Partager via


Autorisations de compte et paramètres de sécurité (SharePoint Server 2010)

 

S’applique à : SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Dans cet article :

  • À propos des autorisations de compte et des paramètres de sécurité

  • Comptes d’administration

  • Compte d’applications de service

  • Rôles de base de données

  • Autorisations de groupes

Cet article décrit les autorisations de comptes d’administration et de services Microsoft SharePoint Server 2010. Il traite des sujets suivants : Microsoft SQL Server, le système de fichiers, les partages de fichiers et les entrées de Registre.

À propos des autorisations de compte et des paramètres de sécurité

Une grande partie des autorisations de compte de base et des paramètres de sécurité de SharePoint Server 2010 sont configurés par l’Assistant Configuration de SharePoint (Psconfig) et l’Assistant Création de batterie, qui sont tous deux exécutés durant une installation complète.

Comptes d’administration

La plupart des autorisations de comptes d’administration SharePoint Server 2010 sont configurées automatiquement durant le processus d’installation par l’un des composants SharePoint Server 2010 suivants :

  • l’Assistant Configuration de SharePoint (Psconfig) ;

  • l’Assistant Création de batterie ;

  • le site Web Administration centrale de SharePoint ;

  • Windows PowerShell.

Compte d’administrateur d’utilisateurs du programme d’installation

Ce compte est utilisé pour configurer chaque serveur de votre batterie de serveurs en exécutant l’Assistant Configuration de SharePoint, l’Assistant Création de batterie initial et Windows PowerShell. Pour les exemples présentés dans cet article, le compte d’administrateur d’utilisateurs du programme d’installation est utilisé pour l’administration des batteries et il peut être géré à l’aide de l’Administration centrale. Certaines options de configuration nécessitent des autorisations d’administration locale (par exemple la configuration du serveur de requête du service Recherche SharePoint Server 2010). Le compte d’administrateur d’utilisateurs du programme d’installation nécessite les autorisations suivantes :

  • Il doit détenir des autorisations de compte d’utilisateur de domaine.

  • Il doit être membre du groupe d’administrateurs local sur chaque serveur de la batterie SharePoint Server 2010, à l’exclusion de SQL Server et du serveur SMTP (Simple Mail Transfer Protocol).

  • Ce compte doit avoir accès aux bases de données SharePoint Server 2010.

  • Si vous utilisez des opérations Windows PowerShell qui affectent une base de données, le compte d’administrateur d’utilisateurs du programme d’installation doit être membre du rôle db_owner.

  • Ce compte doit être attribué aux rôles de sécurité SQL Server securityadmin et dbcreator durant l’installation et la configuration.

Notes

Les rôles de sécurité SQL Server securityadmin et dbcreator peuvent être nécessaires pour ce compte durant une mise à niveau de version à version complète car de nouvelles bases de données peuvent devoir être créées et sécurisées pour des services.

Une fois que vous avez exécuté les Assistants de configuration, les autorisations au niveau de l’ordinateur pour le compte d’administrateur d’utilisateurs du programme d’installation sont les suivantes :

  • appartenance au groupe de sécurité Windows WSS_ADMIN_WPG ;

  • appartenance au rôle IIS_WPG.

Une fois que vous avez exécuté les Assistants de configuration, les autorisations de base de données sont les suivantes :

  • db_owner sur la base de données de configuration de batterie de serveurs SharePoint Server 2010 ;

  • db_owner sur la base de données de contenu d’Administration centrale SharePoint Server 2010.

Avertissement

Si le compte d’administrateur d’utilisateurs du programme d’installation est supprimé de l’ordinateur exécutant SQL Server, les Assistants de configuration ne fonctionneront pas correctement. Il en va de même si vous exécutez ces Assistants à l’aide d’un compte qui ne dispose pas de l’appartenance au rôle SQL spécial appropriée ou qui ne dispose pas de l’accès db_owner sur les bases de données.

