Permissões de conta e configurações de segurança em SharePoint Servidores

APLICA-SE A: yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

Este artigo descreve as permissões de conta administrativa e de serviços do SharePoint para as seguintes áreas: Microsoft SQL Server, o sistema de arquivos, compartilhamento de arquivos e entradas de registro.

Importante

Não use nomes de conta de serviço que contenham o símbolo $ com exceção de usar uma Conta de Serviço Gerenciado de Grupo para SQL Server.

Saiba mais sobre SharePoint função de administrador no Microsoft 365.

Sobre permissões de conta e configurações de segurança em SharePoint Servers

O Assistente de Configuração de Produtos do SharePoint (Psconfig) e o Assistente de Criação de Farm, ambos os quais são executados durante uma instalação completa, configuram muitas das permissões e configurações de segurança de conta básicas do SharePoint.

Recomendações de conta de serviço

As seções a seguir descrevem recomendações sobre SharePoint contas de serviço.

Recomendações de conta de serviço

A Microsoft recomenda usar um número mínimo de contas do Pool de Aplicativos de Serviço no farm. Esta recomendação é reduzir o uso de memória e aumentar o desempenho, mantendo o nível de segurança apropriado.

  • Use uma conta elevada e identificável para SharePoint, manutenção e atualizações. Essa conta manterá as funções necessárias conforme descrito pela SharePoint Administrador do Farm descrita abaixo. Cada SharePoint administrador deve usar uma conta separada para identificar claramente a atividade executada pelo administrador no farm.

  • Se possível, use um grupo de segurança, SharePoint Grupos de Administradores de Farm , para unificar todas as contas individuais SharePoint Administrador de Farm e conceder permissões conforme descrito abaixo. Esse uso de um grupo de segurança simplifica significativamente o gerenciamento das contas SharePoint Administrador de Farm.

  • A conta do Serviço de Farm do SharePoint deve executar apenas o serviço de Timer do SharePoint, SharePoint Insights (se aplicável), os Pools de Aplicativos do IIS para a Administração Central, o Sistema de Serviços Web do SharePoint (usado para o serviço de topologia) e o SecurityTokenServiceApplicationPool (usado para o serviço de topologia) e SecurityTokenServiceApplicationPool (usado para o serviço de topologia) Serviço de Token de Segurança).

  • Uma única conta deve ser usada para todos os Aplicativos de Serviço, denominada conta pool de aplicativos de serviço. Esse uso de uma única conta permite que o administrador use um único Pool de Aplicativos do IIS para todos os Aplicativos de Serviço. Além disso, essa conta deve executar os seguintes serviços Windows: SharePoint Controlador de Host de Pesquisa, SharePoint Pesquisa de Servidor e Cache Distribuído (Serviço Caching AppFabric).

  • Uma única conta deve ser usada para todos os Aplicativos Web, denominada conta de pool de Aplicativo Web. Esse uso de uma única conta permite que o administrador use um único Pool de Aplicativos do IIS para todos os Aplicativos Web. A exceção é o Aplicativo Web da Administração Central, que, conforme mencionado acima, é executado pela SharePoint de serviço do farm.

  • Com exceção da conta de Serviço de Token de Declarações Windows, nenhuma conta do Pool de Aplicativos de Serviço deve ter acesso ao Administrador Local a qualquer servidor SharePoint, nem SQL Server função de SQL Server, por exemplo, a função fixa sysadmin. A SharePoint administrador de farm exigirá as funções fixas dbcreator e securityadmin, a menos que você pré-provisione bancos de dados SharePoint e atribua permissões manualmente a cada banco de dados.

  • As contas do Pool de Aplicativos de Serviço, exceto para a conta que executa o Serviço de Token de Declarações para Windows, devem ter o logon de Negar localmente e Negar logon por meio dos Serviços de Área de Trabalho Remota na Política de Segurança Local\Atribuição de Direitos do Usuário. Esses valores são definidos por meio de secpol.msc.

  • Use contas separadas para o Acesso ao Conteúdo (Rastreador de Pesquisa), Super Leitor de Portal, Super Usuário do Portal e Sincronização de Aplicativos de Serviço de Perfil de Usuário, se aplicável.

  • A conta Declarações para Windows Token Service é uma conta altamente privilegiada no farm. Antes de implantar esse serviço, verifique se ele é necessário. Se necessário, use uma conta separada para esse serviço.

