帐户权限和安全设置 (Office SharePoint Server)

--
 帐户权限和安全设置
帐户权限和安全设置 (MOSS)

本文内容:

  • 关于帐户权限和安全设置

  • 管理和服务帐户

  • 共享服务帐户

  • 组权限

本文介绍 Microsoft Office SharePoint Server 管理和服务帐户权限。它涵盖以下领域:Microsoft SQL Server、文件系统、文件共享和注册表项。

关于帐户权限和安全设置

许多 Office SharePoint Server 2007 基准帐户权限和安全设置都是通过安装后配置 (PSC) 工具配置的。这些权限是 PSC 之后的权限。还有一些权限是在设置和配置 Office SharePoint Server 2007 之前帐户必需的权限,并且需要手动配置。这些是 PSC 之前的权限。

管理和服务帐户

大多数 Office SharePoint Server 2007 管理和服务帐户权限是在安装过程中由以下 Office SharePoint Server 2007 组件之一自动配置的:

  • SharePoint 产品和技术向导(或 Psconfig,该配置向导的等效命令行工具),本文中将这两者均称为 PSC 工具。

  • SharePoint 管理中心网站。

  • 共享服务提供程序 (SSP) 管理网站 Web 应用程序。

  • Stsadm 命令行工具。

安装程序用户管理员帐户

此帐户用于在服务器场中设置每台服务器,方法是运行 SharePoint 产品和技术配置向导、Psconfig 命令行工具和 Stsadm 命令行工具。对于本文中的示例,安装程序用户管理员帐户用于服务器场管理,并且可以使用管理中心来管理该帐户。某些配置选项(例如,配置 Office SharePoint Server 2007 搜索查询服务器)需要本地管理权限。安装程序用户管理员帐户需要以下权限:

  • 它必须具有域用户帐户权限。

  • 它必须是 Office SharePoint Server 2007 服务器场中每台服务器(不包括 SQL Server 和简单邮件传输协议 (SMTP) 服务器)上本地 Administrators 组的成员。

  • 此帐户必须能够登录到运行 SQL Server 的计算机。

  • 必须为此帐户分配 securityadmin 和 dbcreator SQL Server 安全角色。

  • 如果使用会影响数据库的任何 Stsadm 操作,管理员帐户必须是 db_owner 角色的成员。

运行 PSC 工具后,管理员帐户的计算机级别权限包括:

  • WSS_ADMIN_WPG Windows 安全组的成员资格。

  • IIS_WPG 角色的成员资格。

运行 PSC 工具后,数据库权限包括:

  • Office SharePoint Server 2007 服务器场配置数据库上的 db_owner。

  • Office SharePoint Server 2007 服务器场内容数据库上的 db_owner。

警告

如果从运行 SQL Server 的计算机中移除了安装程序用户管理员帐户,则 PSC 工具将无法正常运行。如果运行 PSC 工具时使用的帐户不是 PSC 工具第一次运行时所使用的帐户,PSC 工具将无法正常运行。

SQL Server 服务帐户

Microsoft SQL Server 在 SQL Server 安装期间会提示输入 SQL Server 服务帐户。此帐户用作以下 SQL Server 服务的服务帐户:

  • MSSQLSERVER

  • SQLSERVERAGENT

如果不使用 SQL Server 安装程序的默认实例,则将按以下方式列出这些服务:

  • MSSQL$InstanceName

  • SQLAGENT$InstanceName

使用本地系统帐户或域用户帐户。

服务器场帐户

服务器场帐户也称为数据库访问帐户,并且用作管理中心的应用程序池标识,以及 Windows SharePoint Services 3.0 定时服务的进程帐户。服务器场帐户需要以下权限:

  • 它必须具有域用户帐户权限。

  • 如果服务器场是子服务器场,并且带有使用父服务器场的共享服务的 Web 应用程序,则服务器场帐户必须是与父服务器场的配置数据库关联的 db_owner 固定数据库角色的成员。

在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为服务器场帐户授予其他权限。

运行 PSC 工具后,计算机级别权限包括:

  • Windows SharePoint Services 3.0 定时服务的 WSS_ADMIN_WPG Windows 安全组的成员资格。

  • 管理中心应用程序池的 IIS_RESTRICTED_WPG 的成员资格。

  • 管理中心应用程序池的 IIS_WPG 的成员资格。

运行 PSC 工具后,SQL Server 和数据库权限包括:

  • Dbcreator 固定服务器角色。

  • Securityadmin 固定服务器角色。

  • 所有 Office SharePoint Server 2007 数据库的 db_owner。

  • Office SharePoint Server 2007 服务器场配置数据库的 WSS_CONTENT_APPLICATION_POOLS 角色的成员资格。

  • Office SharePoint Server 2007 SharePoint_Admin 内容数据库的 WSS_CONTENT_APPLICATION_POOLS 角色的成员资格。

Windows SharePoint Services 3.0 搜索服务帐户

Windows SharePoint Services 3.0 搜索服务帐户用作 Windows SharePoint Services 3.0 搜索服务的服务帐户。Windows SharePoint Services 3.0 搜索服务帐户需要以下权限配置设置:

  • 此帐户必须具有域用户帐户权限。

  • 如果在使用“最小权限”模式,则此帐户不得是 Farm Administrators 组的成员。

将自动配置以下计算机级别权限:搜索服务帐户是 WSS_WPG 角色的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 对服务器场配置数据库的读取权限。

  • 对 SharePoint_Admin 内容数据库的读取权限。

  • 为此帐户分配 Windows SharePoint Services 3.0 搜索数据库的 db_owner 角色。

Windows SharePoint Services 3.0 搜索内容访问帐户

Windows SharePoint Services 3.0 搜索服务使用 Windows SharePoint Services 3.0 搜索内容访问帐户对跨网站的内容进行爬网。Windows SharePoint Services 3.0 搜索内容访问帐户需要以下权限配置设置:

  • 此帐户必须具有域用户帐户权限。

  • 此帐户不得是 Farm Administrators 组的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 对服务器场配置数据库的读取权限。

  • 对 SharePoint_Admin 内容数据库的读取权限。

  • 为此帐户分配 Windows SharePoint Services 3.0 搜索数据库的 db_owner 角色。

针对所有 Web 应用程序创建 Windows SharePoint Services 3.0 搜索内容访问帐户的完全读取策略。

共享服务帐户

本节介绍用于设置和配置共享服务提供程序 (SSP) 的帐户。

SSP 应用程序池帐户

SSP 应用程序池帐户用于共享服务管理网站的应用程序池标识。SSP 应用程序池帐户需要以下权限配置设置:

将自动配置以下计算机级别权限:SSP 应用程序池帐户是 WSS_WPG 角色的成员。

将自动为此帐户配置以下 SQL Server 和数据库权限:

  • 对 SSP 内容数据库的读取和写入权限。

  • 对服务器场配置数据库的读取权限。

  • 对管理中心内容数据库的读取权限。

  • 此帐户是 SSP 搜索数据库中用户组的成员。

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

SSP 服务帐户

SSP 服务帐户由以下服务使用:

  • 用于服务器间通信的 SSP Web 服务。

  • 用于运行计划作业的 SSP 定时服务。

  • 与 SSP 虚拟目录关联的应用程序池。

SSP 服务帐户需要以下权限配置设置:域用户帐户权限。

将自动配置以下计算机级别权限:SSP 服务帐户是 WSS_WPG 角色的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 将为此帐户分配 SSP 内容数据库的 db_owner 角色。

  • 对 SSP 内容数据库的读取和写入权限。

  • 对与 SSP 关联的 Web 应用程序的内容数据库的读取和写入权限。

  • 对配置数据库的读取权限。

  • 对管理中心内容数据库的读取权限。

  • 此帐户是 SSP 搜索数据库中用户组的成员。

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

Office SharePoint Server 搜索服务帐户

Office SharePoint Server 2007 搜索服务帐户用作 Office SharePoint Server 2007 搜索服务的服务帐户。Office SharePoint Server 2007 搜索服务由所有 SSP 使用。对于任何给定的服务器,都只有此服务的一个实例。Office SharePoint Server 2007 搜索服务帐户需要以下权限配置设置:将为 Office SharePoint Server 2007 搜索服务帐户授予访问服务器场中所有搜索查询服务器上的一个或多个传播位置共享的权限。

