A medida que ArcGIS Server trabaja, debe iniciar y detener procesos, leer y escribir datos en ubicaciones del sistema de archivos y establecer comunicaciones entre equipos. Para hacer estas cosas de forma segura, se utiliza una cuenta del sistema operativo que se especifica al instalar ArcGIS Server Esto se conoce en la documentación como cuenta de ArcGIS Server.
¿Cuándo se utiliza la cuenta de ArcGIS Server?
La cuenta de ArcGIS Server se utiliza para los fines siguientes:
- Iniciar y detener procesos que dan soporte a ArcGIS Server y a los servicios.
- Leer los datos SIG en los que se basan sus servicios si la base de datos registrada utiliza la autenticación del sistema operativo.
- Leer y escribir archivos en los directorios de ArcGIS Server. Por ejemplo, al crear una caché de mapas, la cuenta de ArcGIS Server escribe las teselas de la caché en el directorio de caché del servidor.
- Leer y escribir archivos a la configuración almacenar.
- Leer y escribir archivos en la ubicación de instalación de ArcGIS Server y el directorio temp del sistema. Por ejemplo, la cuenta escribe los archivos de registro que se pueden usar para localizar y solucionar problemas del servidor.
- Leer y escribir mensajes de registro a los directorios de registro.
Nota:
La cuenta de ArcGIS Server no es la misma que el administrador del sitio principal que se define al crear el sitio de ArcGIS Server. Para obtener más información, consulte Proteger el sitio de ArcGIS Server.
¿Qué cuenta debería designar como cuenta de ArcGIS Server?
La cuenta de ArcGIS Server tiene como valor predeterminado el nombre arcgis. La aceptación de este valor predeterminado es suficiente para la mayoría de implementaciones que no son de producción; sin embargo, para los sistemas de producción, Esri recomienda que cree una cuenta de dominio o Active Directory antes de instalar ArcGIS Server. Si la política de seguridad de su organización requiere que las contraseñas expiren, tenga en cuenta que deberá ejecutar la utilidad de la cuenta Configurar ArcGIS Server para actualizar la extinta contraseña.
Puede especificar una cuenta local o una cuenta de dominio. Puede exportar el archivo de configuración de instalación al instalar ArcGIS Server en el primer equipo de su sitio y usar el archivo de configuración al instalar ArcGIS Server en los otros equipos de su sitio. De esta forma, se garantiza que la cuenta de ArcGIS Server esté configurada exactamente de la misma forma en todos los equipos de su sitio.
Cuenta de dominio
Una cuenta de dominio facilita el acceso a los datos de los sistemas remotos. Una cuenta de dominio también es preferible en materia de seguridad, ya que la cuenta se administra centralmente.
Cuando especifique una cuenta de dominio, utilice el formato DOMINIO ombre_usuario. Si no especifica el dominio, el asistente de instalación de ArcGIS Server crea una cuenta local con el nombre de usuario que especifique. Si especifica una cuenta de dominio que no existe, la instalación devuelve un error.
Si la configuración de su inicio de sesión deniega derechos de acceso al equipo donde está instalado ArcGIS Server, se producirá un error durante la instalación. No es necesario otorgar permiso de Inicio de sesión local a la cuenta de ArcGIS Server. Para obtener más información, consulte Consideraciones avanzadas para utilizar cuentas de dominio.
Cuenta local
Si eligió una cuenta local, la cuenta local y la contraseña deben existir en cada equipo del sitio de ArcGIS Server y deben ser idénticas. Puede crear la cuenta local con la misma contraseña en cada equipo antes de instalar ArcGIS Server, o bien dejar que el asistente de instalación de ArcGIS Server cree una cuenta local; tan solo debe asegurarse de usar el mismo nombre de usuario y contraseña en todos los equipos del sitio.
