Permissões de conta e configurações de segurança no SharePoint 2013

APLICA-SE A:  yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Este artigo descreve as permissões de conta administrativa e de serviços do SharePoint para as seguintes áreas: Microsoft SQL Server, o sistema de arquivos, compartilhamento de arquivos e entradas de registro.

Importante

Não use nomes de conta de serviço que contenham o símbolo $ com exceção de usar uma Conta de Serviço Gerenciado de Grupo para SQL Server.

Sobre permissões e configurações de segurança da conta

O SharePoint De configuração (psconfig) e o Assistente de Criação de Farm, ambos executados durante uma instalação Concluída, configuram muitas das permissões de conta de linha de base SharePoint configurações de segurança.

Contas administrativas do SharePoint

Um dos seguintes componentes do SharePoint configura automaticamente a maioria das permissões de conta administrativas do SharePoint durante o processo de configuração:

  • Assistente de Configuração do SharePoint (Psconfig).

  • O Assistente de Criação de Farm.

  • O website da Administração Central do SharePoint.

  • PowerShell.

Conta de usuário do administrador do farm

Essa conta é uma conta exclusivamente identificável atribuída ao administrador do SharePoint e é usada para configurar cada servidor em seu farm executando o Assistente de Configuração do SharePoint, o Assistente de Criação do Farm inicial e o PowerShell. A conta deve ser um usuário de domínio. Para os exemplos neste artigo, a conta de administrador do farm é usada para administração de farm e você pode usar a Administração Central para gerenciá-la. Algumas opções de configuração, como a configuração do servidor de consulta de pesquisa SharePoint 2013, exigem permissões de administração local. A conta de usuário do administrador do farm requer as seguintes permissões:

  • Ele deve ser um membro do grupo Administradores Locais em cada servidor no SharePoint farm.

  • Essa conta deve ter acesso aos bancos de dados do SharePoint.

  • Se você usar qualquer operação do PowerShell que afete um banco de dados, a conta de administrador do usuário de instalação deve ser membro da função db_owner ou função de servidor fixa sysadmin.

  • Essa conta deve ser atribuída às funções de servidor fixas securityadmin e dbcreator durante a configuração e configuração ou a função de servidor fixa sysadmin em SQL Server.

Observação

As funções de segurança securityadmin e dbcreator SQL Server podem ser necessárias nessa conta durante uma atualização completa de versão para versão, pois os novos bancos de dados podem ter sido criados e estar protegidos pelos serviços.

Depois de executar os assistentes de configuração, as permissões no nível da máquina para a conta de administrador do usuário de instalação incluem:

  • Ser membro do grupo de segurança WSS_ADMIN_WPG do Windows.

  • Associação à função WSS_WPG.

Depois de executar os assistentes de configuração, as permissões de bancos de dados incluem:

  • db_owner no banco de dados de configuração de farm do servidor do SharePoint.

  • db_owner no banco de dados de conteúdo da Administração Central do SharePoint.

Cuidado

Se as contas que você usar para executar os assistentes de configuração não tiverem associação de função SQL Server especial apropriada ou acesso como db_owner aos bancos de dados, os assistentes de configuração não funcionarão corretamente.

Conta de serviço de farm do SharePoint

A conta do farm de servidor, também chamada de conta de acesso ao banco de dados, é usada como identidade de pool de aplicativos da Administração Central e como conta de processo do serviço de timer do SharePoint Foundation 2013. A conta do farm de servidores deve ser uma conta de usuário de domínio.

As permissões são concedidas automaticamente à conta do farm de servidores em servidores Web e servidores de aplicativos que são ingressados em um farm de servidores.

Depois de executar os assistentes de configuração, as permissões do SQL Server e do banco de dados incluem:

  • Ser membro do grupo de segurança WSS_ADMIN_WPG do Windows para o serviço de Timer do SharePoint Foundation 2013.

  • Ser membro do WSS_RESTRICTED_WPG para os pools de aplicativos de serviço de Timer e da Administração Central.

  • Ser membro do WSS_WPG para o pool de aplicativos da Administração Central.

  • A função de servidor fixa Dbcreator.

  • A função de servidor fixa Securityadmin.

  • db_owner para todos os bancos de dados do SharePoint.

  • Ser membro da função WSS_CONTENT_APPLICATION_POOLS do banco de dados de configuração do farm de servidor do SharePoint.

