Autorisations de compte et paramètres de sécurité dans SharePoint serveurs
S’APPLIQUE À :
2013
2016
2019
Subscription Edition
SharePoint in Microsoft 365
Cet article décrit les autorisations de comptes d’administration et de services SharePoint. Il traite des sujets suivants : Microsoft SQL Server, le système de fichiers, les partages de fichiers et les entrées de Registre.
Important
N’utilisez pas de noms de comptes de service qui contiennent le symbole $ à l’exception de l’utilisation d’un compte de service géré de groupe pour SQL Server.
En savoir plus sur SharePoint rôle d’administrateur dans Microsoft 365.
À propos des autorisations de compte et des paramètres de sécurité dans SharePoint Serveurs
Une grande partie des autorisations de compte de base et des paramètres de sécurité SharePoint sont configurés par l'Assistant Configuration des produits SharePoint (Psconfig) et l'Assistant Configuration de batterie, qui sont tous deux exécutés durant une installation complète.
Recommandations en matière de compte de service
Les sections suivantes décrivent des recommandations sur SharePoint comptes de service.
Recommandations en matière de compte de service
Microsoft recommande d’utiliser un nombre minimal de comptes de pool d’applications de service dans la batterie de serveurs. Cette recommandation consiste à réduire l’utilisation de la mémoire et à accroître les performances tout en conservant le niveau de sécurité approprié.
Utilisez un compte élevé et identifiable personnelle pour l SharePoint, la maintenance et les mises à niveau. Ce compte conservera les rôles requis comme indiqué par le compte administrateur SharePoint batterie de serveurs décrit ci-dessous. Chaque administrateur SharePoint doit utiliser un compte distinct pour identifier clairement l’activité effectuée par l’administrateur sur la batterie de serveurs.
Dans la mesure du possible, utilisez un groupe de sécurité, SharePoint Groupes d’administrateurs de batterie de serveurs, pour unifier tous les comptes d’administrateur de batterie de serveurs SharePoint individuels et accorder des autorisations comme indiqué ci-dessous. Cette utilisation d’un groupe de sécurité simplifie considérablement la gestion des comptes SharePoint administrateur de batterie de serveurs.
Le compte SharePoint Farm Service doit uniquement exécuter le service du SharePoint Timer, SharePoint Informations (le cas échéant), les pools d’applications IIS pour l’Administration centrale, SharePoint Web Services System (utilisé pour le service de topologie) et SecurityTokenServiceApplicationPool (utilisé pour service d’jetons de sécurité).
Un seul compte doit être utilisé pour toutes les applications de service, nommées compte pool d’applications de service. Cette utilisation d’un seul compte permet à l’administrateur d’utiliser un seul pool d’applications IIS pour toutes les applications de service. En outre, ce compte doit exécuter les services Windows suivants : SharePoint Search Host Controller, SharePoint Server Search et Distributed Cache (AppFabric Caching Service).
Un seul compte doit être utilisé pour toutes les applications Web, nommées compte de pool d’applications Web. Cette utilisation d’un seul compte permet à l’administrateur d’utiliser un seul pool d’applications IIS pour toutes les applications Web. L’exception est l’application Web Administration centrale, qui, comme indiqué ci-dessus, est exécuté par le compte de service SharePoint batterie de serveurs.
À l’exception du compte de service d’jetons Revendications vers Windows, aucun compte du pool d’applications de service ne doit avoir accès à un serveur SharePoint, ni à un rôle SQL Server élevé, par exemple le rôle fixe sysadmin. Le compte SharePoint Administrateur de batterie de serveurs nécessitera les rôles fixes dbcreator et securityadmin, sauf si vous précon provisionniez les bases de données SharePoint et affectez manuellement des autorisations à chaque base de données.
Les comptes du pool d’applications de service, à l’exception du compte qui exécute le service d’jetons Revendications vers Windows, doivent avoir une logonisation de refus locale et une autre par le biais des services Bureau à distance dans la stratégie de sécurité locale\Attribution des droits d’utilisateur. Ces valeurs sont définies via secpol.msc.
