Autorizzazioni dell'account e impostazioni di sicurezza in SharePoint Server
SI APPLICA A:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
In questo articolo vengono illustrate le autorizzazioni disponibili per gli account amministrativi e di servizio di SharePoint, relativamente a Microsoft SQL Server, file system, condivisioni di file e voci del Registro di sistema.
Importante
Non usare nomi di account di servizio che contengono il simbolo $ ad eccezione dell'uso di un account del servizio gestito del gruppo per SQL Server.
Altre informazioni sul ruolo di amministratore di SharePoint in Microsoft 365.
Informazioni sulle autorizzazioni dell'account e sulle impostazioni di sicurezza in SharePoint Server
Molte delle autorizzazioni e delle impostazioni di sicurezza per gli account di base di SharePoint vengono configurate tramite la Configurazione guidata Prodotti SharePoint (Psconfig) e la Configurazione guidata farm, entrambe eseguite durante un'installazione completa.
Raccomandazioni per l'account di servizio
Le sezioni seguenti descrivono le raccomandazioni per gli account del servizio SharePoint.
Raccomandazioni per l'account di servizio
Microsoft consiglia di usare un numero minimo di account del pool di applicazioni di servizio nella farm. Questa raccomandazione consiste nel ridurre l'utilizzo della memoria e aumentare le prestazioni mantenendo al tempo stesso il livello di sicurezza appropriato.
Usare un account con privilegi elevati e personali per l'installazione, la manutenzione e gli aggiornamenti di SharePoint. Questo account conterrà i ruoli necessari come descritto nell'account amministratore della farm di SharePoint. Ogni amministratore di SharePoint deve usare un account separato in modo che l'attività eseguita nella farm sia chiaramente identificata.
Se possibile, usare un gruppo di sicurezza, gruppi di amministratori della farm di SharePoint, per unificare tutti i singoli account amministratore della farm di SharePoint e per concedere le autorizzazioni come descritto nell'account amministratore della farm di SharePoint. Questo utilizzo di un gruppo di sicurezza semplifica in modo significativo la gestione degli account amministratore della farm di SharePoint.
L'account del servizio farm di SharePoint deve eseguire solo il servizio Timer di SharePoint, SharePoint Insights (se applicabile), i pool di applicazioni IIS per Amministrazione centrale, il sistema di servizi Web SharePoint (usato per il servizio topologia) e SecurityTokenServiceApplicationPool (usato per il servizio token di sicurezza).
È necessario usare un singolo account per tutte le applicazioni di servizio, denominato account del pool di applicazioni di servizio. Questo utilizzo di un singolo account consente all'amministratore di usare un singolo pool di applicazioni IIS per tutte le applicazioni di servizio. Inoltre, questo account deve eseguire i servizi Windows seguenti: Controller host di ricerca di SharePoint, Ricerca di SharePoint Server e Cache distribuita (Servizio di memorizzazione nella cache AppFabric).
È necessario usare un singolo account per tutte le applicazioni Web, denominato account del pool di applicazioni Web. Questo utilizzo di un singolo account consente all'amministratore di usare un singolo pool di applicazioni IIS per tutte le applicazioni Web, ad eccezione dell'applicazione Web Amministrazione centrale eseguita dall'account del servizio farm di SharePoint.
Ad eccezione dell'account del servizio token di Windows, nessun account del pool di applicazioni di servizio deve avere accesso amministratore locale a un server SharePoint né a un ruolo SQL Server con privilegi elevati, ad esempio il ruolo predefinito sysadmin. L'account amministratore della farm di SharePoint richiederà i ruoli predefiniti dbcreator e securityadmin , a meno che non si pre-provisioning dei database di SharePoint e si assegnino manualmente le autorizzazioni a ogni database.
Gli account del pool di applicazioni di servizio, ad eccezione dell'account che esegue il servizio token Windows, devono avere accesso negato localmente e Nega accesso tramite Servizi Desktop remoto in Criteri di sicurezza locali\Assegnazione diritti utente. Questi valori vengono impostati tramite secpol.msc.
Usare account separati per l'accesso al contenuto (ricerca per indicizzazione), il lettore con privilegi avanzati del portale, l'utente con privilegi avanzati del portale e la sincronizzazione dell'applicazione del servizio profili utente, se applicabile.
