SharePoint 2013 のアカウントのアクセス許可とセキュリティ設定

適用対象:yes-img-13 2013no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

この記事では、SharePoint の管理者アカウントとサービス アカウントの権限について説明します。関連する領域は、Microsoft SQL Server、ファイル システム、ファイル共有、およびレジストリ エントリです。

重要

SQL Server のグループ管理サービス アカウントを使用する場合を除き、シンボル $ を含むサービス アカウント名は使用しないでください。

アカウントの権限とセキュリティ設定について

SharePoint 構成ウィザード (psconfig) とファーム作成ウィザードは、どちらも完全インストール時に実行され、SharePoint ベースライン アカウントのアクセス許可とセキュリティ設定の多くを構成します。

SharePoint 管理アカウント

次のいずれかの SharePoint コンポーネントは、セットアップ プロセスでほとんどの SharePoint 管理アカウント権限を自動的に構成します。

  • SharePoint 製品構成ウィザード (Psconfig)

  • ファーム作成ウィザード

  • SharePoint サーバーの全体管理 の Web サイト。

  • PowerShell。

ファーム管理者ユーザー アカウント

このアカウントは、SharePoint 管理者に割り当てられた一意に識別可能なアカウントであり、SharePoint 構成ウィザード、初期ファーム作成ウィザード、PowerShell を実行してファーム内の各サーバーを設定するために使用されます。 アカウントはドメイン ユーザーである必要があります。 この記事の例では、ファーム管理者アカウントをファーム管理に使用し、サーバーの全体管理を使用して管理できます。 SharePoint 2013 Search クエリ サーバーの構成などの一部の構成オプションには、ローカル管理アクセス許可が必要です。 ファーム管理者ユーザー アカウントには、次のアクセス許可が必要です。

  • これは、SharePoint ファーム内の各サーバーのローカル管理者グループのメンバーである必要があります。

  • SharePoint データベースにアクセスできる必要があります。

  • データベースに影響を与える PowerShell 操作を使用する場合、セットアップ ユーザー管理者アカウントは 、db_owner ロールまたは sysadmin 固定サーバー ロールのメンバーである必要があります。

  • このアカウントは、セットアップと構成中に securityadmin および dbcreator 固定サーバー ロール、または SQL Server の sysadmin 固定サーバー ロールに割り当てる必要があります。

注:

バージョンからバージョンへの完全なアップグレードでは、サービス用に新しいデータベースを作成し、保護する必要がある可能性があるので、SQL Server セキュリティ ロールの securityadmindbcreator が必要になる場合があります。

構成ウィザードを実行すると、次のコンピューター レベルの権限がセットアップ ユーザー管理者アカウントに与えられます。

  • WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップ

  • WSS_WPG ロールのメンバーシップ。

構成ウィザードを実行すると、次のデータベース権限が与えられます。

  • SharePoint サーバー ファーム構成データベースの db_owner

  • SharePoint サーバーの全体管理 コンテンツ データベースの db_owner

注意

構成ウィザードを実行するために使用するアカウントで、適切な特別 SQL Server ロール メンバーシップ、または db_owner としてのデータベースへのアクセス権がない場合、構成ウィザードは正しく実行されません。

SharePoint ファーム サービス アカウント

サーバー ファーム アカウントはデータベース アクセス アカウントとも呼ばれ、サーバーの サーバーの全体管理 ではアプリケーション プール ID として使用され、SharePoint Foundation 2013 Timer service ではプロセス アカウントとして使用されます。 サーバー ファーム アカウントはドメイン ユーザー アカウントである必要があります。

アクセス許可は、サーバー ファームに参加している Web サーバーとアプリケーション サーバー上のサーバー ファーム アカウントに自動的に付与されます。

構成ウィザードを実行すると、次の SQL Server 権限とデータベース権限が与えられます。

  • SharePoint Foundation 2013 Timer Service の WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップ

  • サーバーの全体管理 アプリケーション プールおよび Timer Service アプリケーション プールの WSS_RESTRICTED_WPG のメンバーシップ

