Параметры разрешений учетной записи и безопасности (SharePoint Server 2010)

  • Статья

 

Применимо к: SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

Содержание:

  • О разрешениях учетной записи и параметрах безопасности

  • Учетные записи администраторов

  • Учетные записи приложений-служб

  • Роли базы данных

  • Разрешения группы

В этой статье описаны учетные записи администраторов и служб Microsoft SharePoint Server 2010. В ней затронуты следующие области: Microsoft SQL Server, файловая система, общие папки с файлами и записи в реестре.

О разрешениях учетной записи и параметрах безопасности

Многие основные разрешения учетных записей и параметры безопасности SharePoint Server 2010 настраиваются с помощью мастера настройки SharePoint (Psconfig) и мастера создания ферм, которые запускаются в ходе полной установки.

Учетные записи администраторов

Большая часть учетных записей администраторов SharePoint Server 2010 настраивается автоматически, в процессе настройки, одним из следующих компонентов SharePoint Server 2010:

  • Мастер настройки SharePoint (Psconfig)

  • Мастер создания ферм.

  • Веб-сайт центра администрирования SharePoint.

  • Windows PowerShell.

Учетная запись администратора настройки

Эта учетная запись используется для настройки каждого сервера фермы путем запуска мастера конфигурации SharePoint, мастера начального создания фермы и Windows PowerShell. В примерах из этой статьи учетная запись администратора настройки используется для администрирования фермы и может управляться через центр администрирования. Для использования некоторых параметров конфигурации необходимы разрешения локального администратора (например, для конфигурации сервера поисковых запросов SharePoint Server 2010). Учетной записи администратора настройки необходимы следующие разрешения:

  • Необходимо иметь разрешения учетной записи пользователя домена.

  • Необходимо быть участником группы локальных администраторов на каждом сервере фермы SharePoint Server 2010, кроме SQL Server и сервера протокола SMTP.

  • Учетная запись должна иметь доступ к базам данных SharePoint Server 2010.

  • При использовании любых операций Windows PowerShell, влияющих на базу данных, учетная запись администратора настройки должна быть участником роли db_owner.

  • Эту учетную запись необходимо присвоить ролям безопасности securityadmin и dbcreator SQL Server в ходе установки и настройки.

Примечание

При полном обновлении версии могут потребоваться роли securityadmin и dbcreator SQL Server, так как для служб может возникнуть необходимость создания новых баз данных и обеспечения их безопасности.

После запуска мастеров настройки учетная запись администратора для пользователя установки получает следующие разрешения на уровне компьютера:

  • Членство в группе безопасности WSS_ADMIN_WPG Windows.

  • Членство в роли IIS_WPG.

После запуска мастеров настройки появляются следующие разрешения базы данных:

  • db_owner в базе данных конфигурации фермы серверов SharePoint Server 2010.

  • db_owner в базе данных контента центра администрирования SharePoint Server 2010.

Предупреждение

Если удалить учетную запись администратора настройки с компьютера с SQL Server, то мастера настройки будут работать некорректно. Если мастер настройки запускается с использованием учетной записи, не принадлежащей к особой роли SQL или не имеющей доступа к базам данных на правах db_owner, то нормальная работа будет невозможна.

Учетная запись службы фермы

Учетная запись фермы серверов иначе называется учетной записью доступа к базе данных и используется в качестве удостоверения пула приложений центра администрирования и учетной записи процесса службы времени Microsoft SharePoint Foundation 2010. Учетной записи фермы серверов необходимы следующие разрешения:

  • Необходимо иметь разрешения учетной записи пользователя домена.

Дополнительные разрешения учетной записи фермы серверов предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

После запуска мастера настройки SharePoint появляются следующие разрешения уровня компьютера:

  • Членство в группе безопасности WSS_ADMIN_WPG Windows службы времени SharePoint Foundation 2010.

  • Членство в WSS_RESTRICTED_WPG для пулов приложений центра администрирования и службы таймера.

  • Членство в WSS_WPG для пула приложений центра администрирования.