L'account attestazioni per il servizio token Windows è un account con privilegi elevati nella farm. Prima di distribuire questo servizio, verificare se è necessario. Se necessario, usare un account separato per questo servizio.
Panoramica delle raccomandazioni per gli account di servizio
| Nome dell'account del servizio | A cosa serve? | Quanti devono essere usati? |
|---|---|---|
| Account amministratore farm di SharePoint | Account di identificazione personale per un amministratore di SharePoint | 1-n |
| Account del servizio farm di SharePoint | Servizio Timer, Informazioni dettagliate, App IIS per CA, Sistema servizi Web SP, Pool di app del servizio token di sicurezza | 1 |
| Account predefinito di accesso al contenuto | Ricerca per indicizzazione di origini interne ed esterne | 1 |
| Account di accesso al contenuto | Ricerca per indicizzazione di origini interne ed esterne | 1-n |
| Account del pool di applicazioni Web | Tutte le applicazioni Web senza amministrazione centrale | 1 |
| Account del pool di applicazioni del servizio SharePoint | Tutte le applicazioni di servizio | 1 |
| Lettore con privilegi avanzati del portale | Cache oggetti | 1 |
| Utente con privilegi avanzati del portale | Cache oggetti | 1 |
| Sincronizzazione dell'applicazione del servizio profili utente | Usato per l'importazione di Active Directory | 1-n |
Account amministrativi di SharePoint
La maggior parte delle autorizzazioni per gli account amministrativi di SharePoint vengono configurate automaticamente da uno dei componenti seguenti di SharePoint durante il processo di installazione:
Configurazione guidata Prodotti SharePoint (Psconfig).
Configurazione guidata farm.
Sito Web Amministrazione centrale SharePoint.
Microsoft PowerShell.
Account amministratore farm di SharePoint
Questo account viene usato per configurare ogni server nella farm eseguendo la Configurazione guidata prodotti SharePoint (Psconfig), la Configurazione guidata farm iniziale e PowerShell. Per gli esempi di questo articolo, l'account amministratore della farm di SharePoint viene usato per l'amministrazione della farm ed è possibile usare Amministrazione centrale per gestirlo. Alcune opzioni di configurazione, ad esempio la configurazione del server di query di ricerca di SharePoint Server, richiedono autorizzazioni di amministrazione locale. L'account amministratore della farm di SharePoint presenta i requisiti seguenti:
Deve disporre delle autorizzazioni per l'account utente di dominio.
Deve essere un membro del gruppo Administrators locale in ogni server della farm di SharePoint.
Deve disporre dell'accesso ai database di SharePoint.
Se si usano operazioni di PowerShell che interessano un database, l'account amministratore della farm di SharePoint deve essere membro del ruolo db_owner .
Deve essere assegnato ai ruoli di sicurezza securityadmin e dbcreatorSQL Server durante l'installazione e la configurazione.
Nota
I ruoli di sicurezza securityadmin e dbcreatorSQL Server potrebbero essere necessari per questo account durante un aggiornamento completo da versione a versione poiché è possibile che i nuovi database debbano essere creati e protetti per i servizi.
Dopo aver eseguito le procedure guidate di configurazione, le autorizzazioni a livello di computer per l'account amministratore della farm di SharePoint includono:
- Appartenenza al gruppo di sicurezza WSS_ADMIN_WPG Windows.
Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di database includono:
db_owner nel database di configurazione della server farm di SharePoint.
db_owner nel database del contenuto di Amministrazione centrale SharePoint.
Attenzione
Se l'account usato per eseguire le configurazioni guidate non dispone dell'appartenenza o dell'accesso ai ruoli speciali SQL Server appropriati come db_owner nei database, le procedure guidate di configurazione non verranno eseguite correttamente.
Account del servizio farm di SharePoint
L'account del servizio della farm di SharePoint, noto anche come account di accesso al database, viene usato come identità del pool di applicazioni per Amministrazione centrale e come account di processo per il servizio Timer di SharePoint. L'account della server farm presenta il requisito seguente:
- Deve disporre delle autorizzazioni per l'account utente di dominio.
Le autorizzazioni aggiuntive vengono concesse automaticamente all'account del servizio farm di SharePoint nei server SharePoint aggiunti a una server farm.
Dopo l'esecuzione del programma di installazione, le autorizzazioni a livello di computer includono:
Appartenenza al gruppo di sicurezza WSS_ADMIN_WPG Windows per il servizio Timer di SharePoint.