Compte de service de batterie

Le compte de la batterie de serveurs est également appelé compte d’accès à la base de données. Il est utilisé comme identité du pool d’applications pour l’Administration centrale et comme compte de processus pour le service du minuteur Microsoft SharePoint Foundation 2010. Le compte de la batterie de serveurs requiert les autorisations suivantes :

  • Il doit détenir des autorisations de compte d’utilisateur de domaine.

Des autorisations supplémentaires sont automatiquement accordées au compte de la batterie de serveurs sur les serveurs Web et les serveurs d’applications qui sont joints à une batterie de serveurs.

Une fois que vous avez exécuté l’Assistant Configuration de SharePoint, les autorisations au niveau de l’ordinateur sont les suivantes :

  • appartenance au groupe de sécurité Windows WSS_ADMIN_WPG pour le service du minuteur SharePoint Foundation 2010 ;

  • appartenance à WSS_RESTRICTED_WPG pour les pools d’applications du service Minuteur et Administration centrale ;

  • appartenance à WSS_WPG pour le pool d’applications Administration centrale.

Une fois que vous avez exécuté les Assistants de configuration, les autorisations SQL Server et de base de données sont les suivantes :

  • rôle serveur fixe dbcreator ;

  • rôle serveur fixe securityadmin ;

  • db_owner pour toutes les bases de données SharePoint Server 2010 ;

  • appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données de configuration de batterie de serveurs SharePoint Server 2010 ;

  • appartenance au rôle WSS_CONTENT_APPLICATION_POOLS pour la base de données de contenu SharePoint_Admin SharePoint Server 2010.

Compte du service de recherche Microsoft SharePoint Foundation 2010

Le compte du service de recherche SharePoint Foundation 2010 est utilisé comme compte de service pour le service SharePoint Foundation 2010 Search. Le compte de service de recherche SharePoint Foundation 2010 nécessite les paramètres de configuration d’autorisation suivants :

  • Il doit disposer des autorisations de compte d’utilisateur de domaine.

L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : le compte du service de recherche est membre de WSS_WPG.

Les autorisations SQL Server et de base de données suivantes sont conférées par l’appartenance au rôle WSS_CONTENT_APPLICATION_POOLS dans la base de données de configuration de la batterie de serveurs :

  • accès en lecture à la base de données de configuration de batterie de serveurs ;

  • accès en lecture à la base de données de contenu SharePoint_Admin ;

  • affectation de ce compte au rôle db_owner pour la base de données de recherche SharePoint Foundation 2010.

Compte d’accès au contenu de recherche Microsoft SharePoint Foundation 2010

Le compte d’accès au contenu de recherche SharePoint Foundation 2010 permet au service SharePoint Foundation 2010 Search d’analyser le contenu sur les sites. Le compte d’accès au contenu de recherche SharePoint Foundation 2010 nécessite les paramètres de configuration d’autorisation suivants :

  • Il doit disposer des autorisations de compte d’utilisateur de domaine.

  • Il ne doit pas être membre du groupe d’administrateurs de batterie.

Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :

  • accès en lecture à la base de données de configuration de batterie de serveurs ;

  • accès en lecture à la base de données de contenu SharePoint_Admin ;

  • affectation de ce compte au rôle db_owner pour la base de données de recherche SharePoint Foundation 2010.

Une stratégie Lecture totale pour le compte d’accès au contenu de recherche SharePoint Foundation 2010 est créée sur toutes les applications Web.

Compte d’applications de service

Cette section décrit les comptes d’applications de service configurés par défaut durant l’installation par défaut.

Comptes de pool d’applications

Le compte de pool d’applications est utilisé pour l’identité du pool d’applications. Il requiert les paramètres de configuration d’autorisation suivants :

L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : le compte du pool d’applications est membre de WSS_WPG.