После запуска мастеров настройки появляются следующие разрешения SQL Server и базы данных:

  • Предопределенная роль сервера Dbcreator.

  • Предопределенная роль сервера Securityadmin.

  • db_owner для всех баз данных SharePoint Server 2010.

  • Членство в роли WSS_CONTENT_APPLICATION_POOLS для базы данных конфигурации фермы серверов SharePoint Server 2010.

  • Членство в роди WSS_CONTENT_APPLICATION_POOLS базы данных контента SharePoint_Admin SharePoint Server 2010.

Учетная запись службы поиска Microsoft SharePoint Foundation 2010.

Учетная запись службы поиска SharePoint Foundation 2010 используется в качестве учетной записи службы для службы поиска SharePoint Foundation 2010. Учетная запись службы поиска SharePoint Foundation 2010 требует следующих параметров настройки разрешений:

  • Учетная запись должна иметь разрешения учетной записи пользователя домена.

Автоматически настраиваются следующие разрешения уровня компьютера: учетная запись службы поиска является участником роли WSS_WPG.

Следующие разрешения SQL Server и баз данных предоставляются при вступлении в роль WSS_CONTENT_APPLICATION_POOLS базы данных конфигурации фермы серверов:

  • Доступ к базе данных конфигурации фермы серверов для чтения.

  • Доступ к базе данных контента SharePoint_Admin для чтения.

  • Эта учетная запись получает роль db_owner базы данных поиска SharePoint Foundation 2010.

Учетная запись службы поиска Microsoft SharePoint Foundation 2010 для доступа к контенту

Учетная запись службы поиска SharePoint Foundation 2010 для доступа к контенту используется службой поиска SharePoint Foundation 2010 для обхода контента сайтов. Этой учетной записи SharePoint Foundation 2010 необходимы следующие параметры разрешений:

  • Учетная запись должна иметь разрешения учетной записи пользователя домена.

  • Учетная запись не должна быть членом группы администраторов фермы.

Следующие разрешения SQL Server и базы данных настраиваются автоматически:

  • Доступ к базе данных конфигурации фермы серверов для чтения.

  • Доступ к базе данных контента SharePoint_Admin для чтения.

  • Эта учетная запись получает роль db_owner базы данных поиска SharePoint Foundation 2010.

Учетная запись службы поиска SharePoint Foundation 2010 для доступа к контенту получает все права чтения всех веб-приложений.

Учетные записи служб-приложений

В этом разделе описаны учетные записи служб-приложений, по умолчанию настраиваемые в ходе установки.

Учетная запись пулов приложений

Учетная запись пула приложений поставщика общих служб используется как удостоверение пула приложений. Этой учетной записи необходимы следующие параметры конфигурации разрешений:

Автоматически настраиваются следующие разрешения уровня компьютера: учетная запись пула приложений является участником роли WSS_WPG.

Следующие разрешения SQL Server и базы данных настраиваются для этой учетной записи автоматически:

  • Учетные записи пула веб-приложений присваиваются роли db_owner для баз данных контента.

  • Учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы.

  • Учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.

Учетная запись службы поиска SharePoint Server

Учетная запись службы поиска SharePoint Server 2010 используется как учетная запись службы поиска SharePoint Server 2010. Служба поиска SharePoint Server является службой NT и используется всеми приложениями служб поиска. Для любого сервера существует только один экземпляр этой службы. Учетной записи службы поиска SharePoint Server 2010 необходимы следующие параметры конфигурации разрешений: учетной записи службы поиска SharePoint Server 2010 предоставляется доступ ко общей папке (папкам) распространения на всех серверах поисковых запросов фермы.

Автоматически настраиваются следующие разрешения уровня компьютера: учетная запись службы поиска SharePoint Server 2010 является участником роли WSS_WPG.

Следующие разрешения SQL Server и базы данных настраиваются автоматически:

  • Учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы.

  • Учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.

