour l’application Web.When you extend a Web application by using Central Administration, SharePoint Server automatically creates a Web.config file for the Web application.

La capture instantanée de serveur web et de serveur d'application présentée plus haut répertorie les recommandations pour la configuration des fichiers Web.config. Ces recommandations sont destinées à être appliquées à chaque fichier Web.config créé, y compris le fichier Web.config du site Administration centrale.The Web server and application server snapshot presented earlier in this article lists recommendations for configuring Web.config files. These recommendations are intended to be applied to each Web.config file that is created, including the Web.config file for the Central Administration site.

Pour plus d'informations sur les fichiers de configuration ASP.NET et sur la modification d'un fichier Web.config, voir Configuration ASP.NET (http://go.microsoft.com/fwlink/p/?LinkID=73257).For more information about ASP.NET configuration files and editing a Web.config file, see ASP.NET Configuration (http://go.microsoft.com/fwlink/p/?LinkID=73257).

Voir aussiSee also

ConceptsConcepts

Sécurité pour SharePoint ServerSecurity for SharePoint Server