SharePoint 서버의 계정 권한 및 보안 설정
적용 대상:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
이 문서에서는 Microsoft SQL Server, 파일 시스템, 파일 공유 및 레지스트리 항목 영역과 관련한 SharePoint 관리 및 서비스 계정의 권한에 대해 설명합니다.
중요
SQL Server 그룹 관리 서비스 계정을 사용하는 경우를 제외하고 기호 $가 포함된 서비스 계정 이름을 사용하지 마세요.
Microsoft 365의 SharePoint 관리자 역할에 대해 자세히 알아보세요.
SharePoint 서버의 계정 권한 및 보안 설정 정보
SharePoint 제품 구성 마법사(Psconfig) 및 팜 구성 마법사는 모두 전체 설치 과정에서 실행되며 대부분의 SharePoint 기준 계정 권한 및 보안 설정을 구성합니다.
서비스 계정 권장 사항
다음 섹션에서는 SharePoint Service 계정에 대한 권장 사항을 설명합니다.
서비스 계정 권장 사항
팜에서 최소한의 서비스 애플리케이션 풀 계정을 사용하는 것이 좋습니다. 이 권장 사항은 적절한 수준의 보안을 유지하면서 메모리 사용량을 줄이고 성능을 높이는 것입니다.
SharePoint 설치, 유지 관리 및 업그레이드에 대해 관리자 권한, 개인 식별 가능 계정을 사용합니다. 이 계정은 SharePoint 팜 관리자 계정에 설명된 대로 필요한 역할을 보유합니다. 각 SharePoint 관리자는 팜에서 수행된 활동을 명확하게 식별할 수 있도록 별도의 계정을 사용해야 합니다.
가능하면 보안 그룹인 SharePoint 팜 관리자 그룹을 사용하여 모든 개별 SharePoint 팜 관리자 계정을 통합하고 SharePoint 팜 관리자 계정에 설명된 대로 권한을 부여합니다. 이렇게 하면 보안 그룹을 사용하면 SharePoint 팜 관리자 계정의 관리가 크게 간소화됩니다.
SharePoint 팜 서비스 계정은 SharePoint 타이머 서비스, SharePoint Insights(해당하는 경우), 중앙 관리를 위한 IIS 애플리케이션 풀, SharePoint 웹 서비스 시스템(토폴로지 서비스에 사용됨) 및 SecurityTokenServiceApplicationPool(보안 토큰 서비스에 사용됨)만 실행해야 합니다.
서비스 애플리케이션 풀 계정이라는 모든 서비스 애플리케이션에 단일 계정을 사용해야 합니다. 이렇게 단일 계정을 사용하면 관리자가 모든 서비스 애플리케이션에 단일 IIS 애플리케이션 풀을 사용할 수 있습니다. 또한 이 계정은 SharePoint Search 호스트 컨트롤러, SharePoint Server Search 및 분산 캐시(AppFabric 캐싱 서비스)와 같은 Windows 서비스를 실행해야 합니다.
웹 애플리케이션 풀 계정이라는 모든 웹 애플리케이션에 단일 계정을 사용해야 합니다. 이렇게 단일 계정을 사용하면 관리자가 SharePoint 팜 서비스 계정으로 실행되는 중앙 관리 웹 애플리케이션을 제외한 모든 웹 애플리케이션에 단일 IIS 애플리케이션 풀을 사용할 수 있습니다.
Windows 토큰 서비스 계정에 대한 클레임을 제외하고 서비스 애플리케이션 풀 계정에는 SharePoint 서버에 대한 로컬 관리자 액세스 권한이나 관리자 권한 SQL Server 역할(예: sysadmin 고정 역할)이 없어야 합니다. SharePoint 데이터베이스를 미리 프로비전하고 각 데이터베이스에 권한을 수동으로 할당하지 않는 한 SharePoint 팜 관리자 계정에는 dbcreator 및 securityadmin 고정 역할이 필요합니다.
Windows 토큰 서비스에 대한 클레임을 실행하는 계정을 제외한 서비스 애플리케이션 풀 계정에는 로컬 보안 정책\사용자 권한 할당에서 로컬로 로그온 거부 및 원격 데스크톱 서비스를 통한 로그온 거부가 있어야 합니다. 이러한 값은 secpol.msc를 통해 설정됩니다.
해당하는 경우 콘텐츠 액세스(검색 크롤러), 포털 슈퍼 리더, 포털 슈퍼 사용자 및 사용자 프로필 서비스 애플리케이션 동기화에 별도의 계정을 사용합니다.
Windows 토큰 서비스 계정에 대한 클레임은 팜에서 높은 권한의 계정입니다. 이 서비스를 배포하기 전에 필요한지 확인합니다. 필요한 경우 이 서비스에 대해 별도의 계정을 사용합니다.