Учетная запись по умолчанию для доступа контенту

Учетная запись доступа к контенту, выбранная по умолчанию, используется приложением-службой для обхода контента, если правилом обхода не определен иной метод проверки подлинности для URL-адресов или шаблонов URL. Эта учетная запись требует настройки следующих параметров разрешений:

  • Учетная запись по умолчанию для доступа к контенту должна быть учетной записью пользователя домена и иметь право чтения внешних или защищенных источников контента, которые предполагается обходить с помощью этой записи.

  • Для сайтов SharePoint Server, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

  • Учетная запись не должна быть членом группы администраторов фермы.

Учетные записи для доступа контенту

Учетные записи для доступа к контенту — это записи, которые настраиваются для доступа к контенту с помощью компонента правил обхода администрирования поиска. Это необязательный тип учетной записи, который можно настроить при создании нового правила обхода контента. Например, такая отдельная запись может понадобиться для\ внешнего контента (например, общей папки с файлами). Этой учетной записи необходимы следующие параметры конфигурации разрешений:

  • Учетная запись для доступа к контенту должна иметь право чтения внешних или защищенных источников контента, к которым у нее настроен доступ.

  • Для сайтов SharePoint Server, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

Учетная запись автоматической службы Excel Services

Учетная запись автоматической службы Excel Services используется Excel Services для подключения к внешним источникам данных, которым для проверки подлинности необходимо имя пользователя и пароль на основе операционной системы, отличной от Windows. Если эта учетная запись не настроена, службы Excel не будут пытаться подключиться к этим типам источников данных. Хотя учетные данные записи используются для подключения источников данных операционных систем, отличных от Windows, если учетная запись не является участником домена, Excel Services не может к ней подключиться. Она должна быть учетной записью пользователя домена.

Учетная запись пула приложений «Мои сайты»

Учетная запись пула приложений «Мои сайты» должна быть учетной записью пользователя домена. Учетная запись не должна быть членом группы администраторов фермы.

Автоматически настраиваются следующие разрешения уровня компьютера: эта учетная запись является участником WSS_WPG.

Следующие разрешения SQL Server и базы данных настраиваются автоматически:

  • Учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы.

  • Учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.

Другие учетные записи пула приложений

Другая учетная запись пула приложений должна быть записью пользователя домена. Она не должна быть участником группы администраторов на любом компьютере сервера фермы.

Автоматически настраиваются следующие разрешения уровня компьютера: данная учетная запись является участником роли WSS_WPG.

Следующие разрешения SQL Server и базы данных настраиваются автоматически:

  • Эта учетная запись получает роль db_owner баз данных контента.

  • Эта учетная запись получает роль db_owner баз данных поиска, связанных с веб-приложением.

  • Учетная запись должна иметь разрешение на чтение и запись в связанной базе данных приложения-службы.

  • Учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных конфигурации фермы.

  • Учетная запись присвоена роли WSS_CONTENT_APPLICATION_POOLS, связанной с базой данных контента SharePoint_Admin.

Роли базы данных

В этом разделе описываются роли базы данных, настраиваемые в ходе установки по умолчанию или дополнительно.

Роль базы данных WSS_CONTENT_APPLICATION_POOLS

Роль базы данных WSS_CONTENT_APPLICATION_POOLS применяется к учетной записи пула приложений для каждого веб-приложения, зарегистрированного в SharePoint. Это позволяет веб-приложениям запрашивать карту сайта и обновлять ее. Также им предоставляется доступ только для чтения к другим элементам базы данных конфигурации. Программа настройки присваивает роль WSS_CONTENT_APPLICATION_POOLS следующим базам данных:

  • База данных SharePoint_Config (база данных конфигурации).

  • База данных SharePoint_AdminContent.