Appartenenza a WSS_RESTRICTED_WPG per i pool di applicazioni del servizio Amministrazione centrale e Timer.
Appartenenza a WSS_WPG per il pool di applicazioni di Amministrazione centrale.
Dopo l'esecuzione delle configurazioni guidate, le autorizzazioni a livello di database e SQL Server includono:
Ruolo predefinito del server Dbcreator.
Ruolo predefinito del server Securityadmin.
db_owner per tutti i database di SharePoint.
Appartenenza al ruolo WSS_CONTENT_APPLICATION_POOLS per il database di configurazione della server farm di SharePoint.
Appartenenza al ruolo WSS_CONTENT_APPLICATION_POOLS per il database del contenuto SharePoint_Admin.
Account del pool di applicazioni di SharePoint
Questa sezione descrive gli account del pool di applicazioni di SharePoint configurati per impostazione predefinita durante l'installazione.
Account predefinito di accesso al contenuto
L'account di accesso al contenuto predefinito viene utilizzato con un'applicazione di servizio specifica per eseguire la ricerca per indicizzazione del contenuto, a meno che non sia presente una regola di ricerca per indicizzazione che specifica un metodo di autenticazione diverso per un determinato URL o formato URL. Per questo account è necessario specificare le impostazioni di configurazione seguenti relative alle autorizzazioni:
L'account di accesso al contenuto predefinito deve essere un account utente di dominio con accesso in lettura a origini di contenuto esterne o sicure per cui si vuole eseguire la ricerca per indicizzazione usando questo account.
Per i siti di SharePoint Server che non fanno parte della server farm, è necessario concedere esplicitamente a questo account l'autorizzazione di lettura completa per le applicazioni Web che ospitano i siti.
Questo account non deve essere un membro del gruppo Amministratori farm.
Account di accesso al contenuto
Gli account di accesso al contenuto vengono configurati per consentire l'accesso al contenuto tramite la caratteristica delle regole di ricerca per indicizzazione dell'amministrazione del servizio di ricerca. Questo tipo di account è facoltativo ed è possibile configurarlo quando si crea una nuova regola di ricerca per indicizzazione. Questo account di accesso al contenuto separato può essere necessario ad esempio per accedere a contenuto esterno quale una condivisione di file. Per questo account è necessario specificare le impostazioni di configurazione seguenti relative alle autorizzazioni:
L'account di accesso al contenuto deve avere accesso in lettura a origini di contenuto esterne o sicure a cui l'account è configurato per l'accesso.
Per i siti di SharePoint Server che non fanno parte della server farm, è necessario concedere esplicitamente a questo account l'autorizzazione di lettura completa per le applicazioni Web che ospitano i siti.
Account del pool di applicazioni Web
L'account del pool di applicazioni Web deve essere un account utente di dominio. Questo account non deve essere un membro del gruppo Amministratori farm.
Questo account deve essere usato per tutte le applicazioni Web senza Amministrazione centrale.
L'autorizzazione a livello di computer seguente viene configurata automaticamente:
- Questo account è un membro di WSS_WPG.
Le autorizzazioni seguenti per SQL Server e il database vengono configurate automaticamente:
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database del contenuto di SharePoint Amministrazione.
Gli account del pool di applicazioni per le applicazioni Web vengono assegnati al ruolo SPDataAccess per i database del contenuto.
Account del pool di applicazioni del servizio SharePoint
L'account del pool di applicazioni del servizio SharePoint deve essere un account utente di dominio. Questo account non deve essere un membro del gruppo Administrators in alcun computer della server farm.
L'autorizzazione a livello di computer seguente viene configurata automaticamente:
- Questo account è un membro di WSS_WPG.
Le SQL Server e i requisiti/autorizzazioni del database seguenti vengono configurati automaticamente:
Questo account viene assegnato al ruolo SPDataAccess per i database del contenuto.
Questo account viene assegnato al ruolo SPDataAccess per un database di ricerca associato all'applicazione Web.
Questo account deve avere accesso in lettura e scrittura al database dell'applicazione di servizio associato.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database di configurazione della farm.
Questo account viene assegnato al ruolo WSS_CONTENT_APPLICATION_POOLS associato al database del contenuto SharePoint_Admin.