  • Ser membro da função WSS_CONTENT_APPLICATION_POOLS do banco de dados de conteúdo do SharePoint_Admin.

Contas de aplicativo de serviço do SharePoint

Esta seção descreve as contas do aplicativo de serviço que são configuradas como padrão durante a instalação.

Conta do pool de aplicativos

A conta do pool de aplicativos é usada para a identidade do pool de aplicativos. A conta do pool de aplicativos deve ser uma conta de usuário de domínio.

A seguinte permissão no nível do computador é configurada automaticamente:

  • A conta do pool de aplicativos é membro do WSS_WPG.

As seguintes permissões do SQL Server e do bancos de dados dessa conta são configuradas automaticamente:

  • As contas de pool de aplicativos para aplicativos Web são atribuídas à função SP_DATA_ACCESS dos bancos de dados de conteúdo.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de configuração do farm.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de conteúdo SharePoint_Admin.

Conta de acesso de conteúdo padrão

Importante

As informações nesta seção se aplicam somente ao SharePoint Server 2016.

A conta de acesso de conteúdo padrão é usada dentro de um aplicativo de serviço específico para rastrear o conteúdo, a menos que um método de autenticação diferente seja especificado por uma regra de rastreamento de uma URL ou um padrão de URL. Esta conta exige as seguintes configurações de permissão:

  • A conta de acesso de conteúdo padrão deve ser uma conta de usuário de domínio com acesso de leitura às fontes de conteúdo externas ou seguras que você deseja rastrear com esta conta.

  • Para sites do SharePoint Server que não fazem parte do farm de servidores, você precisa conceder explicitamente permissões de leitura total nessa conta aos aplicativos web que hospedam os sites.

  • Esta conta não deve ser membro do grupo de administradores do farm.

Contas de acesso de conteúdo

Importante

As informações nesta seção se aplicam somente ao SharePoint Server 2016.

As contas de acesso são configuradas para acessar conteúdo usando o recurso das regras de rastreamento da administração de Pesquisa. Esse tipo de conta é opcional e pode ser configurada ao criar uma nota regra de rastreamento. Por exemplo, o conteúdo externo (como um compartilhamento de arquivos) talvez exija essa conta de acesso de conteúdo separada. Tal conta exige as configurações de permissão a seguir:

  • A conta de acesso de conteúdo deve ter acesso de leitura a fontes de conteúdo externas ou seguras que esta conta está configurada a acessar.

  • A conta de acesso ao conteúdo deve conter o log Gerenciar auditoria e segurança na Política de Usuário Local Windows servidores de arquivos configurados para rastreamento.

  • Para sites do SharePoint Server que não fazem parte do farm de servidores, você precisa conceder explicitamente permissões de leitura total nessa conta aos aplicativos web que hospedam os sites.

Conta de serviço autônoma do Serviços do Excel

Importante

As informações nesta seção se aplicam somente ao SharePoint Server 2016.

O Serviços do Excel usa a conta de serviço autônoma do Serviços do Excel para conectar-se a fontes de dados externas que exigem nome de usuário e senha baseados nos sistemas operacionais diferentes do Windows para autenticação. Se esta conta não estiver configurada, o Serviços do Excel não tentará se conectar a esses tipos de fontes de dados. Embora as credenciais de conta sejam usadas para se conectar a fontes de dados de sistemas operacionais diferentes do Windows, se a conta não for membro do domínio, o Excel Services não poderá acessá-las. Esta conta deve ser uma conta de usuário de domínio.

Conta do pool de aplicativos de Meus Sites

Importante

As informações nesta seção se aplicam somente ao SharePoint Server 2016.

A conta do pool de aplicativos de Meus Sites deve ser uma conta de usuário de domínio. Essa conta não deve ser membro do grupo de administradores do farm.

A seguinte permissão no nível do computador é configurada automaticamente:

  • Essa conta é membro do WSS_WPG.

As permissões do SQL Server e do banco de dados a seguir são configuradas automaticamente:

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS que está associada ao banco de dados de configuração do farm.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS que está associada ao banco de dados de conteúdo SharePoint_Admin.

  • As contas de pool de aplicativos para aplicativos Web são atribuídas à função SP_DATA_ACCESS dos bancos de dados de conteúdo.

Outras contas de pool de aplicativos

A outra conta de pool de aplicativos deve ser uma conta de usuário de domínio. Esta conta não deve ser membro do grupo de administradores ou qualquer outro computador do farm de servidores.