Utilisez des comptes distincts pour l’accès au contenu (robot de recherche), super lecteur de portail, super utilisateur du portail et synchronisation d’application de service de profil utilisateur, le cas échéant.
Le compte claims to Windows token service est un compte hautement privilégié sur la batterie de serveurs. Avant de déployer ce service, vérifiez qu’il est requis. Si nécessaire, utilisez un compte distinct pour ce service.
Vue d’ensemble des recommandations de comptes de service
| Nom du compte de service | À quoi sert-il ? | Combien doivent être utilisés ? |
|---|---|---|
| SharePoint Compte d’administrateur de batterie | Compte d’identification personnelle pour un administrateur SharePoint client | 1-n |
| SharePoint Compte de service de batterie de serveurs | Service du temps, Informations, application IIS pour l’ac, système de services web SP, pool d’applications de service d’jeton de sécurité | 1 |
| Compte d’accès au contenu par défaut | Recherche de sources internes et externes d’analyse | 1 |
| Comptes d’accès au contenu | Recherche de sources internes et externes d’analyse | 1-n |
| Compte du pool d’applications web | Toutes les applications Web sans Administration centrale | 1 |
| SharePoint Compte du pool d’applications de service | Toutes les applications de service | 1 |
| Super lecteur de portail | Mise en cache d'objets | 1 |
| Super utilisateur du portail | Mise en cache d'objets | 1 |
| Synchronisation des applications de service de profil utilisateur | Utilisé pour l’importation Active Directory | 1-n |
Comptes dֹ’administration SharePoint
La plupart des autorisations de compte d’administration SharePoint Server sont configurées automatiquement durant le processus d’installation par l’un des composants SharePoint suivants :
L'Assistant Configuration des produits SharePoint (Psconfig) ;
l’Assistant Configuration de batterie ;
Le site SharePoint’Administration centrale centrale.
Microsoft PowerShell.
SharePoint Compte d’administrateur de batterie
Ce compte permet de configurer chaque serveur de votre batterie en exécutant l'Assistant Configuration des produits SharePoint, l'Assistant Configuration de batterie initial et PowerShell. Pour les exemples de cet article, le compte SharePoint Administrateur de batterie de serveurs est utilisé pour l’administration de la batterie de serveurs et vous pouvez utiliser l’Administration centrale pour le gérer. Certaines options de configuration, par exemple, la configuration du SharePoint de requête de recherche de serveur, nécessitent des autorisations d’administration locale. Le SharePoint administrateur de batterie de serveurs requiert les autorisations suivantes :
Il doit détenir des autorisations de compte d’utilisateur de domaine.
Il doit être membre du groupe Administrateurs local sur chaque serveur de la batterie SharePoint serveurs.
Il doit avoir accès aux bases de données SharePoint.
Si vous utilisez des opérations PowerShell qui affectent une base de données, le compte SharePoint Administrateur de batterie de serveurs doit être membre db_owner rôle.
Il doit être attribué aux rôles de sécurité SQL Server securityadmin et dbcreator durant l'installation et la configuration.
Notes
Les rôles de sécurité SQL Server securityadmin et dbcreator peuvent être requis pour ce compte durant une mise à niveau de version à version complète, car il peut être nécessaire de créer et sécuriser de nouvelles bases de données pour des services.
Après avoir exécuté les Assistants de configuration, les autorisations au niveau de l’ordinateur SharePoint compte Administrateur de batterie de serveurs sont les suivantes :
- Appartenance au groupe WSS_ADMIN_WPG Windows sécurité.
Une fois que vous avez exécuté les Assistants de configuration, les autorisations de base de données sont les suivantes :
db_owner sur la base de données de configuration de la batterie de serveurs SharePoint ;
db_owner sur la base de données de contenu de l'Administration centrale SharePoint.
Attention
Il en va de même si vous exécutez ces Assistants à l'aide d'un compte qui ne dispose pas de l'appartenance au rôle SQL Server spécial appropriée ou qui ne dispose pas de l'accès db_owner sur les bases de données.