Les autorisations SQL Server et de base de données suivantes pour ce compte sont configurées automatiquement :

  • Les comptes de pools d’applications pour les applications Web sont affectés au rôle db_owner pour les bases de données de contenu.

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.

Compte du service de recherche SharePoint Server

Le compte de service SharePoint Server 2010 Search sert de compte de service pour le service SharePoint Server 2010 Search. Le service SharePoint Server Search est un service NT utilisé par toutes les applications de service de recherche. Pour tout serveur, il n’existe qu’une seule instance de ce service. Le compte du service de recherche SharePoint Server 2010 nécessite le paramètre de configuration d’autorisation suivant : le compte du service de recherche SharePoint Server 2010 se voit octroyer l’accès au(x) partage(s) d’emplacement de propagation sur tous les serveurs de requête dans une batterie de serveurs.

L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : le compte du service de recherche SharePoint Server 2010 est membre de WSS_WPG.

Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.

Compte d’accès au contenu par défaut

Le compte d’accès au contenu par défaut est utilisé dans une application de service spécifique pour analyser du contenu, sauf si une méthode d’authentification différente est spécifiée par une règle d’analyse pour une URL ou un modèle d’URL. Ce compte requiert les paramètres de configuration d’autorisation suivants :

  • Le compte d’accès au contenu par défaut doit être un compte d’utilisateur de domaine et disposer d’un accès en lecture aux sources de contenu externes ou sécurisées que vous souhaitez analyser en utilisant ce compte.

  • Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, ce compte doit explicitement bénéficier des autorisations de lecture totale sur les applications Web qui hébergent les sites.

  • Il ne doit pas être membre du groupe d’administrateurs de batterie.

Comptes d’accès au contenu

Les comptes d’accès au contenu sont des comptes configurés pour accéder au contenu à l’aide de la fonctionnalité de règles d’analyse d’administration de recherche. Ce type de compte est facultatif et peut être configuré lorsque vous créez une nouvelle règle d’analyse. Par exemple, du contenu externe (tel qu’un partage de fichiers) peut exiger ce compte d’accès au contenu distinct. Ce compte requiert les paramètres de configuration d’autorisation suivants :

  • Le compte d’accès au contenu doit disposer d’un accès en lecture aux sources de contenu externes ou sécurisées dont l’accès lui est associé.

  • Pour les sites SharePoint Server qui ne font pas partie de la batterie de serveurs, ce compte doit explicitement bénéficier des autorisations de lecture totale sur les applications Web qui hébergent les sites.

Compte de service autonome d’Excel Services

Le compte de service autonome d’Excel Services est utilisé par Excel Services pour la connexion aux sources de données externes qui nécessitent un nom d’utilisateur et un mot de passe reposant sur des systèmes d’exploitation autres que Windows pour l’authentification. Si ce compte n’est pas configuré, Excel Services ne tente pas de se connecter à ces types de sources de données. Bien que les informations d’identification du compte soient utilisées pour la connexion aux sources de données des systèmes d’exploitation autres que Windows, si le compte n’est pas membre du domaine, Excel Services ne peut pas y accéder. Ce compte doit être un compte d’utilisateur de domaine.

Compte de pool d’applications Mes sites

Le compte de pool d’applications Mes sites doit être un compte d’utilisateur de domaine. Ce compte ne doit pas être membre du groupe Administrateurs de batterie de serveurs.

L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : ce compte est membre de WSS_WPG.

Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.

Autres comptes de pool d’applications

L’autre compte de pool d’applications doit être un compte d’utilisateur de domaine. Ce compte ne doit être membre du groupe d’administrateurs sur aucun ordinateur de la batterie de serveurs.

L’autorisation au niveau de l’ordinateur suivante est configurée automatiquement : ce compte est membre de WSS_WPG.

Les autorisations SQL Server et de base de données suivantes sont configurées automatiquement :

  • affectation de ce compte au rôle db_owner pour les bases de données de contenu ;

  • affectation de ce compte au rôle db_owner pour les bases de données de recherche associées à l’application Web ;

  • Ce compte doit disposer d’un accès en lecture et en écriture à la base de données d’application de service associée.