Членам роли WSS_CONTENT_APPLICATION_POOLS предоставляется разрешение Execute на подмножество хранимых процедур для базы данных. Кроме того, членам этой роли предоставляется разрешение Select на таблицу версий (dbo.Versions) в базе данных SharePoint_AdminContent. Для остальных баз данных в средстве планирования учетных записей указано, что доступ для чтения из этих базы данных настраивается автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Для получения этого доступа настраиваются разрешения на хранимые процедуры. Например, для базы данных SharePoint_Config автоматически настраивается доступ к следующим хранимым процедурам:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

Роль базы данных WSS_SHELL_ACCESS

Безопасная роль базы данных WSS_SHELL_ACCESS в базе данных конфигурации устраняет необходимость добавления учетной записи администрирования в качестве пользователя db_owner базы данных конфигурации. Учетная запись настройки по умолчанию присваивается роли базы данных WSS_SHELL_ACCESS. Членство в этой роли предоставляется и отзывается с помощью команды Windows PowerShell. Программа настройки присваивает роль WSS_SHELL_ACCESS следующим базам данных:

  • База данных SharePoint_Config (база данных конфигурации).

  • Одна или несколько баз данных контента SharePoint. Это поведение настраивается с помощью команды Windows PowerShell, которая управляет членством, а также с помощью объекта, присвоенного этой роли.

Членам роли WSS_SHELL_ACCESS предоставляется разрешение Execute на все хранимые процедуры для базы данных. Кроме того, члены этой роли получают разрешения на чтение и запись во всех таблицах баз данных.

Разрешения групп

В этом разделе описаны разрешения групп, созданные средствами установки и настройки SharePoint Server 2010.

WSS_ADMIN_WPG

Роль WSS_ADMIN_WPG имеет доступ к локальным ресурсам для чтения и записи. Учетные записи пула приложений для служб центра администрирования и таймера находятся в WSS_ADMIN_WPG. В следующей таблице перечислены разрешения записей реестра WSS_ADMIN_WPG.

Имя ключа Разрешения Наследование Описание

HKEY_CLASSES_ROOT\APPID\{58F1D482-A132-4297-9B8A-F8E4E600CDF6}

Полный контроль

Не определен

Это SharePoint Server 2010 приложение службы поиска COM.

HKEY_CLASSES_ROOT\APPID\{6002D29F-1366-4523-88C1-56D59BFEF8CB}

Полный контроль

Не определен

Это SharePoint Foundation 2010 приложение службы поиска COM.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS

Полный контроль

Не определен

Не определен

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\14.0\Registration\{90120000-110D-0000-0000-0000000FF1CE}

Чтение, запись

Не определен

Не определен

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server

Чтение

Нет

Этот ключ является корневым каталогом дерева параметров реестра SharePoint Server 2010. Его изменение приведет к нарушению работы функции SharePoint Server 2010.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0

Полный контроль

Нет

Этот ключ является корневым каталогом параметров реестра SharePoint Server 2010.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

Чтение, запись

Нет

Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

Чтение, запись

Нет

Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search

Полный контроль

Не определен

Не определен

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Search

Полный контроль

Не определен

Не определен

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Полный контроль

Нет

Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Его изменение приведет к нарушению работы установки SharePoint Server на компьютере.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Полный контроль

Да

Этот ключ содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки.

В следующей таблице перечислены разрешения файловой системы WSS_ADMIN_WPG.

Путь к файловой системе Разрешения Наследование Описание

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Полный контроль

Нет

В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования

C:\Inetpub\wwwroot\wss

Полный контроль

Нет

Этот каталог (или соответствующий каталог в корневом каталоге Inetpub на сервере) выбран по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, доступ к сайтам SharePoint будет потерян, а действия администрирования, возможно, не удастся выполнить, за исключением случаев, когда пути к веб-сайтам IIS указаны для всех сайтов IIS, расширенных SharePoint Server.

%ProgramFiles%\Microsoft Office Servers\14.0

Полный контроль

Нет

Это каталог установки двоичных файлов и данных SharePoint Server 2010. При установке каталог можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint Server 2010 перестанут работать. Членство в группе безопасности WSS_ADMIN_WPG Windows необходимо для того, чтобы некоторые службы SharePoint Server 2010 смогли сохранять данные на диск.