  • サーバーの全体管理 アプリケーション プールの WSS_WPG のメンバーシップ

  • Dbcreator 固定サーバー ロール

  • Securityadmin 固定サーバー ロール

  • すべての SharePoint データベースの db_owner

  • SharePoint サーバー ファーム構成データベースの WSS_CONTENT_APPLICATION_POOLS ロールのメンバーシップ

  • SharePoint_Admin コンテンツ データベースの WSS_CONTENT_APPLICATION_POOLS ロールのメンバーシップ

SharePoint サービス アプリケーション アカウント

ここでは、インストール時に既定でセットアップされるサービス アプリケーション アカウントについて説明します。

アプリケーション プール アカウント

アプリケーション プール アカウントは、アプリケーション プール ID として使用されます。 アプリケーション プール アカウントはドメイン ユーザー アカウントである必要があります。

次のマシン レベルのアクセス許可が自動的に構成されます。

  • アプリケーション プール アカウントは、WSS_WPGのメンバーです。

このアカウントに対して、次の SQL Server 権限とデータベース権限が自動的に構成されます。

  • Web アプリケーションのアプリケーション プール アカウントは、コンテンツ データベースの SP_DATA_ACCESS ロールに割り当てられます。

  • このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。

  • このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。

既定のコンテンツ アクセス アカウント

重要

このセクションの情報は SharePoint Server 2016 にのみ適用されます。

既定のコンテンツ アクセス アカウントは、URL または URL パターンのクロール ルールで別の認証方法が指定されていない限り、特定のサービス アプリケーション内でコンテンツをクロールする場合に使用されます。 このアカウントには、次に示す権限の構成設定が必要です。

  • 既定のコンテンツ アクセス アカウントは、ドメイン ユーザー アカウントである必要があり、このアカウントを使用してクロールする外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースへの読み取りアクセス権を必要とします。

  • SharePoint Server サイトがサーバー ファームに含まれていない場合は、このアカウントには、サイトをホストする Web アプリケーションへのすべての読み取り権限を明示的に与える必要があります。

  • このアカウントはファーム管理者グループのメンバーであってはなりません。

コンテンツ アクセス アカウント

重要

このセクションの情報は SharePoint Server 2016 にのみ適用されます。

コンテンツ アクセス アカウントは、検索管理のクロール ルール機能を使用してコンテンツにアクセスするために構成されます。 このアカウントは省略でき、新しいクロール ルールを作成するときに構成できます。 たとえば、外部のコンテンツ (ファイル共有など) では、この独立したコンテンツ アクセス アカウントが要求されることがあります。 このアカウントには、次に示すアクセス許可の構成設定が必要です。

  • コンテンツ アクセス アカウントには、このアカウントがアクセスするように構成されている外部コンテンツ ソースまたはセキュリティ保護されたコンテンツ ソースへの読み取りアクセス権が必要です。

  • コンテンツ アクセス アカウントは、クロールするように構成されている Windows ファイル サーバーのローカル ユーザー ポリシーの [監査とセキュリティの管理] ログ を保持する必要があります。

  • SharePoint Server サイトがサーバー ファームに含まれていない場合は、このアカウントには、サイトをホストする Web アプリケーションへのすべての読み取り権限を明示的に与える必要があります。

Excel Services 無人サービス アカウント

重要

このセクションの情報は SharePoint Server 2016 にのみ適用されます。

Excel Services は Excel Services 無人サービス アカウントを使って、Windows 以外のオペレーティング システムでのユーザー名とパスワードを認証時に必要とする外部データ ソースに接続します。 このアカウントが構成されていない場合、Excel Services はこれらの種類のデータ ソースには接続しません。 Windows 以外のオペレーティング システムのデータ ソースへの接続にはアカウント資格情報が使用されますが、アカウントがドメインのメンバーでないと Excel Services はそのデータ ソースにアクセスできません。 このアカウントは、ドメイン ユーザー アカウントである必要があります。

個人用サイトのアプリケーション プール アカウント

重要

このセクションの情報は SharePoint Server 2016 にのみ適用されます。

個人用サイトのアプリケーション プール アカウントは、ドメイン ユーザー アカウントである必要があります。 このアカウントは、ファームの管理者 グループのメンバーであってはなりません。