将自动配置以下计算机级别权限:Office SharePoint Server 2007 搜索服务帐户是 WSS_WPG 角色的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

默认内容访问帐户

默认内容访问帐户用于在特定 SSP 内对内容进行爬网(除非爬网规则针对 URL 或 URL 模式指定了不同的身份验证方法)。此帐户需要以下权限配置设置:

  • 默认内容访问帐户必须是域用户帐户,并且对您想要使用此帐户进行爬网的外部或安全内容源必须具有读取权限。

  • 对于不属于服务器场的 Office SharePoint Server 网站,必须为此帐户明确授予对承载网站的 Web 应用程序的完全读取权限。

  • 此帐户不得是 Farm Administrators 组的成员。

将自动配置以下 SQL Server 和数据库权限:将自动授予对服务器场承载的内容数据库的完全读取权限。

内容访问帐户

内容访问帐户是配置为从爬网规则 UI 或对象模型 (OM) 中访问内容的帐户。此类型的帐户是可选的,并且可在创建新爬网规则时配置。例如,外部内容(例如文件共享)可能需要这个单独的内容访问帐户。此帐户需要以下权限配置设置:

  • 内容访问帐户必须对它被配置为进行访问的外部或安全内容源具有读取权限。

  • 对于不属于服务器场的 Office SharePoint Server 网站,必须为此帐户明确授予对承载网站的 Web 应用程序的完全读取权限。

配置文件导入默认访问帐户

配置文件导入默认访问帐户用于连接到目录服务,例如 Active Directory 目录服务、轻型目录访问协议 (LDAP) 目录、业务数据目录应用程序或其他目录源。此帐户也用于从目录服务中导入配置文件数据。

注意

如果未指定帐户,则使用默认内容访问帐户。

此帐户需要以下权限配置设置:

  • 此帐户对目录服务必须具有读取权限。

  • 此帐户必须具有管理用户配置文件个性化服务的权限。

  • 此帐户对 BDC 业务数据目录导入连接中使用的实体必须具有读取权限。

Excel Services 无人参与服务帐户

Excel Services 使用 Excel Services 无人参与服务帐户来连接到需要用户名和密码(基于 Windows 以外的操作系统)进行身份验证的外部数据源。如果未配置此帐户,Excel Services 将不会尝试连接到这些类型的数据源。尽管帐户凭据用于连接到 Windows 以外的操作系统的数据源,如果帐户不是域的成员,那么 Excel Services 将无法访问它。此帐户必须是域用户帐户。

“我的网站”应用程序池帐户

“我的网站”应用程序池帐户必须是域用户帐户。此帐户不得是 Farm Administrators 组的成员。

将自动配置以下计算机级别权限:此帐户是 WSS_WPG 的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 此帐户必须是与 Web 应用程序关联的“我的网站”搜索数据库(例如,SSP 搜索数据库)的 db_owner 角色的成员。

  • 此帐户对关联的 SSP 数据库必须具有读取和写入权限。

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

其他应用程序池帐户

其他应用程序池帐户必须是域用户帐户。此帐户不得是服务器场中任何计算机上的 Administrators 组的成员。

将自动配置以下计算机级别权限:此帐户是 WSS_WPG 角色的成员。

将自动配置以下 SQL Server 和数据库权限:

  • 将为此帐户分配内容数据库的 db_owner 角色。

  • 将为此帐户分配与 Web 应用程序关联的搜索数据库的 db_owner 角色。

  • 此帐户对关联的 SSP 数据库必须具有读取和写入权限。

  • 将为此帐户分配与服务器场配置数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

  • 将为此帐户分配与 SharePoint_Admin 内容数据库关联的 WSS_CONTENT_APPLICATION_POOLS 角色。

组权限

本节介绍 Office SharePoint Server 2007 安装和配置工具创建的组的权限。

WSS_CONTENT_APPLICATION_POOLS 数据库角色

安装程序将为以下数据库分配 WSS_CONTENT_APPLICATION_POOLS 角色:

  • SharePoint_Config 数据库(配置数据库)。

  • SharePoint_AdminContent 数据库。

WSS_CONTENT_APPLICATION_POOLS 角色的成员将被授予对数据库的部分存储过程的执行权限。此外,将为此角色的成员授予对 SharePoint_AdminContent 数据库中的 Versions 表 (dbo.Versions) 的选择权限。对于其他数据库,帐户规划工具会指出读取这些数据库的访问权限是自动配置的。在某些情况下,还会自动配置写入数据库的受限访问权限。若要提供此访问权限,请配置对存储过程的权限。例如,对于 SharePoint_Config 数据库,会自动配置对以下存储过程的访问权限:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

WSS_ADMIN_WPG

下表显示 WSS_ADMIN_WPG 注册表项权限。

项名称 权限 继承 说明

HKEY_CLASSES_ROOT\APPID\{58F1D482-A132-4297-9B8A-F8E4E600CDF6}

完全控制

暂缺

这是 Office SharePoint Server 2007 搜索服务 COM 应用程序。

HKEY_CLASSES_ROOT\APPID\{6002D29F-1366-4523-88C1-56D59BFEF8CB}

完全控制

暂缺

这是 Windows SharePoint Services 3.0 搜索服务 COM 应用程序。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS

完全控制

暂缺

暂缺

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Registration\{90120000-110D-0000-0000-0000000FF1CE}

读取、写入

暂缺

暂缺

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server

读取

此项是 Office SharePoint Server 2007 注册表设置树的根。如果更改此项,Office SharePoint Server 2007 功能将失败。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\12.0

完全控制

此项是 Office SharePoint Server 2007 注册表设置的根。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LoadBalancerSettings

读取、写入

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LauncherSettings

读取、写入

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\Search

完全控制

暂缺

暂缺

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Search

完全控制

暂缺

暂缺

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure

完全控制

此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 Office SharePoint Server 将无法工作。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\WSS

完全控制

此项包含安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示 WSS_ADMIN_WPG 文件系统权限。

文件系统路径 权限 继承 说明

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

完全控制

此目录包含基于文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。

C:\Inetpub\wwwroot\wss

完全控制

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 Office SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。

%ProgramFiles%\Microsoft Office Servers\12.0

完全控制

此目录是 Office SharePoint Server 2007 二进制文件和数据的安装位置。可以在安装过程中更改此目录。如果在安装后移除或更改了此目录,所有 Office SharePoint Server 2007 功能将失败。某些 Office SharePoint Server 2007 服务需要 WSS_ADMIN_WPG Windows 安全组的成员资格。才能将数据存储在磁盘上。

%ProgramFiles%\Microsoft Office Servers\12.0\WebServices

读取、写入

此目录是承载后端 SSP Web 服务(例如 Excel 和搜索)的根目录。如果移除或更改此目录,依赖于这些服务的 Office SharePoint Server 2007 功能将失败。

%ProgramFiles%\Microsoft Office Servers\12.0\Data

完全控制

此目录是存储本地数据(包括搜索索引)的根位置。如果移除或更改此目录,搜索功能将失败。需要 WSS_ADMIN_WPG Windows 安全组权限才能使搜索在此文件夹中保存数据和保护数据安全。

%ProgramFiles%\Microsoft Office Servers\12.0\Logs

完全控制

此目录是在其中生成运行时诊断日志记录的位置。如果移除或更改此目录,日志记录将无法正常工作。

%ProgramFiles%\Microsoft Office Servers\12.0\Data\Office Server

完全控制

与父文件夹相同。

%windir%\System32\drivers\etc\HOSTS

读取、写入

暂缺

暂缺

%windir%\Tasks

完全控制

暂缺

暂缺

%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\12

修改

此目录是核心 Office SharePoint Server 文件的安装目录。如果修改了访问控制列表 (ACL),功能激活、解决方案部署和其他功能将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\ADMISAPI

完全控制

此目录包含管理中心的 Soap 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\CONFIG

完全控制

此目录包含用于通过 Office SharePoint Server 扩展 IIS 网站的文件。如果更改此目录或其内容,Web 应用程序设置将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS

完全控制

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\Data

完全控制

暂缺

%windir%\temp

完全控制

此目录由 Office SharePoint Server 所依赖的平台组件使用。如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。

