適用於:
2013 2016 2019 訂閱版 
Microsoft 365 中的 SharePoint
本文說明下列領域的 SharePoint 管理及服務帳戶權限:Microsoft SQL Server、檔案系統、檔案共用及登錄項目。
重要事項
請勿使用包含符號 $ 的服務帳戶名稱,但使用 SQL Server 的群組受控服務帳戶除外。
深入了解 Microsoft 365 中的 SharePoint 系統管理員角色。
關於 SharePoint Server 中的帳戶許可權和安全性設定
在完整安裝期間執行的 SharePoint 產品設定精靈 (Psconfig) 和[伺服器陣列設定精靈] 可設定許多 SharePoint 基準帳戶權限及安全性設定。
服務帳戶建議
下列各節說明 SharePoint Service 帳戶的建議。
服務帳戶建議
Microsoft 建議在伺服器陣列中使用最少數目的服務應用程式集區帳戶。 此建議是為了減少記憶體使用量並提高效能,同時保持適當的安全層級。
使用提升許可權的個人識別帳戶進行 SharePoint 安裝、維護和升級。 此帳戶將保留 SharePoint 伺服器陣列系統管理員帳戶中所述所需的角色。 每個 SharePoint 系統管理員都應該使用個別的帳戶,以便清楚識別他們在伺服器陣列上執行的活動。
可能的話,請使用安全性群組 SharePoint 伺服器陣列系統管理員群組來統一所有個別的 SharePoint 伺服器陣列系統管理員帳戶,並授與 SharePoint 伺服器陣列系統管理員帳戶中所述的權限。 安全性群組的這種使用方式可大幅簡化 SharePoint 伺服器陣列系統管理員帳戶的管理。
SharePoint 伺服器陣列服務帳戶應該只執行 SharePoint 計時器服務、SharePoint Insights ((如果適用) )、用於管理中心的 IIS 應用程式集區、用於拓撲服務) 的 SharePoint Web 服務系統 (,以及用於安全性權杖服務) 的 SecurityTokenServiceApplicationPool (。
單一帳戶應該用於所有服務應用程式,稱為 服務應用程式集區帳戶。 單一帳戶的這種使用方式可讓系統管理員針對所有服務應用程式使用單一 IIS 應用程式集區。 此外,此帳戶應該執行下列 Windows 服務:SharePoint 搜尋主機控制器、SharePoint Server 搜尋,以及 AppFabric 快取服務) (分散式快取。
所有 Web 應用程式都應該使用單一帳戶,稱為 Web 應用程式集區帳戶。 單一帳戶的這種使用方式可讓系統管理員針對所有 Web 應用程式使用單一 IIS 應用程式集區,但 SharePoint 伺服器陣列服務帳戶所執行的管理中心 Web 應用程式除外。
除了 Windows 權杖服務帳戶的宣告之外,任何服務應用程式集區帳戶都不應具有任何 SharePoint 伺服器的本機系統管理員存取權,也不應具有任何提高許可權的 SQL Server 角色,例如系統管理員固定角色。 SharePoint 伺服器陣列系統管理員帳戶將需要 dbcreator 和 securityadmin 固定角色,除非您預先佈建 SharePoint 資料庫,並手動指派許可權給每個資料庫。
服務應用程式集區帳戶 (執行宣告至 Windows 權杖服務的帳戶除外) 應該在本機拒絕登入,並在本機安全性原則\使用者許可權指派中透過遠端桌面服務拒絕登入。 這些值是透過 secpol.msc設定的。
使用個別帳戶進行 內容存取 (搜尋編目程式) 、 入口網站超級讀取器、 入口網站超級使用者和 User Profile Service 應用程式同步處理 (如果適用)。
對 Windows 權杖服務帳戶的宣告是伺服器陣列上的高許可權帳戶。 部署此服務之前,請先確認是否需要。 如有必要,請為此服務使用單獨的帳戶。
服務帳戶建議概觀
| 服務帳戶名稱 | 它是乾什麼用的? | 應該使用多少個? |
|---|---|---|
| SharePoint 伺服器陣列系統管理員帳戶 | SharePoint 系統管理員的個人識別帳戶 | 1-n |
| SharePoint 伺服器陣列服務帳戶 | 計時器服務、深入解析、適用於 CA 的 IIS 應用程式、SP Web 服務系統、安全性權杖服務應用程式集區 | 1 |
| 預設的內容存取帳戶 | 搜尋檢索內部和外部來源 | 1 |
| 內容存取帳戶 | 搜尋檢索內部和外部來源 | 1-n |
| Web 應用程式集區帳戶 | 所有沒有中央管理的 Web 應用程式 | 1 |
| SharePoint 服務應用程式集區帳戶 | 所有服務應用 | 1 |
| 傳送門超級閱讀器 | 物件快取 | 1 |
| 門戶超級用戶 | 物件快取 | 1 |
| User Profile Service 應用程式同步處理 | 用於 Active Directory 匯入 | 1-n |
SharePoint 管理帳戶
下列其中一個 SharePoint 元件會在安裝程序期間自動設定大部分的 SharePoint 管理帳戶權限:
SharePoint 產品設定精靈 (Psconfig)。
伺服器陣列設定精靈。
SharePoint 管理中心網站。
Microsoft PowerShell.