Visão geral das recomendações de contas de serviço

Nome da conta de serviço Para que ele é usado? Quantos devem ser usados?
SharePoint Conta de Administrador de Farm Conta de identificação pessoal para um SharePoint administrador 1-n
SharePoint Conta de Serviço de Farm Serviço de Timer, Insights, Aplicativo do IIS para CA, Sistema de Serviços Web do SP, Pool de Aplicativos de Serviço de Token de Segurança 1
Conta de acesso de conteúdo padrão Pesquisar fontes internas e externas de rastreamento 1
Contas de acesso de conteúdo Pesquisar fontes internas e externas de rastreamento 1-n
Conta do Pool de Aplicativos Web Todos os Aplicativos Web sem Administração Central 1
SharePoint Conta do Pool de Aplicativos de Serviço Todos os aplicativos de serviço 1
Super leitor de portal Cache de objetos 1
Portal Super User Cache de objetos 1
Sincronização de Aplicativos de Serviço de Perfil de Usuário Usado para importação do Active Directory 1-n

Contas administrativas do SharePoint

Um dos seguintes componentes do SharePoint configura automaticamente a maioria das permissões de conta administrativas do SharePoint durante o processo de configuração:

  • O Assistente de Configuração de Produtos do SharePoint (Psconfig).

  • O Assistente de Configuração de Farm.

  • O SharePoint site da Administração Central.

  • Microsoft PowerShell.

SharePoint Conta de Administrador de Farm

Esta conta é usada para instalar cada servidor em seu farm executando o Assistente de Configuração de Produtos do SharePoint, o Assistente de Criação de Farm e PowerShell. Para os exemplos neste artigo, a SharePoint administrador do farm é usada para administração de farm e você pode usar a Administração Central para gerenciá-la. Algumas opções de configuração, por exemplo, configuração do servidor de consulta SharePoint Pesquisa do Servidor, exigem permissões de administração local. A SharePoint administrador do farm requer as seguintes permissões:

  • Ela deve ter permissões de conta de usuário de domínio.

  • Ele deve ser um membro do grupo local Administradores em cada servidor no SharePoint farm.

  • Essa conta deve ter acesso aos bancos de dados do SharePoint.

  • Se você usar qualquer operação do PowerShell que afete um banco de dados, a SharePoint administrador do farm deve ser um membro da função db_owner de usuário.

  • Essa conta deve ser atribuída às funções de segurança securityadmin e dbcreator SQL Server durante a instalação e configuração.

Observação

As funções de segurança securityadmin e dbcreator SQL Server podem ser necessárias nessa conta durante uma atualização completa de versão para versão, pois os novos bancos de dados podem ter sido criados e estar protegidos pelos serviços.

Depois de executar os assistentes de configuração, as permissões no nível do computador para a conta SharePoint Administrador de Farm incluem:

  • Associação ao grupo WSS_ADMIN_WPG Windows segurança.

Depois de executar os assistentes de configuração, as permissões de bancos de dados incluem:

  • db_owner no banco de dados de configuração de farm do servidor do SharePoint.

  • db_owner no banco de dados de conteúdo da Administração Central do SharePoint.

Cuidado

Se as contas que você usar para executar os assistentes de configuração não tiverem associação de função SQL Server especial apropriada ou acesso como db_owner aos bancos de dados, os assistentes de configuração não funcionarão corretamente.

SharePoint Conta do Serviço de Farm

A conta de serviço SharePoint Farm, que também é chamada de conta de acesso ao banco de dados, é usada como a identidade do pool de aplicativos para a Administração Central e como a conta de processo para o Serviço de Timer SharePoint de SharePoint. A conta de farm do servidor exige as seguintes permissões:

  • Ela deve ter permissões de conta de usuário de domínio.

Permissões extras são concedidas automaticamente à conta de serviço do farm SharePoint em servidores SharePoint que estão ingressados em um farm de servidores.

Após a execução da Configuração, as permissões no nível da máquina incluirão:

  • Associação ao grupo de segurança WSS_ADMIN_WPG Windows para o Serviço SharePoint Timer.

  • Associação no WSS_RESTRICTED_WPG para os pools de aplicativos de serviço da Administração Central e timer.

  • Associação no WSS_WPG para o pool de aplicativos da Administração Central.

Depois de executar os assistentes de configuração, as permissões do SQL Server e do banco de dados incluem:

  • A função de servidor fixa Dbcreator.