서비스 계정 권장 사항 개요
| 서비스 계정 이름 | 무엇을 위해 사용됩니까? | 얼마나 많이 사용해야 하나요? |
|---|---|---|
| SharePoint 팜 관리자 계정 | SharePoint 관리자에 대한 개인 식별 계정 | 1-n |
| SharePoint 팜 서비스 계정 | 타이머 서비스, 인사이트, CA용 IIS 앱, SP 웹 서비스 시스템, 보안 토큰 서비스 앱 풀 | 1 |
| 기본 콘텐츠 액세스 계정 | 내부 및 외부 원본 크롤링 검색 | 1 |
| 콘텐츠 액세스 계정 | 내부 및 외부 원본 크롤링 검색 | 1-n |
| 웹 애플리케이션 풀 계정 | 중앙 관리가 없는 모든 웹 애플리케이션 | 1 |
| SharePoint Service 애플리케이션 풀 계정 | 모든 서비스 애플리케이션 | 1 |
| 포털 슈퍼 판독기 | 개체 캐싱 | 1 |
| 포털 슈퍼 사용자 | 개체 캐싱 | 1 |
| 사용자 프로필 서비스 애플리케이션 동기화 | Active Directory 가져오기에 사용됨 | 1-n |
SharePoint 관리 계정
다음 SharePoint 구성 요소 중 하나가 설치 프로세스 중에 대부분의 SharePoint 관리 계정 권한을 자동으로 구성합니다.
SharePoint 제품 구성 마법사(Psconfig)
팜 구성 마법사
SharePoint 중앙 관리 웹 사이트입니다.
Microsoft PowerShell.
SharePoint 팜 관리자 계정
이 계정은 SharePoint 제품 구성 마법사(Psconfig), 초기 팜 구성 마법사 및 PowerShell을 실행하여 팜의 각 서버를 설정하는 데 사용됩니다. 이 문서의 예제에서는 SharePoint 팜 관리자 계정이 팜 관리에 사용되며 중앙 관리를 사용하여 관리할 수 있습니다. 일부 구성 옵션(예: SharePoint Server Search 쿼리 서버 구성)에는 로컬 관리 권한이 필요합니다. SharePoint 팜 관리자 계정에는 다음과 같은 요구 사항이 있습니다.
도메인 사용자 계정 사용 권한이 있어야 합니다.
SharePoint 팜의 각 서버에서 로컬 관리자 그룹의 구성원이어야 합니다.
SharePoint 데이터베이스에 대한 권한이 있어야 합니다.
데이터베이스에 영향을 주는 PowerShell 작업을 사용하는 경우 SharePoint 팜 관리자 계정은 db_owner 역할의 멤버여야 합니다.
설치 및 구성 과정에서 이 계정을 securityadmin 및 dbcreatorSQL Server 보안 역할에 할당해야 합니다.
참고
전체 버전 간 업그레이드 과정에서 서비스에 사용할 새 데이터베이스를 만들고 보호해야 할 수 있으므로 이 계정에 securityadmin 및 dbcreatorSQL Server 보안 역할이 필요할 수 있습니다.
구성 마법사를 실행한 후 SharePoint 팜 관리자 계정에 대한 컴퓨터 수준 권한에는 다음이 포함됩니다.
- WSS_ADMIN_WPG Windows 보안 그룹의 멤버 자격.
구성 마법사를 실행하고 나면 데이터베이스 권한에는 다음이 포함됩니다.
SharePoint 서버 팜 구성 데이터베이스에 대한 db_owner
SharePoint 중앙 관리콘텐츠 데이터베이스에 대한 db_owner
주의
구성 마법사를 실행하는 데 사용하는 계정에 데이터베이스의 db_owner 적절한 특수 SQL Server 역할 멤버 자격 또는 액세스 권한이 없는 경우 구성 마법사가 올바르게 실행되지 않습니다.
SharePoint 팜 서비스 계정
데이터베이스 액세스 계정이라고도 하는 SharePoint 팜 서비스 계정은 중앙 관리의 애플리케이션 풀 ID 및 SharePoint 타이머 서비스의 프로세스 계정으로 사용됩니다. 서버 팜 계정에는 다음과 같은 요구 사항이 있습니다.
- 도메인 사용자 계정 사용 권한이 있어야 합니다.
추가 권한은 서버 팜에 조인된 SharePoint 서버의 SharePoint 팜 서비스 계정에 자동으로 부여됩니다.
설치 프로그램을 실행하고 나면 컴퓨터 수준 권한에는 다음이 포함됩니다.
SharePoint 타이머 서비스에 대한 WSS_ADMIN_WPG Windows 보안 그룹의 멤버 자격입니다.
중앙 관리 및 타이머 서비스 애플리케이션 풀에 대한 WSS_RESTRICTED_WPG 멤버 자격.
중앙 관리 애플리케이션 풀에 대한 WSS_WPG 멤버 자격.
구성 마법사를 실행하고 나면 SQL Server 및 데이터베이스 권한에는 다음이 포함됩니다.
Dbcreator 고정 서버 역할
Securityadmin 고정 서버 역할
모든 SharePoint 데이터베이스에 대한 db_owner
SharePoint 서버 팜 구성 데이터베이스에 대한 WSS_CONTENT_APPLICATION_POOLS 역할의 멤버 자격입니다.
SharePoint_Admin 콘텐츠 데이터베이스에 대한 WSS_CONTENT_APPLICATION_POOLS 역할의 멤버 자격입니다.