SharePoint 伺服器陣列系統管理員帳戶
此帳戶可用來執行 SharePoint 產品設定精靈 (Psconfig) 、初始伺服器陣列設定精靈和 PowerShell,以設定伺服器陣列中的每部伺服器。 針對本文中的範例,SharePoint 伺服器陣列系統管理員帳戶會用於伺服器陣列管理,而且您可以使用管理中心來管理它。 某些設定選項,例如 SharePoint Server 搜尋查詢伺服器的設定,需要本機系統管理許可權。 SharePoint 伺服器陣列系統管理員帳戶具有下列需求:
必須擁有網域使用者帳戶權限。
它必須是 SharePoint 伺服器陣列中每部伺服器上本機 Administrators 群組的成員。
此帳戶必須擁有 SharePoint 資料庫的存取權。
如果您使用任何影響資料庫的 PowerShell 作業,SharePoint 伺服器陣列系統管理員帳戶必須是 db_owner 角色的成員。
此帳戶必須在安裝及設定期間指定給 securityadmin 及 dbcreatorSQL Server 安全性角色。
注意事項
因為可能必須為服務建立新的資料庫同時保護其安全,所以此帳戶在版本對版本的完整升級期間,可能需要 securityadmin 及 dbcreatorSQL Server 安全性角色。
執行設定精靈之後,SharePoint 伺服器陣列系統管理員帳戶的電腦層級權限包括:
- WSS_ADMIN_WPG Windows 安全性群組的成員資格。
執行設定精靈之後,資料庫權限包括:
SharePoint 伺服器陣列設定資料庫的 db_owner。
SharePoint 管理中心內容資料庫的 db_owner。
注意
如果您用來執行組態精靈的帳戶沒有適當的特殊SQL Server角色成員資格或db_owner資料庫上的存取權,則組態精靈將無法正確執行。
只有必要的服務帳戶才應該是WSS_WPG群組的成員。 不建議使用此群組中的帳戶執行系統管理程式,例如 Psconfig。
從 SharePoint Server 2016、2019 和 Subscription Edition (SPSE) 的 2025 年 9 月公開更新開始,WSS_WPG 群組中的使用者會明確封鎖執行系統管理程式,而且如果他們嘗試這樣做,就會遇到「權限被拒絕」錯誤。
SharePoint 伺服器陣列服務帳戶
SharePoint 伺服器陣列服務帳戶也稱為資料庫存取帳戶,會用作管理中心的應用程式集區身分識別,以及 SharePoint 計時器服務的進程帳戶。 伺服器陣列帳戶有下列需求:
- 必須擁有網域使用者帳戶權限。
額外的權限會自動授與加入伺服器陣列的 SharePoint 伺服器上的 SharePoint 伺服器陣列服務帳戶。
執行安裝程式之後,電腦層級權限包括:
SharePoint 計時器服務的 WSS_ADMIN_WPG Windows 安全性群組中的成員資格。
管理中心和計時器服務應用程式集區的 WSS_RESTRICTED_WPG 成員資格。
管理中心應用程式集區的 WSS_WPG 成員資格。
執行設定精靈之後,SQL Server 及資料庫權限包括:
Dbcreator 固定伺服器角色。
Securityadmin 固定伺服器角色。
所有 SharePoint 資料庫的 db_owner。
SharePoint 伺服器陣列組態資料庫 WSS_CONTENT_APPLICATION_POOLS 角色的成員資格。
SharePoint_Admin內容資料庫的 WSS_CONTENT_APPLICATION_POOLS 角色成員資格。
SharePoint 應用程式集區帳戶
本節說明在安裝期間預設設定的 SharePoint 應用程式集區帳戶。
預設的內容存取帳戶
除非編目規則另行指定其他 URL 或 URL 模式的驗證方法,否則在特定的服務應用程式內編目內容,會使用預設的內容存取帳戶。 此帳戶需要下列權限組態設定:
預設內容存取帳戶必須是網域使用者帳戶,該帳戶具有您想要使用此帳戶編目的外部或安全內容來源的 讀取 權限。
對於不屬於伺服器陣列的 SharePoint Server 網站,您必須明確授與此帳戶裝載網站之 Web 應用程式的完整 讀取 許可權。
此帳戶不得是伺服器陣列管理員群組的成員。
內容存取帳戶
內容存取帳戶會設定為使用搜尋管理編目規則功能存取內容。 此為選擇性的帳戶類型,您可以在建立新編目規則時加以設定。 例如,外部內容 (如檔案共用) 可能需要此獨立的內容存取帳戶。 此帳戶需要下列權限組態設定:
內容存取帳戶必須具有此帳戶設定為存取的外部或安全內容來源的 讀取 權限。
對於不屬於伺服器陣列的 SharePoint Server 網站,您必須明確授與此帳戶裝載網站之 Web 應用程式的完整 讀取 許可權。
Web 應用程式集區帳戶
Web 應用程式集區帳戶必須是網域使用者帳戶。 此帳戶不得是伺服器陣列管理員群組的成員。
此帳戶應該用於沒有管理中心的所有 Web 應用程式。
下列電腦層級權限會自動設定:
- 此帳戶是 WSS_WPG的成員。
下列 SQL Server 及資料庫權限會自動設定:
此帳戶會指派給與伺服器陣列組態資料庫相關聯的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帳戶會指派給與 SharePoint 管理員內容資料庫相關聯的WSS_CONTENT_APPLICATION_POOLS角色。
Web 應用程式的應用程式集區帳戶會指派給內容資料庫的 SPDataAccess 角色。
SharePoint 服務應用程式集區帳戶
SharePoint Service 應用程式集區帳戶必須是網域使用者帳戶。 此帳戶不得是伺服器陣列之任何電腦上的系統管理員群組成員。
