ArcGIS Server arranca y detiene procesos, lee y escribe datos en ubicaciones del sistema de archivos y establece comunicaciones entre equipos. Para hacer estas cosas de forma segura, se utiliza una cuenta del sistema operativo que se especifica al instalar ArcGIS Server. Esto se conoce en la documentación como cuenta de ArcGIS Server.
¿Cuándo se utiliza la cuenta de ArcGIS Server?
La cuenta de ArcGIS Server se utiliza para los fines siguientes:
- Iniciar y detener procesos que dan soporte a ArcGIS Server y a los servicios.
- Leer los datos SIG en los que se basan sus servicios si la base de datos registrada utiliza la autenticación del sistema operativo.
- Leer y escribir archivos en los directorios de ArcGIS Server Por ejemplo, al crear una caché de mapas, la cuenta de ArcGIS Server escribe las teselas de la caché en el directorio de caché del servidor.
- Leer y escribir archivos a la configuración almacenar.
- Leer y escribir archivos en la ubicación de instalación de ArcGIS Server y en el directorio temporal del sistema. Por ejemplo, la cuenta escribe archivos de registro que puede utilizar para solucionar los problemas del servidor.
- Leer y escribir mensajes de registro a los directorios de registro.
Nota:
La cuenta de ArcGIS Server no es la misma que el administrador del sitio principal que define cuando crea el sitio de ArcGIS Server. Para obtener más información, consulte Proteger su sitio de ArcGIS Server.
¿Qué cuenta se debería designar como cuenta de ArcGIS Server?
La cuenta de ArcGIS Server tiene como valor predeterminado el nombre arcgis. La aceptación de este valor predeterminado es suficiente para la mayoría de implementaciones que no son de producción; sin embargo, para los sistemas de producción, se recomienda que cree una cuenta de dominio o Active Directory antes de instalar ArcGIS Server. Si la política de seguridad de su organización exige que las contraseñas caduquen, debe ejecutar la utilidad Configurar cuenta de servicio para actualizar la contraseña caducada.
Puede especificar una cuenta local o una cuenta de dominio. Puede exportar el archivo de configuración de instalación al instalar ArcGIS Server en el primer equipo de su sitio y usar el archivo de configuración al instalar ArcGIS Server en los otros equipos de su sitio. De esta forma, se garantiza que la cuenta de ArcGIS Server esté configurada de la misma forma en todos los equipos de su sitio.
Cuenta de dominio
Una cuenta de dominio facilita el acceso a los datos de los sistemas remotos. Una cuenta de dominio también es preferible en materia de seguridad, ya que la cuenta se administra centralmente.
Cuando especifique una cuenta de dominio, utilice el formato DOMAIN\username. Si no especifica el dominio, el asistente de instalación de ArcGIS Server crea una cuenta local con el nombre de usuario que especifique. Si especifica una cuenta de dominio que no existe, la instalación devuelve un error.
Si la configuración de su inicio de sesión deniega derechos de acceso al equipo donde está instalado ArcGIS Server, se producirá un error durante la instalación. No es necesario otorgar una configuración de directiva de grupo Inicio de sesión local a la cuenta de ArcGIS Server. Para obtener más información, consulte Consideraciones avanzadas para utilizar cuentas de dominio.
Cuenta local
Si elige una cuenta local, la cuenta local y la contraseña deben existir en cada equipo del sitio de ArcGIS Server y deben ser idénticas. Puede crear la cuenta local con la misma contraseña en cada equipo antes de instalar ArcGIS Server, o bien dejar que el asistente de instalación de ArcGIS Server cree una cuenta local, pero debe asegurarse de usar el mismo nombre de usuario y contraseña en todos los equipos del sitio.
Si ha creado una cuenta local como parte de la instalación, la contraseña que especifique para la cuenta debe ajustarse a la política de seguridad local de su sistema operativo. Si la contraseña no cumple con los requisitos mínimos de seguridad del sistema operativo, la instalación devuelve un error.
Para determinar los requisitos de contraseña en su equipo local, abra la consola de la política de seguridad local. Consulte la documentación de Microsoft Windows para obtener información sobre cómo acceder a la política de seguridad local.