SharePoint Compte de service de batterie de serveurs
Le compte de service de la batterie de serveurs SharePoint, également appelé compte d’accès à la base de données, est utilisé comme identité du pool d’applications pour l’Administration centrale et comme compte de processus pour le service du SharePoint Timer. Le compte de la batterie de serveurs requiert les autorisations suivantes :
- Il doit détenir des autorisations de compte d’utilisateur de domaine.
Des autorisations supplémentaires sont automatiquement accordées au compte SharePoint Farm Service sur SharePoint serveurs qui sont joints à une batterie de serveurs.
Après avoir exécuté le programme d’installation, les autorisations au niveau de l’ordinateur sont les suivantes :
Appartenance au groupe de sécurité WSS_ADMIN_WPG Windows pour le service SharePoint timer.
Appartenance à WSS_RESTRICTED_WPG pour l’Administration centrale et les pools d’applications du service du temps.
Appartenance à WSS_WPG pour le pool d’applications de l’Administration centrale.
Une fois que vous avez exécuté les Assistants de configuration, les autorisations SQL Server et de base de données sont les suivantes :
rôle serveur fixe Dbcreator;
rôle serveur fixe Securityadmin;
db_owner pour toutes les bases de données SharePoint ;
Appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données SharePoint de configuration de batterie de serveurs.
Appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données SharePoint_Admin contenu.
SharePoint Comptes du pool d’applications
Cette section décrit les comptes SharePoint pool d’applications qui sont mis en place par défaut lors de l’installation.
Compte d’accès au contenu par défaut
Le compte d’accès au contenu par défaut est utilisé dans une application de service spécifique pour analyser du contenu, sauf si une méthode d’authentification différente est spécifiée par une règle d’analyse pour une URL ou un modèle d’URL. Ce compte requiert les paramètres de configuration d’autorisation suivants :
Le compte d’accès au contenu par défaut doit être un compte d’utilisateur de domaine qui dispose d’un accès en lecture aux sources de contenu externes ou sécurisées que vous souhaitez analyser en utilisant ce compte.
Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, vous devez explicitement lui accorder les autorisations de lecture totale sur les applications web qui hébergent les sites.
Il ne doit pas être membre du groupe Administrateurs de batterie.
Comptes d’accès au contenu
Les comptes d’accès au contenu sont configurés pour accéder au contenu à l’aide de la fonctionnalité de règles d’analyse d’administration de recherche. Ce type de compte est facultatif et peut être configuré lorsque vous créez une règle d’analyse. Par exemple, du contenu externe (tel qu’un partage de fichiers) peut exiger ce compte d’accès au contenu distinct. Ce compte requiert les paramètres de configuration d’autorisation suivants :
Il doit disposer d’un accès en lecture aux sources de contenu externes ou sécurisées dont l’accès lui est associé.
Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, vous devez explicitement lui accorder les autorisations de lecture totale sur les applications web qui hébergent les sites.
Compte du pool d’applications web
Le compte du pool d’applications Web doit être un compte d’utilisateur de domaine. Il ne doit pas être membre du groupe Administrateurs de batterie.
Ce compte doit être utilisé pour toutes les applications web sans Administration centrale.
L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : ce compte est membre de WSS_WPG.
Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :
Ce compte est affecté au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs.
Ce compte est affecté au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint’administration centrale.
Les comptes de pool d’applications pour les applications web sont affectés au rôle SPDataAccess pour les bases de données de contenu
SharePoint Compte du pool d’applications de service
Le compte SharePoint pool d’applications de service de service doit être un compte d’utilisateur de domaine. Ce compte ne doit être membre du groupe Administrateurs sur aucun ordinateur de la batterie de serveurs.
L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : ce compte est membre de WSS_WPG.
Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :
Ce compte est affecté au rôle SPDataAccess pour les bases de données de contenu.
Ce compte est affecté au rôle SPDataAccess pour la base de données de recherche associée à l’application web.
Ce compte doit avoir un accès en lecture et en écriture à la base de données d’application de service associée.
Ce compte est affecté au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs.
Ce compte est affecté au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données SharePoint_Admin de contenu.
Rôles de base de données SharePoint
Cette section décrit les rôles de base de données qui sont configurés par défaut durant l’installation ou qui peuvent être configurés de façon facultative.