Ruoli del database di SharePoint
In questa sezione vengono descritti i ruoli di database installati per impostazione predefinita o che è possibile configurare facoltativamente.
Ruolo del database WSS_CONTENT_APPLICATION_POOLS
Il ruolo del database WSS_CONTENT_APPLICATION_POOLS si applica all'account del pool di applicazioni per ogni applicazione Web registrata in una farm di SharePoint. Questa applicabilità del ruolo consente alle applicazioni Web di eseguire query e aggiornare la mappa del sito e di accedere in sola lettura ad altri elementi nel database di configurazione. Il programma di installazione assegna il ruolo WSS_CONTENT_APPLICATION_POOLS ai database seguenti:
Database di configurazione di SharePoint (database di configurazione)
Database del contenuto Amministrazione SharePoint
I membri del ruolo WSS_CONTENT_APPLICATION_POOLS dispongono dell'autorizzazione di esecuzione per un subset delle stored procedure per il database. Inoltre, i membri di questo ruolo dispongono dell'autorizzazione di selezione per la tabella Versioni (dbo. Versioni) nel database SharePoint_AdminContent. Per altri database, lo strumento di pianificazione degli account indica che l'accesso per leggere questi database viene configurato automaticamente. In alcuni casi, viene configurato automaticamente anche un accesso in scrittura limitato. Per fornire questo accesso, vengono configurate le autorizzazioni per le stored procedure.
SharePoint_SHELL_ACCESS ruolo del database
Il ruolo del database di SharePoint_SHELL_ACCESS sicuro nel database di configurazione sostituisce la necessità di aggiungere un account di amministrazione come db_owner nel database di configurazione. Per impostazione predefinita, l'account di installazione viene assegnato al ruolo del database SharePoint_SHELL_ACCESS . È possibile utilizzare un comando di PowerShell per concedere o rimuovere l'appartenenza a tale ruolo. Il programma di installazione assegna il ruolo SharePoint_SHELL_ACCESS ai database seguenti:
Database SharePoint_Config (database di configurazione).
Uno o più database del contenuto di SharePoint. Questo database è configurabile usando il comando di PowerShell che gestisce l'appartenenza e l'oggetto assegnato a questo ruolo.
I membri del ruolo SharePoint_SHELL_ACCESS dispongono dell'autorizzazione di esecuzione per tutte le stored procedure per il database. Inoltre, i membri di questo ruolo dispongono delle autorizzazioni di lettura e scrittura per tutte le tabelle di database.
Ruolo del database SPREADONLY
Il ruolo SPREADONLY deve essere utilizzato per impostare il database in modalità di sola lettura anziché usare sp_dboption. Questo ruolo come suggerisce il nome deve essere usato quando è necessario solo l'accesso in lettura per i dati di utilizzo e telemetria.
Nota
La stored procedure sp_dboption non è disponibile in SQL Server 2012. Per altre informazioni sui sp_dboption, vedere sp_dboption (Transact-SQL).
Il ruolo SQL SPREADONLY avrà le autorizzazioni seguenti:
Concedere l'autorizzazione SELECT per tutte le funzioni e le stored procedure di SharePoint.
Concedere l'autorizzazione SELECT per tutte le tabelle di SharePoint.
Concedere EXECUTE nei tipi definiti dall'utente in cui lo schema è dbo.
Ruolo del database SPDataAccess
Il ruolo SPDataAccess è il ruolo predefinito per l'accesso al database e deve essere usato per tutti gli accessi a livello di modello a oggetti ai database. Aggiungere l'account del pool di applicazioni a questo ruolo durante gli aggiornamenti o le nuove distribuzioni.
Nota
Il ruolo SPDataAccess ha sostituito il ruolo db_owner in SharePoint Server 2016.
Il ruolo SPDataAccess avrà le autorizzazioni seguenti:
Concedere l'autorizzazione SELECT o EXECUTE per tutte le funzioni e le stored procedure di SharePoint.
Concedere l'autorizzazione SELECT per tutte le tabelle di SharePoint.
Concedere EXECUTE nei tipi definiti dall'utente in cui lo schema è dbo.
Concedere l'autorizzazione INSERT per la tabella AllUserDataJunctions.
Concedere l'autorizzazione UPDATE per la visualizzazione Sites.
Concedere l'autorizzazione UPDATE per la visualizzazione UserData.
Concedere l'autorizzazione UPDATE per la tabella AllUserData.
