ArcGIS Server startet und beendet Prozesse, liest Daten, schreibt sie an Speicherorte im Dateisystem und kommuniziert mit Computern. Für die sichere Ausführung dieser Schritte wird ein Betriebssystemkonto verwendet, das Sie bei der Installation von ArcGIS Server festlegen. Dieses wird in der Dokumentation als ArcGIS Server-Konto bezeichnet.
Einsatzbereich des ArcGIS Server-Kontos
Das ArcGIS Server-Konto wird für folgende Aufgaben verwendet:
- Prozesse, die ArcGIS Server und -Services unterstützen, starten und beenden
- im Hintergrund der Dienste die GIS-Daten lesen, wenn die registrierte Datenbank Betriebssystemauthentifizierung verwendet
- Dateien in den ArcGIS Server-Verzeichnissen lesen und schreiben. Wenn Sie einen Karten-Cache erstellen, schreibt das ArcGIS Server-Konto beispielsweise die Cache-Kacheln in das Server-Cache-Verzeichnis.
- Dateien im Konfigurationsspeicher lesen und schreiben
- Dateien am ArcGIS Server-Installationsspeicherort und im temporären Systemverzeichnis lesen und schreiben. Das Konto schreibt beispielsweise Protokolldateien, mit denen Sie Probleme des Servers behandeln können.
- Protokollmeldungen im Protokollverzeichnis lesen und schreiben
Hinweis:
Das ArcGIS Server-Konto ist nicht identisch mit dem primären Site-Administrator, den Sie beim Erstellen der ArcGIS Server-Site festlegen. Weitere Informationen hierzu finden Sie unter Sichern Ihrer ArcGIS Server-Site.
Als ArcGIS Server-Konto festzulegendes Konto
Für das ArcGIS Server-Konto wird standardmäßig der Name "arcgis" verwendet. Diese Standardeinstellung ist für die meisten nicht produktionsbezogenen Bereitstellungen ausreichend. Bei Produktionssystemen empfiehlt sich jedoch, vor der Installation von ArcGIS Server ein Domänen- oder ein Active Directory-Konto zu erstellen. Wenn die Sicherheitsrichtlinie Ihrer Organisation nur für einen bestimmten Zeitraum gültige Kennwörter erfordert, müssen Sie das Dienstprogramm "Service-Konto konfigurieren" ausführen, um das abgelaufene Kennwort zu aktualisieren.
Sie können ein lokales Konto oder ein Domänenkonto auswählen. Sie können beim Installieren von ArcGIS Server auf dem ersten Computer der Site die Setupkonfigurationsdatei exportieren und diese verwenden, wenn Sie ArcGIS Server auf den anderen Computern der Site installieren. So können Sie sicherstellen, dass das ArcGIS Server-Konto auf allen Computern der Site genau gleich konfiguriert ist.
Domänenkonto
Ein Domänenkonto ermöglicht den Zugriff auf Daten in Remote-Systemen. Ein Domänenkonto ist auch aus Sicherheitsgründen vorzuziehen, da das Konto zentral verwaltet wird.
Wenn Sie ein Domänenkonto angeben, verwenden Sie das Format DOMAIN\username. Wenn Sie keine Domäne festlegen, erstellt der ArcGIS Server-Installationsassistent ein lokales Konto mit dem von Ihnen angegebenen Benutzernamen. Wenn Sie ein Domänenkonto angeben, das nicht vorhanden ist, wird bei der Installation ein Fehler zurückgegeben.
Wenn Sie keine Anmelderechte für den Computer haben, auf dem ArcGIS Server installiert ist, wird bei der Installation eine Fehlermeldung angezeigt. Es ist nicht notwendig, dem ArcGIS Server-Konto die Gruppenrichtlinieneinstellungen Lokal anmelden zu erteilen. Weitere Informationen finden Sie unter Erweiterte Überlegungen bei der Verwendung von Domänenkonten.