Cuenta de servicio administrada por un grupo
Una cuenta de servicio administrada por un grupo (gMSA) es una cuenta de dominio de Active Directory especial que ofrece una administración automática de contraseñas. No es posible utilizar la cuenta para inicios de sesión interactivos y su uso está restringido solo en grupos de servidores predefinidos.
El uso de una gMSA es especialmente ventajoso si una cuenta de servicio controla el software de varios equipos, por ejemplo, en el caso de un sitio de ArcGIS Server de varios equipos. Dado que la gMSA funciona en el nivel de dominio, puede cambiar regularmente la contraseña de la cuenta de servicio en cada equipo sin necesidad de pasos manuales.
La utilidad configureserviceaccount, que se describe a continuación, se puede utilizar para configurar el servicio ArcGIS Server para que se ejecute con una gMSA. Es posible especificar como nombre de usuario la cuenta de servicio administrada por un grupo con o sin el símbolo $ al final. No se necesita el parámetro de contraseña. Los parámetros readconfig y writeconfig funcionan igual con una cuenta de servicio administrada por un grupo.
Un comando de muestra para configurar una cuenta de servicio administrada por un grupo como la cuenta de ArcGIS Server:
configureserviceaccount.bat --username mydomain\enterprise-gmsa$ --writeconfig c:\temp\domainaccountconfig.xml¿Puedo usar la cuenta de sistema local nativa de Windows para ejecutar el servicio ArcGIS Server?
No se recomienda utilizar la cuenta del sistema local de Windows para ejecutar el servicio ArcGIS Server por los siguientes motivos:
- La cuenta LocalSystem de Windows tiene privilegios elevados, lo que tiene implicaciones para la seguridad. Para obtener más detalles, consulte la información sobre la cuenta LocalSystem en el Centro de desarrollo de Microsoft.
- La cuenta LocalSystem no está diseñada para acceder a las ubicaciones de red. Para acceder a los datos de su servicio y su sitio utilizando la cuenta LocalSystem, debe almacenar los datos localmente.
- En un sitio con varios equipos, no puede usar LocalSystem como cuenta de ArcGIS Server.
Permisos que otorgar a la cuenta ArcGIS Server
La instalación de ArcGIS Server otorga permisos a la cuenta de ArcGIS Server para realizar funciones básicas como iniciar y detener los procesos del servidor. También otorga a la cuenta permisos de lectura para todas las carpetas del directorio de instalación de ArcGIS Server y permisos de control completos para las siguientes carpetas:
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\DatabaseSupport
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
Antes de crear su sitio, debe otorgar a la cuenta de ArcGIS Server los siguientes permisos:
- Permisos completos de control sobre la ubicación donde se crearán los directorios del servidor. Tenga en cuenta que debe otorgar a la cuenta de ArcGIS Server permisos de lectura y escritura a cualquier nuevo directorio del servidor que cree después de la configuración de su sitio.
- Permisos completos de control sobre la ubicación donde se creará el almacén de configuración.
- Permisos completos de control sobre el directorio que contendrá registros de ArcGIS Server y permisos para crear esta carpeta si aún no la ha creado manualmente. Este directorio es C:\arcgisserver\logs de forma predeterminada.
- Permisos de lectura para los directorios que contengan los archivos de conexión de base de datos que debe registrar en el sitio de ArcGIS Server antes de publicar servicios web. Si utiliza la autenticación de Windows en lugar de la autenticación de la base de datos, deberá otorgar también el acceso de escritura a la cuenta de ArcGIS Server.
- Permisos de lectura a las carpetas de datos SIG que deberá registrar con el sitio de ArcGIS Server antes de publicar servicios web. Si se permite que el proceso de publicación copiar los datos en el servidor (consulte Copiar datos en el servidor automáticamente cuando publicar), los datos se colocan en los directorios del servidor en el cual la cuenta de ArcGIS Server ya se había concedido permisos. No tiene que aplicar ningún otro permiso a los directorios del servidor original.
Cuando crea el sitio, la cuenta de ArcGIS Server recibe permisos para leer y escribir en el directorio de registros de ArcGIS Server. Si crea una nueva ubicación de registro, tendrá que otorgar manualmente los permisos de lectura y escritura de la cuenta de ArcGIS Server.
La cuenta de ArcGIS Server no necesita estar en el grupo de administradores de Windows de ningún equipo del sitio.