%windir%\System32\logfiles\SharePoint

完全控制

此目录由 Office SharePoint Server 使用率日志记录使用。如果修改此目录,使用率日志记录将无法正常工作。

%systemdrive\program files\Microsoft Office Servers\12 folder on Index servers

完全控制

暂缺

为索引服务器上的 %systemdrive\program files\Microsoft Office Servers\12 文件夹授予此权限。

WSS_WPG

下表显示 WSS_WPG 注册表项权限。

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\12.0

读取

此项是 Office SharePoint Server 2007 注册表设置的根。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\Diagnostics

读取、写入

此项包含用于 Office SharePoint Server 2007 诊断日志记录的设置。更改此项将损坏日志记录功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LoadBalancerSettings

读取、写入

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LauncherSettings

读取、写入

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure

读取

此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 Office SharePoint Server 将无法工作。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\WSS

读取

此项包含安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示 WSS_WPG 文件系统权限。

文件系统路径 权限 继承 说明

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

读取

此目录包含基于文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。

C:\Inetpub\wwwroot\wss

读取、执行

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 Office SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。

%ProgramFiles%\Microsoft Office Servers\12.0

读取、执行

此目录是 Office SharePoint Server 2007 二进制文件和数据的安装位置。可以在安装过程中更改此目录。如果在安装后移除、更改或移动了此目录,所有 Office SharePoint Server 2007 功能将失败。需要 WSS_WPG 读取和执行权限才能使 IIS 网站加载 Office SharePoint Server 2007 二进制文件。

%ProgramFiles%\Microsoft Office Servers\12.0\WebServices

读取

此目录是承载后端 SSP Web 服务(例如 Excel 和搜索)的根目录。如果移除或更改此目录,依赖于这些服务的 Office SharePoint Server 2007 功能将失败。

%ProgramFiles%\Microsoft Office Servers\12.0\Logs

读取、写入

此目录是在其中生成运行时诊断日志记录的位置。如果移除或更改此目录,日志记录将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\ADMISAPI

读取

此目录包含管理中心的 Soap 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\CONFIG

读取

此目录包含用于通过 Office SharePoint Server 扩展 IIS 网站的文件。如果更改此目录或其内容,Web 应用程序设置将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS

修改

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。

%windir%\temp

读取

此目录由 Office SharePoint Server 所依赖的平台组件使用。如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。

%windir%\System32\logfiles\SharePoint

读取

此目录由 Office SharePoint Server 使用率日志记录使用。如果修改此目录,使用率日志记录将无法正常工作。

%systemdrive\program files\Microsoft Office Servers\12

读取、执行

暂缺

为索引服务器上的 %systemdrive\program files\Microsoft Office Servers\12 文件夹授予此权限。

本地服务

下表显示本地服务注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LoadBalancerSettings

读取

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

下表显示本地服务文件系统权限:

文件系统路径 权限 继承 说明

%ProgramFiles%\Microsoft Office Servers\12.0\Bin

读取、执行

此目录是 Office SharePoint Server 2007 二进制文件的安装位置。如果移除或更改此目录,所有 Office SharePoint Server 2007 功能将失败。

本地系统

下表显示本地系统注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\LauncherSettings

读取

此项包含用于文档转换服务的设置。更改此项将损坏文档转换功能。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure

完全控制

此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 Office SharePoint Server 将无法工作。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure\FarmAdmin

完全控制

此项包含用于将机密存储在配置数据库中的加密密钥。如果更改此项,服务设置和其他功能将失败。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\WSS

完全控制

此项包含安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示本地文件系统权限:

文件系统路径 权限 继承 说明

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

完全控制

此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。

C:\Inetpub\wwwroot\wss

完全控制

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 Office SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\ADMISAPI

完全控制

此目录包含管理中心的 Soap 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\CONFIG

完全控制

如果更改此目录或其内容,Web 应用程序设置将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS

完全控制

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。

%windir%\temp

完全控制

此目录由 Office SharePoint Server 所依赖的平台组件使用。如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。