Lokales Konto
Wenn Sie ein lokales Konto ausgewählt haben, muss dieses zusammen mit dem Kennwort auf jedem Computer der ArcGIS Server-Site vorhanden und identisch sein. Sie können auf jedem Computer das lokale Konto mit demselben Kennwort erstellen, bevor Sie ArcGIS Server installieren, oder das lokale Konto vom ArcGIS Server-Installationsassistenten erstellen lassen. Sie müssen jedoch sicherstellen, dass auf jedem Computer der Site der gleiche Benutzername und das gleiche Kennwort verwendet werden.
Wenn Sie im Rahmen der Installation ein lokales Konto erstellt haben, muss das Kennwort, das Sie für das Konto angeben, der lokalen Sicherheitsrichtlinie des Betriebssystems entsprechen. Wenn das Kennwort die minimale Kennwortstärke des Betriebssystems nicht erfüllt, wird bei der Installation ein Fehler zurückgegeben.
Öffnen Sie die Konsole "Lokale Sicherheitsrichtlinie", um die Kennwortrichtlinien des lokalen Computers zu ermitteln. Informationen zum Zugriff auf "Lokale Sicherheitsrichtlinie" finden Sie in der Microsoft Windows-Dokumentation.
Gruppenverwaltetes Dienstkonto
Ein gruppenverwaltetes Dienstkonto (gMSA) ist ein spezielles Active Directory-Domänenkonto, das die automatische Verwaltung von Kennwörtern ermöglicht. Das Konto kann nicht für interaktive Anmeldungen verwendet werden, und seine Verwendung ist auf vordefinierte Servergruppen beschränkt.
Die Verwendung eines gMSA ist insbesondere dann sinnvoll, wenn über ein Dienstkonto Software auf mehreren Computern gesteuert wird, beispielsweise in einer ArcGIS Server. Da das gMSA auf Domänenebene konfiguriert ist, kann damit das Dienstkonto-Kennwort für jeden Computer regelmäßig geändert werden, ohne dass manuelle Schritte erforderlich sind.
Mit dem Dienstprogramm configureserviceaccount kann der ArcGIS Server-Service für die Ausführung unter einem gMSA konfiguriert werden. Im Parameter für den Benutzernamen kann das gruppenverwaltete Dienstkonto mit oder ohne das Zeichen $ am Ende der Zeichenfolge angegeben werden. Der password-Parameter ist nicht erforderlich. Die Funktion der readconfig- und writeconfig-Parameter bleibt bei Verwendung eines gruppenverwalteten Dienstkontos unverändert.
Ein gMSA kann zum Beispiel mit folgendem Befehl als ArcGIS Server-Konto konfiguriert werden:
configureserviceaccount.bat --username mydomain\enterprise-gmsa$ --writeconfig c:\temp\domainaccountconfig.xmlAusführen des Windows-Service mit dem nativen lokalen Systemkonto von ArcGIS Server
Es empfiehlt sich aus den im Folgenden genannten Gründen nicht, zum Ausführen des ArcGIS Server-Service das native Windows-Konto zu verwenden:
- Das LocalSystem-Konto von Windows verfügt über hohe Berechtigungen, und dies hat Auswirkungen auf die Sicherheit. Weitere Informationen finden Sie unter Das LocalSystem-Konto im Microsoft Development Center.
- Das LocalSystem-Konto ist nicht für den Zugriff auf Netzwerkstandorte vorgesehen. Für den Zugriff auf den Service und die Site-Daten unter Verwendung des LocalSystem-Kontos müssen die Daten lokal gespeichert werden.
- In einer Site mit mehreren Computern kann LocalSystem nicht als ArcGIS Server-Konto verwendet werden.
