Lors de son fonctionnement, ArcGIS Server doit démarrer et arrêter des processus, lire et écrire des données dans des emplacements du système de fichiers et communiquer entre les ordinateurs. Pour effectuer ces opérations en toute sécurité, il utilise un compte de système d’exploitation que vous spécifiez lorsque vous installez ArcGIS Server. On parlera dans cette documentation du compte ArcGIS Server.
Quand le compte ArcGIS Server est-il utilisé ?
Le compte ArcGIS Server est utilisé pour effectuer les opérations suivantes :
- Démarrer et arrêter les processus qui prennent en charge ArcGIS Server et les services.
- Lire les données SIG de vos services lorsque la base de données inscrite utilise l’authentification du système d’exploitation.
- Lire et écrire des fichiers dans les répertoires ArcGIS Server. Par exemple, lorsque vous créez un cache de carte, le compte ArcGIS Server écrit les tuiles du cache dans le répertoire de cache du serveur.
- Lire et écrire des fichiers dans le magasin de configuration.
- Lire et écrire des fichiers dans le répertoire d’installation ArcGIS Server et le répertoire temporaire du système. Par exemple, le compte écrit des fichiers journaux que vous pouvez utiliser pour dépanner le serveur.
- Lire et écrire des messages de consignation dans le répertoire des journaux.
Remarque :
Ne confondez pas le compte ArcGIS Server et celui de l’administrateur de site principal que vous définissez lorsque vous créez le site ArcGIS Server. Pour plus d’informations, reportez-vous à la rubrique Sécuriser le site ArcGIS Server.
Quel compte dois-je désigner en tant que compte ArcGIS Server ?
Par défaut, le compte ArcGIS Server prend le nom arcgis. Dans la plupart des déploiements hors production, cette valeur par défaut s’avère suffisante ; en revanche, pour les systèmes de production, Esri vous recommande de créer un compte de domaine ou Active Directory avant d’installer ArcGIS Server. Si l’expiration des mots de passe est exigée par la stratégie de sécurité de votre organisation, vous devez exécuter l’utilitaire de configuration du compte ArcGIS Server pour mettre à jour le mot de passe qui a expiré.
Vous êtes autorisé à spécifier un compte local ou un compte de domaine. Vous pouvez exporter le fichier de configuration d’installation lorsque vous installez ArcGIS Server sur la première machine de votre site et vous servir de ce fichier de configuration au moment d’installer ArcGIS Server sur les autres machines de votre site. De cette manière, vous avez la garantie que la configuration du compte ArcGIS Server est parfaitement identique sur toutes les machines de votre site.
Compte de domaine
Un compte de domaine permet d'accéder plus facilement aux données sur les systèmes distants. Un compte de domaine est également préférable pour des raisons de sécurité, car le compte est géré centralement.
Pour spécifier un compte de domaine, suivez le format DOMAINE\utilisateur. Si vous ne spécifiez pas le domaine, l’assistant d’installation ArcGIS Server crée un compte local avec le nom d’utilisateur que vous avez spécifié. Si vous spécifiez un compte de domaine qui n'existe pas, l'installation renvoie une erreur.
Si vos paramètres de connexion interdisent l’accès à la machine où est installé ArcGIS Server, une erreur se produit à l’installation. Il n’est pas nécessaire d’accorder des paramètres de stratégie de groupe Log on locally (Ouvrir une session localement) au compte ArcGIS Server. Pour plus d'informations, reportez-vous à la rubrique Considérations avancées lors de l'utilisation de comptes de domaine.
Compte local
Si vous avez choisi un compte local, ce compte et le mot de passe doivent être présents sur chaque machine du site ArcGIS Server et être identiques. Vous pouvez créer le compte local avec le même mot de passe sur chaque machine avant d’installer ArcGIS Server, ou vous pouvez laisser l’assistant d’installation ArcGIS Server créer le compte local ; veillez simplement à utiliser les mêmes nom d’utilisateur et mot de passe sur chaque machine du site.