  • A função de servidor fixa Securityadmin.

  • db_owner para todos os bancos de dados do SharePoint.

  • Associação à função WSS_CONTENT_APPLICATION_POOLS para o banco SharePoint de configuração do farm de servidores.

  • Associação à função WSS_CONTENT_APPLICATION_POOLS para o banco SharePoint_Admin de conteúdo.

SharePoint Contas do Pool de Aplicativos

Esta seção descreve as SharePoint do Pool de Aplicativos que são configuradas por padrão durante a instalação.

Conta de acesso de conteúdo padrão

A conta de acesso de conteúdo padrão é usada dentro de um aplicativo de serviço específico para rastrear o conteúdo, a menos que um método de autenticação diferente seja especificado por uma regra de rastreamento de uma URL ou um padrão de URL. Esta conta exige as seguintes configurações de permissão:

  • A conta de acesso de conteúdo padrão deve ser uma conta de usuário de domínio com acesso de leitura às fontes de conteúdo externas ou seguras que você deseja rastrear com esta conta.

  • Para sites do SharePoint Server que não fazem parte do farm de servidores, você precisa conceder explicitamente permissões de leitura total nessa conta aos aplicativos web que hospedam os sites.

  • Esta conta não deve ser membro do grupo de administradores do farm.

Contas de acesso de conteúdo

As contas de acesso são configuradas para acessar conteúdo usando o recurso das regras de rastreamento da administração de Pesquisa. Esse tipo de conta é opcional e pode ser configurada ao criar uma nota regra de rastreamento. Por exemplo, o conteúdo externo (como um compartilhamento de arquivos) talvez exija essa conta de acesso de conteúdo separada. Tal conta exige as configurações de permissão a seguir:

  • A conta de acesso de conteúdo deve ter acesso de leitura a fontes de conteúdo externas ou seguras que esta conta está configurada a acessar.

  • Para sites do SharePoint Server que não fazem parte do farm de servidores, você precisa conceder explicitamente permissões de leitura total nessa conta aos aplicativos web que hospedam os sites.

Conta do Pool de Aplicativos Web

A conta do Pool de Aplicativos Web deve ser uma conta de usuário de domínio. Esta conta não deve ser membro do grupo de administradores do farm.

Essa conta deve ser usada para todos os aplicativos Web sem a Administração Central.

A seguinte permissão no nível do computador é configurada automaticamente: essa conta é membro do WSS_WPG.

As permissões do SQL Server e do banco de dados a seguir são configuradas automaticamente:

  • Essa conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de configuração do farm.

  • Essa conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de conteúdo SharePoint Admin.

  • As contas do pool de aplicativos para aplicativos Web são atribuídas à função SPDataAccess para os bancos de dados de conteúdo

SharePoint Conta do Pool de Aplicativos de Serviço

A SharePoint pool de aplicativos de serviço deve ser uma conta de usuário de domínio. Esta conta não deve ser membro do grupo de administradores ou qualquer outro computador do farm de servidores.

A seguinte permissão no nível do computador é configurada automaticamente: essa conta é membro do WSS_WPG.

As permissões do SQL Server e do banco de dados a seguir são configuradas automaticamente:

  • Essa conta é atribuída à função SPDataAccess para os bancos de dados de conteúdo.

  • Essa conta é atribuída à função SPDataAccess para o banco de dados de pesquisa associado ao aplicativo Web.

  • Essa conta deve ter acesso de leitura e gravação ao banco de dados de aplicativos de serviço associado.

  • Essa conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados de configuração do farm.

  • Essa conta é atribuída à função WSS_CONTENT_APPLICATION_POOLS associada ao banco de dados SharePoint_Admin conteúdo.

Funções de banco de dados do SharePoint

Esta seção descreve as funções do banco de dados que a instalação configura como padrão ou que podem ser configuradas opcionalmente.