Cambiar la cuenta de ArcGIS Server
No es necesario que vuelva a ejecutar la instalación de ArcGIS Server para cambiar la cuenta de ArcGIS Server. Después de la instalación, es posible cambiar la cuenta ejecutando la utilidad Configurar cuenta de servicio, que se incluye con el software. Puede hacer esto para responder a un cambio en la política de seguridad, o cuando intente solucionar problemas en su servidor.
La utilidad está diseñada para cambiar la cuenta RunAs asignada al servicio ArcGIS Server y otorgar a la cuenta permisos de lectura para todas las carpetas del directorio de instalación de ArcGIS Server, así como permisos de control total para las siguientes carpetas:
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\DatabaseSupport
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
Después de utilizar la utilidad configureserviceaccount para cambiar el servicio ArcGIS Server que se está utilizando, utilice las herramientas del sistema operativo para actualizar las siguientes ubicaciones utilizadas por ArcGIS Server con los siguientes permisos:
- Permisos de control total en todos los directorios de servidor, el directorio del almacén de configuraciones y el directorio de registros de ArcGIS Server. Utilice ArcGIS Server Manager o el Directorio de administrador de ArcGIS Server para ubicar estos directorios.
- Permisos de lectura para los directorios que contengan los archivos de conexión de base de datos que debe registrar en el sitio de ArcGIS Server al publicar servicios web. Si utiliza la autenticación de Windows en lugar de la autenticación de la base de datos, deberá otorgar también el acceso de escritura a la cuenta de ArcGIS Server.
- Permisos de lectura a las carpetas de datos SIG que debe registrar en el sitio de ArcGIS Server antes de publicar servicios web. Si permite que el proceso de publicación copie sus datos al servidor, dichos datos se ubicarán en los directorios de servidor en los que se han concedido permisos a la cuenta de ArcGIS Server, y no tendrá que aplicar más permisos a los directorios de servidor originales.
La utilidad configureserviceaccount se instala en el siguiente directorio: <ArcGIS Server installation directory>\tools\ConfigUtility. Esta herramienta configura la nueva cuenta para ejecutar el servicio ArcGIS Server y concede los privilegios necesarios en las ubicaciones del directorio de instalación de ArcGIS Server utilizadas por el servicio.
En el siguiente ejemplo, la utilidad configureserviceaccount configura la cuenta de dominio para ejecutar el servicio de ArcGIS Server, concede a la cuenta los privilegios necesarios en las carpetas y archivos del directorio de instalación de ArcGIS Server y escribe un archivo de configuración con la información de la cuenta de Windows en su disco.
Nota:
La utilidad configureserviceaccount debe ejecutarse desde una ventana de comando abierta con la opción Ejecutar como administrador.
configureserviceaccount.bat --username mydomain\username --password difficultpsswd --writeconfig c:\temp\domainaccountconfig.xmlNota:
Cambiar la cuenta con la que se ejecuta el servicio provocará que este se reinicie.
La utilidad configureserviceaccount tiene los siguientes parámetros:
configureserviceaccount [--username username] [--password password] [--readconfig user-configuration-file] [--writeconfig user-configuration-file]- username: el nombre utilizado para la cuenta de ArcGIS Server
- password: la contraseña utilizada para la cuenta de ArcGIS Server
- readconfig: una ruta opcional a un archivo de configuración que haya guardado de una ejecución anterior de la utilidad
- writeconfig: una ruta opcional donde se guardará un archivo de configuración que le permitirá aplicar las mismas propiedades en futuras ejecuciones de la utilidad
Especificar la configuración local de la cuenta de ArcGIS Server
La configuración regional de la cuenta de ArcGIS Server se hace coincidir con la de la cuenta de Windows especificada durante la instalación. Si no se ha especificado ninguna cuenta y se utiliza la predeterminada (arcgis), la configuración regional viene determinada por la configuración del sistema operativo. La configuración regional es importante, puesto que todos los mensajes generados por ArcGIS Server, como los registros, se muestran en el idioma de la cuenta de ArcGIS Server. Para mostrar los mensajes en un idioma o formato distinto, debe cambiar el idioma de visualización de la cuenta de ArcGIS Server en cada equipo de su sitio de ArcGIS Server. Consulte la documentación de Microsoft para obtener instrucciones específicas para la versión del sistema operativo que esté usando.