Concedere le autorizzazioni INSERT e DELETE per le tabelle NameValuePair.
Concedere l'autorizzazione CREATE TABLE.
Autorizzazioni per i gruppi
Questa sezione descrive le autorizzazioni dei gruppi creati dagli strumenti di configurazione e configurazione di SharePoint Server 2016 e 2019.
WSS_ADMIN_WPG
WSS_ADMIN_WPG ha accesso in lettura e scrittura alle risorse locali. Gli account del pool di applicazioni per i servizi Amministrazione centrale e Timer sono in WSS_ADMIN_WPG. Nella tabella seguente vengono illustrate le autorizzazioni per le voci del Registro di sistema WSS_ADMIN_WPG :
Nota
SharePoint 2013 usa il percorso del Registro di sistema "15.0" anziché "16.0" e il percorso del file system "15" anziché "16". Alcuni percorsi elencati nelle tabelle successive non si applicano a SharePoint Foundation 2013.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | Controllo completo | Non applicabile | Non applicabile |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | Lettura e scrittura | Non applicabile | Non applicabile |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | Lettura | No | Questa chiave è la radice dell'albero delle impostazioni del Registro di sistema di SharePoint Server. Se questa chiave viene modificata, la funzionalità di SharePoint Server avrà esito negativo. |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Controllo completo | No | Chiave radice delle impostazioni del Registro di sistema per SharePoint Server 2016. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Lettura e scrittura | No | Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Lettura e scrittura | No | Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se la chiave viene modificata, si interromperà la funzionalità di conversione dei documenti. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | Controllo completo | Non applicabile | Non applicabile |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | Controllo completo | Non applicabile | Non applicabile |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Controllo completo | No | Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se questa chiave viene modificata, l'installazione di SharePoint Server nel computer non funzionerà. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Controllo completo | Sì | Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo WSS_ADMIN_WPG.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Controllo completo | No | Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se questa directory viene modificata o eliminata, l'avvio dei processi potrebbe non riuscire e le azioni amministrative potrebbero non riuscire. |
| C:\Inetpub\wwwroot\wss | Controllo completo | No | Questa directory (o la directory corrispondente nella radice Inetpub nel server) viene usata come percorso predefinito per i siti Web IIS. Se questa directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non riuscire, a meno che non vengano forniti percorsi di siti Web IIS personalizzati per tutti i siti Web IIS estesi con SharePoint Server. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | Controllo completo | No | Questa directory è il percorso di installazione per i file binari e di dati di SharePoint Server 2016. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o rimossa dopo l'installazione, tutte le funzionalità di SharePoint Server avranno esito negativo. L'appartenenza al gruppo di sicurezza WSS_ADMIN_WPG Windows è necessaria per consentire ad alcuni servizi di SharePoint Server di archiviare i dati sul disco. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Lettura e scrittura | No | Questa è la directory radice in cui sono ospitati i servizi Web back-end, ad esempio Excel e il servizio di ricerca. Se questa directory viene rimossa o modificata, le funzionalità di SharePoint Server che dipendono da questi servizi avranno esito negativo. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data | Controllo completo | No | Questa è la directory radice in cui sono archiviati i dati locali, inclusi gli indici di ricerca. Se questa directory viene rimossa o modificata, la funzionalità di ricerca avrà esito negativo. WSS_ADMIN_WPG autorizzazioni del gruppo di sicurezza di Windows sono necessarie per abilitare la funzionalità di ricerca per salvare e proteggere i dati in questa cartella. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Controllo completo | Sì | Questa directory è la posizione in cui viene generata la registrazione diagnostica di runtime. Se questa directory viene rimossa o modificata, la funzionalità di registrazione non funzionerà correttamente. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | Controllo completo | Sì | Come per la cartella padre. |
| %windir%\System32\drivers\etc\HOSTS | Lettura e scrittura | Non applicabile | Non applicabile |