Função de banco de dados WSS_CONTENT_APPLICATION_POOLS

A WSS_CONTENT_APPLICATION_POOLS se aplica à conta do pool de aplicativos para cada aplicativo Web registrado em um SharePoint farm. Essa aplicabilidade de função permite que os aplicativos Web consultem e atualizem o mapa do site e tenham acesso somente leitura a outros itens no banco de dados de configuração. A instalação atribui a função WSS_CONTENT_APPLICATION_POOLS aos seguintes bancos de dados:

  • O SharePoint config (o banco de dados de configuração)

  • O banco SharePoint de Conteúdo de Administrador

Membros da função WSS_CONTENT_APPLICATION_POOLS têm a permissão de execução para um subconjunto dos procedimentos armazenados para o banco de dados. Além disso, os membros desta função têm permissão de seleção na tabela de Versões (dbo.Versions) no banco de dados SharePoint_AdminContent. Para outros bancos de dados, a ferramenta de planejamento de contas indica que o acesso de leitura desses bancos de dados é configurado automaticamente. Em alguns casos, o acesso limitado de gravação para bancos de dados também é configurado automaticamente. Para oferecer este acesso, as permissões de processos armazenados são configuradas.

SharePoint_SHELL_ACCESS de banco de dados

A função SharePoint_SHELL_ACCESS banco de dados de configuração substitui a necessidade de adicionar uma conta de administração como db_owner no banco de dados de configuração. Por padrão, a conta de instalação é atribuída à função SharePoint_SHELL_ACCESS banco de dados. Você pode usar o comando PowerShell para conceder ou remover associações a essa função. A instalação atribui a função SharePoint_SHELL_ACCESS aos seguintes bancos de dados:

  • Banco de dados do SharePoint_Config (banco de dados de configuração).

  • Um ou mais bancos de dados de conteúdo do SharePoint. Esse banco de dados é configurável usando o comando do PowerShell que gerencia a associação e o objeto atribuído a essa função.

Os membros da função SharePoint_SHELL_ACCESS têm a permissão de execução para todos os procedimentos armazenados para o banco de dados. Além disso, os membros dessa função têm permissões de leitura e gravação em todas as tabelas do banco de dados.

Função de banco de dados SPREADONLY

A função SPREADONLY deve ser usada para definir o banco de dados como modo somente leitura em vez de usar sp_dboption. Essa função, como seu nome sugere, deve ser usada apenas quando o acesso para leitura é exigido em dados como dados de consumo e telemetria.

Observação

O procedimento armazenado sp_dboption não está disponível no SQL Server 2012. Para saber mais sobre sp_dboption, confira sp_dboption (Transact-SQL).

A função SPREADONLY SQL terá as seguintes permissões:

  • Concede SELECT em todos os procedimentos e funções armazenados do SharePoint.

  • Concede SELECT em todas as tabelas do SharePoint.

  • Concede EXECUTE em tipo definido pelo usuário em que o esquema é dbo.

Função de banco de dados SPDataAccess

A função SPDataAccess é a função padrão para acesso ao banco de dados e deve ser usada para todo o acesso de nível de modelo de objeto a bancos de dados. Adicione a conta de pool de aplicativos a essa função durante a atualização ou novas implantações.

Observação

A função SPDataAccess substituiu db_owner função SharePoint Server 2016.

A função SPDataAccess terá as seguintes permissões:

  • Concede EXECUTE ou SELECT em todos os procedimentos e funções armazenados do SharePoint.

  • Concede SELECT em todas as tabelas do SharePoint.

  • Concede EXECUTE em tipo definido pelo Usuário em que o esquema é dbo.

  • Concede INSERT na tabela AllUserDataJunctions.

  • Concede UPDATE em exibições de site.

  • Concede UPDATE na exibição UserData.

  • Concede UPDATE na tabela AllUserData.

  • Concede INSERT e DELETE nas tabelas NameValuePair.

  • Concede permissão para criação de tabelas.

Permissões de grupo

Esta seção descreve permissões de grupos que as ferramentas de configuração e configuração SharePoint Servidores 2016 e 2019 criam.

WSS_ADMIN_WPG

WSS_ADMIN_WPG tem acesso de leitura e gravação aos recursos locais. As contas do pool de aplicativos para os serviços de Administração Central e Timer estão WSS_ADMIN_WPG. A tabela a seguir mostra as permissões de entrada do registro WSS_ADMIN_WPG.

Observação

SharePoint 2013 usa o caminho do Registro "15.0" em vez de "16.0" e o caminho do sistema de arquivos "15" em vez de "16". Alguns caminhos listados abaixo não se aplicam ao SharePoint Foundation 2013.