SharePoint 애플리케이션 풀 계정
이 섹션에서는 설치 중에 기본적으로 설정된 SharePoint 애플리케이션 풀 계정에 대해 설명합니다.
기본 콘텐츠 액세스 계정
기본 콘텐츠 액세스 계정은 URL 또는 URL 패턴에 대해 크롤링 규칙에서 다른 인증 방법을 지정한 경우가 아니면 특정 서비스 응용 프로그램 내에서 콘텐츠를 크롤링하는 데 사용됩니다. 이 계정에는 다음과 같은 사용 권한 구성 설정이 필요합니다.
기본 콘텐츠 액세스 계정은 이 계정을 사용하여 크롤링하려는 외부 또는 보안 콘텐츠 원본에 대한 읽기 권한이 있는 도메인 사용자 계정이어야 합니다.
서버 팜에 속하지 않는 SharePoint Server 사이트의 경우 사이트를 호스트하는 웹 애플리케이션에 이 계정에 전체 읽기 권한을 명시적으로 부여해야 합니다.
Farm Administrators 그룹의 구성원이어서는 안 됩니다.
콘텐츠 액세스 계정
콘텐츠 액세스 계정은 검색 관리 크롤링 규칙 기능을 사용하여 콘텐츠에 액세스하도록 구성됩니다. 이 유형의 계정은 새 크롤링 규칙을 만들 때 필요에 따라 구성할 수 있습니다. 예를 들어 파일 공유 같은 외부 콘텐츠에는 이와 같은 별도의 콘텐츠 액세스 계정이 필요할 수 있습니다. 이 계정에는 다음과 같은 사용 권한 구성 설정이 필요합니다.
콘텐츠 액세스 계정에는 이 계정이 액세스하도록 구성된 외부 또는 보안 콘텐츠 원본에 대한 읽기 권한이 있어야 합니다.
서버 팜에 속하지 않는 SharePoint Server 사이트의 경우 사이트를 호스트하는 웹 애플리케이션에 이 계정에 전체 읽기 권한을 명시적으로 부여해야 합니다.
웹 애플리케이션 풀 계정
웹 애플리케이션 풀 계정은 도메인 사용자 계정이어야 합니다. Farm Administrators 그룹의 구성원이어서는 안 됩니다.
이 계정은 중앙 관리가 없는 모든 웹 애플리케이션에 사용해야 합니다.
다음 컴퓨터 수준 권한이 자동으로 구성됩니다.
- 이 계정은 WSS_WPG 멤버입니다.
다음과 같은 SQL Server 및 데이터베이스 권한이 자동으로 구성됩니다.
이 계정은 팜 구성 데이터베이스와 연결된 WSS_CONTENT_APPLICATION_POOLS 역할에 할당됩니다.
이 계정은 SharePoint 관리 콘텐츠 데이터베이스와 연결된 WSS_CONTENT_APPLICATION_POOLS 역할에 할당됩니다.
웹 애플리케이션에 대한 애플리케이션 풀 계정은 콘텐츠 데이터베이스에 대한 SPDataAccess 역할에 할당됩니다.
SharePoint Service 애플리케이션 풀 계정
SharePoint Service 애플리케이션 풀 계정은 도메인 사용자 계정이어야 합니다. 이 계정은 서버 팜의 컴퓨터에서 Administrators 그룹의 구성원이 아니어야 합니다.
다음 컴퓨터 수준 권한이 자동으로 구성됩니다.
- 이 계정은 WSS_WPG 멤버입니다.
다음 SQL Server 및 데이터베이스 요구 사항/권한이 자동으로 구성됩니다.
이 계정은 콘텐츠 데이터베이스에 대한 SPDataAccess 역할에 할당됩니다.
이 계정은 웹 애플리케이션과 연결된 검색 데이터베이스에 대한 SPDataAccess 역할에 할당됩니다.
이 계정에는 연결된 서비스 애플리케이션 데이터베이스에 대한 읽기 및 쓰기 액세스 권한이 있어야 합니다.
이 계정은 팜 구성 데이터베이스와 연결된 WSS_CONTENT_APPLICATION_POOLS 역할에 할당됩니다.
이 계정은 SharePoint_Admin 콘텐츠 데이터베이스와 연결된 WSS_CONTENT_APPLICATION_POOLS 역할에 할당됩니다.
SharePoint 데이터베이스 역할
이 섹션에서는 설치 과정에서 기본적으로 설치되거나 원하는 경우 구성할 수 있는 데이터베이스 역할에 대해 설명합니다.
WSS_CONTENT_APPLICATION_POOLS 데이터베이스 역할
WSS_CONTENT_APPLICATION_POOLS 데이터베이스 역할은 SharePoint 팜에 등록된 각 웹 애플리케이션의 애플리케이션 풀 계정에 적용됩니다. 이 역할 적용 가능성을 통해 웹 애플리케이션은 사이트 맵을 쿼리 및 업데이트하고 구성 데이터베이스의 다른 항목에 대한 읽기 전용 액세스 권한을 가질 수 있습니다. 설치 프로그램은 다음 데이터베이스에 WSS_CONTENT_APPLICATION_POOLS 역할을 할당합니다.