Si durante la instalación debe crear una cuenta local nueva, la contraseña que especifique para la cuenta debe ajustarse a la política de seguridad local del sistema. Si la contraseña no cumple con los requisitos mínimos de seguridad del sistema operativo, la instalación mostrará un error. Consulte la documentación de Microsoft para la versión de Windows que esté usando, para saber cómo comprobar la política de seguridad de sus equipos.
Cuenta de servicio administrada por un grupo
Una cuenta de servicio administrada por un grupo (gMSA) es una cuenta de dominio de Active Directory especial que ofrece una administración automática de contraseñas. No es posible utilizar la cuenta para inicios de sesión interactivos y su uso está restringido solo en grupos de servidores predefinidos.
El uso de una gMSA es especialmente ventajoso si una cuenta de servicio controla el software de varios equipos, por ejemplo, en el caso de un sitio de ArcGIS Server de varios equipos. Dado que la gMSA funciona en el nivel de dominio, es capaz de cambiar regularmente la contraseña de la cuenta de servicio en cada equipo sin necesidad de pasos manuales.
A partir de 10.8, la herramienta de línea de comandos ServerConfigurationUtility, descrita a continuación, se puede utilizar para configurar el servicio de ArcGIS Server para que se ejecute con una gMSA. Para el parámetro de nombre de usuario, es posible especificar la cuenta de servicio administrada por un grupo con o sin el símbolo $ al final. No se necesita el parámetro de contraseña. Los parámetros readconfig y writeconfig funcionan igual con una cuenta de servicio administrada por un grupo.
Un comando de muestra para configurar una cuenta de servicio administrada por un grupo como la cuenta de ArcGIS Server:
ServerConfigurationUtility.exe /username mydomain\enterprise-gmsa$ /writeconfig c:\temp\domainaccountconfig.xml
¿Puedo usar la cuenta de sistema local nativa de Windows para ejecutar el servicio ArcGIS Server?
Sí, pero no se recomienda hacerlo por los siguientes motivos:
- La cuenta LocalSystem de Windows tiene privilegios elevados, lo que tiene implicaciones para la seguridad. Para obtener más detalles, consulte la información sobre la cuenta LocalSystem en el Centro de desarrollo de Microsoft.
- La cuenta LocalSystem no está diseñada para acceder a las ubicaciones de red. Para acceder a su servicio y los datos del sitio, tendrá que almacenar los datos localmente.
- En un sitio con varios equipos, no puede usar LocalSystem como cuenta de ArcGIS Server.
¿Qué permisos necesito otorgar a la cuenta de ArcGIS Server?
La instalación de ArcGIS Server otorga permisos a la cuenta de ArcGIS Server para realizar funciones básicas como iniciar y detener los procesos del servidor. También otorga a la cuenta permisos de lectura para todas las carpetas del directorio de instalación de ArcGIS Server y permisos de control completos para las siguientes carpetas:
- <directorio de instalación de ArcGIS Server>\framework
- <directorio de instalación de ArcGIS Server>\usr
- <directorio de instalación de ArcGIS Server>\bin
- <directorio de instalación de ArcGIS Server>\XMLSchema
- <ArcGIS Server directorio de instalación> \DatabaseSupport
Antes de crear su sitio, debe otorgar a la cuenta de ArcGIS Server los siguientes permisos:
- Permisos completos de control sobre la ubicación donde se crearán los directorios del servidor. Tenga en cuenta que debe otorgar a la cuenta de ArcGIS Server permisos de lectura y escritura a cualquier nuevo directorio del servidor que cree después de la configuración de su sitio.
- Permisos completos de control sobre la ubicación donde se creará el almacén de configuración.
- Permisos completos de control sobre el directorio que contendrá registros de ArcGIS Server y permisos para crear esta carpeta si aún no la ha creado manualmente. Este directorio es C:\arcgisserver\logs de forma predeterminada.