A seguinte permissão no nível do computador é configurada automaticamente:

  • Essa conta é membro do WSS_WPG.

As permissões do SQL Server e do banco de dados a seguir são configuradas automaticamente:

  • Esta conta é atribuída à função SP_DATA_ACCESS dos bancos de dados de conteúdo.

  • Esta conta é atribuída à função SP_DATA_ACCESS dos bancos de dados de pesquisa que estão associados ao aplicativo Web.

  • Esta conta deve ter acesso de leitura e gravação ao banco de dados de aplicativo do serviço associado.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS que está associada ao banco de dados de configuração do farm.

  • Esta conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS que está associada ao banco de dados de conteúdo SharePoint_Admin.

Observação

É recomendável usar uma única conta do Pool de Aplicativos Web para todos os Aplicativos Web do farm, incluindo o Aplicativo Web meus Sites. A exceção é o Aplicativo Web da Administração Central que usa a conta de serviço farm.

Funções de banco de dados do SharePoint

Esta seção descreve as funções do banco de dados que a instalação configura como padrão ou que podem ser configuradas opcionalmente.

Função de banco de dados WSS_CONTENT_APPLICATION_POOLS

A função do banco de dados WSS_CONTENT_APPLICATION_POOLS é aplicada à conta do pool de aplicativos de cada aplicativo Web que está registrado em um farm do SharePoint. Isso permite que os aplicativos Web façam consultas e atualizem o mapa de sites, e tenham acesso somente para leitura a outros itens no banco de dados de configuração. A instalação atribui a função WSS_CONTENT_APPLICATION_POOLS aos seguintes bancos de dados:

  • Banco de dados do SharePoint_Config (banco de dados de configuração).

  • O SharePoint_Admin de conteúdo.

Os membros da função WSS_CONTENT_APPLICATION_POOLS recebem permissão de execução de um subconjunto dos procedimentos armazenados do banco de dados. Além disso, os membros dessa função têm a permissão select para a tabela Versions (dbo. Versões) no banco SharePoint_Admin de conteúdo. Para outros bancos de dados, a ferramenta de planejamento de contas indica que o acesso de leitura desses bancos de dados é configurado automaticamente. Em alguns casos, o acesso limitado de gravação para bancos de dados também é configurado automaticamente. Para oferecer este acesso, as permissões de processos armazenados são configuradas.

Função do banco de dados WSS_SHELL_ACCESS

A função de banco de dados WSS_SHELL_ACCESS protegida no banco de dados de configuração substitui a necessidade de adicionar uma conta de administração como um db_owner no banco de dados de configuração. Por padrão, a conta de administrador do farm que inicialmente tinha o Assistente de Configuração é atribuída à função de banco de dados WSS_SHELL_ACCESS. Você pode usar o comando PowerShell para conceder ou remover associações a essa função. A instalação atribui a função WSS_SHELL_ACCESS aos seguintes bancos de dados:

  • Banco de dados do SharePoint_Config (banco de dados de configuração).

  • Um ou mais bancos de dados de conteúdo do SharePoint. Isso pode ser configurado usando o comando PowerShell que gerencia administrações e o objeto atribuído a essa função.

Os membros da função WSS_SHELL_ACCESS têm permissão de execução em todos os procedimentos armazenados do banco de dados. Além disso, os membros dessa função têm permissões de leitura e gravação em todas as tabelas do banco de dados.

Função de banco de dados SP_READ_ONLY

A função SP_READ_ONLY deve ser usada para configurar o banco de dados para o modo somente para leitura em vez de usar sp_dboption. Essa função, como seu nome sugere, deve ser usada apenas quando o acesso para leitura é exigido em dados como dados de consumo e telemetria.

Observação

O procedimento armazenado sp_dboption não está disponível no SQL Server 2012. Para saber mais sobre sp_dboption, confira sp_dboption (Transact-SQL).

A função SP_READ_ONLY SQL terá as seguintes permissões:

  • Concede SELECT em todos os procedimentos e funções armazenados do SharePoint

  • Concede SELECT em todas as tabelas do SharePoint

  • Concede EXECUTE em tipo definido pelo usuário em que o esquema é dbo

Função de banco de dados SP_DATA_ACCESS

A função SP_DATA_ACCESS é a função padrão de acesso a bancos de dados e deve ser usado para todos os acessos ao nível do modelo do objeto aos banco de dados. Adicione a conta de pool de aplicativos a essa função durante a atualização ou novas implantações.