次のマシン レベルのアクセス許可が自動的に構成されます。

  • このアカウントは、WSS_WPGのメンバーです。

次の SQL Server 権限とデータベース権限が自動的に構成されます。

  • このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。

  • このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。

  • Web アプリケーションのアプリケーション プール アカウントは、コンテンツ データベースの SP_DATA_ACCESS ロールに割り当てられます。

その他のアプリケーション プール アカウント

その他のアプリケーション プール アカウントは、ドメイン ユーザー アカウントである必要があります。 このアカウントは、サーバー ファーム内のコンピューター上の Administrators グループのメンバーであってはなりません。

次のマシン レベルのアクセス許可が自動的に構成されます。

  • このアカウントは、WSS_WPGのメンバーです。

次の SQL Server 権限とデータベース権限が自動的に構成されます。

  • このアカウントは、コンテンツ データベースの SP_DATA_ACCESS ロールに割り当てられます。

  • このアカウントは、Web アプリケーションに関連付けられている検索データベースの SP_DATA_ACCESS ロールに割り当てられます。

  • このアカウントには、関連付けられているサービス アプリケーション データベースに対する読み取りおよび書き込みアクセス権が必要です。

  • このアカウントは、ファーム構成データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。

  • このアカウントは、SharePoint_Admin コンテンツ データベースに関連付けられている WSS_CONTENT_APPLICATION_POOLS ロールに割り当てられます。

注:

個人用サイト Web アプリケーションを含め、ファーム内のすべての Web アプリケーションに対して 1 つの Web アプリケーション プール アカウントを使用することを強くお勧めします。 例外は、ファーム サービス アカウントを使用するサーバーの全体管理 Web アプリケーションです。

SharePoint データベース ロール

このセクションでは、インストールによってデフォルトで設定されるデータベース ロールまたはオプションで構成できるデータベース ロールについて説明します。

WSS_CONTENT_APPLICATION_POOLS データベース ロール

WSS_CONTENT_APPLICATION_POOLS データベース ロールは、SharePoint ファームに登録される各 Web アプリケーションのアプリケーション プール アカウントに適用されます。 これにより、Web アプリケーションは、サイト マップをクエリおよび更新でき、構成データベース内の他のアイテムに対しては読み取り専用のアクセス権を持ちます。 セットアップで、次のデータベースに WSS_CONTENT_APPLICATION_POOLS ロールが割り当てられます。

  • SharePoint_Config データベース (構成データベース)。

  • SharePoint_Admin コンテンツ データベース。

WSS_CONTENT_APPLICATION_POOLS ロールのメンバーには、データベースのストアド プロシージャのサブセットに対する実行権限があります。 さらに、このロールのメンバーには、Versions テーブル (dbo) に対する選択アクセス許可があります。SharePoint_Admin コンテンツ データベース内のバージョン)。 その他のデータベースについては、それらのデータベースを読み取るためのアクセス権が自動的に構成されることがアカウント計画ツールで示されます。 場合によっては、データベースに書き込むための制限付きアクセス権も自動的に構成されます。 このアクセスを可能にするために、ストアド プロシージャに対する権限が構成されます。

WSS_SHELL_ACCESS データベース ロール

構成データベースで管理者アカウントを db_owner として追加する必要がある場合、その代わりに、構成データベースで安全な WSS_SHELL_ACCESS データベース ロールを使用できます。 既定では、構成ウィザードを最初に実行したファーム管理者アカウントが、WSS_SHELL_ACCESS データベース ロールに割り当てられます。 PowerShell コマンドを使って、このロールにメンバーシップを付与するまたは取り消すことができます。 セットアップで次のデータベースに WSS_SHELL_ACCESS ロールが割り当てられます。

  • SharePoint_Config データベース (構成データベース)。

  • 1 つ以上の SharePoint コンテンツ データベース。 メンバーシップを管理する PowerShell コマンドと、このロールに割り当てられるオブジェクトを使用して、このデータベースを構成できます。

