ArcGIS Server démarre et arrête des processus, lit et écrit des données dans des emplacements du système de fichiers et communique entre les ordinateurs. Pour effectuer ces opérations en toute sécurité, il utilise un compte de système d’exploitation que vous spécifiez lorsque vous installez ArcGIS Server. On parlera dans cette documentation du compte ArcGIS Server.
Utilisation du compte ArcGIS Server
Le compte ArcGIS Server est utilisé pour effectuer les opérations suivantes :
- Démarrer et arrêter les processus qui prennent en charge ArcGIS Server et les services.
- Lire les données SIG de vos services lorsque la base de données inscrite utilise l’authentification du système d’exploitation.
- Lire et écrire des fichiers dans les répertoires ArcGIS Server. Par exemple, lorsque vous créez un cache de carte, le compte ArcGIS Server écrit les tuiles du cache dans le répertoire de cache du serveur.
- Lire et écrire des fichiers dans le magasin de configuration.
- Lire et écrire des fichiers dans le répertoire d’installation ArcGIS Server et le répertoire temporaire du système. Par exemple, le compte écrit des fichiers journaux que vous pouvez utiliser pour dépanner le serveur.
- Lire et écrire des messages de consignation dans le répertoire des journaux.
Remarque :
Ne confondez pas le compte ArcGIS Server et celui de l’administrateur de site principal que vous définissez lorsque vous créez le site ArcGIS Server. Pour plus d’informations, reportez-vous à la rubrique Sécuriser le site ArcGIS Server.
Compte à désigner comme le compte ArcGIS Server
Par défaut, le compte ArcGIS Server prend le nom arcgis. Dans la plupart des déploiements non destinés à la production, cette valeur par défaut s’avère suffisante ; en revanche, pour les systèmes de production, Esri recommande de créer un compte de domaine ou Active Directory avant d’installer ArcGIS Server. Si l’expiration des mots de passe est exigée par la stratégie de sécurité de votre organisation, vous devez exécuter l’utilitaire de configuration du compte de service pour mettre à jour le mot de passe qui a expiré.
Vous êtes autorisé à spécifier un compte local ou un compte de domaine. Vous pouvez exporter le fichier de configuration d’installation lorsque vous installez ArcGIS Server sur la première machine de votre site et vous servir de ce fichier de configuration au moment d’installer ArcGIS Server sur les autres machines de votre site. De cette manière, vous avez la garantie que la configuration du compte ArcGIS Server est identique sur toutes les machines de votre site.
Compte de domaine
Un compte de domaine vous permet d’accéder aux données sur les systèmes distants. Un compte de domaine est également préférable pour des raisons de sécurité, car le compte est géré centralement.
Pour spécifier un compte de domaine, suivez le format DOMAIN\username. Si vous ne spécifiez pas le domaine, l’assistant d’installation ArcGIS Server crée un compte local avec le nom d’utilisateur que vous avez spécifié. Si vous spécifiez un compte de domaine qui n’existe pas, l’installation renvoie une erreur.
Si vos paramètres de connexion interdisent l’accès à la machine où est installé ArcGIS Server, une erreur se produira à l’installation. Il n’est pas nécessaire d’accorder des paramètres de stratégie de groupe Log on locally (Ouvrir une session localement) au compte ArcGIS Server. Pour plus d'informations, reportez-vous à la rubrique Considérations avancées lors de l'utilisation de comptes de domaine.
Compte local
Si vous avez choisi un compte local, ce compte et le mot de passe doivent être présents sur chaque machine du site ArcGIS Server et être identiques. Vous pouvez créer le compte local avec le même mot de passe sur chaque machine avant d’installer ArcGIS Server, ou vous pouvez laisser l’assistant d’installation ArcGIS Server créer le compte local, mais veillez à utiliser les mêmes nom d’utilisateur et mot de passe sur chaque machine du site.
Si vous avez créé un compte local dans le cadre de l’installation, le mot de passe que vous attribuez au compte doit respecter la stratégie de sécurité locale de votre système d’exploitation. Si le mot de passe ne respecte pas le niveau de sécurité minimal requis par votre système d’exploitation, l’installation renvoie une erreur.
Pour déterminer les exigences de mot de passe sur votre machine locale, ouvrez la console Local Security Policy (Stratégie de sécurité locale). Consultez la documentationMicrosoft Windows pour plus d’informations sur l’accès à votre stratégie de sécurité locale.
Compte de service contrôlé par un groupe
Un compte de service contrôlé par un groupe (gMSA) est un compte de domaine Active Directory offrant une gestion automatique des mots de passe. Le compte ne peut pas être utilisé pour les connexions interactives et ne peut s’utiliser que sur un groupe pré-défini de serveurs.