SharePoint 구성 데이터베이스(구성 데이터베이스)
SharePoint 관리 Content 데이터베이스
WSS_CONTENT_APPLICATION_POOLS 역할의 멤버는 데이터베이스에 대한 저장 프로시저의 하위 집합에 대한 실행 권한을 갖습니다. 또한 이 역할의 멤버는 버전 테이블(dbo)에 대한 선택 권한이 있습니다. SharePoint_AdminContent 데이터베이스의 버전) 다른 데이터베이스의 경우 계정 계획 도구에 이러한 데이터베이스에 대한 읽기 권한이 자동으로 구성되어 있다고 나타납니다. 데이터베이스에 대한 제한적 쓰기 권한이 자동으로 구성되는 경우도 있습니다. 이러한 액세스 권한을 제공하기 위해 저장 프로시저에 대해 사용 권한을 구성합니다.
데이터베이스 역할 SharePoint_SHELL_ACCESS
구성 데이터베이스의 보안 SharePoint_SHELL_ACCESS 데이터베이스 역할은 구성 데이터베이스에서 관리 계정을 db_owner 추가해야 하는 필요성을 대체합니다. 기본적으로 설정 계정은 SharePoint_SHELL_ACCESS 데이터베이스 역할에 할당됩니다. PowerShell 명령을 사용하여 이 역할에 대한 멤버 자격을 부여하거나 제거할 수 있습니다. 설치 프로그램은 다음 데이터베이스에 SharePoint_SHELL_ACCESS 역할을 할당합니다.
SharePoint_Config 데이터베이스(구성 데이터베이스)
하나 이상의 SharePoint 콘텐츠 데이터베이스. 이 데이터베이스는 멤버 자격을 관리하는 PowerShell 명령과 이 역할에 할당된 개체를 사용하여 구성할 수 있습니다.
SharePoint_SHELL_ACCESS 역할의 멤버는 데이터베이스에 대한 모든 저장 프로시저에 대한 실행 권한을 갖습니다. 또한 이 역할의 멤버는 모든 데이터베이스 테이블에 대한 읽기 및 쓰기 권한을 갖습니다.
SPREADONLY 데이터베이스 역할
SPREADONLY 역할은 데이터베이스를 sp_dboption 사용하는 대신 읽기 전용 모드로 설정하는 데 사용해야 합니다. 이름에 따라 이 역할은 사용량 및 원격 분석 데이터에 읽기 액세스 만 필요한 경우에 사용해야 합니다.
참고
sp_dboption 저장 프로시저는 2012년 SQL Server 사용할 수 없습니다. sp_dboption 대한 자세한 내용은 sp_dboption(Transact-SQL)를 참조하세요.
SPREADONLY SQL 역할에는 다음 권한이 있습니다.
모든 SharePoint 저장 프로시저 및 함수에 대해 SELECT 부여
모든 SharePoint 테이블에 대해 SELECT 부여
스키마가 dbo인 사용자 정의 형식에 대해 EXECUTE를 부여합니다.
SPDataAccess 데이터베이스 역할
SPDataAccess 역할은 데이터베이스 액세스의 기본 역할이며 데이터베이스에 대한 모든 개체 모델 수준 액세스에 사용해야 합니다. 업그레이드 또는 새 배포 중에 이 역할에 애플리케이션 풀 계정을 추가합니다.
참고
SPDataAccess 역할은 SharePoint Server 2016에서 db_owner 역할을 대체했습니다.
SPDataAccess 역할에는 다음 권한이 있습니다.
모든 SharePoint 저장 프로시저 및 함수에 대해 EXECUTE 또는 SELECT 부여
모든 SharePoint 테이블에 대해 SELECT 부여
스키마가 dbo인 사용자 정의 형식에 대해 EXECUTE를 부여합니다.
AllUserDataJunctions 테이블에 대해 INSERT 부여
Sites 보기에 대해 UPDATE 부여
UserData 보기에 대해 UPDATE 부여
AllUserData 테이블에 대해 UPDATE 부여
NameValuePair 테이블에 대해 INSERT 및 DELETE 부여
테이블 만들기 권한 부여
그룹 사용 권한
이 섹션에서는 SharePoint Server 2016 및 2019 설치 및 구성 도구에서 만드는 그룹의 권한에 대해 설명합니다.
WSS_ADMIN_WPG
WSS_ADMIN_WPG 로컬 리소스에 대한 읽기 및 쓰기 액세스 권한이 있습니다. 중앙 관리 및 타이머 서비스에 대한 애플리케이션 풀 계정은 WSS_ADMIN_WPG 있습니다. 다음 표에서는 WSS_ADMIN_WPG 레지스트리 항목 권한을 보여 줍니다.