WSS_SHELL_ACCESS ロールのメンバーには、データベースのすべてのストアド プロシージャの実行権限があります。 さらに、このロールのメンバーには、すべてのデータベース テーブルの読み取りおよび書き込み権限があります。

SP_READ_ONLY データベース ロール

SP_READ_ONLY ロールは、sp_dboption を使う代わりに、データベースを読み取り専用モードに設定するために使います。 このロールは、その名前が示すとおり、使用状況データやテレメトリ データなどで読み取りアクセスのみが必要な場合に使用します。

注:

sp_dboption ストアド プロシージャは SQL Server 2012 では使えません。 sp_dboption の詳細については、「sp_dboption (Transact-SQL)」を参照してください。

SP_READ_ONLY SQL ロールには次の権限があります。

  • すべての SharePoint ストアド プロシージャおよび関数で SELECT を付与する

  • すべての SharePoint テーブルで SELECT を付与する

  • スキーマが dbo のユーザー定義の型で EXECUTE を付与する

SP_DATA_ACCESS データベース ロール

SP_DATA_ACCESS ロールはデータベース アクセスの既定のロールで、データベースに対するすべてのオブジェクト モデル レベル アクセスで使用します。 アップグレードまたは新しい展開の際にこのロールにアプリケーション プール アカウントを追加します。

注:

SP_DATA_ACCESS ロールは、SharePoint 2013 で db_owner ロールに取って代わります。

SP_DATA_ACCESS ロールには次の許可があります。

  • すべての SharePoint ストアド プロシージャおよび関数で EXECUTE または SELECT を付与する

  • すべての SharePoint テーブルで SELECT を付与する

  • スキーマが dbo のユーザー定義の型で EXECUTE を付与する

  • AllUserDataJunctions テーブルで INSERT を付与する

  • Sites ビューで UPDATE を付与する

  • UserData ビューで UPDATE を付与する

  • AllUserData テーブルで UPDATE を付与する

  • NameValuePair テーブルで INSERT および DELETE を付与する

  • テーブルの作成許可を付与する

グループのアクセス許可

このセクションでは、SharePoint 2013 のセットアップと構成ツールが作成するグループのアクセス許可について説明します。

WSS_ADMIN_WPG

WSS_ADMIN_WPG は、ローカル リソースに対する読み取りおよび書き込みアクセス権を持ちます。 サーバーの サーバーの全体管理 および Timer Service のアプリケーション プール アカウントは、WSS_ADMIN_WPG です。 次の表に、WSS_ADMIN_WPG のレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
フル コントロール
該当なし
該当なし
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\15.0\Registration{90150000-110D-0000-1000-0000000FF1CE}
読み取り、書き込み
該当なし
該当なし
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server
読み取り
いいえ
このキーは、SharePoint 2013 レジストリ設定ツリーのルートです。 このキーを変更すると、SharePoint 2013 の機能は失敗します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
フル コントロール
なし
このキーは SharePoint 2013 レジストリ設定のルートです。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
読み取り、書き込み
なし
このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
読み取り、書き込み
なし
このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search
フル コントロール
該当なし
該当なし
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Search
フル コントロール
該当なし
該当なし
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
フル コントロール
なし
このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーを変更すると、コンピューター上の SharePoint 2013 インストールが機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
フル コントロール
はい
このキーにはセットアップ時に使用される設定が格納されています。 このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。

