Atualmente estou no processo de configuração de um farm do SharePoint 2010. Em meus ambientes de desenvolvimento, tenho uma conta que é administrador local, administrador de farm e executa todos os pools de aplicativos.
Para o ambiente de produção, gostaria de seguir as melhores práticas de segurança e executar os aplicativos da Web (pelo menos 2: portal principal e meus sites) com contas de domínio separadas.
Já faz algum tempo que trabalho com IIS e lembro que houve problemas com o acesso de arquivos em c:\inetpub por usuários não administradores. Por outro lado, o SharePoint define "automagicamente" a maioria das permissões de qualquer maneira.
Alguém tem alguma experiência com quais permissões preciso conceder, no mínimo, à conta de domínio para funcionar?
Responder1
Confiraeste artigo técnicopelos detalhes sangrentos. Basicamente, sua conta do pool de aplicativos é atribuída ao grupo WSS_WPG no servidor. WSS_WPG recebe então acesso a várias chaves de registro e arquivos/pastas. Há uma tabela no documento vinculado com todas as permissões reais para WSS_WPG.