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de configuration de batterie de serveurs ;

  • affectation de ce compte au rôle WSS_CONTENT_APPLICATION_POOLS associé à la base de données de contenu SharePoint_Admin.

Rôles de base de données

Cette section décrit les rôles de base de données qui sont configurés par défaut durant l’installation ou qui peuvent être configurés de façon facultative.

Rôle de base de données WSS_CONTENT_APPLICATION_POOLS

Le rôle de base de données WSS_CONTENT_APPLICATION_POOLS s’applique au compte de pool d’applications pour chaque application Web enregistrée dans SharePoint. Cela permet aux applications Web d’interroger et de mettre à jour la carte de site, et de disposer d’un accès en lecture seule à d’autres éléments dans la base de données de configuration. Le programme d’installation attribue le rôle WSS_CONTENT_APPLICATION_POOLS aux bases de données suivantes :

  • la base de données SharePoint_Config (base de données de configuration) ;

  • la base de données SharePoint_AdminContent.

Les membres du rôle WSS_CONTENT_APPLICATION_POOLS bénéficient de l’autorisation d’exécution sur un sous-ensemble des procédures stockées de la base de données. En outre, ils reçoivent également l’autorisation de sélection sur la table des versions (dbo.Versions) de la base de données SharePoint_AdminContent. Pour les autres bases de données, l’outil de planification des comptes indique que l’accès pour lire ces bases de données est automatiquement configuré. Dans certains cas, un accès limité pour écrire dans une base de données est également automatiquement configuré. Pour assurer cet accès, des autorisations sont configurées pour les procédures stockées. Pour la base de données SharePoint_Config, par exemple, l’accès aux procédures stockées suivantes est automatiquement configuré :

  • proc_dropEmailEnabledList ;

  • proc_dropEmailEnabledListsByWeb ;

  • proc_dropSiteMap ;

  • proc_markForDeletionEmailEnabledList ;

  • proc_markForDeletionEmailEnabledListsBySite ;

  • proc_markForDeletionEmailEnabledListsByWeb ;

  • proc_putDistributionListToDelete ;

  • proc_putEmailEnabledList ;

  • proc_putSiteMap.

Rôle de base de données WSS_SHELL_ACCESS

Le rôle de base de données WSS_SHELL_ACCESS sur la base de données de configuration remplace la nécessité d’ajouter un compte d’administration comme db_owner sur la base de données de configuration. Par défaut, le compte d’installation est affecté au rôle de base de données WSS_SHELL_ACCESS. L’appartenance à ce rôle est accordée et supprimée au moyen d’une commande Windows PowerShell. Le programme d’installation assigne le rôle WSS_SHELL_ACCESS aux bases de données suivantes :

  • la base de données SharePoint_Config (base de données de configuration) ;

  • une ou plusieurs des bases de données de contenu SharePoint. Ceci est configurable à l’aide de la commande Windows PowerShell qui gère l’appartenance, et à l’aide de l’objet assigné à ce rôle.

Les membres du rôle de WSS_SHELL_ACCESS bénéficient de l’autorisation d’exécution pour toutes les procédures stockées de la base de données. De plus, les membres de ce rôle bénéficient d’autorisations de lecture et écriture sur toutes les tables de bases de données.

Autorisations de groupes

Cette section décrit les autorisations des groupes créés par les outils d’installation et de configuration de SharePoint Server 2010.

WSS_ADMIN_WPG

WSS_ADMIN_WPG dispose d’un accès en lecture et écriture aux ressources locales. Les comptes de pools d’applications pour les services Administration Centrale et Minuteur sont dans WSS_ADMIN_WPG. Le tableau suivant montre les autorisations d’entrée de Registre WSS_ADMIN_WPG.