L’utilisation d’un gMSA est particulièrement avantageuse lorsqu’un compte de service régit les logiciels sur plusieurs machines, par exemple sur un site ArcGIS Server constitué de plusieurs machines. Dans la mesure où le gMSA fonctionne au niveau du domaine, il est en mesure de modifier régulièrement le mot de passe du compte de service sur chaque machine, sans intervention manuelle.
L’utilitaire configureserviceaccount, qui est décrit ci-dessous, permet de configurer le service ArcGIS Server afin que celui-ci s’exécute sous un gMSA. Pour le paramètre de nom d’utilisateur, le compte de service géré par un groupe peut être spécifié avec ou sans le symbole $ à la fin. Le paramètre de mot de passe n’est pas nécessaire. Les paramètres readconfig et writeconfig opèrent de la même manière avec un compte de service contrôlé par un groupe.
Exemple de commande pour configurer un gMSA en tant que compte ArcGIS Server :
configureserviceaccount.bat --username mydomain\enterprise-gmsa$ --writeconfig c:\temp\domainaccountconfig.xmlUtilisation du compte LocalSystem natif de Windows pour exécuter le service ArcGIS Server
Il n’est pas conseillé d’utiliser le compte LocalSystem natif de Windows pour exécuter le service ArcGIS Server pour les raisons suivantes :
- Le compte LocalSystem Windows dispose de privilèges élevés, ce qui a des implications en matière de sécurité. Pour en savoir plus, consultez l’article Compte LocalSystem dans le centre Développeur Microsoft.
- Le compte LocalSystem n'a pas vocation à accéder aux emplacements réseau. Pour accéder à vos données de service et de site avec le compte LocalSystem, vous devez stocker les données localement.
- Sur un site doté de plusieurs machines, vous ne pouvez pas utiliser le compte LocalSystem comme compte ArcGIS Server.
Autorisations à accorder au compte ArcGIS Server
Lors de l’installation de ArcGIS Server, des privilèges sont octroyés au compte ArcGIS Server. Ces privilèges permettent d’effectuer des fonctions de base, telles que le démarrage et l’arrêt des processus serveur. Des autorisations de lecture sur tous les dossiers du répertoire d’installation de ArcGIS Server sont également accordées au compte, ainsi que des autorisations de contrôle total sur les dossiers suivants :
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\DatabaseSupport
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
Avant de créer votre site, vous devez accorder les autorisations suivantes au compte ArcGIS Server :
- Autorisations de contrôle total à l’emplacement où seront créés vos répertoires de serveur. N’oubliez pas que vous devez accorder au compte ArcGIS Server des autorisations en lecture et en écriture à tout nouveau répertoire de serveur créé après la configuration de votre site.
- Autorisations de contrôle total à l’emplacement où sera créé votre magasin de configuration.
- Autorisations de contrôle total au répertoire allant contenir les journaux ArcGIS Server et autorisation de créer ce dossier si vous ne l’avez pas fait manuellement. Ce répertoire est C:\arcgisserver\logs par défaut.
- Autorisations d’accès en lecture aux répertoires contenant les fichiers de connexion à la base de données que vous inscrivez auprès du site ArcGIS Server avant la publication de services Web. Si vous utilisez l’authentification Windows au lieu de l’authentification de la base de données, vous devez également accorder un accès en écriture au compte ArcGIS Server.
- Autorisations d’accès en lecture aux dossiers de données SIG que vous inscrivez auprès du site ArcGIS Server avant la publication de services Web. Si vous autorisez le processus de publication à copier vos données sur le serveur (reportez-vous à la rubrique Copie automatique de données sur le serveur lors de la publication), les données sont placées dans vos répertoires de serveur sur lesquels le compte ArcGIS Server s’est vu octroyer des autorisations. Vous n'êtes pas obligé d'accorder d'autres autorisations d'accès à vos répertoires de serveur d'origine.
Lorsque vous créez votre site, des autorisations en lecture et en écriture sur le répertoire des journaux ArcGIS Server sont accordées au compte ArcGIS Server. Si vous créez un nouvel emplacement pour les journaux, vous devez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur ces répertoires.
Le compte ArcGIS Server n’a pas besoin de faire partie du groupe Administrateurs Windows sur les machines de votre site.