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS Controle total Não aplicável Não aplicável
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} Leitura, gravação Não aplicável Não aplicável
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server Leitura Não Essa chave é a raiz da árvore de configurações do registro SharePoint Server. Se essa chave for alterada, SharePoint funcionalidade do Servidor falhará.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 Controle total Não Essa chave é a raiz das configurações de Registro do SharePoint Server 2016.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings Leitura, gravação Não Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings Leitura, gravação Não Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search Controle total Não aplicável Não aplicável
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search Controle total Não aplicável Não aplicável
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Controle total Não Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se essa chave for alterada, a instalação SharePoint Server no computador não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Controle total Sim Esta chave contém configurações usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões do sistema de arquivos da função WSS_ADMIN_WPG.

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint Controle total Não Esse diretório contém o cache do sistema de arquivos da configuração do farm. Os processos podem não ser iniciados e as ações administrativas poderão falhar se esse diretório for alterado ou excluído.
C:\Inetpub\wwwroot\wss Controle total Não Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para os sites do IIS. SharePoint sites estarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que os caminhos de site personalizados do IIS sejam fornecidos para todos os sites do IIS estendidos com o SharePoint Server.
%ProgramFiles%\Microsoft Office Servers\16.0 Controle total Não Este diretório é o local de instalação dos binários e dados do SharePoint Server 2016. O diretório pode ser alterado durante a instalação. Toda SharePoint funcionalidade do Servidor falhará se esse diretório for removido, alterado ou removido após a instalação. A associação ao WSS_ADMIN_WPG Windows grupo de segurança é necessária para que alguns serviços do SharePoint Server sejam capazes de armazenar dados em disco.
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices Leitura, gravação Não Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Os SharePoint do Servidor que dependem desses serviços falharão se esse diretório for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\16.0\Data Controle total Não Este diretório é o local raiz no qual os dados locais estão armazenados, inclusive os índices de pesquisa. A funcionalidade de pesquisa falhará se ele for removido ou alterado. São exigidas permissões do grupo de segurança WSS_ADMIN_WPG do Windows para habilitar a pesquisa a salvar e proteger dados nesta pasta.
%ProgramFiles%\Microsoft Office Servers\16.0\Logs Controle total Sim Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. A funcionalidade de log não funcionará adequadamente se esse diretório for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server Controle total Sim O mesmo que a pasta pai.
%windir%\System32\drivers\etc\HOSTS Leitura, gravação Não aplicável Não aplicável
%windir%\Tasks Controle total Não aplicável Não aplicável
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 Modificar Sim Esse diretório é o diretório de instalação para arquivos SharePoint Server principais. Se a lista de controle de acesso (ACL) for modificada, a ativação de recursos, a implementação de soluções e outros recursos não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Controle total Sim Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Controle total Sim Esse diretório contém arquivos usados para estender sites do IIS com SharePoint Server. Se este diretório ou seu conteúdo forem alterados, o provisionamento do aplicativo Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Controle total Não Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.
%windir%\temp Controle total Sim Esse diretório é usado pelos componentes da plataforma dos quais SharePoint Server depende. Se a lista de controle de acesso for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.
%windir%\System32\logfiles\SharePoint Controle total Não Esse diretório é usado pelo log de utilização do SharePoint Server. Se ele for modificado, o log de utilização não funcionará corretamente. Esta chave do Registro aplica-se apenas ao SharePoint Server.
Pasta %systemdrive\arquivos de programas\Microsoft Office Servers\16 nos servidores de Índice Controle total Não aplicável Essa permissão é concedida para uma pasta %systemdrive\arquivos de programas\Microsoft Office Servers\16 folder nos servidores de indexação.

WSS_WPG

WSS_WPG tem acesso de leitura aos recursos locais. Todas as contas de pool de aplicativos e de serviços estão na WSS_WPG. A tabela a seguir mostra WSS_PERMISSÕES de entrada do Registro WPG.

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 Leitura Não Essa chave é a raiz das configurações do registro SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics Leitura, gravação Não Essa chave contém configurações para o log de diagnóstico SharePoint Server. A alteração desta chave destruirá a funcionalidade de log.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings Leitura, gravação Não Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings Leitura, gravação Não Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Leitura Não Esta chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se a chave for alterada, a instalação do SharePoint Server 2016 não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Leitura Sim Esta chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões dos sistema de arquivos da função WSS_WPG.