Berechtigungen, die dem ArcGIS Server-Konto erteilt werden müssen
Durch die Installation von ArcGIS Server werden dem ArcGIS Server-Konto Berechtigungen zur Durchführung grundlegender Funktionen wie das Starten und Beenden von Serverprozessen erteilt. Zudem werden dem Konto Leseberechtigungen für alle Ordner im Installationsverzeichnis von ArcGIS Server sowie Berechtigungen zum Vollzugriff auf die folgenden Ordner gewährt:
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\DatabaseSupport
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
Bevor Sie die Site erstellen, müssen Sie dem ArcGIS Server-Konto folgende Berechtigungen erteilen:
- Berechtigungen zum Vollzugriff für den Speicherort, an dem die Serververzeichnisse erstellt werden. Beachten Sie, dass Sie dem ArcGIS Server-Konto Lese- und Schreibberechtigungen für jedes neue Serververzeichnis erteilen müssen, das Sie nach der Site-Konfiguration erstellen.
- Berechtigungen zum Vollzugriff für den Speicherort, an dem der Konfigurationsspeicher erstellt wird.
- Berechtigungen zum Vollzugriff für das Verzeichnis, in dem ArcGIS Server-Protokolle gespeichert werden, und Berechtigungen zum Erstellen dieses Ordners, wenn Sie diesen nicht bereits manuell erstellt haben. Dieses Verzeichnis ist standardmäßig C:\arcgisserver\logs.
- Leseberechtigungen für die Verzeichnisse, in denen sich Datenbankverbindungsdateien befinden, die Sie vor dem Veröffentlichen von Web-Services bei der ArcGIS Server-Site registrieren. Wenn Sie die Windows-Authentifizierung anstelle der Datenbankauthentifizierung verwenden, müssen Sie dem ArcGIS Server-Konto auch Schreibzugriff gewähren.
- Leseberechtigungen für die GIS-Datenordner, die Sie vor dem Veröffentlichen von Web-Services bei der ArcGIS Server-Site registrieren. Wenn Sie zulassen, dass beim Veröffentlichen die Daten auf den Server kopiert werden (siehe Automatisches Kopieren von Daten auf den Server beim Veröffentlichen), werden die Daten in den Serververzeichnissen gespeichert, für die das ArcGIS Server-Konto bereits über Berechtigungen verfügt. Den ursprünglichen Serververzeichnissen müssen keine weiteren Berechtigungen gewährt werden.
Wenn Sie die Site erstellen, werden dem ArcGIS Server-Konto Lese- und Schreibzugriff auf das ArcGIS Server-Protokollverzeichnis gewährt. Wenn Sie einen neuen Speicherort für die Protokolle erstellen, müssen Sie dem ArcGIS Server-Konto manuell Lese- und Schreibzugriff darauf erteilen.
Das ArcGIS Server-Konto muss sich auf keinem Computer der Site in der Gruppe der Windows-Administratoren befinden.
Ändern des ArcGIS Server-Kontos
Zum Ändern des ArcGIS Server-Kontos müssen Sie die Installation von ArcGIS Server nicht erneut ausführen. Nach der Installation können Sie das Konto mithilfe des Dienstprogramms "Service-Konto konfigurieren" ändern, das in der Software enthalten ist. Dies ist beispielsweise bei einer Änderung der Sicherheitsrichtlinie oder der Behebung von Problemen mit dem Server erforderlich.
Das Dienstprogramm dient dazu, das dem ArcGIS Server-Service zugewiesene Konto "Ausführen als" zu ändern und diesem Konto Leseberechtigungen für alle Ordner im ArcGIS Server-Installationsverzeichnis sowie Vollzugriffsberechtigungen für die folgenden Ordner zu erteilen:
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\DatabaseSupport
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
Nachdem Sie mit dem Dienstprogramm configureserviceaccount den verwendeten ArcGIS Server-Service geändert haben, aktualisieren Sie mit den Werkzeugen des Betriebssystems die folgenden von ArcGIS Server verwendeten Speicherorte mit den folgenden Berechtigungen:
- Vollzugriffsberechtigungen für alle Serververzeichnisse, das Konfigurationsspeicherverzeichnis und das ArcGIS Server-Protokollverzeichnis. Verwenden Sie für die Suche nach diesen Verzeichnissen ArcGIS Server Manager oder das ArcGIS Server-Administratorverzeichnis.