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices

Чтение, запись

Нет

Это корневой каталог, в котором размещаются серверные веб-службы, например, Excel и служба поиска. Если этот каталог будет удален или изменен, то возникнет сбой функций SharePoint Server 2010, использующих эти службы.

%ProgramFiles%\Microsoft Office Servers\14.0\Data

Полный контроль

Нет

Это корневой каталог для хранения локальных данных, включая индексы поиска. Если его удалить или изменить, функция поиска перестанет работать. Чтобы функция поиска смогла сохранять и защищать данные из этой папки, необходимы разрешения группы безопасности WSS_ADMIN_WPG Windows.

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

Полный контроль

Да

Это место создания диагностического журнала работы. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать

%ProgramFiles%\Microsoft Office Servers\14.0\Data\Office Server

Полный контроль

Да

То же, что и родительская папка.

%windir%\System32\drivers\etc\HOSTS

Чтение, запись

Не определен

Не определен

%windir%\Tasks

Полный контроль

Не определен

Не определен

%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\14

Изменение

Да

Это каталог установки основных файлов SharePoint Server. Если изменить списки доступа (ACL), активация функции, развертывание приложений и другие возможности не будут нормально работать.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Полный контроль

Да

В этом каталоге находятся службы SOAP центра администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Полный контроль

Да

В этом каталоге находятся файлы, используемые при добавлении к веб-сайтам IIS SharePoint Server. Если изменить каталог или его контент, предоставление веб-приложения не будет нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Полный контроль

Нет

В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\Data

Полный контроль

Да

Не определен

%windir%\temp

Полный контроль

Да

Этот каталог используют компоненты платформы, от которых зависит работа SharePoint Server. Если изменить ACL, может произойти сбой отображения веб-части и других операций десериализации

%windir%\System32\logfiles\SharePoint

Полный контроль

Нет

Этот каталог использует SharePoint Server функция ведения журнала использования. Если его изменить, она не будет нормально работать

Папка %systemdrive\program files\Microsoft Office Servers\14 на серверах индексирования

Полный контроль

Не определен

Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\14 на серверах индексирования.

WSS_WPG

Роль WSS_WPG имеет доступ к локальным ресурсам для чтения и записи. Все учетные записи пула приложений и служб находятся в WSS_WPG. В следующей таблице перечислены разрешения записей реестра WSS_WPG.

Имя ключа Разрешения Наследование Описание

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0

Чтение

Нет

Этот ключ является корневым каталогом параметров реестра SharePoint Server 2010.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Diagnostics

Чтение, запись

Нет

Этот ключ содержит параметры ведения журналов диагностики SharePoint Server 2010. Если его изменить, работа журнала нарушится.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

Чтение, запись

Нет

Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

Чтение, запись

Нет

Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Чтение

Нет

Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint Server на компьютере работать не будет.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Чтение

Да

Этот ключ содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки.

В следующей таблице перечислены разрешения файловой системы WSS_WPG.

Путь к файловой системе Разрешения Наследование Описание

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Чтение

Нет

В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования

C:\Inetpub\wwwroot\wss

Чтение, выполнение

Нет

Этот каталог (или соответствующий каталог в корневом каталоге сервера Inetpub) выбран по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то доступ к сайтам SharePoint будет потерян, а действия администрирования, возможно, не удастся выполнить, если пути к веб-сайтам IIS не указаны для всех сайтов IIS, дополненных SharePoint Server

%ProgramFiles%\Microsoft Office Servers\14.0

Чтение, выполнение

Нет

Это каталог установки двоичных файлов и данных SharePoint Server 2010. При установке его можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint Server 2010 перестанут работать. Разрешения на чтение и выполнение WSS_WPG необходимы для того, чтобы сайты IIS смогли загружать двоичные файлы SharePoint Server 2010.

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices

Чтение

Нет

Это корневой каталог, в котором размещаются серверные веб-службы, например, Excel и служба поиска. Если этот каталог будет удален или изменен, то возникнет сбой функций SharePoint Server 2010, использующих эти службы.

