Lors de son fonctionnement, ArcGIS Server doit démarrer et arrêter des processus, lire et écrire des données dans des emplacements du système de fichiers et communiquer entre les ordinateurs. Pour effectuer ces opérations en toute sécurité, il utilise un compte de système d'exploitation que vous spécifiez lorsque vous installez ArcGIS Server. On parlera dans cette documentation du compte ArcGIS Server.
Quand le compte ArcGIS Server est-il utilisé ?
Le compte ArcGIS Server est utilisé pour effectuer les opérations suivantes :
- Démarrer et arrêter les processus qui prennent en charge ArcGIS Server et les services.
- Lire les données SIG de vos services lorsque la base de données inscrite utilise l’authentification du système d’exploitation.
- Lire et écrire des fichiers dans les répertoires d'ArcGIS Server. Par exemple, lorsque vous créez un cache de carte, le compte ArcGIS Server écrit les tuiles du cache dans le répertoire de cache du serveur.
- Lire et écrire des fichiers dans le magasin de configuration.
- Lire et écrire des fichiers dans le répertoire d'installation d'ArcGIS Server et le répertoire temporaire du système. Par exemple, le compte écrit des fichiers journaux que vous pouvez utiliser pour dépanner le serveur.
- Lire et écrire des messages de consignation dans le répertoire des journaux.
Remarque :
Ne confondez pas le compte ArcGIS Server et celui de l'administrateur de site principal que vous définissez lorsque vous créez le site ArcGIS Server. Pour plus d'informations, reportez-vous à la rubrique Sécurisation de votre site ArcGIS Server.
Quel compte dois-je désigner comme compte ArcGIS Server ?
Par défaut, le compte ArcGIS Server prend le nom arcgis. Dans la plupart des déploiements non destinés à la production, cette valeur par défaut s’avère suffisante ; cependant, pour les systèmes de production, Esri recommande de créer un compte de domaine ou Active Directory avant d’installer ArcGIS Server. Si l’expiration des mots de passe est exigée par la stratégie de sécurité de votre organisation, notez que vous devrez exécuter l’utilitaire Configure ArcGIS Server Account (Configurer le compte ArcGIS Server) pour mettre à jour le mot de passe qui a expiré.
Vous êtes autorisé à spécifier un compte local ou un compte de domaine. Vous pouvez exporter le fichier de configuration d’installation lorsque vous installez ArcGIS Server sur la première machine de votre site et utiliser le fichier de configuration lorsque vous installez ArcGIS Server sur les autres machines de votre site. De cette manière, vous avez la garantie que la configuration du compte ArcGIS Server est parfaitement identique sur toutes les machines de votre site.
Compte de domaine
Un compte de domaine permet d'accéder plus facilement aux données sur les systèmes distants. Un compte de domaine est également préférable pour des raisons de sécurité, car le compte est géré centralement.
Pour spécifier un compte de domaine, suivez le format DOMAINE\utilisateur. Si vous ne spécifiez pas le domaine, l’assistant d’installation d’ArcGIS Server crée un compte local avec le nom d'utilisateur que vous avez spécifié. Si vous spécifiez un compte de domaine qui n'existe pas, l'installation renvoie une erreur.
Si vos paramètres de connexion interdisent l’accès à la machine où est installé ArcGIS Server, une erreur se produira à l’installation. Il n’est pas nécessaire d’accorder des paramètres de stratégie de groupe Log on locally (Ouvrir une session localement) au compte ArcGIS Server. Pour plus d'informations, reportez-vous à la rubrique Considérations avancées lors de l'utilisation de comptes de domaine.
Compte local
Si vous avez choisi un compte local, ce compte et le mot de passe doivent exister sur chaque machine du site ArcGIS Server et être identiques. Vous pouvez créer le compte local avec le même mot de passe sur chaque machine avant d’installer ArcGIS Server, ou vous pouvez laisser l’assistant d’installation d'ArcGIS Server créer le compte local ; assurez-vous simplement d'utiliser les mêmes nom d'utilisateur et mot de passe sur chaque machine du site.