Rôle de base de données WSS_CONTENT_APPLICATION_POOLS
Le WSS de base de données_CONTENT_APPLICATION_POOLS s’applique au compte du pool d’applications pour chaque application web inscrite dans une batterie SharePoint de serveurs. Cette applicabilité de rôle permet aux applications web d’interroger et de mettre à jour le plan de site et d’avoir un accès en lecture seule à d’autres éléments dans la base de données de configuration. Le programme d’installation affecte WSS_CONTENT_APPLICATION_POOLS aux bases de données suivantes :
La base SharePoint de configuration (base de données de configuration)
Base de données SharePoint de contenu d’administration de base de données
Les membres du WSS_CONTENT_APPLICATION_POOLS ont l’autorisation d’exécution pour un sous-ensemble des procédures stockées pour la base de données. En outre, ils bénéficient également de l’autorisation de sélection sur la table des versions (dbo.Versions) de la base de données SharePoint_AdminContent. Pour les autres bases de données, l’outil de planification des comptes indique que l’accès pour lire ces bases de données est automatiquement configuré. Dans certains cas, un accès limité pour écrire dans une base de données est également automatiquement configuré. Pour assurer cet accès, des autorisations sont configurées pour les procédures stockées.
SharePoint_SHELL_ACCESS base de données de données
Le rôle SharePoint_SHELL_ACCESS de base de données de configuration sur la base de données de configuration remplace la nécessité d’ajouter un compte d’administration en tant qu’db_owner sur la base de données de configuration. Par défaut, le compte d’installation est affecté au rôle SharePoint_SHELL_ACCESS base de données. L'appartenance à ce rôle est accordée et supprimée au moyen d'une commande PowerShell. Le programme d’installation affecte SharePoint_SHELL_ACCESS rôle principal aux bases de données suivantes :
base de données SharePoint_Config (base de données de configuration) ;
une ou plusieurs des bases de données de contenu SharePoint. Cette base de données est configurable à l’aide de la commande PowerShell qui gère l’appartenance et l’objet affecté à ce rôle.
Les membres du rôle SharePoint_SHELL_ACCESS ont l’autorisation d’exécution pour toutes les procédures stockées pour la base de données. De plus, les membres de ce rôle bénéficient d’autorisations de lecture et écriture sur toutes les tables de bases de données.
Rôle de base de données SPREADONLY
Le rôle SPREADONLY doit être utilisé pour définir la base de données en mode lecture seule au lieu d’utiliser sp_dboption. Comme son nom l'indique, ce rôle doit être utilisé lorsque seul l'accès en lecture seule est requis pour les données telles que les données d'utilisation et de télémétrie.
Notes
La procédure stockée sp_dboption n’est pas accessible dans SQL Server 2012. Pour plus d’informations sur sp_dboption, reportez-vous à l’article sp_dboption (Transact-SQL).
Le rôle SQL SPREADONLY aura les autorisations suivantes :
octroi de SELECT sur toutes les procédures stockées et fonctions SharePoint ;
octroi de SELECT sur toutes les tables SharePoint ;
octroi d’EXECUTE sur le type défini par l’utilisateur lorsque le schéma DBO est utilisé ;
Rôle de base de données SPDataAccess
Le rôle SPDataAccess est le rôle par défaut pour l’accès à la base de données et doit être utilisé pour tout accès au niveau du modèle objet aux bases de données. Ajoutez le compte de pool d’applications à ce rôle lors des mises à niveau ou de l’exécution de nouveaux déploiements.
Notes
Le rôle SPDataAccess remplace le rôle db_owner dans SharePoint Server 2016.
Le rôle SPDataAccess aura les autorisations suivantes :
octroi d’EXECUTE ou de SELECT sur toutes les procédures stockées et fonctions SharePoint ;
octroi de SELECT sur toutes les tables SharePoint ;
octroi d’EXECUTE sur le type défini par l’utilisateur lorsque le schéma DBO est utilisé ;
octroi d’INSERT sur la table AllUserDataJunctions ;
octroi d’UPDATE sur la vue Sites ;
octroi d’UPDATE sur la vue UserData ;
octroi d’UPDATE sur la table AllUserData ;
octroi d’INSERT et DELETE sur la table NameValuePair ;
octroi de l’autorisation de création de tables.