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint Leitura Não Esse diretório contém o cache do sistema de arquivos da configuração do farm. Os processos podem não ser iniciados e as ações administrativas poderão falhar se esse diretório for alterado ou excluído.
C:\Inetpub\wwwroot\wss Leitura, execução Não Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para os sites do IIS. SharePoint sites estarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que os caminhos de site personalizados do IIS sejam fornecidos para todos os sites do IIS estendidos com o SharePoint Server.
%ProgramFiles%\Microsoft Office Servers\16.0 Leitura, execução Não Este diretório é o local de instalação dos binários e dados SharePoint Server. Ele pode ser alterado durante a instalação. Toda SharePoint funcionalidade do Servidor falhará se esse diretório for removido, alterado ou movido após a instalação. WSS_WPG permissões de leitura e execução são necessárias para habilitar os sites do IIS a carregar SharePoint binários do Servidor.
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices Leitura Não Esse é o diretório raiz no qual os serviços Web back-end estão hospedados, por exemplo, Excel e Search. Os SharePoint do Servidor que dependem desses serviços falharão se esse diretório for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\16.0\Logs Leitura, gravação Sim Esse diretório é o local no qual é gerado o log de diagnóstico em tempo real. A funcionalidade de log não funcionará adequadamente se esse diretório for removido ou alterado.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Leitura Sim Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Leitura Sim Esse diretório contém arquivos usados para estender sites do IIS com SharePoint Server. Se este diretório ou seu conteúdo forem alterados, o provisionamento do aplicativo Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Modificar Não Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.
%windir%\temp Leitura Sim Esse diretório é usado pelos componentes da plataforma dos quais SharePoint Server depende. Se a lista de controle de acesso for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.
%windir%\System32\logfiles\SharePoint Leitura Não Esse diretório é usado pelo log de utilização do SharePoint Server. Se ele for modificado, o log de utilização não funcionará corretamente. A chave do registro aplica-se apenas ao SharePoint Server.
%systemdrive\arquivos de programas\Microsoft Office Servers\16 Leitura, execução Não aplicável A permissão é concedida a uma pasta %systemdrive\arquivos de programas\Microsoft Office Servers\16 dos servidores de Índice.

Serviço local

A tabela a seguir exibe as permissões de entrada de registro do serviço local:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings Leitura Não Esta chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão.

A tabela a seguir exibe as permissões do sistema de arquivos do serviço local:

Caminho do sistema de arquivos Permissões Herdar Descrição
%ProgramFiles%\Microsoft Office Servers\16.0\Bin Leitura, execução Não Esse diretório é o local instalado dos binários SharePoint Server. Toda a funcionalidade SharePoint Server falhará se esse diretório for removido ou alterado.

Sistema local

A tabela a seguir exibe as permissões de entrada do registro do sistema local:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings Leitura Não Essa chave contém configurações para o serviço de conversão de documento. Alterá-la irá prejudicar a funcionalidade de conversão. Esta chave do Registro aplica-se apenas ao SharePoint Server.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Controle total Não Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se essa chave for alterada, a instalação SharePoint Server no computador não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin Controle total Não Esta chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Controle total Sim Esta chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir mostra as permissões do sistema de arquivos local:

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint Controle total Não Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se ele for alterado ou excluído, poderão ocorrer falhas nas ações administrativas e na inicialização.
C:\Inetpub\wwwroot\wss Controle total Não Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para os sites do IIS. SharePoint sites estarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que os caminhos de site personalizados do IIS sejam fornecidos para todos os sites do IIS estendidos com o SharePoint Server.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Controle total Sim Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Controle total Sim Se este diretório ou seu conteúdo forem alterados, o provisionamento do aplicativo Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Controle total Não Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.
%windir%\temp Controle total Sim Esse diretório é usado pelos componentes da plataforma dos quais SharePoint Server depende. Se a lista de controle de acesso for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.
%windir%\System32\logfiles\SharePoint Controle total Não Este diretório é usado para log de uso do SharePoint Server. Se for modificado, o log de uso não funcionará corretamente. Esta chave do Registro aplica-se apenas ao SharePoint Server.

Serviço de rede

A tabela a seguir exibe as permissões de entrada de registro do serviço de rede:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup Leitura Não aplicável Não aplicável

Administradores

A tabela a seguir exibe as permissões de entrada do registro dos administradores:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure Controle total Não Essa chave contém a cadeia de conexão e a ID do banco de dados de configuração ao qual a máquina está associada. Se essa chave for alterada, a instalação SharePoint Server no computador não funcionará.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin Controle total Não Esta chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS Controle total Sim Esta chave contém configurações que são usadas durante a instalação. Se ela for alterada, o log de diagnóstico e a configuração de instalação ou pós-instalação poderão falhar.