참고
SharePoint 2013에서는 "16.0" 대신 레지스트리 경로 "15.0"과 "16" 대신 파일 시스템 경로 "15"를 사용합니다. 후속 테이블에 나열된 일부 경로는 SharePoint Foundation 2013에 적용되지 않습니다.
| 키 이름 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | 모든 권한 | 해당 없음 | 해당 없음 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | 읽기, 쓰기 | 해당 없음 | 해당 없음 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | 읽기 | 아니요 | 이 키는 SharePoint Server 레지스트리 설정 트리의 루트입니다. 이 키를 변경하면 SharePoint Server 기능이 실패합니다. |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | 모든 권한 | 아니요 | SharePoint Server 2016 레지스트리 설정의 루트입니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 읽기, 쓰기 | 아니요 | 문서 변환 서비스의 설정을 포함합니다. 이 키를 변경하면 문서 변환 기능이 손상됩니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 읽기, 쓰기 | 아니요 | 문서 변환 서비스의 설정을 포함합니다. 이 키를 변경하면 문서 변환 기능이 손상됩니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | 모든 권한 | 해당 없음 | 해당 없음 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | 모든 권한 | 해당 없음 | 해당 없음 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 모든 권한 | 아니요 | 컴퓨터가 포함되어 있는 구성 데이터베이스의 연결 문자열 및 ID를 포함합니다. 이 키를 변경하면 컴퓨터의 SharePoint Server 설치가 작동하지 않습니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 모든 권한 | 예 | 설치 중에 사용되는 설정을 포함합니다. 이 키를 변경하면 진단 로깅이 실패하고 설치 또는 설치 후 구성이 실패할 수 있습니다. |
다음 표에서는 WSS_ADMIN_WPG 파일 시스템 권한을 보여줍니다.
| 파일 시스템 경로 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 모든 권한 | 아니요 | 파일 시스템에서 백업한 팜 구성 캐시를 포함합니다. 이 디렉터리가 변경되거나 삭제되면 프로세스가 시작되지 않을 수 있으며 관리 작업이 실패할 수 있습니다. |
| C:\Inetpub\wwwroot\wss | 모든 권한 | 아니요 | 이 디렉터리(또는 서버의 Inetpub 루트 아래에 있는 해당 디렉터리)는 IIS 웹 사이트의 기본 위치로 사용됩니다. 이 디렉터리가 변경되거나 삭제되면 SharePoint 사이트를 사용할 수 없으며 SharePoint Server로 확장된 모든 IIS 웹 사이트에 대해 사용자 지정 IIS 웹 사이트 경로가 제공되지 않는 한 관리 작업이 실패할 수 있습니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | 모든 권한 | 아니요 | 이 디렉터리 는 SharePoint Server 2016 이진 파일 및 데이터의 설치 위치입니다. 설치하는 동안 디렉터리를 변경할 수 있습니다. 설치 후 이 디렉터리가 제거, 변경 또는 제거되면 모든 SharePoint Server 기능이 실패합니다. 일부 SharePoint Server 서비스가 디스크에 데이터를 저장할 수 있도록 하려면 WSS_ADMIN_WPG Windows 보안 그룹의 멤버 자격이 필요합니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 읽기, 쓰기 | 아니요 | Excel 및 Search 등의 백 엔드 웹 서비스가 호스팅되는 루트 디렉터리입니다. 이 디렉터리가 제거되거나 변경되면 이러한 서비스에 의존하는 SharePoint Server 기능이 실패합니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data | 모든 권한 | 아니요 | 검색 인덱스를 포함하여 로컬 데이터가 저장되는 루트 위치입니다. 이 디렉터리가 제거되거나 변경되면 검색 기능이 실패합니다. WSS_ADMIN_WPG 검색 기능을 사용하여 이 폴더에 데이터를 저장하고 보호할 수 있도록 하려면 Windows 보안 그룹 권한이 필요합니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 모든 권한 | 예 | 런타임 진단 로깅이 생성되는 위치입니다. 이 디렉터리가 제거되거나 변경되면 로깅 기능이 제대로 작동하지 않습니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | 모든 권한 | 예 | 상위 폴더와 같습니다. |
| %windir%\System32\drivers\etc\HOSTS | 읽기, 쓰기 | 해당 없음 | 해당 없음 |
| %windir%\Tasks | 모든 권한 | 해당 없음 | 해당 없음 |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | 수정 | 예 | 이 디렉터리가 핵심 SharePoint Server 파일의 설치 디렉터리입니다. ACL(액세스 제어 목록)이 수정되면 기능 활성화, 솔루션 배포 및 기타 기능이 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 모든 권한 | 예 | 중앙 관리의 SOAP Services가 포함됩니다. 이 디렉터리가 변경되면 원격 사이트 만들기 및 서비스에 노출된 다른 메서드가 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 모든 권한 | 예 | 이 디렉터리에는 SharePoint Server를 사용하여 IIS 웹 사이트를 확장하는 데 사용되는 파일이 포함되어 있습니다. 이 디렉터리 또는 해당 내용이 변경되면 웹 애플리케이션 프로비저닝이 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 모든 권한 | 아니요 | 설치 및 런타임 추적 로그를 포함합니다. 디렉터리가 변경되면 진단 로깅이 제대로 작동하지 않습니다. |
| %windir%\temp | 모든 권한 | 예 | 이 디렉터리 는 SharePoint Server가 의존하는 플랫폼 구성 요소에서 사용됩니다. ACL이 수정되면 웹 파트 렌더링 및 기타 역직렬화 작업이 실패할 수 있습니다. |
| %windir%\System32\logfiles\SharePoint | 모든 권한 | 아니요 | SharePoint Server 사용 현황 로깅에 사용됩니다. 이 디렉터리가 수정되면 사용 현황 로깅이 제대로 작동하지 않습니다. 이 레지스트리 키는 SharePoint Server에만 적용됩니다. |
| 인덱스 서버의 %systemdrive\program files\Microsoft Office Servers\16 폴더 | 모든 권한 | 해당 없음 | 이 사용 권한은 인덱스 서버의 %systemdrive\program files\Microsoft Office Servers\16 폴더에 부여됩니다. |
WSS_WPG
WSS_WPG 로컬 리소스에 대한 읽기 권한이 있습니다. 모든 응용 프로그램 및 서비스 계정이 WSS_WPG에 있습니다. 다음 표에서는 WSS_WPG 레지스트리 항목 권한을 보여 줍니다.
