アカウントのアクセス許可とセキュリティ設定 (SharePoint サーバー)

適用対象: yes-img-13  2013 yes-img-16 2016  yes-img-19 2019  yes-img-se Subscription Edition  no-img-sop SharePoint in Microsoft 365

この記事では、SharePoint の管理者アカウントとサービス アカウントの権限について説明します。関連する領域は、Microsoft SQL Server、ファイル システム、ファイル共有、およびレジストリ エントリです。

重要

グループ管理サービス アカウントを使用する場合を除き、シンボル $ を含むサービス アカウント名を使用SQL Server。

管理者ロールの詳細については、「SharePoint」を参照Microsoft 365。

アカウントのアクセス許可とセキュリティ設定について SharePoint サーバー

SharePoint の基本的なアカウントのアクセス許可とセキュリティ設定の多くは、完全インストールの最中に実行される SharePoint 製品構成ウィザード (Psconfig) とファーム構成ウィザードにより構成されます。

サービス アカウントの推奨事項

以下のセクションでは、サービス アカウントの推奨事項SharePoint説明します。

サービス アカウントの推奨事項

Microsoft では、ファーム内のサービス アプリケーション プール アカウントの数を最小限に抑える必要があります。 この推奨事項は、適切なレベルのセキュリティを維持しながら、メモリ使用量を削減し、パフォーマンスを向上させる方法です。

  • 管理者特権で個人を特定できるアカウントを使用して、SharePoint、メンテナンス、アップグレードを行います。 このアカウントには、以下に示すファーム管理者アカウントのSharePoint ロールが 保持されます。 管理者SharePoint、ファームの管理者が実行したアクティビティを明確に識別するために、個別のアカウントを使用する必要があります。

  • 可能であれば、セキュリティ グループ である SharePoint ファーム 管理者グループを使用して、個々のファーム管理者アカウントSharePointを統一し、以下に示すアクセス許可を付与します。 セキュリティ グループを使用すると、ファーム管理者アカウントの管理SharePoint大幅に簡素化されます。

  • SharePoint ファーム サービス アカウントは、SharePoint タイマー サービス、SharePoint インサイト (該当する場合)、サーバーの全体管理用 IIS アプリケーション プール、SharePoint Web サービス システム (トポロジ サービスに使用)、および SecurityTokenServiceApplicationPool (セキュリティに使用) のみを実行する必要があります。トークン サービス)。

  • サービス アプリケーション プール アカウントという名前のすべてのサービス アプリケーションに 1 つの アカウントを使用する必要があります。 1 つのアカウントを使用すると、管理者は、すべてのサービス アプリケーションに対して 1 つの IIS アプリケーション プールを使用できます。 さらに、このアカウントは、Windows サービス: SharePoint 検索ホスト コントローラー、SharePoint サーバー検索、および分散キャッシュ (AppFabric キャッシュ サービス) を実行する必要があります。

  • Web アプリケーション プール アカウントという名前のすべての Web アプリケーションに 1 つの アカウントを使用する必要があります。 1 つのアカウントを使用すると、管理者は、すべての Web アプリケーションに対して 1 つの IIS アプリケーション プールを使用できます。 例外はサーバーの全体管理 Web アプリケーションです。これは、上記のように、ファーム サービス アカウントSharePoint実行されます。

  • Windows Token Service アカウントに対するクレームを除き、サービス アプリケーション プール アカウントには、SharePoint サーバーへのローカル管理者アクセス権も、管理者特権の SQL Server ロール (sysadmin 固定役割など) を持つ必要はありません。 データベースSharePointデータベースを事前プロビジョニングし、各データベースに手動でアクセス許可を割り当てない限り、SharePoint管理者アカウントには dbcreator および security SharePoint admin 固定の役割が必要です。

  • サービス アプリケーション プール アカウントは、Windows トークン サービスへのクレームを実行しているアカウントを除き、ローカル セキュリティポリシー \ユーザー 権利の割り当てでリモート デスクトップ サービス経由のログオンを拒否する必要があります。 これらの値は secpol.msc を使用して設定されます

  • 該当する場合は、 コンテンツ アクセス (検索クローラー)、 ポータル スーパー リーダー、 ポータル スーパー ユーザー、 および User Profile Service アプリケーション同期に個別のアカウントを使用します。