Si vous avez créé un compte local dans le cadre de l’installation, le mot de passe que vous attribuez au compte doit respecter la stratégie de sécurité locale de votre système d’exploitation. Si le mot de passe ne respecte pas le niveau de sécurité minimal requis par votre système d'exploitation, l'installation renvoie une erreur. Consultez la documentation Microsoft correspondant à la version de Windows que vous utilisez pour savoir comment vérifier la stratégie de sécurité sur vos machines.
Compte de service contrôlé par un groupe
Un compte de service contrôlé par un groupe (gMSA) est un compte de domaine Active Directory offrant une gestion automatique des mots de passe. Le compte ne peut pas être utilisé pour les connexions interactives et ne peut s’utiliser que sur un groupe pré-défini de serveurs.
L’utilisation d’un gMSA est particulièrement avantageuse lorsqu’un compte de service régit les logiciels sur plusieurs machines, par exemple sur un site ArcGIS Server constitué de plusieurs machines. Parce que le gMSA opère au niveau du domaine, il est en mesure de changer régulièrement le mot de passe de compte de service sur chaque machine sans étapes manuelles nécessaires.
L’outil de ligne de commande ServerConfigurationUtility, qui est décrit ci-dessous, permet de configurer le service ArcGIS Server afin que celui-ci s’exécute sous un gMSA. Pour le paramètre de nom d’utilisateur, le compte de service géré par un groupe peut être spécifié avec ou sans le symbole $ à la fin. Le paramètre de mot de passe n’est pas nécessaire. Les paramètres readconfig et writeconfig opèrent de la même manière avec un compte de service contrôlé par un groupe.
Exemple de commande pour configurer un gMSA en tant que compte ArcGIS Server :
ServerConfigurationUtility.exe /username mydomain\enterprise-gmsa$ /writeconfig c:\temp\domainaccountconfig.xml
Puis-je utiliser le compte LocalSystem natif de Windows pour exécuter le service ArcGIS Server ?
Oui ; toutefois, ceci n’est pas recommandé pour les raisons suivantes :
- Le compte LocalSystem Windows dispose de privilèges élevés, ce qui a des implications en matière de sécurité. Pour en savoir plus, consultez l’article Compte LocalSystem dans le centre Développeur Microsoft.
- Le compte Système local n'a pas vocation à accéder aux emplacements réseau. Pour accéder à vos données de service et de site avec le compte LocalSystem, vous devez stocker les données localement.
- Sur un site doté de plusieurs machines, vous ne pouvez pas utiliser le compte LocalSystem comme compte ArcGIS Server.
Quelles autorisations dois-je octroyer au compte ArcGIS Server ?
Lors de l’installation de ArcGIS Server, des privilèges sont octroyés au compte ArcGIS Server. Ces privilèges permettent d’effectuer des fonctions de base, telles que le démarrage et l’arrêt des processus serveur. Des autorisations de lecture sur tous les dossiers du répertoire d’installation de ArcGIS Server sont également accordées au compte, ainsi que des autorisations de contrôle total sur les dossiers suivants :
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\XMLSchema
- <ArcGIS Server installation directory>\DatabaseSupport
Avant de créer votre site, vous devez accorder les autorisations suivantes au compte ArcGIS Server :
- Autorisations de contrôle total à l’emplacement où seront créés vos répertoires de serveur. N’oubliez pas que vous devez accorder au compte ArcGIS Server des autorisations en lecture et en écriture à tout nouveau répertoire de serveur créé après la configuration de votre site.
- Autorisations de contrôle total à l’emplacement où sera créé votre magasin de configuration.
- Autorisations de contrôle total au répertoire allant contenir les journaux ArcGIS Server et autorisation de créer ce dossier si vous ne l’avez pas fait manuellement. Ce répertoire est C:\arcgisserver\logs par défaut.
- Autorisations d’accès en lecture aux répertoires contenant les fichiers de connexion à la base de données que vous inscrivez auprès du site ArcGIS Server avant la publication de services Web. Si vous utilisez l’authentification Windows au lieu de l’authentification de la base de données, vous devez également accorder un accès en écriture au compte ArcGIS Server.