Autorisations de groupes
Cette section décrit les autorisations des groupes créés par les outils d’installation et de configuration SharePoint Servers 2016 et 2019.
WSS_ADMIN_WPG
WSS_ADMIN_WPG dispose d’un accès en lecture et en écriture aux ressources locales. Les comptes du pool d’applications pour l’Administration centrale et les services du temps sont dans WSS_ADMIN_WPG. Le tableau suivant présente les autorisations WSS’entrée de Registre_ADMIN_WPG.
Notes
SharePoint 2013 utilise le chemin d’accès du Registre « 15.0 » au lieu de « 16.0 » et le chemin d’accès du système de fichiers « 15 » au lieu de « 16 ». Certains chemins répertoriés ci-dessous ne s’appliquent SharePoint Foundation 2013.
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | Contrôle total | Non applicable | Non applicable |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | Lecture, écriture | Non applicable | Non applicable |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | Lecture | Non | Cette clé est la racine de l’arborescence SharePoint de Registre du serveur. Si cette clé est modifiée, la SharePoint serveur échoue. |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Contrôle total | Non | Cette clé est la racine des paramètres du Registre SharePoint Server 2016. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Lecture, écriture | Non | Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Lecture, écriture | Non | Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | Contrôle total | Non applicable | Non applicable |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | Contrôle total | Non applicable | Non applicable |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Contrôle total | Non | Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si cette clé est modifiée, l’installation SharePoint Server sur l’ordinateur ne fonctionne pas. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Contrôle total | Oui | Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers WSS_ADMIN_WPG.
| Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Contrôle total | Non | Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé. |
| C:\Inetpub\wwwroot\wss | Contrôle total | Non | Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. SharePoint sites Web IIS sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, sauf si des chemins d’accès aux sites Web IIS personnalisés sont fournis pour tous les sites Web IIS étendus avec SharePoint Server. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | Contrôle total | Non | Ce répertoire est l'emplacement d'installation pour les données et les fichiers binaires SharePoint Server 2016. Le répertoire peut être modifié au cours de l'installation. Toutes les SharePoint serveur échouent si ce répertoire est supprimé, modifié ou supprimé après l’installation. L’appartenance au groupe de sécurité WSS_ADMIN_WPG Windows est requise pour que certains services SharePoint Server puissent stocker des données sur disque. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Lecture, écriture | Non | Ce répertoire est le répertoire racine où les services web principaux sont hébergés, par exemple Excel et Search. Les fonctionnalités SharePoint Server qui dépendent de ces services échouent si ce répertoire est supprimé ou modifié. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data | Contrôle total | Non | Ce répertoire est l’emplacement racine où les données locales sont stockées, y compris les index de recherche. La fonctionnalité de recherche échoue si ce répertoire est supprimé ou modifié. Les autorisations de groupe de sécurité Windows WSS_ADMIN_WPG sont requises pour que la recherche puisse enregistrer et sécuriser les données dans ce dossier. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Contrôle total | Oui | Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Les fonctionnalités de journalisation ne fonctionnent pas correctement si ce répertoire est supprimé ou modifié. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | Contrôle total | Oui | Identique au dossier parent. |
| %windir%\System32\drivers\etc\HOSTS | Lecture, écriture | Non applicable | Non applicable |
| %windir%\Tasks | Contrôle total | Non applicable | Non applicable |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | Modification | Oui | Ce répertoire est le répertoire d’installation des fichiers SharePoint server principaux. Si la liste de contrôle d’accès (ACL) est modifiée, l’activation des fonctionnalités, le déploiement des solutions et d’autres fonctionnalités ne fonctionnent pas correctement. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Contrôle total | Oui | Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Contrôle total | Oui | Ce répertoire contient des fichiers utilisés pour étendre les sites Web IIS avec SharePoint Server. Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Contrôle total | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
| %windir%\temp | Contrôle total | Oui | Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer. |
| %windir%\System32\logfiles\SharePoint | Contrôle total | Non | Ce répertoire est utilisé par la journalisation de l'utilisation de SharePoint Server. S'il est modifié, la journalisation de l'utilisation ne fonctionne pas correctement. Cette clé de registre s’applique uniquement à SharePoint Server. |
| Dossier %systemdrive\program files\Microsoft Office Servers\16 sur les serveurs d’index | Contrôle total | Non applicable | Cette autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\16 sur les serveurs d’index. |
WSS_WPG
WSS_WPG dispose d’un accès en lecture aux ressources locales. Tous les comptes de services et pools d’applications sont dans WSS_WPG. Le tableau suivant présente les autorisations WSS’entrée de Registre_WPG.