  • トークン サービス アカウントWindowsクレームは、ファーム上の特権の高いアカウントです。 このサービスを展開する前に、必要なサービスを確認してください。 必要に応じて、このサービスに別のアカウントを使用します。

サービス アカウントの推奨事項の概要

サービス アカウント名 何に使用されますか? 使用する必要がありますどのように多くの?
SharePointファーム管理者アカウント 管理者の個人を特定SharePointアカウント 1-n
SharePointファーム サービス アカウント Timer Service, インサイト, IIS App for CA, SP Web Services System, Security Token Service App Pool 1
既定のコンテンツ アクセス アカウント 内部および外部ソースのクロールを検索する 1
コンテンツ アクセス アカウント 内部および外部ソースのクロールを検索する 1-n
Web アプリケーション プール アカウント サーバーの全体管理のないすべての Web アプリケーション 1
SharePointサービス アプリケーション プール アカウント すべてのサービス アプリケーション 1
ポータル スーパー リーダー オブジェクト キャッシュ 1
ポータル のスーパー ユーザー オブジェクト キャッシュ 1
User Profile Service アプリケーションの同期 Active Directory のインポートに使用する 1-n

SharePoint 管理アカウント

次のいずれかの SharePoint コンポーネントは、セットアップ プロセスでほとんどの SharePoint 管理アカウント権限を自動的に構成します。

  • SharePoint 製品構成ウィザード (Psconfig)。

  • ファーム構成ウィザード。

  • サーバー SharePointサーバーの全体管理 Web サイト。

  • Microsoft PowerShell.

SharePointファーム管理者アカウント

このアカウントは、SharePoint 製品構成ウィザード、最初のファーム構成ウィザード、および PowerShell を実行してファーム内の各サーバーを設定するときに使用されます。 この記事の例では、SharePointファーム管理者アカウントがファーム管理に使用され、サーバーの全体管理を使用して管理できます。 サーバー検索クエリ サーバーの構成など、一部の構成SharePoint、ローカル管理のアクセス許可が必要です。 ファームSharePointアカウントには、次のアクセス許可が必要です。

  • ドメイン ユーザー アカウントの権限が必要です。

  • このグループは、ローカル ファーム内の各サーバー上のローカル Administrators グループSharePoint必要があります。

  • SharePoint データベースにアクセスできる必要があります。

  • データベースに影響を与える PowerShell 操作を使用する場合は、SharePointファーム管理者アカウントがデータベース ロールの メンバー db_owner 必要があります。

  • セットアップおよび構成時には、SQL Server のセキュリティ ロール securityadmindbcreator に割り当てられている必要があります。

注意

バージョンからバージョンへの完全なアップグレードでは、サービス用に新しいデータベースを作成し、保護する必要がある可能性があるので、SQL Server セキュリティ ロールの securityadmindbcreator が必要になる場合があります。

構成ウィザードを実行すると、ファーム管理者アカウントのコンピューター レベルSharePointアクセス許可が含まれます。

  • セキュリティ グループ WSS_ADMIN_WPG Windowsメンバーシップ。

構成ウィザードを実行すると、次のデータベース権限が与えられます。

  • SharePoint サーバー ファーム構成データベースの db_owner

  • SharePoint サーバーの全体管理 コンテンツ データベースの db_owner

注意事項

構成ウィザードを実行するために使用するアカウントで、適切な特別 SQL Server ロール メンバーシップ、または db_owner としてのデータベースへのアクセス権がない場合、構成ウィザードは正しく実行されません。

SharePointファーム サービス アカウント

データベース SharePoint アクセス アカウントとも呼ばれる SharePoint ファーム サービス アカウントは、サーバーの全体管理のアプリケーション プール ID として、および SharePoint Timer Service のプロセス アカウントとして使用されます。 サーバー ファーム アカウントには次の権限が必要です。