- Leseberechtigungen für die Verzeichnisse, in denen sich Datenbankverbindungsdateien befinden, die Sie beim Veröffentlichen von Web-Services bei der ArcGIS Server-Site registrieren. Wenn Sie die Windows-Authentifizierung anstelle der Datenbankauthentifizierung verwenden, müssen Sie dem ArcGIS Server-Konto auch Schreibzugriff gewähren.
- Leseberechtigungen für die GIS-Datenordner, die Sie vor dem Veröffentlichen von Web-Services bei der ArcGIS Server-Site registrieren. Wenn Sie zulassen, dass beim Veröffentlichen die Daten auf den Server kopiert werden, werden die Daten in den Serververzeichnissen gespeichert, für die das ArcGIS Server-Konto bereits über Berechtigungen verfügt. Sie müssen keine weiteren Berechtigungen auf Ihre ursprünglichen Serververzeichnisse anwenden.
Das Dienstprogramm configureserviceaccount wird im folgenden Verzeichnis installiert: <ArcGIS Server installation directory>\tools\ConfigUtility. Dieses Werkzeug legt das neue Konto für die Ausführung des ArcGIS Server-Service fest und richtet die erforderlichen Berechtigungen für die Speicherorte im ArcGIS Server-Installationsverzeichnis ein, das von dem Service verwendet wird.
Im folgenden Beispiel legt das Dienstprogramm configureserviceaccount das Domänenkonto für die Ausführung des ArcGIS Server-Service fest, weist dem Konto die erforderlichen Berechtigungen für die Ordner und Dateien im ArcGIS Server-Installationsverzeichnis zu und schreibt eine Konfigurationsdatei mit den Windows-Kontoinformationen auf Ihre Festplatte.
Hinweis:
Das Dienstprogramm configureserviceaccount muss über ein Eingabeaufforderungsfenster ausgeführt werden, das mit der Option "Als Administrator ausführen" geöffnet wird.
configureserviceaccount.bat --username mydomain\username --password difficultpsswd --writeconfig c:\temp\domainaccountconfig.xmlHinweis:
Durch eine Änderung des Kontos, unter dem der Service ausgeführt wird, wird ein Neustart des Service durchgeführt.
Das Dienstprogramm configureserviceaccount verfügt über die folgenden Parameter:
configureserviceaccount [--username username] [--password password] [--readconfig user-configuration-file] [--writeconfig user-configuration-file]- username: Der für das ArcGIS ServerKonto verwendete Name
- password: Das für das Konto verwendete ArcGIS Server-Kennwort
- readconfig: Ein optionaler Pfad zu einer Konfigurationsdatei, die Sie bei einer früheren Ausführung des Dienstprogramms gespeichert haben
- writeconfig: Ein optionaler Pfad, unter dem eine Konfigurationsdatei gespeichert wird, damit dieselben Eigenschaften bei zukünftigen Ausführungen des Dienstprogramms angewendet werden können
Angeben des Gebietsschemas des ArcGIS Server-Kontos
Als Gebietsschema des ArcGIS Server-Kontos ist das Gebietsschema des Windows-Kontos festgelegt, das während der Installation angegeben wurde. Wenn kein Konto angegeben wurde und der Standardwert (arcgis) verwendet wird, wird das Gebietsschema des Kontos durch Ihre Betriebssystemeinstellungen festgelegt. Das Gebietsschema ist wichtig, da alle von ArcGIS Server generierten Meldungen (z. B. Protokolle) im Gebietsschema des ArcGIS Server-Kontos angezeigt werden. Um die Meldungen in einer anderen Sprache oder einem anderen Format anzuzeigen, müssen Sie für jeden Computer der ArcGIS Server-Site die Anzeigesprache für das ArcGIS Server-Konto ändern. Spezielle Anweisungen für die von Ihnen verwendete Betriebssystemversion finden Sie in der Microsoft-Dokumentation.