| %windir%\Tasks | Controllo completo | Non applicabile | Non applicabile |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | Modifica | Sì | Questa directory è la directory di installazione per i file di Base di SharePoint Server. Se l'elenco di controllo di accesso (ACL) viene modificato, l'attivazione delle funzionalità, la distribuzione della soluzione e altre funzionalità non funzioneranno correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Controllo completo | Sì | Questa directory contiene i servizi SOAP per Amministrazione centrale. Se questa directory viene modificata, la creazione remota del sito e altri metodi esposti nel servizio non funzioneranno correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Controllo completo | Sì | Questa directory contiene i file usati per estendere i siti Web IIS con SharePoint Server. Se questa directory o il relativo contenuto vengono modificati, il provisioning delle applicazioni Web non funzionerà correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Controllo completo | No | Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
| %windir%\temp | Controllo completo | Sì | Questa directory viene usata dai componenti della piattaforma da cui dipende SharePoint Server. Se l'ACL viene modificato, il rendering della web part e altre operazioni di deserializzazione potrebbero non riuscire. |
| %windir%\System32\logfiles\SharePoint | Controllo completo | No | Questa directory viene utilizzata dalla registrazione dei dati di utilizzo di SharePoint Server. Se questa directory viene modificata, la registrazione dell'utilizzo non funzionerà correttamente. Questa chiave del Registro di sistema è applicabile solo a SharePoint Server. |
| Cartella %systemdrive\Programmi\Microsoft Office Servers\16 nei server di indicizzazione | Controllo completo | Non applicabile | Questa autorizzazione viene concessa per una cartella %systemdrive\Programmi\Microsoft Office Servers\16 nei server di indicizzazione. |
WSS_WPG
WSS_WPG ha accesso in lettura alle risorse locali. Tutti gli account del pool di applicazioni e dei servizi sono inclusi in WSS_WPG. La tabella seguente mostra WSS_WPG autorizzazioni per le voci del Registro di sistema:
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | Lettura | No | Questa chiave è la radice delle impostazioni del Registro di sistema di SharePoint Server. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | Lettura e scrittura | No | Questa chiave contiene le impostazioni per la registrazione diagnostica di SharePoint Server. Se questa chiave viene modificata, la funzionalità di registrazione si interromperà. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Lettura e scrittura | No | Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se questa chiave viene modificata, la funzionalità di conversione del documento si interromperà. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Lettura e scrittura | No | Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se questa chiave viene modificata, la funzionalità di conversione del documento si interromperà. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Lettura | No | Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se questa chiave viene modificata, l'installazione di SharePoint Server 2016 nel computer non funzionerà. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Lettura | Sì | Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg | Lettura | No | Questa chiave contiene le impostazioni che controllano l'accesso remoto al Registro di sistema. |
La tabella seguente illustra le autorizzazioni del file system WSS_WPG:
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Lettura | No | Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se questa directory viene modificata o eliminata, l'avvio dei processi potrebbe non riuscire e le azioni amministrative potrebbero non riuscire. |
| C:\Inetpub\wwwroot\wss | Lettura ed esecuzione | No | Questa directory (o la directory corrispondente nella radice Inetpub nel server) viene usata come percorso predefinito per i siti Web IIS. Se questa directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non riuscire, a meno che non vengano forniti percorsi di siti Web IIS personalizzati per tutti i siti Web IIS estesi con SharePoint Server. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | Lettura ed esecuzione | No | Questa directory è il percorso di installazione per i file binari e i dati di SharePoint Server. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, tutte le funzionalità di SharePoint Server avranno esito negativo. WSS_WPG autorizzazioni di lettura ed esecuzione sono necessarie per consentire ai siti Web IIS di caricare i file binari di SharePoint Server. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | Lettura | No | Questa è la directory radice in cui sono ospitati i servizi Web back-end, ad esempio Excel e il servizio di ricerca. Se questa directory viene rimossa o modificata, le funzionalità di SharePoint Server che dipendono da questi servizi avranno esito negativo. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Lettura e scrittura | Sì | Questa directory è la posizione in cui viene generata la registrazione diagnostica di runtime. Se questa directory viene rimossa o modificata, la funzionalità di registrazione non funzionerà correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Lettura | Sì | Questa directory contiene i servizi SOAP per Amministrazione centrale. Se questa directory viene modificata, la creazione remota del sito e altri metodi esposti nel servizio non funzioneranno correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Lettura | Sì | Questa directory contiene i file usati per estendere i siti Web IIS con SharePoint Server. Se questa directory o il relativo contenuto vengono modificati, il provisioning delle applicazioni Web non funzionerà correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Modifica | No | Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