次の表に、WSS_ADMIN_WPG のファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%AllUsersProfile%\ Microsoft\SharePoint
フル コントロール
なし
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。 このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。
C:\Inetpub\wwwroot\wss
フル コントロール
なし
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 SharePoint 2013 で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。
%ProgramFiles%\Microsoft Office Servers\15.0
フル コントロール
なし
このディレクトリは、SharePoint 2013 のバイナリとデータがインストールされる場所です。 ディレクトリはインストール時に変更できます。 このディレクトリを削除、変更、またはインストール後に削除すると、SharePoint 2013 のすべての機能が失敗します。 一部の SharePoint 2013 サービスは、データをディスクに格納するために、WSS_ADMIN_WPG Windows セキュリティ グループのメンバーシップを必要とします。
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
読み取り、書き込み
なし
このディレクトリは、Excel、Search など、バックエンドの Web サービスがホストされるルート ディレクトリです。 このディレクトリを削除または変更すると、これらのサービスに依存する SharePoint 2013 の機能が失敗します。
%ProgramFiles%\Microsoft Office Servers\15.0\Data
フル コントロール
なし
このディレクトリは、検索インデックスをはじめとするローカル データが格納されるルートの場所です。 このディレクトリを削除または変更すると、検索機能が失敗します。 検索でこのフォルダーにデータを保存してセキュリティで保護するには、WSS_ADMIN_WPG Windows セキュリティ グループ権限が必要です。
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
フル コントロール
あり
このディレクトリは、ランタイム診断ログが生成される場所です。 このディレクトリを削除または変更すると、ログ機能が正しく機能しなくなります。
%ProgramFiles%\Microsoft Office Servers\15.0\Data\Office Server
フル コントロール
あり
親フォルダーと同じです。
%windir%\System32\drivers\etc\HOSTS
読み取り、書き込み
該当なし
該当なし
%windir%\Tasks
フル コントロール
該当なし
該当なし
%COMMONPROGRAMFILES%Microsoft Shared\Web Server Extensions\15
変更
はい
このディレクトリは、SharePoint 2013 のコア ファイルのインストール ディレクトリです。 アクセス制御リスト (ACL) を変更すると、機能のアクティブ化、ソリューションの導入などの機能が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
フル コントロール
はい
このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。 このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
フル コントロール
はい
このディレクトリには、SharePoint 2013 で IIS Web サイトを拡張するために使用されるファイルが格納されています。 このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
フル コントロール
なし
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 このディレクトリを変更すると、診断ログが正しく機能しなくなります。
%windir%\temp
フル コントロール
はい
このディレクトリは、SharePoint 2013 が依存するプラットフォーム コンポーネントで使用されます。 アクセス制御リストを変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。
%windir%\System32\logfiles\SharePoint
フル コントロール
なし
このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。
このレジストリ キーは SharePoint Server にのみ適用されます。
インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\15 フォルダー
フル コントロール
該当なし
この権限は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\15 フォルダーに与えられます。

WSS_WPG

WSS_WPG は、ローカル リソースに対する読み取りアクセス権を持ちます。 すべてのアプリケーション プール アカウントおよびサービス アカウントは、WSS_WPG です。 次の表に、WSS_WPG のレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office Server\15.0
読み取り
いいえ
このキーは SharePoint 2013 レジストリ設定のルートです。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Diagnostics
読み取り、書き込み
なし
このキーには、SharePoint 2013 診断ログの設定が格納されています。 このキーを変更すると、ログ機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
読み取り、書き込み
なし
このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
読み取り、書き込み
なし
このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
読み取り
なし
このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーを変更すると、コンピューター上の SharePoint 2013 インストールが機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
読み取り
はい
このキーにはセットアップ時に使用される設定が格納されています。 このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。

次の表に、WSS_WPG のファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%AllUsersProfile%\ Microsoft\SharePoint
読み取り
なし
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。 このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。
C:\Inetpub\wwwroot\wss
読み取り、実行
なし
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 SharePoint 2013 で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。
%ProgramFiles%\Microsoft Office Servers\15.0
読み取り、実行
なし
このディレクトリは、SharePoint 2013 のバイナリとデータがインストールされる場所です。 ディレクトリはインストール時に変更できます。 このディレクトリを削除、変更、またはインストール後に移動すると、SharePoint 2013 のすべての機能が失敗します。 IIS サイトで SharePoint 2013 バイナリを読み込むには、WSS_WPG の読み取り権限と実行権限が必要です。
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices
読み取り
なし
このディレクトリは、Excel、Search など、バックエンドの Web サービスがホストされるルート ディレクトリです。 このディレクトリを削除または変更すると、これらのサービスに依存する SharePoint 2013 の機能が失敗します。
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
読み取り、書き込み
あり
このディレクトリは、ランタイム診断ログが生成される場所です。 このディレクトリを削除または変更すると、ログ機能が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
読み取り
はい
このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。 このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
読み取り
はい
このディレクトリには、SharePoint 2013 で IIS Web サイトを拡張するために使用されるファイルが格納されています。 このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
変更
なし
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 このディレクトリを変更すると、診断ログが正しく機能しなくなります。
%windir%\temp
読み取り
はい
このディレクトリは、SharePoint 2013 が依存するプラットフォーム コンポーネントで使用されます。 アクセス制御リストを変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。
%windir%\System32\logfiles\SharePoint
読み取り
なし
このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。
このレジストリ キーは SharePoint Server にのみ適用されます。
%systemdrive\program files\Microsoft Office Servers\15
読み取り、実行
該当なし
この権限は、インデックス サーバー上の %systemdrive\program files\Microsoft Office Servers\15 フォルダーに与えられます。