| 키 이름 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | 읽기 | 아니요 | 이 키는 SharePoint Server 레지스트리 설정의 루트입니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | 읽기, 쓰기 | 아니요 | 이 키에는 SharePoint Server 진단 로깅에 대한 설정이 포함되어 있습니다. 이 키를 변경하면 로깅 기능이 중단됩니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 읽기, 쓰기 | 아니요 | 문서 변환 서비스의 설정을 포함합니다. 이 키를 변경하면 문서 변환 기능이 중단됩니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 읽기, 쓰기 | 아니요 | 문서 변환 서비스의 설정을 포함합니다. 이 키를 변경하면 문서 변환 기능이 중단됩니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 읽기 | 아니요 | 컴퓨터가 포함되어 있는 구성 데이터베이스의 연결 문자열 및 ID를 포함합니다. 이 키를 변경하면 컴퓨터의 SharePoint Server 2016 설치가 작동하지 않습니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 읽기 | 예 | 설치 중에 사용되는 설정을 포함합니다. 이 키를 변경하면 진단 로깅이 실패하고 설치 또는 설치 후 구성이 실패할 수 있습니다. |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg | 읽기 | 아니요 | 이 키에는 레지스트리에 대한 원격 액세스를 제어하는 설정이 포함되어 있습니다. |
다음 표에서는 WSS_WPG 파일 시스템 권한을 보여 줍니다.
| 파일 시스템 경로 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 읽기 | 아니요 | 파일 시스템에서 백업한 팜 구성 캐시를 포함합니다. 이 디렉터리가 변경되거나 삭제되면 프로세스가 시작되지 않을 수 있으며 관리 작업이 실패할 수 있습니다. |
| C:\Inetpub\wwwroot\wss | 읽기, 실행 | 아니요 | 이 디렉터리(또는 서버의 Inetpub 루트 아래에 있는 해당 디렉터리)는 IIS 웹 사이트의 기본 위치로 사용됩니다. 이 디렉터리가 변경되거나 삭제되면 SharePoint Server로 확장된 모든 IIS 웹 사이트에 대해 사용자 지정 IIS 웹 사이트 경로가 제공되지 않는 한 SharePoint 사이트를 사용할 수 없으며 관리 작업이 실패할 수 있습니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0 | 읽기, 실행 | 아니요 | 이 디렉터리 는 SharePoint Server 이진 파일 및 데이터의 설치 위치입니다. 설치하는 동안 변경할 수 있습니다. 설치 후 이 디렉터리가 제거, 변경 또는 이동되면 모든 SharePoint Server 기능이 실패합니다. IIS 웹 사이트에서 SharePoint Server 이진 파일을 로드할 수 있도록 하려면 읽기 및 실행 권한이 WSS_WPG 필요합니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 읽기 | 아니요 | Excel 및 Search 등의 백 엔드 웹 서비스가 호스팅되는 루트 디렉터리입니다. 이 디렉터리가 제거되거나 변경되면 이러한 서비스에 의존하는 SharePoint Server 기능이 실패합니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 읽기, 쓰기 | 예 | 런타임 진단 로깅이 생성되는 위치입니다. 이 디렉터리가 제거되거나 변경되면 로깅 기능이 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 읽기 | 예 | 중앙 관리의 SOAP Services가 포함됩니다. 이 디렉터리가 변경되면 원격 사이트 만들기 및 서비스에 노출된 다른 메서드가 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 읽기 | 예 | 이 디렉터리에는 SharePoint Server를 사용하여 IIS 웹 사이트를 확장하는 데 사용되는 파일이 포함되어 있습니다. 이 디렉터리 또는 해당 내용이 변경되면 웹 애플리케이션 프로비저닝이 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 수정 | 아니요 | 설치 및 런타임 추적 로그를 포함합니다. 디렉터리가 변경되면 진단 로깅이 제대로 작동하지 않습니다. |
| %windir%\temp | 읽기 | 예 | 이 디렉터리 는 SharePoint Server가 의존하는 플랫폼 구성 요소에서 사용됩니다. ACL이 수정되면 웹 파트 렌더링 및 기타 역직렬화 작업이 실패할 수 있습니다. |
| %windir%\System32\logfiles\SharePoint | 읽기 | 아니요 | SharePoint Server 사용 현황 로깅에 사용됩니다. 이 디렉터리가 수정되면 사용 현황 로깅이 제대로 작동하지 않습니다. 이 레지스트리 키는 SharePoint Server에만 적용됩니다. |
| %systemdrive\program files\Microsoft Office Servers\16 | 읽기, 실행 | 해당 없음 | 이 사용 권한은 인덱스 서버의 %systemdrive\program files\Microsoft Office Servers\16 폴더에 부여됩니다. |
로컬 서비스
다음 표에서는 로컬 서비스 레지스트리 항목 권한을 보여 줍니다.