Observação

A função SP_DATA_ACCESS substitui a função db_owner no SharePoint 2013.

A função SP_DATA_ACCESS terá as seguintes permissões:

  • Concede EXECUTE ou SELECT em todos os procedimentos e funções armazenados do SharePoint

  • Concede SELECT em todas as tabelas do SharePoint

  • Concede EXECUTE em tipo definido pelo usuário em que o esquema é dbo

  • Concede INSERT na tabela AllUserDataJunctions

  • Concede UPDATE em exibições de site

  • Concede UPDATE na exibição UserData

  • Concede UPDATE na tabela AllUserData

  • Concede INSERT e DELETE nas tabelas NameValuePair

  • Concede permissão para criação de tabelas

Permissões de grupo

Esta seção descreve permissões de grupos que as ferramentas de instalação e configuração do SharePoint 2013 criam.

WSS_ADMIN_WPG

A função WSS_ADMIN_WPG tem acesso de leitura e gravação a recursos locais. As contas de pool de aplicativos dos serviços de Administração Central e Timer estão no WSS_ADMIN_WPG. A tabela a seguir apresenta as permissões da entrada de registro de WSS_ADMIN_WPG.

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
Controle total
Não aplicável
Não aplicável
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration{90150000-110D-0000-1000-0000000FF1CE}
Leitura, gravação
Não aplicável
Não aplicável
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server
Leitura
Não
Esta chave é a raiz da árvore de configurações do registro do SharePoint 2013. Se ela for alterada, a funcionalidade do SharePoint 2013 falhará.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Controle total
Não
Essa chave é a raiz das configurações de registro do SharePoint 2013.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Leitura, gravação
Não
Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Leitura, gravação
Não
Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search
Controle total
Não aplicável
Não aplicável
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search
Controle total
Não aplicável
Não aplicável
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Controle total
Não
Esta chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se a chave for alterada, a instalação do SharePoint 2013 não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Controle total
Sim
Esta chave contém configurações usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões do sistema de arquivos da função WSS_ADMIN_WPG.

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint
Controle total
Não
Esse diretório contém o cache do sistema de arquivos da configuração do farm. Os processos podem não ser iniciados e as ações administrativas poderão falhar se esse diretório for alterado ou excluído.
C:\Inetpub\wwwroot\wss
Controle total
Não
Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para sites do IIS. Os sites do SharePoint ficarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que sejam fornecidos caminhos de site IIS personalizados para todos os sites IIS estendidos com o SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Controle total
Não
Este diretório é o local de instalação dos binários e dados do SharePoint 2013. O diretório pode ser alterado durante a instalação. Toda a funcionalidade do SharePoint 2013 falhará se esse diretório for removido, alterado ou movido depois da instalação. A associação ao grupo de segurança WSS_ADMIN_WPG do Windows é exigida para que alguns serviços do SharePoint 2013 possam armazenar dados no disco.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Leitura, gravação
Não
Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Os recursos do SharePoint 2013 que dependem desses serviços falharão se esse diretório for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\15.0\Data
Controle total
Não
Este diretório é o local raiz no qual os dados locais estão armazenados, inclusive os índices de pesquisa. A funcionalidade de pesquisa falhará se ele for removido ou alterado. São exigidas permissões do grupo de segurança WSS_ADMIN_WPG do Windows para habilitar a pesquisa a salvar e proteger dados nesta pasta.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Controle total
Sim
Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. A funcionalidade de log não funcionará adequadamente se esse diretório for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server
Controle total
Sim
O mesmo que a pasta pai.
%windir%\System32\drivers\etc\HOSTS
Leitura, gravação
Não aplicável
Não aplicável
%windir%\Tasks
Controle total
Não aplicável
Não aplicável
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15
Modificar
Sim
Este diretório é o diretório de instalação dos arquivos centrais do SharePoint 2013. Se a lista de controle de acesso (ACL) for modificada, a ativação de recursos, a implementação de soluções e outros recursos não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Controle total
Sim
Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Controle total
Sim
Esse diretório contém arquivos usados para estender sites do IIS com o SharePoint 2013. Se este diretório ou seu conteúdo forem alterados, o provisionamento do aplicativo Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Controle total
Não
Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.
%windir%\temp
Controle total
Sim
Esse diretório é usado pelos componentes de plataforma dos quais depende o SharePoint 2013. Se a lista de controle de acesso for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.
%windir%\System32\logfiles\SharePoint
Controle total
Não
Este diretório é usado para registrar o log de uso do SharePoint Server. Se for modificado, o log de uso não funcionará corretamente.
Esta chave do Registro aplica-se apenas ao SharePoint Server.
Pasta %systemdrive\program files\Microsoft Office Servers\15 nos servidores de indexação
Controle total
Não aplicável
Essa permissão é concedida para uma pasta %systemdrive\program files\Microsoft Office Servers\15 folder nos servidores de indexação.