ローカル サービス

次の表に、ローカル サービスのレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LoadBalancerSettings
読み取り
なし
このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が機能しなくなります。

次の表に、ローカル サービスのファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
読み取り、実行
なし
このディレクトリは、SharePoint 2013 のバイナリがインストールされる場所です。 このディレクトリを削除または変更すると、SharePoint 2013 のすべての機能が失敗します。

ローカル システム

次の表に、ローカル システムのレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\LauncherSettings
読み取り
なし
このキーにはドキュメント変換サービスの設定が格納されています。 このキーを変更すると、ドキュメント変換機能が機能しなくなります。
このレジストリ キーは SharePoint Server にのみ適用されます。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
フル コントロール
なし
このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーを変更すると、コンピューター上の SharePoint 2013 インストールが機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
フル コントロール
なし
このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。 このキーを変更すると、サービスの準備やその他の機能が失敗します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
フル コントロール
はい
このキーにはセットアップ時に使用される設定が格納されています。 このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。

次の表に、ローカル ファイル システムの権限を示します。

ファイル システム パス アクセス許可 継承 説明
%AllUsersProfile%\ Microsoft\SharePoint
フル コントロール
なし
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。 このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。
C:\Inetpub\wwwroot\wss
フル コントロール
なし
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 SharePoint 2013 で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
フル コントロール
はい
このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。 このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
フル コントロール
あり
このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
フル コントロール
なし
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 このディレクトリを変更すると、診断ログが正しく機能しなくなります。
%windir%\temp
フル コントロール
はい
このディレクトリは、SharePoint 2013 が依存するプラットフォーム コンポーネントで使用されます。 アクセス制御リストを変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。
%windir%\System32\logfiles\SharePoint
フル コントロール
なし
このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。
このレジストリ キーは SharePoint Server にのみ適用されます。

ネットワーク サービス

次の表に、ネットワーク サービスのレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Office Server\15.0\Search\Setup
読み取り
該当なし
該当なし

管理者

次の表に、管理者のレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure
フル コントロール
なし
このキーには、コンピューターが参加している構成データベースの接続文字列と ID が格納されています。 このキーを変更すると、コンピューター上の SharePoint 2013 インストールが機能しなくなります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
フル コントロール
なし
このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。 このキーを変更すると、サービスの準備やその他の機能が失敗します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\WSS
フル コントロール
はい
このキーにはセットアップ時に使用される設定が格納されています。 このキーを変更すると、診断ログが機能しなくなり、セットアップまたはセットアップ後の構成が失敗する場合があります。