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Lecture | Non | Cette clé est la racine des paramètres de SharePoint Server. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | Lecture, écriture | Non | Cette clé contient les paramètres de la journalisation des diagnostics SharePoint Server. Sa modification altère la fonctionnalité de journalisation. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Lecture, écriture | Non | Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Lecture, écriture | Non | Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Lecture | Non | Cette clé contient la chaîne de connexion et l'ID de la base de données de configuration à laquelle l'ordinateur est joint. Si elle est modifiée, l'installation de SharePoint Server 2016 sur l'ordinateur échoue. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Lecture | Oui | Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers WSS_WPG.
| Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Lecture | Non | Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé. |
| C:\Inetpub\wwwroot\wss | Lecture, exécution | Non | Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. SharePoint sites sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, sauf si des chemins d’accès aux sites Web IIS personnalisés sont fournis pour tous les sites Web IIS étendus avec SharePoint Server. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | Lecture, exécution | Non | Ce répertoire est l’emplacement d’installation des données et des SharePoint du serveur. Il peut être modifié au cours de l’installation. Toutes les SharePoint serveur échouent si ce répertoire est supprimé, modifié ou déplacé après l’installation. WSS’autorisations de lecture et d’exécution_WPG sont requises pour permettre aux sites IIS de charger SharePoint binaires du serveur. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Lecture | Non | Ce répertoire est le répertoire racine où les services web principaux sont hébergés, par exemple Excel et Search. Les fonctionnalités SharePoint Server qui dépendent de ces services échouent si ce répertoire est supprimé ou modifié. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Lecture, écriture | Oui | Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Les fonctionnalités de journalisation ne fonctionnent pas correctement si ce répertoire est supprimé ou modifié. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Lecture | Oui | Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Lecture | Oui | Ce répertoire contient des fichiers utilisés pour étendre les sites Web IIS avec SharePoint Server. Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Modification | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
| %windir%\temp | Lecture | Oui | Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer. |
| %windir%\System32\logfiles\SharePoint | Lecture | Non | Ce répertoire est utilisé par la journalisation de l'utilisation de SharePoint Server. S'il est modifié, la journalisation de l'utilisation ne fonctionne pas correctement. La clé de registre s’applique uniquement à SharePoint Server. |
| %systemdrive\program files\Microsoft Office Servers\16 | Lecture, exécution | Non applicable | L’autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\16 sur les serveurs d’index. |
Service local
Le tableau suivant montre l’autorisation d’entrée de Registre du service local :
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Lecture | Non | Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. |
Le tableau suivant montre l’autorisation de système de fichiers du service local :
| Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | Lecture, exécution | Non | Ce répertoire est l’emplacement d’installation des SharePoint server. Toutes les fonctionnalités SharePoint Server échouent si ce répertoire est supprimé ou modifié. |
Système local
Le tableau suivant montre les autorisations d’entrée de Registre du système local :
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Lecture | Non | Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents. Cette clé de registre s’applique uniquement à SharePoint Server. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Contrôle total | Non | Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si cette clé est modifiée, l’installation SharePoint Server sur l’ordinateur ne fonctionne pas. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Contrôle total | Non | Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Contrôle total | Oui | Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers local :
| Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Contrôle total | Non | Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et des actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé. |
| C:\Inetpub\wwwroot\wss | Contrôle total | Non | Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. SharePoint sites sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, sauf si des chemins d’accès aux sites Web IIS personnalisés sont fournis pour tous les sites Web IIS étendus avec SharePoint Server. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Contrôle total | Oui | Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Contrôle total | Oui | Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Contrôle total | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
| %windir%\temp | Contrôle total | Oui | Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer. |
| %windir%\System32\logfiles\SharePoint | Contrôle total | Non | Ce répertoire est utilisé par SharePoint Server pour la journalisation de l'utilisation. S'il est modifié, la journalisation de l'utilisation ne fonctionne pas correctement. Cette clé de registre s’applique uniquement à SharePoint Server. |
Service réseau
Le tableau suivant montre l’autorisation d’entrée de Registre du service réseau :
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | Lecture | Non applicable | Non applicable |
Administrateurs
Le tableau suivant montre les autorisations d’entrée de Registre des administrateurs.