WSS_WPG

A função WSS_WPG tem acesso de leitura aos recursos locais. Todas as contas de pool de aplicativos e de serviços estão na WSS_WPG. A tabela a seguir mostra as permissões da entrada de registro do WSS_WPG.

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
Leitura
Não
Essa chave é a raiz das configurações de registro do SharePoint 2013.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics
Leitura, gravação
Não
Esta chave contém as configurações do log de diagnóstico do SharePoint 2013. A alteração desta chave destruirá a funcionalidade de log.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Leitura, gravação
Não
Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Leitura, gravação
Não
Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Leitura
Não
Esta chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se a chave for alterada, a instalação do SharePoint 2013 não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Leitura
Sim
Esta chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões dos sistema de arquivos da função WSS_WPG.

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint
Leitura
Não
Esse diretório contém o cache do sistema de arquivos da configuração do farm. Os processos podem não ser iniciados e as ações administrativas poderão falhar se esse diretório for alterado ou excluído.
C:\Inetpub\wwwroot\wss
Leitura, execução
Não
Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para sites do IIS. Os sites do SharePoint ficarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que sejam fornecidos caminhos de site IIS personalizados para todos os sites IIS estendidos com o SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0
Leitura, execução
Não
Este diretório é o local de instalação dos binários e dados do SharePoint 2013. Ele pode ser alterado durante a instalação. Toda a funcionalidade do SharePoint 2013 falhará se ele for removido, alterado ou movido depois da instalação. Permissões de leitura e execução da WSS_WPG são exigidas para habilitar os sites IIS a carregar binários do SharePoint 2013.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
Leitura
Não
Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Os recursos do SharePoint 2013 que dependem desses serviços falharão se esse diretório for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Leitura, gravação
Sim
Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. A funcionalidade de log não funcionará adequadamente se esse diretório for removido ou alterado.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Leitura
Sim
Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Leitura
Sim
Esse diretório contém arquivos usados para estender sites do IIS com o SharePoint 2013. Se este diretório ou seu conteúdo forem alterados, o provisionamento do aplicativo Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Modificar
Não
Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.
%windir%\temp
Leitura
Sim
Esse diretório é usado pelos componentes de plataforma dos quais depende o SharePoint 2013. Se a lista de controle de acesso for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.
%windir%\System32\logfiles\SharePoint
Leitura
Não
Este diretório é usado para registrar o log de uso do SharePoint Server. Se for modificado, o log de uso não funcionará corretamente.
A chave do registro aplica-se apenas ao SharePoint Server.
%systemdrive\program files\Microsoft Office Servers\15
Leitura, execução
Não aplicável
A permissão é concedida a uma pasta %systemdrive\program files\Microsoft Office Servers\15 dos servidores de Índice.

Serviço local

A tabela a seguir exibe as permissões de entrada de registro do serviço local:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
Leitura
Não
Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.

A tabela a seguir exibe as permissões do sistema de arquivos do serviço local:

Caminho do sistema de arquivos Permissões Herdar Descrição
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Leitura, execução
Não
Este diretório é o local de instalação dos binários do SharePoint 2013. Toda a funcionalidade do SharePoint 2013 falhará se ele for removido ou alterado.