下列電腦層級權限會自動設定:
- 此帳戶是 WSS_WPG的成員。
下列 SQL Server 和資料庫需求/權限會自動設定:
此帳戶會指派給內容資料庫的 SPDataAccess 角色。
此帳戶會指派給與 Web 應用程式相關聯之搜尋資料庫的 SPDataAccess 角色。
此帳戶必須具有相關聯服務應用程式資料庫的 讀取 和 寫入 存取權。
此帳戶會指派給與伺服器陣列組態資料庫相關聯的 WSS_CONTENT_APPLICATION_POOLS 角色。
此帳戶會指派給與SharePoint_Admin內容資料庫相關聯的 WSS_CONTENT_APPLICATION_POOLS 角色。
SharePoint 資料庫角色
本節說明安裝預設設定的資料庫角色,或可以選擇性設定的資料庫角色。
WSS_CONTENT_APPLICATION_POOLS 資料庫角色
WSS_CONTENT_APPLICATION_POOLS資料庫角色會套用至在 SharePoint 伺服器陣列中註冊之每個 Web 應用程式的應用程式集區帳戶。 此角色適用性可讓 Web 應用程式查詢和更新網站地圖,並具有組態資料庫中其他專案的 唯讀 存取權。 安裝程式會將 WSS_CONTENT_APPLICATION_POOLS 角色指派給下列資料庫:
SharePoint Config 資料庫 (組態資料庫)
SharePoint 管理員內容資料庫
WSS_CONTENT_APPLICATION_POOLS 角色的成員具有資料庫預存程序子集的執行許可權。 此外,此角色的成員具有 dbo (版本 表格的 選取 權限。版本) 在SharePoint_AdminContent資料庫中。 至於其他資料庫,帳戶規劃工具會指示自動設定這些資料庫的讀取權限。 在某些情況下,也會自動設定資料庫的限制寫入權限。 設定預存程序的權限,可提供此存取權。
SharePoint_SHELL_ACCESS資料庫角色
配置資料庫上的安全 SharePoint_SHELL_ACCESS 資料庫角色取代了在配置資料庫上新增管理帳戶作為 db_owner 的需求。 根據預設,安裝帳戶會指派給 SharePoint_SHELL_ACCESS 資料庫角色。 您可以使用 PowerShell 命令將成員資格授與此角色,或移除成員資格。 安裝程式會將 SharePoint_SHELL_ACCESS 角色指派給下列資料庫:
SharePoint_Config 資料庫 (設定資料庫)。
一或多個 SharePoint 內容資料庫。 您可以使用管理成員資格的 PowerShell 命令,以及指派給此角色的物件來設定此資料庫。
SharePoint_SHELL_ACCESS 角色的成員具有資料庫所有預存程序的執行權限。 此外,此角色的成員具有所有資料庫資料表的 讀取 和 寫入 許可權。
SPREADONLY 資料庫角色
SPREADONLY 角色應該用來將資料庫設定為唯讀模式,而不是使用 sp_dboption。 顧名思義,當使用情況和遙測資料只需要 讀取 存取權時,應該使用此角色。
注意事項
sp_dboption預存程式在 2012 SQL Server中無法使用。 如需 sp_dboption 的詳細資訊,請參閱 sp_dboption (Transact-SQL) 。
SPREADONLY SQL 角色將具有下列許可權:
對所有 SharePoint 預存程序和功能授與 SELECT。
對所有 SharePoint 資料表授與 SELECT。
在結構描述為 dbo 的使用者定義類型上授與 EXECUTE。
SPDataAccess 資料庫角色
SPDataAccess 角色是資料庫存取的預設角色,應該用於資料庫的所有物件模型層級存取。 在升級或新部署期間,將應用程式集區帳戶新增至此角色。
注意事項
SPDataAccess 角色取代了 SharePoint Server 2016 中的 db_owner 角色。
SPDataAccess 角色將具有下列權限:
對所有 SharePoint 預存程序和功能授與 EXECUTE 或 SELECT。
對所有 SharePoint 資料表授與 SELECT。
在結構描述為 dbo 的使用者定義類型上授與 EXECUTE。
對 AllUserDataJunctions 資料表授與 INSERT。
對網站檢視授與 UPDATE。
對 UserData 檢視授與 UPDATE。
對 AllUserData 資料表授與 UPDATE。
對 NameValuePair 資料表授與 INSERT 和 DELETE。
授與建立資料表權限。
群組權限
本節說明 SharePoint Server 2016 和 2019 設定和設定工具所建立之群組許可權。
WSS_ADMIN_WPG
WSS_ADMIN_WPG 具有本機資源的 讀取 和 寫入 存取權。 管理中心和計時器服務的應用程式集區帳戶處於 WSS_ADMIN_WPG狀態。 下表顯示 WSS_ADMIN_WPG 登錄專案許可權:
注意事項
SharePoint 2013 會使用登錄路徑 “15.0” 而不是 “16.0”,以及檔案系統路徑 “15” 而不是 “16”。 後續表格中列出的某些路徑不適用於 SharePoint Foundation 2013。