| %windir%\temp | Lettura | Sì | Questa directory viene usata dai componenti della piattaforma da cui dipende SharePoint Server. Se l'ACL viene modificato, il rendering della web part e altre operazioni di deserializzazione potrebbero non riuscire. |
| %windir%\System32\logfiles\SharePoint | Lettura | No | Questa directory viene utilizzata dalla registrazione dei dati di utilizzo di SharePoint Server. Se questa directory viene modificata, la registrazione dell'utilizzo non funzionerà correttamente. La chiave del Registro di sistema è applicabile solo a SharePoint Server. |
| %systemdrive\program files\Microsoft Office Servers\16 | Lettura ed esecuzione | Non applicabile | Questa autorizzazione viene concessa per una cartella %systemdrive\Programmi\Microsoft Office Servers\16 nei server di indicizzazione. |
Servizio locale
Nella tabella seguente è illustrata l'autorizzazione relative alle voci del Registro di sistema per l'account Servizio locale.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | Lettura | No | Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se questa chiave viene modificata, la funzionalità di conversione del documento si interromperà. |
Nella tabella seguente è illustrata l'autorizzazione relativa al file system per l'account Servizio locale.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | Lettura ed esecuzione | No | Questa directory è il percorso installato dei file binari di SharePoint Server. Se questa directory viene rimossa o modificata, tutte le funzionalità di SharePoint Server avranno esito negativo. |
Sistema locale
Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per l'account Sistema locale.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | Lettura | No | Questa chiave contiene le impostazioni per il servizio di conversione dei documenti. Se questa chiave viene modificata, la funzionalità di conversione del documento si interromperà. Questa chiave del Registro di sistema è applicabile solo a SharePoint Server. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Controllo completo | No | Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se questa chiave viene modificata, l'installazione di SharePoint Server nel computer non funzionerà. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Controllo completo | No | Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre caratteristiche avranno esito negativo. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Controllo completo | Sì | Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per l'account Sistema locale.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Controllo completo | No | Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se questa directory viene modificata o eliminata, l'avvio dei processi potrebbe non riuscire e le azioni amministrative potrebbero non riuscire. |
| C:\Inetpub\wwwroot\wss | Controllo completo | No | Questa directory (o la directory corrispondente nella radice Inetpub nel server) viene usata come percorso predefinito per i siti Web IIS. Se questa directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non riuscire, a meno che non vengano forniti percorsi di siti Web IIS personalizzati per tutti i siti Web IIS estesi con SharePoint Server. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Controllo completo | Sì | Questa directory contiene i servizi SOAP per Amministrazione centrale. Se questa directory viene modificata, la creazione remota del sito e altri metodi esposti nel servizio non funzioneranno correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Controllo completo | Sì | Questa directory contiene i file di configurazione usati per effettuare il provisioning di applicazioni Web e applicazioni di servizio. Se questa directory o il relativo contenuto vengono modificati, il provisioning delle applicazioni Web non funzionerà correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Controllo completo | No | Questa directory contiene i log di traccia dell'installazione e di runtime. Se questa directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
| %windir%\temp | Controllo completo | Sì | Questa directory viene usata dai componenti della piattaforma da cui dipende SharePoint Server. Se l'ACL viene modificato, il rendering della web part e altre operazioni di deserializzazione potrebbero non riuscire. |
| %windir%\System32\logfiles\SharePoint | Controllo completo | No | Questa directory viene utilizzata da SharePoint Server per la registrazione dei dati di utilizzo. Se questa directory viene modificata, la registrazione dell'utilizzo non funzionerà correttamente. Questa chiave del Registro di sistema è applicabile solo a SharePoint Server. |
Servizio di rete
Nella tabella seguente è illustrata l'autorizzazione relativa alle voci del Registro di sistema per l'account Servizio di rete.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | Lettura | Non applicabile | Non applicabile |
Amministratori
Nella tabella seguente sono illustrate le autorizzazioni relative alle voci del Registro di sistema per il gruppo Administrators.