Si vous créez un compte local dans le cadre de l'installation, le mot de passe que vous attribuez au compte doit respecter la stratégie de sécurité locale de votre système d'exploitation. Si le mot de passe ne respecte pas le niveau de sécurité minimal requis par votre système d'exploitation, l'installation renvoie une erreur. Consultez la documentation Microsoft correspondant à la version de Windows que vous utilisez pour savoir comment vérifier la stratégie de sécurité sur vos machines.
Compte de service contrôlé par un groupe
Les comptes de service contrôlés par un groupe (gMSA) simplifient la modification automatique et régulière des mots de passe du compte de service. L’utilisation d’un gMSA s’avère particulièrement intéressante lorsqu’un compte de service régit des logiciels sur plusieurs machines, par exemple sur un site ArcGIS Server à plusieurs machines. Dans la mesure où le gMSA fonctionne au niveau du domaine, il est en mesure de modifier régulièrement le mot de passe du compte de service sur chaque machine, sans intervention manuelle.
ArcGIS Server peut être configuré de façon à utiliser un gMSA pour son compte de service, mais cette opération doit être effectuée après l’installation. Reportez-vous à cette base de connaissances pour obtenir les étapes à suivre.
Puis-je utiliser le compte Système local natif de Windows pour exécuter le service ArcGIS Server ?
Oui ; toutefois, ceci n’est pas recommandé pour les raisons suivantes :
- Le compte Système local dispose de privilèges élevés, ce qui a des implications en matière de sécurité. Pour en savoir plus, consultez l'article sur le compte Système local dans le centre de développement de Microsoft.
- Le compte Système local n'a pas vocation à accéder aux emplacements réseau. Pour accéder à vos données de service et de site, vous devrez stocker les données localement.
- Sur un site doté de plusieurs machines, vous ne pouvez pas utiliser le compte Système local comme compte ArcGIS Server.
Quels privilèges dois-je octroyer au compte ArcGIS Server ?
Lors de l’installation d’ArcGIS Server, des privilèges sont octroyés au compte ArcGIS Server. Ces privilèges permettent d’effectuer des fonctions de base, telles que le démarrage et l’arrêt des processus serveur. Des autorisations de lecture sur tous les dossiers du répertoire d'installation d'ArcGIS Server sont également accordées au compte, ainsi que des autorisations de contrôle total sur les dossiers suivants :
- <répertoire d'installation d'ArcGIS Server>\framework
- <répertoire d'installation d'ArcGIS Server>\geronimo
- <répertoire d'installation d'ArcGIS Server>\usr
- <répertoire d'installation d'ArcGIS Server>\bin
- <répertoire d'installation d'ArcGIS Server>\XMLSchema
- <ArcGIS Server installation directory> \DatabaseSupport
Avant de créer votre site, vous devez accorder les autorisations suivantes au compte ArcGIS Server :
- Autorisations d'accès en lecture et en écriture à l'emplacement où seront créés vos répertoires de serveur. N’oubliez pas que vous devez accorder au compte ArcGIS Server des autorisations en lecture et en écriture à tout nouveau répertoire de serveur créé après la configuration de votre site.
- Autorisations d'accès en lecture et en écriture à l'emplacement où sera créé votre magasin de configuration.
- Autorisations d'accès en lecture et en écriture à l'emplacement <ArcGIS Server installation directory>\arcgisserver\logs et autorisation de créer ce dossier si vous ne l'avez pas déjà fait manuellement.
- Autorisations en lecture aux répertoires contenant les fichiers de connexion à la base de données que vous inscrivez auprès du site ArcGIS Server avant la publication de services web. Si vous comptez utiliser l’authentification Windows au lieu de l’authentification de la base de données, vous devez également accorder un accès en écriture au compte ArcGIS Server.