- Permisos de lectura para los directorios que contengan los archivos de conexión de base de datos que deberá registrar en el sitio de ArcGIS Server antes de publicar servicios web. Si va a utilizar la autenticación de Windows en lugar de la autenticación de la base de datos, debe otorgar también a la cuenta de ArcGIS Server el acceso de escritura.
- Permisos de lectura a las carpetas de datos SIG que deberá registrar con el sitio de ArcGIS Server antes de publicar servicios web. Si se permite que el proceso de publicación copiar los datos en el servidor (consulte Copiar datos en el servidor automáticamente cuando publicar), los datos se colocan en los directorios del servidor donde la cuenta de ArcGIS Server ya se había concedido permisos. No tiene que aplicar ningún otro permiso a los directorios del servidor original.
- Permisos de control completo en la carpeta Python27. De manera predeterminada, esta carpeta se encuentra en C:\Python27 si ha instalado ArcGIS Server en la unidad C:.
Cuando crea el sitio, la cuenta de ArcGIS Server recibe permisos para leer y escribir en el directorio de registros de ArcGIS Server. Si crea una nueva ubicación de registro, tendrá que otorgar manualmente los permisos de lectura y escritura de la cuenta de ArcGIS Server.
La cuenta de ArcGIS Server no necesita estar en el grupo de Administradores de Windows de ningún equipo del sitio.
Cambiar la cuenta de ArcGIS Server
No es necesario que vuelva a ejecutar la instalación de ArcGIS Server para cambiar la cuenta de ArcGIS Server. Después de instalar, puede cambiar la cuenta ejecutando la Utilidad Configurar la cuenta de ArcGIS Server que se incluye con el software. Puede hacer esto para responder a un cambio en la política de seguridad, o cuando intenta solucionar los problemas de su servidor.
Utilice esta utilidad en lugar de intentar cambiar manualmente la cuenta de ArcGIS Server con las herramientas del sistema operativo. La utilidad se ha diseñado para aplicar los permisos a todos los directorios necesarios (como se explica con anterioridad) en todos los equipos en su implementación. Si intenta cambiar la cuenta manualmente y se equivoca, podrá experimentar errores en el servidor y tiempo de inactividad.
Para cambiar la cuenta de ArcGIS Server utilizando la utilidad, siga estos pasos:
- En un equipo de su sitio de ArcGIS Server, abra la utilidad Configurar cuenta de ArcGIS Server.
- Especifique el nombre y la contraseña de la cuenta que desea designar como la cuenta de ArcGIS Server. Haga clic en Siguiente.
- De manera opcional, especifique el directorio raíz del servidor y las ubicaciones del almacén de configuración que utiliza el sitio de ArcGIS Server. Por ejemplo:
- Si el directorio raíz del servidor y el almacén de configuración están disponibles a través de las rutas de letras de unidad locales y especifica esos directorios en la utilidad, la utilidad otorga automáticamente a la nueva cuenta permisos de lectura y escritura en los directorios.
- Si su directorio raíz del servidor y el almacén de configuración utiliza rutas UNC (UNC), deje estos campos vacíos y conceda manualmente a la nueva cuenta permisos de lectura y escritura a los directorios después de completar la utilidad.
- De manera opcional, especifique la ubicación del directorio de registros. Si introduce una ubicación, la utilidad otorga automáticamente a la nueva cuenta permisos de lectura y escritura al directorio. Si deja este campo vacío, deberá manualmente conceder permisos de lectura y escritura a la nueva cuenta los directorios en cada equipo de su sitio de ArcGIS Server después de completar la utilidad.
Nota:
El directorio de registros no está relacionado con los directorios del servidor o la ubicación del almacén de configuración. Si cambia la ubicación de los registros de directorio, intente mantener la ubicación en el nivel raíz de su sitio de ArcGIS Server. No se puede designar un directorio de red como la ubicación de registro. Para obtener más información, consulte Acerca de los registros del servidor.
- Haga clic en Siguiente.