  • ドメイン ユーザー アカウントの権限が必要です。

追加のアクセス許可は、サーバー ファームに参加SharePointサーバー上SharePointファーム サービス アカウントに自動的に付与されます。

セットアップを実行すると、次のコンピューター レベルの権限が与えられます。

  • WSS_ADMIN_WPG Windowsタイマー サービスのセキュリティ グループSharePointメンバーシップ。

  • サーバーの全体WSSおよび Timer Service アプリケーション プールの WSS_RESTRICTED_WPG のメンバーシップ。

  • サーバーの 全体WSSアプリケーション プールの WSS_WPG のメンバーシップ。

構成ウィザードを実行すると、次の SQL Server 権限とデータベース権限が与えられます。

  • Dbcreator 固定サーバー ロール

  • Securityadmin 固定サーバー ロール

  • すべての SharePoint データベースの db_owner

  • サーバー ファーム 構成データベースWSS_CONTENT_APPLICATION_POOLS 役割SharePointメンバーシップ。

  • コンテンツ データベースの WSS_CONTENT_APPLICATION_POOLS ロールSharePoint_Adminメンバーシップ。

SharePointアプリケーション プール アカウント

このセクションでは、インストール時SharePoint既定でセットアップされるアプリケーション プール アカウントの詳細について説明します。

既定のコンテンツ アクセス アカウント

既定のコンテンツ アクセス アカウントは、URL または URL パターンのクロール ルールで別の認証方法が指定されていない限り、特定のサービス アプリケーション内でコンテンツをクロールする場合に使用されます。このアカウントには、次に示す権限の構成設定が必要です。

  • 既定のコンテンツ アクセス アカウントは、ドメイン ユーザー アカウントである必要があり、このアカウントを使用してクロールする外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースへの読み取りアクセス権を必要とします。

  • SharePoint Server サイトがサーバー ファームに含まれていない場合は、このアカウントには、サイトをホストする Web アプリケーションへのすべての読み取り権限を明示的に与える必要があります。

  • このアカウントはファーム管理者グループのメンバーであってはなりません。

コンテンツ アクセス アカウント

コンテンツ アクセス アカウントは、検索管理のクロール ルール機能を使用してコンテンツにアクセスするために構成されます。このアカウントは省略でき、新しいクロール ルールを作成するときに構成できます。たとえば、外部のコンテンツ (ファイル共有など) では、この独立したコンテンツ アクセス アカウントが要求されることがあります。このアカウントには、次に示すアクセス許可の構成設定が必要です。

  • コンテンツ アクセス アカウントには、このアカウントがアクセスするように構成されている外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースへの読み取りアクセス権が必要です。

  • SharePoint Server サイトがサーバー ファームに含まれていない場合は、このアカウントには、サイトをホストする Web アプリケーションへのすべての読み取り権限を明示的に与える必要があります。

Web アプリケーション プール アカウント

Web アプリケーション プール アカウントは、ドメイン ユーザー アカウントである必要があります。 このアカウントはファーム管理者グループのメンバーであってはなりません。

このアカウントは、サーバーの全体管理を使用しないすべての Web アプリケーションで使用する必要があります。

次のコンピューター レベルのアクセス許可が自動的に構成されます。このアカウントは 、WSS_WPG のメンバーです

次の SQL Server 権限とデータベース権限が自動的に構成されます。

  • このアカウントは、ファーム 構成データベースにWSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。

  • このアカウントは、管理者コンテンツ データベースWSS関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールSharePoint割り当てられます。

  • Web アプリケーションのアプリケーション プール アカウントは、コンテンツ データベースの SPDataAccess ロールに割り当てられます。

SharePointサービス アプリケーション プール アカウント

サービス SharePoint プール アカウントは、ドメイン ユーザー アカウントである必要があります。 このアカウントは、サーバー ファーム内のコンピューター上の Administrators グループのメンバーであってはなりません。

次のコンピューター レベルのアクセス許可が自動的に構成されます。このアカウントは 、WSS_WPG のメンバーです

次の SQL Server 権限とデータベース権限が自動的に構成されます。

  • このアカウントは、コンテンツ データベース の SPDataAccess ロールに割り当てられます。

  • このアカウントは、Web アプリケーションに関連付けられている検索データベースの SPDataAccess ロールに割り当てられます。

  • このアカウントには、関連付 けられたサービス アプリケーション データベースへの読み 取りおよび書き込みアクセス権が必要です。

  • このアカウントは、ファーム 構成データベースにWSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。