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

Чтение, запись

Да

Это место создания диагностического журнала работы. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Чтение

Да

В этом каталоге находятся службы SOAP центра администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Чтение

Да

В этом каталоге находятся файлы, используемые при добавлении к веб-сайтам IIS SharePoint Server. Если изменить каталог или его контент, предоставление веб-приложения не будет нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Изменение

Нет

В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать

%windir%\temp

Чтение

Да

Этот каталог используют компоненты платформы, от которых зависит работа SharePoint Server. Если изменить ACL, может произойти сбой отображения веб-части и других операций

%windir%\System32\logfiles\SharePoint

Чтение

Нет

Этот каталог использует SharePoint Server функция ведения журнала использования. Если его изменить, она не будет нормально работа

%systemdrive\program files\Microsoft Office Servers\14

Чтение, выполнение

Не определен

Это разрешение дается для папки %systemdrive\program files\Microsoft Office Servers\12 на серверах индексирования.

Локальная служба

В следующей таблице перечислены разрешения записи реестра локальной службы:

Имя ключа Разрешения Наследование Описание

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

Чтение

Нет

Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать.

В следующей таблице перечислены разрешения файловой системы локальной службы:

Путь к файловой системе Разрешения Наследование Описание

%ProgramFiles%\Microsoft Office Servers\14.0\Bin

Чтение, выполнение

Нет

Это каталог установки двоичных файлов SharePoint Server 2010. Если его удалить или изменить, все функции SharePoint Server 2010 перестанут работать.

Локальная система

В следующей таблице перечислены разрешения записи реестра локальной системы:

Имя ключа Разрешения Наследование Описание

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

Чтение

Нет

Этот ключ содержит параметры службы преобразования документа. Если его изменить, функция преобразования не будет работать.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Полный контроль

Нет

Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint Server на компьютере работать не будет.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

Полный контроль

Нет

Этот ключ содержит ключ шифрования, используемый для хранения в базе данных конфигурации секретных сведений. Если его изменить, произойдет сбой предоставления услуги и других функций

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Полный контроль

Да

Этот ключ содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки.

В следующей таблице перечислены разрешения файловой системы локальной системы.

Путь к файловой системе Разрешения Наследование Описание

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Полный контроль

Нет

В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования

C:\Inetpub\wwwroot\wss

Полный контроль

Нет

Этот каталог (или соответствующий каталог в корневом каталоге сервера Inetpub) выбран по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то доступ к сайтам SharePoint будет потерян, а действия администрирования, возможно, не удастся выполнить, если пути к веб-сайтам IIS не указаны для всех сайтов IIS, дополненных SharePoint Server

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Полный контроль

Да

В этом каталоге находятся службы SOAP центра администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Полный контроль

Да

Если изменить каталог или его контент, предоставление веб-приложения не будет нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Полный контроль

Нет

В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать

%windir%\temp

Полный контроль

Да

Этот каталог используют компоненты платформы, от которых зависит работа SharePoint Server. Если изменить ACL, может произойти сбой отображения веб-части и других операций десериализации.

%windir%\System32\logfiles\SharePoint

Полный контроль

Нет

Этот каталог используется SharePoint Server для ведения журнала использования. Изменение каталога приведет к неверной работе журнала.

Сетевая служба

В следующей таблице перечислены разрешения записи реестра сетевой службы:

Имя ключа Разрешения Наследование Описание

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search\Setup

Чтение

Не определен

Не определен

Администраторы

В следующей таблице перечислены разрешения записей реестра администраторов.

Имя ключа Разрешения Наследование Описание

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Полный контроль

Нет

Этот ключ содержит строку соединения и идентификатор базы данных конфигурации, к которой подключен компьютер. Если его изменить, установка SharePoint Server на компьютере работать не будет.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

Полный контроль

Нет

Этот ключ содержит ключ шифрования, используемый для хранения в базе данных конфигурации секретных сведений. Если его изменить, произойдет сбой предоставления услуги и других функций

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Полный контроль

Да

Этот ключ содержит параметры, использованные при настройке. Если его изменить, возможны сбои при записи в журнал в ходе диагностики или настройки или конфигурации после настройки.