Nom de la clé Autorisations Héritage Description

HKEY_CLASSES_ROOT\APPID\{58F1D482-A132-4297-9B8A-F8E4E600CDF6}

Contrôle total

N/A

Application COM du service SharePoint Server 2010 Search.

HKEY_CLASSES_ROOT\APPID\{6002D29F-1366-4523-88C1-56D59BFEF8CB}

Contrôle total

N/A

Application COM du service SharePoint Foundation 2010 Search.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS

Contrôle total

N/A

N/A

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\14.0\Registration\{90120000-110D-0000-0000-0000000FF1CE}

Lire, écrire

N/A

N/A

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server

Lire

Non

Cette clé est la racine de l’arborescence des paramètres du Registre SharePoint Server 2010. Si elle est modifiée, les fonctionnalités SharePoint Server 2010 échouent.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0

Contrôle total

Non

Cette clé est la racine des paramètres du Registre SharePoint Server 2010.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

Lire, écrire

Non

Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

Lire, écrire

Non

Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search

Contrôle total

N/A

N/A

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Search

Contrôle total

N/A

N/A

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Contrôle total

Non

Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si elle est modifiée, l’installation de SharePoint Server sur l’ordinateur échoue.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Contrôle total

Oui

Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation.

Le tableau suivant montre les autorisations de système de fichiers WSS_ADMIN_WPG.

Chemin d’accès du système de fichiers Autorisations Héritage Description

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Contrôle total

Non

Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé.

C:\Inetpub\wwwroot\wss

Contrôle total

Non

Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites Web IIS. Les sites SharePoint sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d’accès aux sites Web IIS personnalisés ne soient fournis pour tous les sites Web IIS étendus avec SharePoint Server.

%ProgramFiles%\Microsoft Office Servers\14.0

Contrôle total

Non

Ce répertoire est l’emplacement d’installation pour les données et les fichiers binaires SharePoint Server 2010. Le répertoire peut être modifié au cours de l’installation. Toutes les fonctionnalités SharePoint Server 2010 échouent si ce répertoire est supprimé, modifié ou supprimé après l’installation. L’appartenance au groupe de sécurité Windows WSS_ADMIN_WPG est requise pour que certains services SharePoint Server 2010 puissent stocker des données sur le disque.

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices

Lire, écrire

Non

Ce répertoire est le répertoire racine où les services Web principaux sont hébergés, par exemple Excel et Search. Les fonctionnalités SharePoint Server 2010 qui dépendent de ces services échouent si ce répertoire est supprimé ou modifié.

%ProgramFiles%\Microsoft Office Servers\14.0\Data

Contrôle total

Non

Ce répertoire est l’emplacement racine où les données locales sont stockées, y compris les index de recherche. La fonctionnalité de recherche échoue si ce répertoire est supprimé ou modifié. Les autorisations de groupe de sécurité Windows WSS_ADMIN_WPG sont requises pour que la recherche puisse enregistrer et sécuriser les données dans ce dossier.

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

Contrôle total

Oui

Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Les fonctionnalités de journalisation ne fonctionnent pas correctement si ce répertoire est supprimé ou modifié.

%ProgramFiles%\Microsoft Office Servers\14.0\Data\Office Server

Contrôle total

Oui

Identique au dossier parent.

%windir%\System32\drivers\etc\HOSTS

Lire, écrire

N/A

N/A

%windir%\Tasks

Contrôle total

N/A

N/A

%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\14

Modifier

Oui

Ce répertoire est le répertoire d’installation des fichiers SharePoint Server principaux. Si la liste de contrôle d’accès (ACL) est modifiée, l’activation des fonctionnalités, le déploiement des solutions et d’autres fonctionnalités ne fonctionnent pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Contrôle total

Oui

Ce répertoire contient les services SOAP pour l’Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Contrôle total

Oui

Ce répertoire contient des fichiers utilisés pour étendre les sites Web IIS avec SharePoint Server. Si ce répertoire ou son contenu a été modifié, la mise en service d’applications Web ne fonctionne pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Contrôle total

Non

Ce répertoire contient les journaux d’installation et de suivi à l’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\Data

Contrôle total

Oui

N/A

%windir%\temp

Contrôle total

Oui

Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer.