  • このアカウントは、コンテンツ データベースWSS関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールSharePoint_Adminされます。

SharePoint データベース ロール

このセクションでは、インストールによってデフォルトで設定されるデータベース ロールまたはオプションで構成できるデータベース ロールについて説明します。

WSS_CONTENT_APPLICATION_POOLS データベース ロール

WSS_CONTENT_APPLICATION_POOLS データベース ロールは、アプリケーション ファームに登録されている各 Web アプリケーションのアプリケーション プール アカウントSharePointされます。 この役割の適用性により、Web アプリケーションはサイト マップのクエリと更新を行い、構成データベース内の他のアイテムへの読み取り専用アクセス権を持つ。 セットアップでは 、WSS_CONTENT_APPLICATION_POOLS ロールが次のデータベースに割り当てされます。

  • 構成SharePoint (構成データベース)

  • 管理者SharePointデータベース

WSS_CONTENT_APPLICATION_POOLS ロールのメンバーは、データベースのストアド プロシージャのサブセットに対する実行アクセス許可を持っています。 さらに、このロールのメンバーには、SharePoint_AdminContent データベースの Versions テーブル (dbo.Versions) に対する選択権限があります。 その他のデータベースについては、それらのデータベースを読み取るためのアクセス権が自動的に構成されることがアカウント計画ツールで示されます。 場合によっては、データベースに書き込むための制限付きアクセス権も自動的に構成されます。 このアクセスを可能にするために、ストアド プロシージャに対する権限が構成されます。

SharePoint_SHELL_ACCESSロール

構成データベース SharePoint_SHELL_ACCESS のセキュリティで保護されたデータベース ロールは、構成データベースに管理アカウントを追加する db_ownerに置 き換わる。 既定では、セットアップ アカウントはデータベース の役割SharePoint_SHELL_ACCESS割 当てられます。 PowerShell コマンドを使って、このロールにメンバーシップを付与するまたは取り消すことができます。 セットアップでは、SharePoint_SHELL_ACCESSロール 次のデータベースに割り当てされます。

  • SharePoint_Config データベース (構成データベース)。

  • 1 つ以上の SharePoint コンテンツ データベース。 このデータベースは、メンバーシップとこの役割に割り当てられているオブジェクトを管理する PowerShell コマンドを使用して構成できます。

データベース ロールの SharePoint_SHELL_ACCESS は、データベースのすべてのストアド プロシージャに対する実行アクセス許可を持っています。 さらに、このロールのメンバーには、すべてのデータベース テーブルの読み取りおよび書き込み権限があります。

SPREADONLY データベースの役割

SPREADONLY ロールは、データベースを使用する代わりに読み取り専用モードに設定sp_dboption。 このロールは、その名前が示すとおり、使用状況データやテレメトリ データなどで読み取りアクセスのみが必要な場合に使用します。

注意

sp_dboption ストアド プロシージャは SQL Server 2012 では使えません。sp_dboption の詳細については、「sp_dboption (Transact-SQL)」を参照してください。

SPREADONLY SQLロールには、次のアクセス許可があります。

  • すべての SharePoint ストアド プロシージャおよび関数に対する SELECT を付与します。

  • すべての SharePoint テーブルに対する SELECT を付与する。

  • スキーマが dbo のユーザー定義の型に対する EXECUTE を付与します。

SPDataAccess データベースの役割

SPDataAccess ロールは データベース アクセスの既定の役割であり、データベースへのすべてのオブジェクト モデル レベルのアクセスに使用する必要があります。 アップグレードまたは新しい展開の際にこのロールにアプリケーション プール アカウントを追加します。