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS | 完全控制 | 不適用 | 不適用 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Registration{90150000-110D-0000-1000-0000000FF1CE} | 讀取、寫入 | 不適用 | 不適用 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server | 讀取 | 否 | 此機碼是 SharePoint Server 登錄設定樹狀結構的根目錄。 如果變更此金鑰,SharePoint Server 功能將會失敗。 |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | 完全控制 | 否 | 此機碼是 SharePoint Server 2016 登錄設定的根目錄。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 讀取、寫入 | 否 | 此機碼包含文件轉換服務的設定。 變更此機碼會中斷文件轉換功能。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 讀取、寫入 | 否 | 此機碼包含文件轉換服務的設定。 變更此機碼會中斷文件轉換功能。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search | 完全控制 | 不適用 | 不適用 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Search | 完全控制 | 不適用 | 不適用 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 完全控制 | 否 | 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果此金鑰已變更,電腦上的 SharePoint Server 安裝將無法運作。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 完全控制 | 是 | 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示 WSS_ADMIN_WPG 檔案系統權限。
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 完全控制 | 否 | 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,則處理程序可能無法啟動,且管理動作可能會失敗。 |
| C:\Inetpub\wwwroot\wss | 完全控制 | 否 | 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,SharePoint 網站將無法使用,而且系統管理動作可能會失敗,除非為使用 SharePoint Server 擴充的所有 IIS 網站提供自訂 IIS 網站路徑。 |
| %ProgramFiles%\Microsoft Office Servers\16.0 | 完全控制 | 否 | 此目錄是 SharePoint Server 2016 二進位檔案及資料的安裝位置。 您可以在安裝期間變更目錄。 如果在安裝之後移除、變更或移除此目錄,則所有 SharePoint Server 功能都會失敗。 某些 SharePoint Server 服務需要 WSS_ADMIN_WPG Windows 安全性群組的成員資格,才能將資料儲存在磁碟上。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 讀取、寫入 | 否 | 此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。 如果移除或變更此目錄,相依於這些服務的 SharePoint Server 功能將會失敗。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data | 完全控制 | 否 | 此目錄是本機資料 (包括搜尋索引) 儲存所在的根目錄位置。 如果移除或變更此目錄,搜尋功能將會失敗。 需要WSS_ADMIN_WPG Windows 安全性群組許可權,才能啟用搜尋功能,以儲存和保護此資料夾中的資料。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 完全控制 | 是 | 此目錄是產生執行階段診斷記錄的位置。 如果移除或變更此目錄,記錄功能將無法正常運作。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Data\Office Server | 完全控制 | 是 | 與上層資料夾相同。 |
| %windir%\System32\drivers\etc\HOSTS | 讀取、寫入 | 不適用 | 不適用 |
| %windir%\Tasks | 完全控制 | 不適用 | 不適用 |
| %COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\16 | 修改 | 是 | 此目錄是核心 SharePoint Server 檔案的安裝目錄。 如果修改了 ACL) (存取控制清單,則功能啟用、解決方案部署和其他功能將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 完全控制 | 是 | 此目錄包含管理中心的 SOAP 服務。 如果此目錄已變更,遠端網站建立和服務中公開的其他方法將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 完全控制 | 是 | 此目錄包含用來使用 SharePoint Server 擴充 IIS 網站的檔案。 如果此目錄或其內容變更,Web 應用程式佈建將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 完全控制 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果目錄已變更,診斷記錄將無法正常運作。 |