- Autorisations en lecture aux dossiers de données SIG que vous inscrivez auprès du site ArcGIS Server avant la publication de services web. Si vous autorisez le processus de publication à copier vos données sur le serveur (reportez-vous à la rubrique Copie automatique de données sur le serveur lors de la publication), les données sont placées dans vos répertoires de serveur sur lesquels le compte ArcGIS Server s’est vu octroyer des autorisations. Vous n'êtes pas obligé d'accorder d'autres autorisations d'accès à vos répertoires de serveur d'origine.
- Autorisations de contrôle total sur le dossier Python27. Par défaut, ce dossier se trouve sur C:\Python27.
Lorsque vous créez votre site, des autorisations en lecture et en écriture sur le répertoire des journaux d'ArcGIS Server sont accordées au compte ArcGIS Server. Si vous créez un nouvel emplacement pour les journaux, vous devez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur ces répertoires.
Le compte ArcGIS Server n’a pas besoin de faire partie du groupe Administrateurs de Windows sur les machines de votre site.
Modification du compte ArcGIS Server
Il n’est pas nécessaire d’exécuter à nouveau l’installation d’ArcGIS Server pour modifier le compte ArcGIS Server. Après l’installation, vous pouvez modifier le compte en exécutant l’utilitaire Configure ArcGIS Server Account (Configurer le compte ArcGIS Server), fourni avec le logiciel. Vous pouvez être amené à effectuer cette opération à la suite d'une modification de la stratégie de sécurité ou lorsque vous dépannez le serveur.
Faites appel à cet utilitaire au lieu d’essayer de modifier manuellement le compte ArcGIS Server avec les outils de votre système d’exploitation. Cet utilitaire a été conçu pour appliquer des autorisations à tous les répertoires nécessaires (comme expliqué ci-dessus) sur toutes les machines de votre déploiement. Si vous tentez de modifier manuellement le compte et que vous commettez une erreur, cela peut entraîner une panne et une indisponibilité du serveur.
Pour modifier le compte ArcGIS Server à l’aide de l’utilitaire, procédez comme suit :
- Sur une machine de votre site ArcGIS Server, ouvrez l’utilitaire Configure ArcGIS Server Account (Configurer le compte ArcGIS Server).
- Indiquez le nom d’utilisateur et le mot de passe du compte que vous souhaitez désigner comme compte ArcGIS Server. Cliquez sur Suivant.
- Vous pouvez éventuellement indiquer les emplacements du répertoire du serveur racine et du magasin de configuration utilisés par votre site ArcGIS Server. Par exemple
- Si votre répertoire du serveur racine et votre magasin de configuration sont accessibles via des chemins d’accès locaux avec lettres de lecteurs, et que vous spécifiez ces répertoires dans l’utilitaire, ce dernier octroie automatiquement au nouveau compte des autorisations d’accès en lecture et en écriture sur ces répertoires.
- Si votre répertoire de serveur racine et votre magasin de configuration utilisent des chemins d'accès réseau (UNC), ne renseignez pas ces champs et accordez manuellement au nouveau compte des autorisations d'accès en lecture et en écriture aux répertoires après avoir exécuté l'utilitaire.
- Vous pouvez éventuellement spécifier l'emplacement du répertoire des journaux. Si vous indiquez un emplacement, l'utilitaire accorde automatiquement au nouveau compte des autorisations en lecture et en écriture au répertoire. Si vous n’indiquez rien dans ce champ, vous devez accorder manuellement au nouveau compte des autorisations d’accès en lecture et en écriture aux répertoires sur chaque machine de votre site ArcGIS Server après avoir exécuté l’utilitaire.
Remarque :
Le répertoire des journaux n'est pas lié aux répertoires des serveurs, ni à l'emplacement du magasin de configuration. Si vous modifiez l’emplacement du répertoire des journaux, tâchez de choisir un emplacement au niveau racine de votre site ArcGIS Server. Il est impossible de désigner un répertoire réseau comme emplacement pour les journaux. Pour plus d'informations, reportez-vous à la rubrique A propos des journaux du serveur.
- Cliquez sur Next (Suivant).