注意

SPDataAccess の役割は、サーバー 2016 db_ownerロールSharePoint置き換えました。

SPDataAccess ロールには、次のアクセス許可があります。

  • すべての SharePoint ストアド プロシージャおよび関数に対する EXECUTE または SELECT を付与します。

  • すべての SharePoint テーブルに対する SELECT を付与します。

  • スキーマが dbo のユーザー定義の型に対する EXECUTE を付与します。

  • AllUserDataJunctions テーブルに対する INSERT を付与します。

  • Sites ビューに対する UPDATE を付与します。

  • UserData ビューに対する UPDATE を付与します。

  • AllUserData テーブルに対する UPDATE を付与します。

  • NameValuePair テーブルに対する INSERT および DELETE を付与します。

  • テーブルの作成許可を付与します。

グループのアクセス許可

このセクションでは、サーバー 2016 および 2019 SharePointセットアップおよび構成ツールが作成するグループのアクセス許可について説明します。

WSS_ADMIN_WPG

WSS_ADMIN_WPG には 、ローカル リソースへの読み取りおよび書き込みアクセス権があります。 サーバーの全体管理サービスとタイマー サービスのアプリケーション プール アカウントは 、WSS_ADMIN_WPG に含めます。 次の表に 、WSS_ADMIN_WPG レジストリ エントリのアクセス許可を示します。

注意

SharePoint 2013 では、"16.0" ではなくレジストリ パス "15.0"、"16" の代わりにファイル システム パス "15" が使用されます。 以下に示す一部のパスは、SharePoint Foundation 2013 には適用されません。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS フル コントロール 該当なし 該当なし
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} 読み取り、書き込み 該当なし 該当なし
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server 読み取り いいえ このキーは、サーバーレジストリSharePointツリーのルートです。 このキーを変更すると、サーバー SharePoint機能が失敗します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 フル コントロール なし このキーは SharePoint Server 2016 のレジストリ設定のルートです。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings 読み取り、書き込み なし このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings 読み取り、書き込み なし このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search フル コントロール 該当なし 該当なし
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search フル コントロール 該当なし 該当なし
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure フル コントロール なし このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーが変更された場合、コンピューター SharePointサーバー のインストールは機能しません。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS フル コントロール はい このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する可能性があります。

次の表に、WSS_ADMIN_WPG のファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%AllUsersProfile%\ Microsoft\SharePoint フル コントロール なし このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。
C:\Inetpub\wwwroot\wss フル コントロール なし このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 SharePointサイトは使用できなく、SharePoint Server で拡張されたすべての IIS Web サイトにカスタム IIS Web サイト パスが提供されていない限り、このディレクトリが変更または削除された場合は管理アクションが失敗する可能性があります。
%ProgramFiles%\Microsoft Office Servers\16.0 フル コントロール なし このディレクトリは、SharePoint Server 2016 のバイナリとデータがインストールされる場所です。 ディレクトリはインストール時に変更できます。 インストールSharePointこのディレクトリが削除、変更、または削除されると、サーバーのすべての機能が失敗します。 WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップは、一部の SharePoint Server サービスがディスクにデータを格納するために必要です。
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices 読み取り、書き込み なし このディレクトリは、Excel、Search など、バックエンドの Web サービスがホストされるルート ディレクトリです。 これらのSharePointに依存するサーバー機能は、このディレクトリが削除または変更されると失敗します。
%ProgramFiles%\Microsoft Office Servers\16.0\Data フル コントロール なし このディレクトリは、検索インデックスをはじめとするローカル データが格納されるルートの場所です。このディレクトリを削除または変更すると、検索機能が失敗します。検索でこのフォルダーにデータを保存してセキュリティで保護するには、WSS_ADMIN_WPG Windows セキュリティ グループ権限が必要です。
%ProgramFiles%\Microsoft Office Servers\16.0\Logs フル コントロール あり このディレクトリは、ランタイム診断ログが生成される場所です。このディレクトリを削除または変更すると、ログ機能が正しく機能しなくなります。
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server フル コントロール あり 親フォルダーと同じです。
%windir%\System32\drivers\etc\HOSTS 読み取り、書き込み 該当なし 該当なし
%windir%\Tasks フル コントロール 該当なし 該当なし
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 変更 はい このディレクトリは、サーバー ファイルのコア SharePointディレクトリです。 アクセス制御リスト (ACL) を変更すると、機能のアクティブ化、ソリューションの展開などの機能が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI フル コントロール はい このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG フル コントロール はい このディレクトリには、IIS Web サイトをサーバーで拡張するために使用SharePointがあります。 このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS フル コントロール なし このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。
%windir%\temp フル コントロール はい このディレクトリは、サーバーが依存するプラットフォーム コンポーネントSharePoint使用されます。 アクセス制御リストを変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。
%windir%\System32\logfiles\SharePoint フル コントロール なし このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 このレジストリ キーは SharePoint Server にのみ適用されます。
インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\16 フォルダー フル コントロール 該当しない このアクセス許可は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\16 フォルダーに与えられます。