次の表に、管理者のファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%AllUsersProfile%\ Microsoft\SharePoint
フル コントロール
なし
このディレクトリには、ファイル システムにバックアップされるファーム構成のキャッシュが格納されます。 このディレクトリを変更または削除すると、プロセスが開始されなくなり、管理作業が失敗する場合があります。
C:\Inetpub\wwwroot\wss
フル コントロール
なし
このディレクトリ (またはサーバーの Inetpub ルートの下にある対応するディレクトリ) は、IIS Web サイトの既定の場所として使用されます。 SharePoint 2013 で拡張されたすべての IIS Web サイトにカスタムの IIS Web サイト パスが提供されていない場合に、このディレクトリを変更または削除すると、SharePoint サイトが使用できなくなり、管理作業が失敗することがあります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\ADMISAPI
フル コントロール
はい
このディレクトリには、サーバーの サーバーの全体管理 の SOAP サービスが格納されています。 このディレクトリを変更すると、リモート サイトの作成やサービスで公開されているその他のメソッドが正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\CONFIG
フル コントロール
あり
このディレクトリまたはその内容を変更すると、Web アプリケーションの準備が正しく機能しなくなります。
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
フル コントロール
なし
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 このディレクトリを変更すると、診断ログが正しく機能しなくなります。
%windir%\temp
フル コントロール
はい
このディレクトリは、SharePoint 2013 が依存するプラットフォーム コンポーネントで使用されます。 ACL を変更すると、Web パーツのレンダリングやその他の逆シリアル化操作が失敗する場合があります。
%windir%\System32\logfiles\SharePoint
フル コントロール
なし
このディレクトリは、SharePoint Server の利用状況ログで使用されます。 このディレクトリを変更すると、利用状況ログが正しく機能しなくなります。
このレジストリ キーは SharePoint Server にのみ適用されます。

WSS_RESTRICTED_WPG

WSS_RESTRICTED_WPG は、暗号化されたファーム管理者の資格情報のレジストリ エントリを読み取ることができます。 WSS_RESTRICTED_WPG は、構成データベースに格納されるパスワードの暗号化と解読でのみ使用されます。 次の表に、WSS_RESTRICTED_WPG のレジストリ エントリ権限を示します。

キー名 アクセス許可 継承 説明
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\Web Server Extensions\15.0\Secure\FarmAdmin
フル コントロール
なし
このキーには、構成データベースにシークレットを保存するために使用された暗号化キーが格納されています。 このキーを変更すると、サービスの準備やその他の機能が失敗します。

ユーザー グループ

次の表に、ユーザー グループのファイル システム権限を示します。

ファイル システム パス アクセス許可 継承 説明
%ProgramFiles%\Microsoft Office Servers\15.0
読み取り、実行
なし
このディレクトリは、SharePoint 2013 のバイナリとデータがインストールされる場所です。 ディレクトリはインストール時に変更できます。 このディレクトリを削除、変更、またはインストール後に移動すると、SharePoint 2013 のすべての機能が失敗します。
%ProgramFiles%\Microsoft Office Servers\15.0\WebServices\Root
読み取り、実行
なし
このディレクトリは、バックエンドのルート Web サービスがホストされるルート ディレクトリです。 このディレクトリに最初にインストールされるのは、検索グローバル管理サービスだけです。 このディレクトリを削除または変更すると、サーバー固有のサーバーの サーバーの全体管理 [設定] ページを使用する検索管理機能の一部が機能しなくなります。
%ProgramFiles%\Microsoft Office Servers\15.0\Logs
読み取り、書き込み
あり
このディレクトリは、ランタイム診断ログが生成される場所です。 このディレクトリを削除または変更すると、ログが正しく機能しなくなります。
%ProgramFiles%\Microsoft Office Servers\15.0\Bin
読み取り、実行
なし
このディレクトリは、SharePoint 2013 のバイナリがインストールされる場所です。 このディレクトリを削除または変更すると、SharePoint 2013 のすべての機能が失敗します。

すべての SharePoint 2013 サービス アカウント

次の表に、すべての SharePoint 2013 サービス アカウントのファイル システム アクセス許可を示します。

ファイル システム パス アクセス許可 継承 説明
%COMMONPROGRAMFILES%\Microsoft Shared\Web Server Extensions\15\LOGS
変更
なし
このディレクトリには、セットアップ トレース ログとランタイム トレース ログが格納されます。 このディレクトリを変更すると、診断ログが正しく機能しなくなります。 すべての SharePoint 2013 サービス アカウントに、このディレクトリに対する書き込み権限が必要です。

関連項目

概念

SharePoint Server 2016 をインストールおよび構成する