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | Controllo completo | No | Questa chiave contiene la stringa di connessione e l'ID del database di configurazione a cui il computer è collegato. Se questa chiave viene modificata, l'installazione di SharePoint Server nel computer non funzionerà. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Controllo completo | No | Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre caratteristiche avranno esito negativo. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | Controllo completo | Sì | Questa chiave contiene le impostazioni utilizzate durante l'installazione. Se la chiave viene modificata, è possibile che la registrazione diagnostica e l'installazione o la configurazione successiva all'installazione non vengano eseguite correttamente. |
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo amministratori:
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | Controllo completo | No | Questa directory contiene la cache memorizzata nel file system della configurazione della farm. Se questa directory viene modificata o eliminata, l'avvio dei processi potrebbe non riuscire e le azioni amministrative potrebbero non riuscire. |
| C:\Inetpub\wwwroot\wss | Controllo completo | No | Questa directory (o la directory corrispondente nella radice Inetpub nel server) viene usata come percorso predefinito per i siti Web IIS. Se questa directory viene modificata o eliminata, i siti di SharePoint non saranno disponibili e le azioni amministrative potrebbero non riuscire, a meno che non vengano forniti percorsi di siti Web IIS personalizzati per tutti i siti Web IIS estesi con SharePoint Server. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | Controllo completo | Sì | Questa directory contiene i servizi SOAP per Amministrazione centrale. Se questa directory viene modificata, la creazione remota del sito e altri metodi esposti nel servizio non funzioneranno correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | Controllo completo | Sì | Questa directory contiene i file di configurazione usati per effettuare il provisioning di applicazioni Web e applicazioni di servizio. Se questa directory o il relativo contenuto vengono modificati, il provisioning delle applicazioni Web non funzionerà correttamente. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Controllo completo | No | Questa directory contiene i log di traccia dell'installazione e di runtime. Se la directory viene modificata, la registrazione diagnostica non funzionerà correttamente. |
| %windir%\temp | Controllo completo | Sì | Questa directory viene usata dai componenti della piattaforma da cui dipende SharePoint Server. Se l'ACL viene modificato, il rendering della web part e altre operazioni di deserializzazione potrebbero non riuscire. |
| %windir%\System32\logfiles\SharePoint | Controllo completo | No | Questa directory viene utilizzata da SharePoint Server per la registrazione dei dati di utilizzo. Se questa directory viene modificata, la registrazione dell'utilizzo non funzionerà correttamente. Questa chiave del Registro di sistema è applicabile solo a SharePoint Server. |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG è possibile leggere la voce del Registro di sistema delle credenziali di amministrazione della farm crittografata. WSS_RESTRICTED_WPG viene usato solo per la crittografia e la decrittografia delle password archiviate nel database di configurazione. Nella tabella seguente viene illustrata l'autorizzazione per la voce del Registro di sistema WSS_RESTRICTED_WPG :
| Nome chiave | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | Controllo completo | No | Questa chiave contiene la chiave di crittografia utilizzata per archiviare i segreti nel database di configurazione. Se questa chiave viene modificata, il provisioning del servizio e altre caratteristiche avranno esito negativo. |
Gruppo Utenti
Nella tabella seguente sono illustrate le autorizzazioni relative al file system per il gruppo Utenti.
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0 | Lettura ed esecuzione | No | Questa directory è il percorso di installazione per file binari e dati di SharePoint Server. La directory può essere modificata durante l'installazione. Se questa directory viene rimossa, modificata o spostata dopo l'installazione, tutte le funzionalità di SharePoint Server avranno esito negativo. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | Lettura ed esecuzione | No | Questa è la directory radice in cui sono ospitati i servizi Web back-end radice. L'unico servizio installato inizialmente in questa directory è un servizio di amministrazione globale della ricerca. Se questa directory viene rimossa o modificata, alcune funzionalità di amministrazione della ricerca che usano la pagina Impostazioni di amministrazione centrale specifica del server non funzioneranno. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | Lettura e scrittura | Sì | Questa directory è la posizione in cui viene generata la registrazione diagnostica di runtime. Se questa directory viene rimossa o modificata, la registrazione non funzionerà correttamente. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | Lettura ed esecuzione | No | Questa directory è il percorso installato dei file binari di SharePoint Server. Se questa directory viene rimossa o modificata, tutte le funzionalità di SharePoint Server avranno esito negativo. |
Tutti gli account del servizio SharePoint Server
La tabella seguente mostra l'autorizzazione del file system degli account del servizio SharePoint Server:
| Percorso del file system | Autorizzazioni | Eredita | Descrizione |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | Modifica | No | Questa directory contiene i log di traccia dell'installazione e di runtime. Se questa directory viene modificata, la registrazione diagnostica non funzionerà correttamente. Tutti gli account del servizio SharePoint Server devono disporre dell'autorizzazione di scrittura per questa directory. |