- En el cuadro de diálogo Exportar archivo de configuración del servidor, tenga en cuenta el siguiente cuadro de diálogo:
- Si tiene varios equipos en su sitio de ArcGIS Server, exporte el archivo de configuración. Esto evita que vuelva a introducir la información en la utilidad para el resto de los equipos en su sitio. De esta forma, se garantiza que la cuenta de ArcGIS Server esté configurada exactamente de la misma forma en todos los equipos de su sitio. Especifique una ubicación segura para el archivo de configuración y haga clic en Siguiente.
- Puede exportar y guardar el archivo de configuración si solo tiene un equipo en su sitio de ArcGIS Server; opcionalmente, puede guardar el archivo de configuración. Asegúrese de almacenarlo en una ubicación segura y haga clic en Siguiente.
- En el panel de resumen, revise la cuenta propiedades y haga clic en Configurar. Su nueva cuenta está configurada como la cuenta de ArcGIS Server. Cierre la utilidad.
- Ejecute la utilidad en cada uno de los equipos restantes en su sitio. Puede indicar la utilidad para configurar el archivo que creó anteriormente, o volver a introducir la información proporcionada anteriormente.
- Otorgue a la cuenta nuevos permisos de lectura para los directorios de datos y archivos de conexión de base de datos que haya registrado con el sitio de ArcGIS Server. Si está utilizando la autenticación de Windows en lugar de la autenticación de la base de datos, debe también otorgar a la cuenta el acceso de escritura para los archivos de conexión.
Cambiar la cuenta de ArcGIS Server desde la línea de comandos
En lugar de ejecutar el asistente de la utilidad Configurar cuenta de ArcGIS Server, puede iniciar el ejecutable desde una línea de comandos. La utilidad de línea de comandos ServerConfigurationUtility.exe se instala en <ArcGIS Server installation location>\bin. Puede crear scripts de actualización de la cuenta de ArcGIS Server después de aplicar actualizaciones a la política de seguridad de la organización.
Los parámetros disponibles son los siguientes:
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig>: ruta opcional de un archivo de configuración guardado de una ejecución anterior de la utilidad.
- <writeconfig>: ruta opcional donde se guardará un archivo de configuración de forma que pueda aplicar las mismas propiedades en futuras ejecuciones de la utilidad.
- <username>: nombre de usuario de la cuenta de ArcGIS Server.
- <password>: la contraseña de la cuenta de ArcGIS Server.
- <rsdir>: ruta del directorio raíz del servidor. Este parámetro es opcional, pero si no lo proporciona deberá otorgar manualmente permisos de lectura y escritura en el directorio del servidor raíz a la cuenta de ArcGIS Server.
- <csdir>: directorio del almacén de configuración. Este parámetro es opcional, pero si no lo proporciona deberá otorgar manualmente permisos de lectura y escritura en el almacén de configuración a la cuenta de ArcGIS Server.
- <logsdir>: ruta del directorio de registros de ArcGIS Server. Este parámetro es opcional, pero si no lo proporciona deberá otorgar manualmente permisos de lectura y escritura en el directorio de registros a la cuenta de ArcGIS Server.
Ejemplo: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
Especificar la configuración local de la cuenta de ArcGIS Server
La configuración regional de la cuenta de ArcGIS Server se hace coincidir con la de la cuenta de Windows especificada durante la instalación. Si no se ha especificado ninguna cuenta y se utiliza la predeterminada (arcgis), la configuración regional viene determinada por la configuración del sistema operativo. La configuración regional es importante, puesto que todos los mensajes generados por ArcGIS Server, como los registros, se muestran en el idioma de la cuenta de ArcGIS Server. Para mostrar los mensajes en un idioma o formato distinto, deberá cambiar el idioma de visualización de la cuenta de ArcGIS Server en cada equipo de su sitio de ArcGIS Server. Consulte la documentación de Microsoft Windows para obtener instrucciones específicas para la versión del sistema operativo que esté usando.