Sistema local

A tabela a seguir exibe as permissões de entrada do registro do sistema local:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
Leitura
Não
Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
Esta chave do Registro aplica-se apenas ao SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Controle total
Não
Esta chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se a chave for alterada, a instalação do SharePoint 2013 não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Controle total
Não
Esta chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Controle total
Sim
Esta chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir mostra as permissões do sistema de arquivos local:

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint
Controle total
Não
Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se ele for alterado ou excluído, poderão ocorrer falhas nas ações administrativas e na inicialização.
C:\Inetpub\wwwroot\wss
Controle total
Não
Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para sites do IIS. Os sites do SharePoint ficarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que sejam fornecidos caminhos de site IIS personalizados para todos os sites IIS estendidos com o SharePoint 2013.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Controle total
Sim
Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Controle total
Sim
Se este diretório ou seu conteúdo forem alterados, o provisionamento do aplicativo Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Controle total
Não
Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.
%windir%\temp
Controle total
Sim
Esse diretório é usado pelos componentes de plataforma dos quais depende o SharePoint 2013. Se a lista de controle de acesso for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.
%windir%\System32\logfiles\SharePoint
Controle total
Não
Este diretório é usado para registrar o log de uso do SharePoint Server. Se for modificado, o log de uso não funcionará corretamente.
Esta chave do Registro aplica-se apenas ao SharePoint Server.

Serviço de rede

A tabela a seguir exibe as permissões de entrada de registro do serviço de rede:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup
Leitura
Não aplicável
Não aplicável

Administradores

A tabela a seguir exibe as permissões de entrada do registro dos administradores:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
Controle total
Não
Esta chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se a chave for alterada, a instalação do SharePoint 2013 não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Controle total
Não
Esta chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
Controle total
Sim
Esta chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões do sistema de arquivos dos administradores:

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint
Controle total
Não
Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se ele for alterado ou excluído, poderão ocorrer falhas nas ações administrativas e na inicialização.
C:\Inetpub\wwwroot\wss
Controle Total
Não
Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para sites do IIS. Os sites do SharePoint ficarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que sejam fornecidos caminhos de site IIS personalizados para todos os sites IIS que são estendidos com o SharePoint 2013.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
Controle total
Sim
Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
Controle total
Sim
Se este diretório ou seu conteúdo forem alterados, o provisionamento do aplicativo Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Controle total
Não
Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.
%windir%\temp
Controle total
Sim
Esse diretório é usado pelos componentes de plataforma dos quais depende o SharePoint 2013. Se a ACL for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.
%windir%\System32\logfiles\SharePoint
Controle total
Não
Este diretório é usado para registrar o log de uso do SharePoint Server. Se for modificado, o log de uso não funcionará corretamente.
Esta chave do Registro aplica-se apenas ao SharePoint Server.

WSS_RESTRICTED_WPG

A função WSS_RESTRICTED_WPG pode ler a entrada de registro da credencial de administração do farm. Essa função é usada apenas para criptografia e descriptografia de senhas armazenadas no banco de dados de configuração. A tabela a seguir exibe as permissões de entrada de registro da função WSS_RESTRICTED_WPG:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
Controle total
Não
Esta chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.

Grupo de usuários

A tabela a seguir exibe as permissões do sistema de arquivos do grupo de usuários:

Caminho do sistema de arquivos Permissões Herdar Descrição
%ProgramFiles%\Microsoft Office Servers\15.0
Leitura, execução
Não
Este diretório é o local de instalação para binários e dados do SharePoint 2013. Ele pode ser alterado durante a instalação. Toda a funcionalidade do SharePoint 2013 falhará se ele for removido, alterado ou movido depois da instalação.
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root
Leitura, execução
Não
Este diretório é a raiz no qual os serviços Web de raiz de back-end ficam hospedados. O único serviço inicialmente instalado neste diretório é um serviço de administração global de pesquisa. Parte da funcionalidade de administração de pesquisa que usa a página de configuração da Administração Central específica do servidor não funcionará se esse diretório for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
Leitura, gravação
Sim
Este diretório é o local no qual o log de diagnóstico do tempo de execução é gerado. O log não funcionará adequadamente se ele for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
Leitura, execução
Não
Este diretório é o local de instalação dos binários do SharePoint 2013. Toda a funcionalidade do SharePoint 2013 falhará se ele for removido, alterado ou movido depois da instalação.

Todas as contas de serviço do SharePoint 2013

A tabela a seguir exibe todas as permissões do sistema de arquivos das contas de serviço do SharePoint 2013:

Caminho do sistema de arquivos Permissões Herdar Descrição
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
Modificar
Não
Este diretório contém os logs de rastreamento de configuração e tempo de execução. Se for alterado, o log de diagnóstico não funcionará corretamente. Todas as contas de serviço do SharePoint 2013 devem ter permissão de gravação a este diretório.

Confira também

Conceitos

Instalar e configurar o SharePoint Server 2016