| 키 이름 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 읽기 | 아니요 | 문서 변환 서비스의 설정을 포함합니다. 이 키를 변경하면 문서 변환 기능이 중단됩니다. |
다음 표에서는 로컬 서비스 파일 시스템 권한을 보여 줍니다.
| 파일 시스템 경로 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 읽기, 실행 | 아니요 | 이 디렉터리 는 SharePoint Server 이진 파일의 설치된 위치입니다. 이 디렉터리가 제거되거나 변경되면 모든 SharePoint Server 기능이 실패합니다. |
로컬 시스템
다음 표에서는 로컬 시스템 레지스트리 항목 권한을 보여 줍니다.
| 키 이름 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 읽기 | 아니요 | 문서 변환 서비스의 설정을 포함합니다. 이 키를 변경하면 문서 변환 기능이 중단됩니다. 이 레지스트리 키는 SharePoint Server에만 적용됩니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 모든 권한 | 아니요 | 컴퓨터가 포함되어 있는 구성 데이터베이스의 연결 문자열 및 ID를 포함합니다. 이 키를 변경하면 컴퓨터의 SharePoint Server 설치가 작동하지 않습니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 모든 권한 | 아니요 | 구성 데이터베이스에 기밀 데이터를 저장하는 데 사용되는 암호화 키를 포함합니다. 이 키가 변경되면 서비스 제공 및 기타 기능이 작동하지 않습니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 모든 권한 | 예 | 설치 중에 사용되는 설정을 포함합니다. 이 키를 변경하면 진단 로깅이 실패하고 설치 또는 설치 후 구성이 실패할 수 있습니다. |
다음 표에서는 로컬 파일 시스템 권한을 보여줍니다.
| 파일 시스템 경로 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 모든 권한 | 아니요 | 파일 시스템에서 백업한 팜 구성 캐시를 포함합니다. 이 디렉터리가 변경되거나 삭제되면 프로세스가 시작되지 않을 수 있으며 관리 작업이 실패할 수 있습니다. |
| C:\Inetpub\wwwroot\wss | 모든 권한 | 아니요 | 이 디렉터리(또는 서버의 Inetpub 루트 아래에 있는 해당 디렉터리)는 IIS 웹 사이트의 기본 위치로 사용됩니다. 이 디렉터리가 변경되거나 삭제되면 SharePoint Server로 확장된 모든 IIS 웹 사이트에 대해 사용자 지정 IIS 웹 사이트 경로가 제공되지 않는 한 SharePoint 사이트를 사용할 수 없으며 관리 작업이 실패할 수 있습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 모든 권한 | 예 | 중앙 관리의 SOAP Services가 포함됩니다. 이 디렉터리가 변경되면 원격 사이트 만들기 및 서비스에 노출된 다른 메서드가 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 모든 권한 | 예 | 이 디렉터리에는 웹 애플리케이션 및 서비스 애플리케이션을 프로비전하는 데 사용되는 구성 파일이 포함되어 있습니다. 이 디렉터리 또는 해당 내용이 변경되면 웹 애플리케이션 프로비저닝이 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 모든 권한 | 아니요 | 설치 및 런타임 추적 로그를 포함합니다. 이 디렉터리가 변경되면 진단 로깅이 제대로 작동하지 않습니다. |
| %windir%\temp | 모든 권한 | 예 | 이 디렉터리 는 SharePoint Server가 의존하는 플랫폼 구성 요소에서 사용됩니다. ACL이 수정되면 웹 파트 렌더링 및 기타 역직렬화 작업이 실패할 수 있습니다. |
| %windir%\System32\logfiles\SharePoint | 모든 권한 | 아니요 | SharePoint Server 사용 현황 로깅에 사용됩니다. 이 디렉터리가 수정되면 사용 현황 로깅이 제대로 작동하지 않습니다. 이 레지스트리 키는 SharePoint Server에만 적용됩니다. |
네트워크 서비스
다음 표에서는 네트워크 서비스 레지스트리 항목 권한을 보여 줍니다.
| 키 이름 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | 읽기 | 해당 없음 | 해당 없음 |
관리자
다음 표에서는 관리자 레지스트리 항목 권한을 보여 줍니다.