- Dans la boîte de dialogue Exporter le fichier de configuration du serveur, veuillez tenir compte des points suivants :
- Si votre site ArcGIS Server comprend plusieurs machines, exportez le fichier de configuration. Cela vous évite de devoir saisir à nouveau les informations dans l'utilitaire pour les autres machines de votre site. De cette manière, vous avez la garantie que la configuration du compte ArcGIS Server est parfaitement identique sur toutes les machines de votre site. Indiquez un emplacement sécurisé pour le fichier de configuration, puis cliquez sur Suivant.
- Vous pouvez exporter et enregistrer le fichier de configuration si vous ne disposez que d’une machine sur votre site ArcGIS Server ; le cas échéant, vous pouvez enregistrer le fichier de configuration. Veillez à le stocker dans un emplacement sécurisé et cliquez sur Next (Suivant).
- Passez en revue les propriétés du compte affichées dans le volet de résumé, puis cliquez sur Configurer. Votre nouveau compte est alors configuré comme compte ArcGIS Server. Fermez l'utilitaire.
- Exécutez l'utilitaire sur chaque machine restante du site. Vous pouvez faire pointer l'utilitaire sur le fichier de configuration créé précédemment ou saisir à nouveau les informations fournies ci-dessus.
- Accordez au nouveau compte des autorisations en lecture aux répertoires de données et aux fichiers de connexion à la base de données que vous avez inscrits auprès du site ArcGIS Server. Si vous utilisez l’authentification Windows au lieu de l’authentification de la base de données, vous devez également accorder un accès en écriture aux fichiers de connexion.
Modification du compte ArcGIS Server à partir de la ligne de commande
Au lieu de l’assistant de l’utilitaire Configure ArcGIS Server Account (Configurer le compte ArcGIS Server), vous pouvez exécuter l’exécutable à partir d’une invite de commande. L’utilitaire de ligne de commande ServerConfigurationUtility.exe se trouve dans <ArcGIS Server installation location>\bin. Vous pouvez écrire des scripts de mise à jour du compte ArcGIS Server après avoir appliqué des mises à jour à la stratégie de sécurité de votre organisation.
Les paramètres disponibles sont les suivants :
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> : chemin d'accès facultatif vers un fichier de configuration que vous avez enregistré lors d'une exécution précédente de l'utilitaire.
- <writeconfig> : chemin d'accès facultatif dans lequel un fichier de configuration sera enregistré afin que vous puissiez appliquer les mêmes propriétés lors des exécutions futures de l'utilitaire.
- <username> : nom à utiliser pour le compte ArcGIS Server.
- <password> : le mot de passe du compte ArcGIS Server.
- <rsdir> : chemin d'accès au répertoire racine du serveur. Ce paramètre est facultatif, mais si vous ne l’indiquez pas, vous devrez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur le répertoire racine du serveur.
- <csdir> : répertoire du magasin de configuration. Ce paramètre est facultatif, mais si vous ne l’indiquez pas, vous devrez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur le magasin de configuration.
- <logsdir> : chemin d’accès au répertoire des journaux d'ArcGIS Server. Ce paramètre est facultatif, mais si vous ne l’indiquez pas, vous devrez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur le répertoire des journaux.
Exemple : ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
Spécification des paramètres régionaux du compte ArcGIS Server
Les paramètres régionaux du compte ArcGIS Server sont définis sur les paramètres régionaux du compte Windows spécifié au cours de l’installation. Si aucun compte n'est spécifié et que le paramètre par défaut est utilisé (arcgis), les paramètres régionaux du compte sont déterminés par les paramètres de votre système d'exploitation. Les paramètres régionaux sont importants, étant donné que tous les messages générés par ArcGIS Server, tels que les journaux, sont affichés conformément aux paramètres régionaux du compte ArcGIS Server. Pour afficher les messages dans une langue ou un format différents, vous devez changer la langue d’affichage du compte ArcGIS Server pour chaque machine de votre site ArcGIS Server. Reportez-vous à la documentation Microsoft pour obtenir des instructions spécifiques à la version du système d’exploitation que vous utilisez.
Vous avez un commentaire à formuler concernant cette rubrique ?