- Autorisations d’accès en lecture aux dossiers de données SIG que vous inscrivez auprès du site ArcGIS Server avant la publication de services Web. Si vous autorisez le processus de publication à copier vos données sur le serveur (reportez-vous à la rubrique Copie automatique de données sur le serveur lors de la publication), les données sont placées dans vos répertoires de serveur sur lesquels le compte ArcGIS Server s’est vu octroyer des autorisations. Vous n'êtes pas obligé d'accorder d'autres autorisations d'accès à vos répertoires de serveur d'origine.
Lorsque vous créez votre site, des autorisations en lecture et en écriture sur le répertoire des journaux ArcGIS Server sont accordées au compte ArcGIS Server. Si vous créez un nouvel emplacement pour les journaux, vous devez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur ces répertoires.
Le compte ArcGIS Server n’a pas besoin de faire partie du groupe Administrateurs Windows sur les machines de votre site.
Changer de compte ArcGIS Server
Il n’est pas nécessaire d’exécuter à nouveau l’installation de ArcGIS Server pour modifier le compte ArcGIS Server. Après l’installation, vous pouvez modifier le compte en exécutant l’utilitaire de configuration du compte ArcGIS Server, fourni avec le logiciel. Vous pouvez être amené à effectuer cette opération à la suite d'une modification de la stratégie de sécurité ou lorsque vous dépannez le serveur.
Faites appel à cet utilitaire au lieu d’essayer de modifier manuellement le compte ArcGIS Server avec les outils de votre système d’exploitation. Cet utilitaire a été conçu pour appliquer des autorisations à tous les répertoires nécessaires (comme expliqué ci-dessus), à l’exception du répertoire Python 2.7, sur toutes les machines de votre déploiement. Si vous modifiez manuellement le compte et que vous commettez une erreur, cela peut entraîner une panne et une indisponibilité du serveur.
Remarque :
L’outil de l’utilitaire de configuration du compte ArcGIS Server n’accorde pas d’autorisation pour le répertoire Python 2.7. Vous devez accorder manuellement l’autorisation sur le répertoire Python 2.7 après avoir eu recours à l’utilitaire.
Pour modifier le compte ArcGIS Server à l’aide de l’utilitaire, procédez comme suit :
- Sur une machine de votre site ArcGIS Server, ouvrez l’utilitaire de configuration du compte ArcGIS Server.
- Indiquez le nom et le mot de passe du compte que vous souhaitez désigner comme compte ArcGIS Server. Cliquez sur Next (Suivant).
- Vous pouvez éventuellement indiquer les emplacements du répertoire du serveur racine et du magasin de configuration utilisés par votre site ArcGIS Server. Par exemple
- Si votre répertoire du serveur racine et votre magasin de configuration sont accessibles via des chemins d’accès locaux avec lettres de lecteurs, et que vous spécifiez ces répertoires dans l’utilitaire, ce dernier octroie automatiquement au nouveau compte des autorisations d’accès en lecture et en écriture sur ces répertoires.
- Si votre répertoire de serveur racine et votre magasin de configuration utilisent des chemins d'accès réseau (UNC), ne renseignez pas ces champs et accordez manuellement au nouveau compte des autorisations d'accès en lecture et en écriture aux répertoires après avoir exécuté l'utilitaire.
- Vous pouvez éventuellement spécifier l’emplacement du répertoire des journaux. Si vous indiquez un emplacement, l'utilitaire accorde automatiquement au nouveau compte des autorisations en lecture et en écriture au répertoire. Si vous n’indiquez rien dans ce champ, vous devez accorder manuellement au nouveau compte des autorisations d’accès en lecture et en écriture aux répertoires sur chaque machine de votre site ArcGIS Server après avoir exécuté l’utilitaire.
Remarque :
Le répertoire des journaux n'est pas lié aux répertoires des serveurs, ni à l'emplacement du magasin de configuration. Si vous modifiez l’emplacement du répertoire des journaux, tâchez de choisir un emplacement au niveau racine de votre site ArcGIS Server. Il est impossible de désigner un répertoire réseau comme emplacement pour les journaux. Pour plus d'informations, reportez-vous à la rubrique A propos des journaux du serveur.
- Cliquez sur Next (Suivant).