%windir%\System32\logfiles\SharePoint

Contrôle total

Non

Ce répertoire est utilisé par la journalisation de l’utilisation de SharePoint Server. S’il est modifié, la journalisation de l’utilisation ne fonctionne pas correctement.

Dossier %systemdrive\program files\Microsoft Office Servers\14 sur les serveurs d’index

Contrôle total

N/A

Cette autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\14 sur les serveurs d’index.

WSS_WPG

WSS_WPG dispose d’un accès en lecture aux ressources locales. Tous les comptes de services et pools d’applications sont dans WSS_WPG. Le tableau suivant montre les autorisations d’entrée de Registre WSS_WPG.

Nom de la clé Autorisations Héritage Description

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\14.0

Lire

Non

Cette clé est la racine des paramètres du Registre SharePoint Server 2010.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Diagnostics

Lire, écrire

Non

Cette clé contient des paramètres pour la journalisation des diagnostics SharePoint Server 2010. Sa modification altère la fonctionnalité de journalisation.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

Lire, écrire

Non

Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

Lire, écrire

Non

Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Lire

Non

Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si elle est modifiée, l’installation de SharePoint Server sur l’ordinateur échoue.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Lire

Oui

Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation.

Le tableau suivant montre les autorisations de système de fichiers WSS_WPG.

Chemin d’accès du système de fichiers Autorisations Héritage Description

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Lire

Non

Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé.

C:\Inetpub\wwwroot\wss

Lire, exécuter

Non

Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites Web IIS. Les sites SharePoint sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d’accès aux sites Web IIS personnalisés ne soient fournis pour tous les sites Web IIS étendus avec SharePoint Server.

%ProgramFiles%\Microsoft Office Servers\14.0

Lire, exécuter

Non

Ce répertoire est l’emplacement d’installation pour les données et les fichiers binaires SharePoint Server 2010. Il peut être modifié au cours de l’installation. Toutes les fonctionnalités SharePoint Server 2010 échouent si ce répertoire est supprimé, modifié ou déplacé après l’installation. Les autorisations de lecture et d’exécution WSS_WPG sont requises pour que les sites IIS puissent charger les fichiers binaires SharePoint Server 2010.

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices

Lire

Non

Ce répertoire est le répertoire racine où les services Web principaux sont hébergés, par exemple Excel et Search. Les fonctionnalités SharePoint Server 2010 qui dépendent de ces services échouent si ce répertoire est supprimé ou modifié.

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

Lire, écrire

Oui

Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. Les fonctionnalités de journalisation ne fonctionnent pas correctement si ce répertoire est supprimé ou modifié.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Lire

Oui

Ce répertoire contient les services SOAP pour l’Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Lire

Oui

Ce répertoire contient des fichiers utilisés pour étendre les sites Web IIS avec SharePoint Server. Si ce répertoire ou son contenu a été modifié, la mise en service d’applications Web ne fonctionne pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Modifier

Non

Ce répertoire contient les journaux d’installation et de suivi à l’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement.

%windir%\temp

Lire

Oui

Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer.

%windir%\System32\logfiles\SharePoint

Lire

Non

Ce répertoire est utilisé par la journalisation de l’utilisation de SharePoint Server. S’il est modifié, la journalisation de l’utilisation ne fonctionne pas correctement.

%systemdrive\program files\Microsoft Office Servers\14

Lire, exécuter

N/A

L’autorisation est accordée pour un dossier %systemdrive\program files\Microsoft Office Servers\14 sur les serveurs d’index.