| %windir%\temp | 完全控制 | 是 | 此目錄是由 SharePoint Server 相依的平臺元件使用。 如果修改 ACL,網頁組件轉譯和其他還原序列化作業可能會失敗。 |
| %windir%\System32\logfiles\SharePoint | 完全控制 | 否 | 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
| %systemdrive\program files\Microsoft Office Servers\16 folder on Index servers | 完全控制 | 不適用 | 此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\16 資料夾。 |
WSS_WPG
WSS_WPG 具有本機資源的 讀取 存取權。 所有應用程式集區及服務帳戶都位於 WSS_WPG 中。 下表顯示 WSS_WPG 登錄專案許可權:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\16.0 | 讀取 | 否 | 此金鑰是 SharePoint Server 登錄設定的根目錄。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Diagnostics | 讀取、寫入 | 否 | 此機碼包含 SharePoint Server 診斷記錄的設定。 如果更改此金鑰,記錄功能將會中斷。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 讀取、寫入 | 否 | 此機碼包含文件轉換服務的設定。 如果更改此鍵,文檔轉換功能將中斷。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 讀取、寫入 | 否 | 此機碼包含文件轉換服務的設定。 如果更改此鍵,文檔轉換功能將中斷。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 讀取 | 否 | 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果變更此機碼,電腦上的 SharePoint Server 2016 安裝將無法運作。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 讀取 | 是 | 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg | 讀取 | 否 | 此金鑰包含控制登錄遠端存取的設定。 |
下表顯示WSS_WPG檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 讀取 | 否 | 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,則處理程序可能無法啟動,且管理動作可能會失敗。 |
| C:\Inetpub\wwwroot\wss | 讀取、執行 | 否 | 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,SharePoint 網站將無法使用,而且系統管理動作可能會失敗,除非為使用 SharePoint Server 擴充的所有 IIS 網站提供自訂 IIS 網站路徑。 |
| %ProgramFiles%\Microsoft Office Servers\16.0 | 讀取、執行 | 否 | 此目錄是 SharePoint Server 二進位檔和資料的安裝位置。 其可在安裝期間變更。 如果在安裝之後移除、變更或移動此目錄,則所有 SharePoint Server 功能都會失敗。 需要WSS_WPG讀取和執行許可權,才能讓 IIS 網站載入 SharePoint Server 二進位檔。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices | 讀取 | 否 | 此目錄是後端 Web 服務架設所在的根目錄,例如 Excel 及 Search。 如果移除或變更此目錄,相依於這些服務的 SharePoint Server 功能將會失敗。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 讀取、寫入 | 是 | 此目錄是產生執行階段診斷記錄的位置。 如果移除或變更此目錄,記錄功能將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 讀取 | 是 | 此目錄包含管理中心的 SOAP 服務。 如果此目錄已變更,遠端網站建立和服務中公開的其他方法將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 讀取 | 是 | 此目錄包含用來使用 SharePoint Server 擴充 IIS 網站的檔案。 如果此目錄或其內容變更,Web 應用程式佈建將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 修改 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果目錄已變更,診斷記錄將無法正常運作。 |