WSS_WPG

WSS_WPG には、 ローカル リソースへの読み取りアクセス権があります。 すべてのアプリケーション プール アカウントおよびサービス アカウントは、WSS_WPG です。 次の表に 、WSS_WPG レジストリ エントリのアクセス許可を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 読み取り いいえ このキーは、サーバーレジストリ設定SharePointルートです。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics 読み取り、書き込み なし このキーには、サーバー診断ログSharePoint設定が含まれる。 このキーを変更すると、ログ機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings 読み取り、書き込み なし このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings 読み取り、書き込み なし このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure 読み取り なし このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。このキーを変更すると、コンピューター上の SharePoint Server 2016 インストールが機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS 読み取り はい このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する可能性があります。

次の表に、WSS_WPG のファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%AllUsersProfile%\ Microsoft\SharePoint 読み取り なし このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。
C:\Inetpub\wwwroot\wss 読み取り、実行 なし このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 SharePointサイトは使用できなく、SharePoint Server で拡張されているすべての IIS Web サイトにカスタム IIS Web サイト パスが提供されていない限り、このディレクトリが変更または削除された場合、管理アクションが失敗する可能性があります。
%ProgramFiles%\Microsoft Office Servers\16.0 読み取り、実行 なし このディレクトリは、サーバー のバイナリとデータSharePointインストール場所です。 ディレクトリはインストール時に変更できます。 インストールSharePointこのディレクトリが削除、変更、または移動されると、サーバーのすべての機能が失敗します。 WSS_WPG の読み取りおよび実行のアクセス許可は、IIS サイトがサーバー バイナリを読み込SharePoint必要です。
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices 読み取り なし このディレクトリは、Excel、Search など、バックエンドの Web サービスがホストされるルート ディレクトリです。 これらのSharePointに依存するサーバー機能は、このディレクトリが削除または変更されると失敗します。
%ProgramFiles%\Microsoft Office Servers\16.0\Logs 読み取り、書き込み あり このディレクトリは、ランタイム診断ログが生成される場所です。このディレクトリを削除または変更すると、ログ機能が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI 読み取り はい このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG 読み取り はい このディレクトリには、IIS Web サイトをサーバーで拡張するために使用SharePointがあります。 このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS 変更 なし このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。
%windir%\temp 読み取り はい このディレクトリは、サーバーが依存するプラットフォーム コンポーネントSharePoint使用されます。 アクセス制御リストを変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。
%windir%\System32\logfiles\SharePoint 読み取り なし このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 このレジストリ キーは SharePoint Server にのみ適用されます。
%systemdrive\program files\Microsoft Office Servers\16 読み取り、実行 該当しない このアクセス許可は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\16 フォルダーに与えられます。

ローカル サービス

次の表に、ローカル サービスのレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings 読み取り なし このキーにはドキュメント変換サービスの設定が格納されています。このキーを変更すると、ドキュメント変換機能が機能しなくなります。

次の表に、ローカル サービスのファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%ProgramFiles%\Microsoft Office Servers\16.0\Bin 読み取り、実行 なし このディレクトリは、サーバー バイナリのインストールSharePoint場所です。 このディレクトリSharePoint変更すると、サーバーのすべての機能が失敗します。

ローカル システム

次の表に、ローカル システムのレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings 読み取り なし このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が機能しなくなります。 このレジストリ キーは SharePoint Server にのみ適用されます。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure フル コントロール なし このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーが変更された場合、コンピューター SharePointサーバー のインストールは機能しません。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin フル コントロール なし このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。このキーを変更すると、サービスの準備やその他の機能が失敗します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS フル コントロール はい このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する可能性があります。