Service local

Le tableau suivant montre l’autorisation d’entrée de Registre du service local :

Nom de la clé Autorisations Héritage Description

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LoadBalancerSettings

Lire

Non

Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.

Le tableau suivant montre l’autorisation de système de fichiers du service local :

Chemin d’accès du système de fichiers Autorisations Héritage Description

%ProgramFiles%\Microsoft Office Servers\14.0\Bin

Lire, exécuter

Non

Ce répertoire est l’emplacement d’installation des fichiers binaires SharePoint Server 2010. Toutes les fonctionnalités SharePoint Server 2010 échouent si ce répertoire est supprimé ou modifié.

Système local

Le tableau suivant montre les autorisations d’entrée de Registre du système local :

Nom de la clé Autorisations Héritage Description

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\LauncherSettings

Lire

Non

Cette clé contient des paramètres du service de conversion de documents. La modification de cette clé altère la fonctionnalité de conversion de documents.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Contrôle total

Non

Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si elle est modifiée, l’installation de SharePoint Server sur l’ordinateur échoue.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

Contrôle total

Non

Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Contrôle total

Oui

Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation.

Le tableau suivant montre les autorisations de système de fichiers local :

Chemin d’accès du système de fichiers Autorisations Héritage Description

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Contrôle total

Non

Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et des actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé.

C:\Inetpub\wwwroot\wss

Contrôle total

Non

Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites Web IIS. Les sites SharePoint sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d’accès aux sites Web IIS personnalisés ne soient fournis pour tous les sites Web IIS étendus avec SharePoint Server.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Contrôle total

Oui

Ce répertoire contient les services SOAP pour l’Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Contrôle total

Oui

Si ce répertoire ou son contenu a été modifié, la mise en service d’applications Web ne fonctionne pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Contrôle total

Non

Ce répertoire contient les journaux d’installation et de suivi à l’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement.

%windir%\temp

Contrôle total

Oui

Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer.

%windir%\System32\logfiles\SharePoint

Contrôle total

Non

Ce répertoire est utilisé par SharePoint Server pour la journalisation de l’utilisation. S’il est est modifié, la journalisation de l’utilisation ne fonctionne pas correctement.

Service réseau

Le tableau suivant montre l’autorisation d’entrée de Registre du service réseau :

Nom de la clé Autorisations Héritage Description

HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\14.0\Search\Setup

Lire

N/A

N/A

Administrateurs

Le tableau suivant montre les autorisations d’entrée de Registre des administrateurs.

Nom de la clé Autorisations Héritage Description

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure

Contrôle total

Non

Cette clé contient la chaîne de connexion et l’ID de la base de données de configuration à laquelle l’ordinateur est joint. Si elle est modifiée, l’installation de SharePoint Server sur l’ordinateur échoue.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

Contrôle total

Non

Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent.

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\WSS

Contrôle total

Oui

Cette clé contient des paramètres utilisés au cours de l’installation. Si cette clé est modifiée, la journalisation des diagnostics peut échouer, de même que le programme d’installation ou la configuration post-installation.

Le tableau suivant montre les autorisations de système de fichiers des administrateurs :

Chemin d’accès du système de fichiers Autorisations Héritage Description

%AllUsersProfile%\Application Data\Microsoft\Sharepoint

Contrôle total

Non

Ce répertoire contient le cache de la configuration de batterie de serveurs sauvegardé par le système de fichiers. Le démarrage des processus et des actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé.

C:\Inetpub\wwwroot\wss

Contrôle total

Non

Ce répertoire (ou le répertoire correspondant sous la racine Inetpub sur le serveur) est utilisé comme emplacement par défaut pour les sites Web IIS. Les sites SharePoint sont indisponibles et les actions d’administration peuvent échouer si ce répertoire est modifié ou supprimé, à moins que des chemins d’accès aux sites Web IIS personnalisés ne soient fournis pour tous les sites Web IIS étendus avec SharePoint Server.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\ADMISAPI

Contrôle total

Oui

Ce répertoire contient les services SOAP pour l’Administration centrale. Si ce répertoire est modifié, la création de sites distants et les autres méthodes exposées dans le service ne fonctionnent pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\CONFIG

Contrôle total

Oui

Si ce répertoire ou son contenu a été modifié, la mise en service d’applications Web ne fonctionne pas correctement.