| %windir%\temp | 讀取 | 是 | 此目錄是由 SharePoint Server 相依的平臺元件使用。 如果修改 ACL,網頁組件轉譯和其他還原序列化作業可能會失敗。 |
| %windir%\System32\logfiles\SharePoint | 讀取 | 否 | 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
| %systemdrive\program files\Microsoft Office Servers\16 | 讀取、執行 | 不適用 | 此權限會授與索引伺服器上的 %systemdrive\program files\Microsoft Office Servers\16 資料夾。 |
本機服務
下表顯示本機服務登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LoadBalancerSettings | 讀取 | 否 | 此機碼包含文件轉換服務的設定。 如果更改此鍵,文檔轉換功能將中斷。 |
下表顯示本機服務檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 讀取、執行 | 否 | 此目錄是 SharePoint Server 二進位檔的安裝位置。 如果移除或變更此目錄,所有 SharePoint Server 功能都會失敗。 |
本機系統
下表顯示本機系統登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\LauncherSettings | 讀取 | 否 | 此機碼包含文件轉換服務的設定。 如果更改此鍵,文檔轉換功能將中斷。 此登錄機碼僅適用於 SharePoint Server。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 完全控制 | 否 | 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果此金鑰已變更,電腦上的 SharePoint Server 安裝將無法運作。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 完全控制 | 否 | 此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。 如果變更此機碼,服務佈建及其他功能將會失敗。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 完全控制 | 是 | 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示本機檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 完全控制 | 否 | 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,則處理程序可能無法啟動,且管理動作可能會失敗。 |
| C:\Inetpub\wwwroot\wss | 完全控制 | 否 | 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,SharePoint 網站將無法使用,而且系統管理動作可能會失敗,除非為使用 SharePoint Server 擴充的所有 IIS 網站提供自訂 IIS 網站路徑。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 完全控制 | 是 | 此目錄包含管理中心的 SOAP 服務。 如果此目錄已變更,遠端網站建立和服務中公開的其他方法將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 完全控制 | 是 | 此目錄包含用來佈建 Web 應用程式及服務應用程式的組態檔。 如果此目錄或其內容變更,Web 應用程式佈建將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 完全控制 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果變更此目錄,診斷記錄將無法正常運作。 |
| %windir%\temp | 完全控制 | 是 | 此目錄是由 SharePoint Server 相依的平臺元件使用。 如果修改 ACL,網頁組件轉譯和其他還原序列化作業可能會失敗。 |
| %windir%\System32\logfiles\SharePoint | 完全控制 | 否 | 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
網路服務
下表顯示網路服務登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\16.0\Search\Setup | 讀取 | 不適用 | 不適用 |
系統管理員