次の表に、ローカル ファイル システムの権限を示します。

ファイル システム パス アクセス許可 継承 説明
%AllUsersProfile%\ Microsoft\SharePoint フル コントロール なし このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。
C:\Inetpub\wwwroot\wss フル コントロール なし このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 SharePointサイトは使用できなく、SharePoint Server で拡張されているすべての IIS Web サイトにカスタム IIS Web サイト パスが提供されていない限り、このディレクトリが変更または削除された場合、管理アクションが失敗する可能性があります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI フル コントロール はい このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG フル コントロール あり このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS フル コントロール なし このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。
%windir%\temp フル コントロール はい このディレクトリは、サーバーが依存するプラットフォーム コンポーネントSharePoint使用されます。 アクセス制御リストを変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。
%windir%\System32\logfiles\SharePoint フル コントロール なし このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 このレジストリ キーは SharePoint Server にのみ適用されます。

ネットワーク サービス

次の表に、ネットワーク サービスのレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup 読み取り 該当なし 該当なし

管理者

次の表に、管理者のレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure フル コントロール なし このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーが変更された場合、コンピューター SharePointサーバー のインストールは機能しません。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin フル コントロール なし このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。このキーを変更すると、サービスの準備やその他の機能が失敗します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS フル コントロール はい このキーにはセットアップ時に使用される設定が格納されています。このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する可能性があります。

次の表に、管理者のファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%AllUsersProfile%\ Microsoft\SharePoint フル コントロール なし このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。
C:\Inetpub\wwwroot\wss フル コントロール なし このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 SharePointサイトは使用できなく、SharePoint Server で拡張されているすべての IIS Web サイトにカスタム IIS Web サイト パスが提供されていない限り、このディレクトリを変更または削除すると管理アクションが失敗する可能性があります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI フル コントロール はい このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG フル コントロール あり このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS フル コントロール なし このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。このディレクトリを変更すると、診断ログが正しく機能しなくなります。
%windir%\temp フル コントロール はい このディレクトリは、サーバーが依存するプラットフォーム コンポーネントSharePoint使用されます。 ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。
%windir%\System32\logfiles\SharePoint フル コントロール なし このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。 このレジストリ キーは SharePoint Server にのみ適用されます。

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG は 、暗号化されたファーム管理資格情報レジストリ エントリを読み取る場合があります。 WSS_RESTRICTED_WPG は、構成データベースに格納されているパスワードの暗号化と復号化にのみ使用されます。 次の表に 、WSS_RESTRICTED_WPG レジストリ エントリのアクセス許可を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin フル コントロール なし このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。このキーを変更すると、サービスの準備やその他の機能が失敗します。

ユーザー グループ

次の表に、ユーザー グループのファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%ProgramFiles%\Microsoft Office Servers\16.0 読み取り、実行 なし このディレクトリは、サーバー バイナリとデータSharePointインストール場所です。 ディレクトリはインストール時に変更できます。 インストールSharePointこのディレクトリが削除、変更、または移動されると、サーバーのすべての機能が失敗します。
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root 読み取り、実行 なし このディレクトリは、バックエンドのルート Web サービスがホストされるルート ディレクトリです。このディレクトリに最初にインストールされるのは、検索グローバル管理サービスだけです。このディレクトリを削除または変更すると、サーバー固有のサーバーの サーバーの全体管理 [設定] ページを使用する検索管理機能の一部が機能しなくなります。
%ProgramFiles%\Microsoft Office Servers\16.0\Logs 読み取り、書き込み あり このディレクトリは、ランタイム診断ログが生成される場所です。このディレクトリを削除または変更すると、ログが正しく機能しなくなります。
%ProgramFiles%\Microsoft Office Servers\16.0\Bin 読み取り、実行 なし このディレクトリは、サーバー バイナリのインストールSharePoint場所です。 このディレクトリが削除SharePoint変更されると、サーバーのすべての機能が失敗します。

すべての SharePoint サーバー サービス アカウント

次の表に、すべてのサーバー サービス SharePointファイル システムのアクセス許可を示します。

ファイル システム パス アクセス許可 継承 説明
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS 変更 なし このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 このディレクトリを変更すると、診断ログが正しく機能しなくなります。 すべてのサーバー SharePointアカウントには、このディレクトリへの書き込みアクセス許可が必要です。

関連項目

概念

SharePoint Server 2016 をインストールおよび構成する