В следующей таблице перечислены разрешения файловой системы администраторов.

Путь к файловой системе Разрешения Наследование Описание

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Полный контроль

Нет

В этом каталоге находится кэш резервной копии файловой системы конфигурации фермы. Если его изменить или удалить, возможны сбои запуска процессов и действий администрирования

C:\Inetpub\wwwroot\wss

Полный контроль

Нет

Этот каталог (или соответствующий каталог в корневом каталоге сервера Inetpub) выбран по умолчанию для хранения веб-сайтов IIS. Если его изменить или удалить, то доступ к сайтам SharePoint будет потерян, а действия администрирования, возможно, не удастся выполнить, если пути к веб-сайтам IIS не указаны для всех сайтов IIS, дополненных SharePoint Server

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Полный контроль

Да

В этом каталоге находятся службы SOAP центра администрирования. Если его изменить, дистанционное создание сайтов и другие методы, работающие со службой, не будут нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Полный контроль

Да

Если изменить каталог или его контент, предоставление веб-приложения не будет нормально работать

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Полный контроль

Нет

В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать

%windir%\temp

Полный контроль

Да

Этот каталог используют компоненты платформы, от которых зависит работа SharePoint Server. Если изменить ACL, может произойти сбой отображения веб-части и других операций десериализации

%windir%\System32\logfiles\SharePoint

Полный контроль

Нет

Этот каталог используется для ведения журнала использования SharePoint Server. Изменение каталога приведет к некорректной работе журнала.

WSS_RESTRICTED_WPG

Роль WSS_RESTRICTED_WPG предоставляет право на чтение зашифрованной записи реестра с учетными данными администратора. WSS_RESTRICTED_WPG используется только для шифрования и расшифровки паролей, хранящихся в базе данных конфигурации. В следующей таблице перечислены разрешения записей реестра WSS_RESTRICTED_WPG:

Имя ключа Разрешения Наследование Описание

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

Полный контроль

Нет

Этот ключ содержит ключ шифрования, используемый для хранения в базе данных конфигурации секретных сведений. Если его изменить, произойдет сбой предоставления услуги и других функций

Группа пользователей

В следующей таблице перечислены разрешения файловой системы групп пользователей.

Путь к файловой системе Разрешения Наследование Описание

%ProgramFiles%\Microsoft Office Servers\14.0

Чтение, выполнение

Нет

Это каталог установки двоичных файлов и данных SharePoint Server 2010. При установке его можно изменить. Если его удалить, изменить или удалить после установки, все функции SharePoint Server 2010 перестанут работать.

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices\Root

Чтение, выполнение

Нет

Это корневой каталог, где размещаются корневые интерфейсные веб-службы. Первоначально сюда устанавливается только служба глобального администрирования поиска. Если изменить или удалить каталог, некоторые функции администрирования поиска, использующие страницу параметров поиска центра администрирования конкретного сервера, не будут работать.

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

Чтение, запись

Да

Это место создания диагностического журнала работы. Если удалить или изменить этот каталог, функция ведения журнала не будет нормально работать

%ProgramFiles%\Microsoft Office Servers\14.0\Bin

Чтение, выполнение

Нет

Это каталог установки двоичных файлов SharePoint Server 2010. Если его удалить или изменить, все функции SharePoint Server 2010 перестанут работать.

Все учетные записи служб Office SharePoint Server

В следующей таблице перечислены все разрешения файловой системы учетных записей служб Office SharePoint Server:

Путь к файловой системе Разрешения Наследование Описание

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Изменение

Нет

В этом каталоге находятся журналы отслеживания настройки и работы. Если его изменить, функция сбора данных диагностики не будет нормально работать Все учетные записи служб SharePoint Server должны иметь разрешение на запись в этот каталог.