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Contrôle total | Non | Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si cette clé est modifiée, l’installation SharePoint Server sur l’ordinateur ne fonctionne pas. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Contrôle total | Non | Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Contrôle total | Oui | Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation. |
Le tableau suivant montre les autorisations de système de fichiers des administrateurs :
| Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Contrôle total | Non | Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et des actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé. |
| C:\Inetpub\wwwroot\wss | Contrôle total | Non | Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites web IIS. SharePoint sites web IIS sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, sauf si des chemins d’accès aux sites web IIS personnalisés sont fournis pour tous les sites web IIS étendus avec SharePoint Server. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Contrôle total | Oui | Ce répertoire contient les services SOAP pour l'Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Contrôle total | Oui | Si ce répertoire ou son contenu a été modifié, la mise en service d’applications web ne fonctionne pas correctement. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Contrôle total | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement. |
| %windir%\temp | Contrôle total | Oui | Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer. |
| %windir%\System32\logfiles\SharePoint | Contrôle total | Non | Ce répertoire est utilisé par SharePoint Server pour la journalisation de l'utilisation. S'il est modifié, la journalisation de l'utilisation ne fonctionne pas correctement. Cette clé de registre s’applique uniquement à SharePoint Server. |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG peut lire l’entrée de Registre des informations d’identification d’administration de la batterie de serveurs chiffrée. WSS_RESTRICTED_WPG est utilisé uniquement pour le chiffrement et le déchiffrement des mots de passe stockés dans la base de données de configuration. Le tableau suivant indique l’autorisation WSS’entrée de Registre_RESTRICTED_WPG :
| Nom de la clé | Autorisations | Héritage | Description |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Contrôle total | Non | Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent. |
Groupe Utilisateurs
Le tableau suivant montre les autorisations de système de fichiers du groupe Utilisateurs :
| Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0 | Lecture, exécution | Non | Ce répertoire est l’emplacement d’installation SharePoint données et les binaires du serveur. Il peut être modifié au cours de l’installation. Toutes les SharePoint serveur échouent si ce répertoire est supprimé, modifié ou déplacé après l’installation. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | Lecture, exécution | Non | Ce répertoire est le répertoire racine où les services web racine principaux sont hébergés. Le seul service initialement installé dans ce répertoire est un service d'administration global de recherche. Certaines des fonctionnalités d'administration de recherche utilisées par le biais de la page des paramètres de recherche de l'Administration centrale spécifique au serveur ne fonctionnent pas si ce répertoire est supprimé ou modifié. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Lecture, écriture | Oui | Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. La journalisation ne fonctionne pas correctement si ce répertoire est supprimé ou modifié. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | Lecture, exécution | Non | Ce répertoire est l’emplacement d’installation des SharePoint server. Toutes les fonctionnalités SharePoint Server échouent si ce répertoire est supprimé ou modifié. |
Tous les SharePoint de service serveur
Le tableau suivant indique l’autorisation du système de fichiers SharePoint comptes de service serveur :
| Chemin d'accès du système de fichiers | Autorisations | Héritage | Description |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Modification | Non | Ce répertoire contient les journaux de suivi d’installation et d’exécution. S’il est modifié, la journalisation des diagnostics ne fonctionne pas correctement. Tous les SharePoint de service serveur doivent avoir une autorisation d’écriture sur ce répertoire. |