| 키 이름 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 모든 권한 | 아니요 | 컴퓨터가 포함되어 있는 구성 데이터베이스의 연결 문자열 및 ID를 포함합니다. 이 키를 변경하면 컴퓨터의 SharePoint Server 설치가 작동하지 않습니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 모든 권한 | 아니요 | 구성 데이터베이스에 기밀 데이터를 저장하는 데 사용되는 암호화 키를 포함합니다. 이 키가 변경되면 서비스 제공 및 기타 기능이 작동하지 않습니다. |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 모든 권한 | 예 | 설치 중에 사용되는 설정을 포함합니다. 이 키를 변경하면 진단 로깅이 실패하고 설치 또는 설치 후 구성이 실패할 수 있습니다. |
다음 표에서는 관리자 파일 시스템 권한을 보여줍니다.
| 파일 시스템 경로 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 모든 권한 | 아니요 | 파일 시스템에서 백업한 팜 구성 캐시를 포함합니다. 이 디렉터리가 변경되거나 삭제되면 프로세스가 시작되지 않을 수 있으며 관리 작업이 실패할 수 있습니다. |
| C:\Inetpub\wwwroot\wss | 모든 권한 | 아니요 | 이 디렉터리(또는 서버의 Inetpub 루트 아래에 있는 해당 디렉터리)는 IIS 웹 사이트의 기본 위치로 사용됩니다. 이 디렉터리가 변경되거나 삭제되면 SharePoint Server로 확장된 모든 IIS 웹 사이트에 대해 사용자 지정 IIS 웹 사이트 경로가 제공되지 않는 한 SharePoint 사이트를 사용할 수 없으며 관리 작업이 실패할 수 있습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 모든 권한 | 예 | 중앙 관리의 SOAP Services가 포함됩니다. 이 디렉터리가 변경되면 원격 사이트 만들기 및 서비스에 노출된 다른 메서드가 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 모든 권한 | 예 | 이 디렉터리에는 웹 애플리케이션 및 서비스 애플리케이션을 프로비전하는 데 사용되는 구성 파일이 포함되어 있습니다. 이 디렉터리 또는 해당 내용이 변경되면 웹 애플리케이션 프로비저닝이 제대로 작동하지 않습니다. |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 모든 권한 | 아니요 | 설치 및 런타임 추적 로그를 포함합니다. 디렉터리가 변경되면 진단 로깅이 제대로 작동하지 않습니다. |
| %windir%\temp | 모든 권한 | 예 | 이 디렉터리 는 SharePoint Server가 의존하는 플랫폼 구성 요소에서 사용됩니다. ACL이 수정되면 웹 파트 렌더링 및 기타 역직렬화 작업이 실패할 수 있습니다. |
| %windir%\System32\logfiles\SharePoint | 모든 권한 | 아니요 | SharePoint Server 사용 현황 로깅에 사용됩니다. 이 디렉터리가 수정되면 사용 현황 로깅이 제대로 작동하지 않습니다. 이 레지스트리 키는 SharePoint Server에만 적용됩니다. |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG 암호화된 팜 관리 자격 증명 레지스트리 항목을 읽을 수 있습니다. WSS_RESTRICTED_WPG 구성 데이터베이스에 저장된 암호의 암호화 및 암호 해독에만 사용됩니다. 다음 표에는 WSS_RESTRICTED_WPG 레지스트리 항목 권한이 표시됩니다.
| 키 이름 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 모든 권한 | 아니요 | 구성 데이터베이스에 기밀 데이터를 저장하는 데 사용되는 암호화 키를 포함합니다. 이 키가 변경되면 서비스 제공 및 기타 기능이 작동하지 않습니다. |
Users 그룹
다음 표에서는 Users 그룹 파일 시스템 권한을 보여 줍니다.
| 파일 시스템 경로 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0 | 읽기, 실행 | 아니요 | 이 디렉터리 는 SharePoint Server 이진 파일 및 데이터의 설치 위치입니다. 설치하는 동안 변경할 수 있습니다. 설치 후 이 디렉터리가 제거, 변경 또는 이동되면 모든 SharePoint Server 기능이 실패합니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | 읽기, 실행 | 아니요 | 백 엔드 루트 웹 서비스가 호스팅되는 루트 디렉터리입니다. 초기에 이 디렉터리에 설치되는 서비스는 검색 전역 관리 서비스뿐입니다. 이 디렉터리가 제거되거나 변경되면 서버별 중앙 관리 설정 페이지를 사용하는 일부 검색 관리 기능이 작동하지 않습니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 읽기, 쓰기 | 예 | 런타임 진단 로깅이 생성되는 위치입니다. 이 디렉터리가 제거되거나 변경되면 로깅이 제대로 작동하지 않습니다. |
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 읽기, 실행 | 아니요 | 이 디렉터리 는 SharePoint Server 이진 파일의 설치된 위치입니다. 이 디렉터리가 제거되거나 변경되면 모든 SharePoint Server 기능이 실패합니다. |
모든 SharePoint Server 서비스 계정
다음 표에서는 SharePoint Server 서비스 계정의 파일 시스템 권한을 보여 줍니다.
| 파일 시스템 경로 | 사용 권한 | 상속 | 설명 |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 수정 | 아니요 | 설치 및 런타임 추적 로그를 포함합니다. 이 디렉터리가 변경되면 진단 로깅이 제대로 작동하지 않습니다. 모든 SharePoint Server 서비스 계정에는 이 디렉터리에 대한 쓰기 권한이 있어야 합니다. |