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Contrôle total

Non

Ce répertoire contient les journaux d’installation et de suivi à l’exécution. Si le répertoire est modifié, la journalisation des diagnostics ne fonctionne pas correctement.

%windir%\temp

Contrôle total

Oui

Ce répertoire est utilisé par les composants de plateforme dont dépend SharePoint Server. Si la liste de contrôle d’accès (ACL) est modifiée, le rendu des composants WebPart et d’autres opérations de désérialisation risquent d’échouer.

%windir%\System32\logfiles\SharePoint

Contrôle total

Non

Ce répertoire est utilisé pour la journalisation de l’utilisation de SharePoint Server. S’il est modifié, la journalisation de l’utilisation ne fonctionne pas correctement.

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG peut lire l’entrée de Registre d’informations d’identification d’administration de batterie chiffrée. WSS_RESTRICTED_WPG sert uniquement au chiffrement et au déchiffrement des mots de passe stockés dans la base de données de configuration. Le tableau suivant montre les autorisations d’entrée de Registre WSS_RESTRICTED_WPG.

Nom de la clé Autorisations Héritage Description

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\14.0\Secure\FarmAdmin

Contrôle total

Non

Cette clé contient la clé de chiffrement utilisée pour stocker des secrets dans la base de données de configuration. Si cette clé est modifiée, l’activation des services et d’autres fonctionnalités échouent.

Groupe Utilisateurs

Le tableau suivant montre les autorisations de système de fichiers du groupe Utilisateurs :

Chemin d’accès du système de fichiers Autorisations Héritage Description

%ProgramFiles%\Microsoft Office Servers\14.0

Lire, exécuter

Non

Ce répertoire est l’emplacement d’installation pour les données et les fichiers binaires SharePoint Server 2010. Il peut être modifié au cours de l’installation. Toutes les fonctionnalités SharePoint Server 2010 échouent si ce répertoire est supprimé, modifié ou déplacé après l’installation.

%ProgramFiles%\Microsoft Office Servers\14.0\WebServices\Root

Lire, exécuter

Non

Ce répertoire est le répertoire racine où les services Web racine principaux sont hébergés. Le seul service initialement installé dans ce répertoire est un service d’administration global de recherche. Certaines des fonctionnalités d’administration de recherche utilisées par le biais de la page des paramètres de recherche de l’Administration centrale spécifique au serveur ne fonctionnent pas si ce répertoire est supprimé ou modifié.

%ProgramFiles%\Microsoft Office Servers\14.0\Logs

Lire, écrire

Oui

Ce répertoire est l’emplacement où la journalisation des diagnostics à l’exécution est générée. La journalisation ne fonctionne pas correctement si ce répertoire est supprimé ou modifié.

%ProgramFiles%\Microsoft Office Servers\14.0\Bin

Lire, exécuter

Non

Ce répertoire est l’emplacement d’installation des fichiers binaires SharePoint Server 2010. Toutes les fonctionnalités SharePoint Server 2010 échouent si ce répertoire est supprimé ou modifié.

Tous les comptes de service Office SharePoint Server

Le tableau suivant indique l’autorisation de système de fichiers de tous les comptes de service Office SharePoint Server :

Chemin d’accès du système de fichiers Autorisations Héritage Description

%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\14\LOGS

Modifier

Non

Ce répertoire contient les journaux de suivi d’installation et d’exécution. S’il est modifié, la journalisation des diagnostics ne fonctionne pas correctement. Tous les comptes de service SharePoint Server doivent disposer de l’autorisation d’écriture dans ce répertoire.