- Dans la boîte de dialogue Exporter le fichier de configuration du serveur, veuillez tenir compte des points suivants :
- Si votre site ArcGIS Server comprend plusieurs machines, exportez le fichier de configuration. Cela vous évite de devoir saisir à nouveau les informations dans l'utilitaire pour les autres machines de votre site. De cette manière, vous avez la garantie que la configuration du compte ArcGIS Server est parfaitement identique sur toutes les machines de votre site. Indiquez un emplacement sécurisé pour le fichier de configuration, puis cliquez sur Suivant.
- Vous pouvez exporter et enregistrer le fichier de configuration si vous ne disposez que d’une machine sur votre site ArcGIS Server. Le cas échéant, vous pouvez enregistrer le fichier de configuration. Veillez à le stocker dans un emplacement sécurisé et cliquez sur Next (Suivant).
- Passez en revue les propriétés du compte affichées dans le volet de résumé, puis cliquez sur Configurer. Votre nouveau compte est alors configuré comme compte ArcGIS Server. Fermez l'utilitaire.
- Exécutez l'utilitaire sur chaque machine restante du site. Vous pouvez faire pointer l'utilitaire sur le fichier de configuration créé précédemment ou saisir à nouveau les informations fournies ci-dessus.
- Accordez au nouveau compte des autorisations en lecture aux répertoires de données et aux fichiers de connexion à la base de données que vous avez inscrits auprès du site ArcGIS Server. Si vous utilisez l’authentification Windows au lieu de l’authentification de la base de données, vous devez également accorder un accès en écriture aux fichiers de connexion.
Modification du compte ArcGIS Server à partir de la ligne de commande
Au lieu de l’assistant de l’utilitaire de configuration du compte ArcGIS Server, vous pouvez exécuter l’exécutable à partir d’une invite de commande. L’utilitaire de ligne de commande ServerConfigurationUtility.exe se trouve dans <ArcGIS Server installation location>\bin. Vous pouvez écrire des scripts de mise à jour du compte ArcGIS Server après avoir appliqué des mises à jour à la stratégie de sécurité de votre organisation.
Les paramètres disponibles sont les suivants :
ServerConfigurationUtility /readconfig /writeconfig /username /password /rsdir /csdir /logsdir
- /readconfig : chemin d’accès facultatif vers un fichier de configuration que vous avez enregistré lors d’une exécution précédente de l’utilitaire.
- /writeconfig : chemin d’accès facultatif dans lequel un fichier de configuration sera enregistré afin que vous puissiez appliquer les mêmes propriétés lors des exécutions futures de l’utilitaire.
- /username : nom à utiliser pour le compte ArcGIS Server.
- /password : mot de passe du compte ArcGIS Server.
- /rsdir : chemin d’accès au répertoire racine du serveur. Ce paramètre est facultatif, mais si vous ne l’indiquez pas, vous devez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur le répertoire racine du serveur.
- /csdir : répertoire du magasin de configuration. Ce paramètre est facultatif, mais si vous ne l’indiquez pas, vous devez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur le magasin de configuration.
- /logsdir : chemin d’accès au répertoire des journaux ArcGIS Server. Ce paramètre est facultatif, mais si vous ne l’indiquez pas, vous devez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur le répertoire des journaux.
Exemple : ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
Spécification des paramètres régionaux du compte ArcGIS Server
Les paramètres régionaux du compte ArcGIS Server sont définis sur les paramètres régionaux du compte Windows spécifié au cours de l’installation. Si aucun compte n'est spécifié et que le paramètre par défaut est utilisé (arcgis), les paramètres régionaux du compte sont déterminés par les paramètres de votre système d'exploitation. Les paramètres régionaux sont importants, étant donné que tous les messages générés par ArcGIS Server, tels que les journaux, sont affichés conformément aux paramètres régionaux du compte ArcGIS Server. Pour afficher les messages dans une langue ou un format différents, vous devez changer la langue d’affichage du compte ArcGIS Server pour chaque machine de votre site ArcGIS Server. Reportez-vous à la documentation Microsoft pour obtenir des instructions spécifiques à la version du système d’exploitation que vous utilisez.
Vous avez un commentaire à formuler concernant cette rubrique ?