Changer de compte ArcGIS Server
Il n’est pas nécessaire d’exécuter à nouveau l’installation de ArcGIS Server pour modifier le compte ArcGIS Server. Après l’installation, vous pouvez modifier le compte en exécutant l’utilitaire de configuration du compte de service, fourni avec le logiciel. Par exemple, vous pouvez être amené à effectuer cette opération à la suite d’une modification de la stratégie de sécurité ou lorsque vous dépannez le serveur.
L’utilitaire est conçu pour changer le compte RunAs alloué au service ArcGIS Server et accorder au compte les autorisations de lecture sur tous les répertoires d’installation d’ArcGIS Server, ainsi que des autorisations de contrôle total sur les dossiers suivants :
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\DatabaseSupport
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
Après l’exécution de l’utilitaire configureserviceaccount pour changer le service ArcGIS Server utilisé, servez-vous des outils du système d’exploitation pour mettre à jour les emplacements suivants utilisés par ArcGIS Server avec les autorisations suivantes :
- Autorisations de contrôle total sur tous les répertoires du serveur, le répertoire du magasin de configuration et le répertoire des fichiers journaux d’ArcGIS Server. Utilisez le répertoire d’administrateur d’ArcGIS Server Manager ou d’ArcGIS Server pour localiser ces répertoires.
- Autorisations d’accès en lecture aux répertoires contenant les fichiers de connexion à la base de données que vous inscrivez auprès du site ArcGIS Server, lors de la publication de services Web. Si vous utilisez l’authentification Windows au lieu de l’authentification de la base de données, vous devez également accorder un accès en écriture au compte ArcGIS Server.
- Autorisations d’accès en lecture aux dossiers de données SIG que vous inscrivez auprès du site ArcGIS Server avant la publication de services Web. Si vous autorisez le processus de publication à copier vos données sur le serveur, les données sont placées dans vos répertoires de serveur sur lesquels le compte ArcGIS Server s’est vu octroyer des autorisations. Vous n’êtes pas obligé d’accorder d’autres autorisations d’accès à vos répertoires de serveur d’origine.
L’utilitaire configureserviceaccount est installé dans le répertoire suivant : <ArcGIS Server installation directory>\tools\ConfigUtility. Cet outil configure le nouveau compte pour qu’il exécute le service ArcGIS Server et accorde les privilèges requis sur les emplacements des répertoires d’installation d’ArcGIS Server utilisés par le service.
Dans l’exemple suivant, l’utilitaire configureserviceaccount définit le compte de domaine pour qu’il exécute le service ArcGIS Server, accorde à ce compte les privilèges requis sur les fichiers et répertoires d’installation d’ArcGIS Server et écrit un fichier de configuration avec les informations de compte Windows sur votre disque.
Remarque :
L’utilitaire configureserviceaccount doit être exécuté à partir d’une fenêtre d’invite de commande ouverte à l’aide de l’option Exécuter en tant qu’administrateur.
configureserviceaccount.bat --username mydomain\username --password difficultpsswd --writeconfig c:\temp\domainaccountconfig.xmlRemarque :
La modification du compte sous lequel le service s’exécute entraînera le redémarrage du service.
L’utilitaire configureserviceaccount comporte les paramètres suivants :
configureserviceaccount [--username username] [--password password] [--readconfig user-configuration-file] [--writeconfig user-configuration-file]- username : nom utilisé pour le compte ArcGIS Server
- password : mot de passe utilisé pour le compte ArcGIS Server
- readconfig : chemin d’accès facultatif à un fichier de configuration que vous avez enregistré lors d’une exécution précédente de l’utilitaire
- writeconfig : chemin d’accès facultatif à l’emplacement dans lequel un fichier de configuration sera enregistré afin que vous puissiez appliquer les mêmes propriétés lors des exécutions futures de l’utilitaire
Spécification des paramètres régionaux du compte ArcGIS Server
Les paramètres régionaux du compte ArcGIS Server sont définis sur les paramètres régionaux du compte Windows spécifié au cours de l’installation. Si aucun compte n'est spécifié et que le paramètre par défaut est utilisé (arcgis), les paramètres régionaux du compte sont déterminés par les paramètres de votre système d'exploitation. Les paramètres régionaux sont importants, étant donné que tous les messages générés par ArcGIS Server, tels que les journaux, sont affichés conformément aux paramètres régionaux du compte ArcGIS Server. Pour afficher les messages dans une langue ou un format différents, vous devez changer la langue d’affichage du compte ArcGIS Server pour chaque machine de votre site ArcGIS Server. Reportez-vous à la documentation Microsoft pour obtenir des instructions spécifiques à la version du système d’exploitation que vous utilisez.
Vous avez un commentaire à formuler concernant cette rubrique ?