下表顯示管理員登錄項目權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure | 完全控制 | 否 | 此機碼包含機器要加入之設定資料庫的連線字串及識別碼。 如果此金鑰已變更,電腦上的 SharePoint Server 安裝將無法運作。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 完全控制 | 否 | 此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。 如果變更此機碼,服務佈建及其他功能將會失敗。 |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\WSS | 完全控制 | 是 | 此機碼包含安裝期間使用的設定。 如果變更此機碼,診斷記錄可能會失敗,且安裝程式或安裝後的設定也會失敗。 |
下表顯示管理員檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %AllUsersProfile%\ Microsoft\SharePoint | 完全控制 | 否 | 此目錄包含伺服器陣列設定的檔案系統備份快取。 如果變更或刪除此目錄,則處理程序可能無法啟動,且管理動作可能會失敗。 |
| C:\Inetpub\wwwroot\wss | 完全控制 | 否 | 此目錄 (或伺服器) 上 Inetpub 根目錄下的對應目錄會作為 IIS 網站的預設位置。 如果變更或刪除此目錄,SharePoint 網站將無法使用,而且系統管理動作可能會失敗,除非為使用 SharePoint Server 擴充的所有 IIS 網站提供自訂 IIS 網站路徑。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\ADMISAPI | 完全控制 | 是 | 此目錄包含管理中心的 SOAP 服務。 如果此目錄已變更,遠端網站建立和服務中公開的其他方法將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\CONFIG | 完全控制 | 是 | 此目錄包含用來佈建 Web 應用程式及服務應用程式的組態檔。 如果此目錄或其內容變更,Web 應用程式佈建將無法正常運作。 |
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 完全控制 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果目錄已變更,診斷記錄將無法正常運作。 |
| %windir%\temp | 完全控制 | 是 | 此目錄是由 SharePoint Server 相依的平臺元件使用。 如果修改 ACL,網頁組件轉譯和其他還原序列化作業可能會失敗。 |
| %windir%\System32\logfiles\SharePoint | 完全控制 | 否 | 此目錄係由 SharePoint Server 流量記錄所使用。 如果修改此目錄,使用量記錄將無法正常運作。 此登錄機碼僅適用於 SharePoint Server。 |
WSS_RESTRICTED_WPG
WSS_RESTRICTED_WPG 可以讀取加密伺服器陣列管理認證登錄專案。 WSS_RESTRICTED_WPG 僅用於加密及解密儲存在配置資料庫中的密碼。 下表顯示 WSS_RESTRICTED_WPG 登錄專案權限:
| 機碼名稱 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\16.0\Secure\FarmAdmin | 完全控制 | 否 | 此機碼包含在設定資料庫中儲存密碼所使用的加密金鑰。 如果變更此機碼,服務佈建及其他功能將會失敗。 |
使用者群組
下表顯示使用者群組檔案系統權限:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %ProgramFiles%\Microsoft Office Servers\16.0 | 讀取、執行 | 否 | 此目錄是 SharePoint Server 二進位檔和資料的安裝位置。 其可在安裝期間變更。 如果在安裝之後移除、變更或移動此目錄,則所有 SharePoint Server 功能都會失敗。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\WebServices\Root | 讀取、執行 | 否 | 此目錄是後端根 Web 服務架設所在的根目錄。 最初安裝在此目錄的唯一一項服務是搜尋全域管理服務。 如果移除或變更此目錄,則某些使用伺服器特定 [管理中心設定] 頁面的搜尋管理功能將無法運作。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Logs | 讀取、寫入 | 是 | 此目錄是產生執行階段診斷記錄的位置。 如果移除或變更此目錄,記錄將無法正常運作。 |
| %ProgramFiles%\Microsoft Office Servers\16.0\Bin | 讀取、執行 | 否 | 此目錄是 SharePoint Server 二進位檔的安裝位置。 如果移除或變更此目錄,所有 SharePoint Server 功能都會失敗。 |
所有 SharePoint Server 服務帳戶
下表顯示 SharePoint Server 服務帳戶的檔案系統許可權:
| 檔案系統路徑 | 權限 | 繼承 | 描述 |
|---|---|---|---|
| %COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\16\LOGS | 修改 | 否 | 此目錄包含安裝程式及執行階段追蹤記錄。 如果變更此目錄,診斷記錄將無法正常運作。 所有 SharePoint Server 服務帳戶都必須具有此目錄的 寫入 許可權。 |