A tabela a seguir exibe as permissões do sistema de arquivos dos administradores:

Caminho do sistema de arquivos Permissões Herdar Descrição
%AllUsersProfile%\ Microsoft\SharePoint Controle total Não Esse diretório contém o cache protegido pelo sistema de arquivos da configuração do farm. Se ele for alterado ou excluído, poderão ocorrer falhas nas ações administrativas e na inicialização.
C:\Inetpub\wwwroot\wss Controle Total Não Esse diretório (ou o diretório correspondente na raiz Inetpub do servidor) é usado como local padrão para os sites do IIS. SharePoint sites estarão indisponíveis e as ações administrativas poderão falhar se esse diretório for alterado ou excluído, a menos que os caminhos de site personalizados do IIS sejam fornecidos para todos os sites do IIS estendidos com o SharePoint Server.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI Controle total Sim Esse diretório contém os serviços soap da Administração Central. Se o diretório for alterado, a criação do site remoto e outros métodos expostos no serviço não funcionarão corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG Controle total Sim Se este diretório ou seu conteúdo forem alterados, o provisionamento do aplicativo Web não funcionará corretamente.
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Controle total Não Esse diretório contém logs de configuração e acompanhamento de tempo de execução. Se ele for alterado, o log de diagnóstico não funcionará corretamente.
%windir%\temp Controle total Sim Esse diretório é usado pelos componentes da plataforma dos quais SharePoint Server depende. Se a ACL for modificada, a renderização de Web Parts e outras operações de desserialização podem falhar.
%windir%\System32\logfiles\SharePoint Controle total Não Este diretório é usado para log de uso do SharePoint Server. Se for modificado, o log de uso não funcionará corretamente. Esta chave do Registro aplica-se apenas ao SharePoint Server.

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG pode ler a entrada de registro de credencial de administração de farm criptografado. WSS_RESTRICTED_WPG só é usado para criptografia e descriptografia de senhas armazenadas no banco de dados de configuração. A tabela a seguir mostra a permissão de entrada WSS_RESTRICTED_WPG:

Nome da chave Permissões Herdar Descrição
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin Controle total Não Esta chave contém a chave de criptografia usada para armazenar segredos no banco de dados de configuração. Se ela for alterada, o provisionamento de serviços e outros recursos falharão.

Grupo de usuários

A tabela a seguir exibe as permissões do sistema de arquivos do grupo de usuários:

Caminho do sistema de arquivos Permissões Herdar Descrição
%ProgramFiles%\Microsoft Office Servers\16.0 Leitura, execução Não Este diretório é o local de instalação para SharePoint binários e dados do Servidor. Ele pode ser alterado durante a instalação. Toda SharePoint funcionalidade do Servidor falhará se esse diretório for removido, alterado ou movido após a instalação.
%ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root Leitura, execução Não Este diretório é a raiz no qual os serviços Web de raiz de back-end ficam hospedados. O único serviço inicialmente instalado neste diretório é um serviço de administração global de pesquisa. Parte da funcionalidade de administração de pesquisa que usa a página de configuração da Administração Central específica do servidor não funcionará se esse diretório for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\16.0\Logs Leitura, gravação Sim Este diretório é o local no qual o log de diagnóstico do tempo de execução é gerado. O log não funcionará adequadamente se ele for removido ou alterado.
%ProgramFiles%\Microsoft Office Servers\16.0\Bin Leitura, execução Não Esse diretório é o local instalado dos binários SharePoint Server. Toda a funcionalidade SharePoint Server falhará se esse diretório for removido ou alterado.

Todas as SharePoint de serviço do Servidor

A tabela a seguir mostra todas as SharePoint do sistema de arquivos de contas de serviço do Servidor:

Caminho do sistema de arquivos Permissões Herdar Descrição
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS Modificar Não Este diretório contém os logs de rastreamento de configuração e tempo de execução. Se for alterado, o log de diagnóstico não funcionará corretamente. Todas SharePoint contas de serviço do Servidor devem ter permissão de gravação para esse diretório.

Confira também

Conceitos

Instalar e configurar o SharePoint Server 2016