%windir%\System32\logfiles\SharePoint

完全控制

Office SharePoint Server 使用此目录进行使用率日志记录。如果修改此目录,使用率日志记录将无法正常工作。

网络服务

下表显示网络服务注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\12.0\Search\Setup

读取

暂缺

暂缺

管理员

下表显示管理员注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure

完全控制

此项包含计算机要联接到的配置数据库的连接字符串和 ID。如果更改此项,计算机上安装的 Office SharePoint Server 将无法工作。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure\FarmAdmin

完全控制

此项包含用于将机密存储在配置数据库中的加密密钥。如果更改此项,服务设置和其他功能将失败。

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\WSS

完全控制

此项包含安装过程中使用的设置。如果更改此项,诊断日志记录可能会失败,并且安装或安装后配置可能会失败。

下表显示管理员文件系统权限:

文件系统路径 权限 继承 说明

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

完全控制

此目录包含支持文件系统的服务器场配置缓存。如果更改或删除此目录,进程可能无法启动,并且管理操作可能会失败。

C:\Inetpub\wwwroot\wss

完全控制

此目录(或服务器上 Inetpub 根目录下的对应目录)用作 IIS 网站的默认位置。如果更改或删除此目录,除非为使用 Office SharePoint Server 扩展的所有 IIS 网站提供了自定义 IIS 网站路径,否则 SharePoint 网站将不可用,并且管理操作可能会失败。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\ADMISAPI

完全控制

此目录包含管理中心的 Soap 服务。如果更改此目录,远程网站创建和服务中公开的其他方法将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\CONFIG

完全控制

如果更改此目录或其内容,Web 应用程序设置将无法正常工作。

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS

完全控制

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。

%windir%\temp

完全控制

此目录由 Office SharePoint Server 所依赖的平台组件使用。如果修改了 ACL,Web 部件呈现和其他反序列化操作可能会失败。

%windir%\System32\logfiles\SharePoint

完全控制

此目录由 Office SharePoint Server 使用率日志记录使用。如果修改此目录,使用率日志记录将无法正常工作。

WSS_RESTRICTED_WPG

下表显示 WSS_RESTRICTED_WPG 注册表项权限:

项名称 权限 继承 说明

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\12.0\Secure\FarmAdmin

完全控制

此项包含用于将机密存储在配置数据库中的加密密钥。如果更改此项,服务设置和其他功能将失败。

用户组

下表显示用户组文件系统权限:

文件系统路径 权限 继承 说明

%ProgramFiles%\Microsoft Office Servers\12.0

读取、执行

此目录是 Office SharePoint Server 2007 二进制文件和数据的安装位置。可以在安装过程中更改此目录。如果在安装后移除、更改或移动了此目录,所有 Office SharePoint Server 2007 功能将失败。

%ProgramFiles%\Microsoft Office Servers\12.0\WebServices\Root

读取、执行

此目录是承载后端根 Web 服务的根目录。最初安装于此目录中的唯一服务是搜索全局管理服务。如果移除或更改此目录,使用特定于服务器的管理中心“搜索设置”页的某些搜索管理功能将无法工作。

%ProgramFiles%\Microsoft Office Servers\12.0\Logs

读取、写入

此目录是在其中生成运行时诊断日志记录的位置。如果移除或更改此目录,日志记录将无法正常工作。

%ProgramFiles%\Microsoft Office Servers\12.0\Bin

读取、执行

此目录是 Office SharePoint Server 2007 二进制文件的安装位置。如果移除或更改此目录,所有 Office SharePoint Server 2007 功能将失败。

所有 Office SharePoint Server 服务帐户

下表显示所有 Office SharePoint Server 服务帐户文件系统权限:

文件系统路径 权限 继承 说明

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\12\LOGS

修改

此目录包含安装程序跟踪日志和运行时跟踪日志。如果更改此目录,诊断日志记录将无法正常工作。所有 Office SharePoint Server 服务帐户对此目录都必须具有写入权限。

 

 

转自微软技术库文章:http://technet.microsoft.com/zh-cn/library/cc678863.aspx#Section3

转载于:https://www.cnblogs.com/JohnChina/archive/2009/02/24/1397015.html

你可能感兴趣的:(帐户权限和安全设置 (Office SharePoint Server))