ArcGIS Server がタスクを実行する際には、プロセスの開始と停止、ファイル システムでのデータの読み取りと書き込み、コンピューター間での通信が必要となります。これらの処理を安全に行うために、ArcGIS for Server のインストール時に指定したオペレーティング システム アカウントが使用されます。このドキュメントでは、このアカウントのことを ArcGIS Server アカウントと呼びます。
ArcGIS Server アカウントを使用する場合
ArcGIS Server アカウントは次の目的に使用します。
- GIS サーバーおよびサービスに対応している処理の開始および停止。
- サービスの背後での GIS データの読み取り。
- ArcGIS Server ディレクトリに対するファイルの読み取りおよび書き込み。たとえば、マップ キャッシュを作成すると、ArcGIS Server アカウントはキャッシュ タイルをサーバー キャッシュ ディレクトリに書き込みます。
- 構成ストアに対するファイルの読み取りおよび書き込み。たとえば、ArcGIS Server Manager で新しいクラスターを作成するときには、ArcGIS Server アカウントによって構成ストア内のファイルにクラスター構成情報が書き込まれます。
- ArcGIS Server のインストール場所およびシステムの temp ディレクトリに対するファイルの読み取りおよび書き込み。たとえば、アカウントは、サーバーのトラブルシューティングに使用できるログ ファイルを書き込みます。
- ログ ディレクトリのログ メッセージの読み書き。
注意:
ArcGIS Server アカウントは、ArcGIS Server サイトの作成時に定義したプライマリ サイト管理者アカウントと同じではありません。詳細については、「ArcGIS Server サイトのセキュリティ保護」をご参照ください。
ArcGIS Server アカウントに指定するアカウント
ArcGIS Server アカウントのデフォルトは、arcgis という名前になります。実際の運用に向けた配置でなければこのデフォルトで十分ですが、実稼働システムの場合は、ArcGIS Server をインストールする前にドメインまたは Active Directory アカウントを作成することをお勧めします。組織のセキュリティ ポリシーでパスワードを有効期限切れにすることが必要な場合は、ArcGIS Server アカウントの構成ユーティリティを実行して有効期限切れのパスワードを更新する必要があることに注意してください。
ローカル アカウントまたはドメイン アカウントを指定できます。推奨する方法は、セットアップ構成ファイルをエクスポートし、以降の ArcGIS Server のインストールで再利用することです。この方法により、ArcGIS Server アカウントはサイトのすべての GIS サーバー上でまったく同じに構成されます。
ローカル アカウントの使用
ローカル アカウントを選択している場合は、各 GIS サーバー上にそのローカル アカウントが存在し、アカウントとパスワードが一致している必要があります。GIS サーバーが複数存在するサイトでは、各 GIS サーバーで同じ ArcGIS Server アカウントを使用する必要があります。存在しないローカル アカウントを指定すると、インストール中にアカウントが自動的に作成されます。
インストール時に新しいローカル アカウントを作成する場合、アカウントに指定するパスワードは、オペレーティング システムのローカル セキュリティ ポリシーに準拠する必要があります。パスワードがオペレーティング システムの強度の最小要件を満たしていない場合、インストール中にエラーが返されます。Windows の要件を表示するには、次の操作を行います。
- コントロール パネルから [ローカル セキュリティ ポリシー] を開いて、[アカウント ポリシー] を展開します。
- [パスワードのポリシー] フォルダーを選択して、[複雑さの要件を満たす必要があるパスワード] をダブルクリックします。
- [複雑さの要件を満たす必要があるパスワードのプロパティ] ダイアログ ボックスで [説明] タブをクリックします。
ドメイン アカウントの使用
ドメイン アカウントを指定すると、リモート システムのデータへのアクセスが簡単になります。ドメイン アカウントは集中管理されるため、セキュリティ上の目的からも、多くのシナリオでドメイン アカウントを指定することをお勧めします。
ドメイン アカウントを指定するときは、DOMAIN\username という形式を使用します。ドメインを指定しない場合、同じユーザー名のローカル アカウントが作成されます。存在しないドメイン アカウントを指定した場合は、インストール中にエラーが返されます。
ログオン設定により、ArcGIS Server がインストールされているコンピューターへのログイン権限が拒否される場合は、インストール中にエラーが発生します。ArcGIS Server アカウントへの [ローカル ログオン] グループ ポリシー設定の付与は必須ではありません。詳細については、「ドメイン アカウントを使用する場合の詳細な注意事項」をご参照ください。
ArcGIS Server の以前のインストールの SOC アカウントがあります。これを ArcGIS Server アカウントとして指定できますか?
以前のバージョンの ArcGIS Server では、SOC アカウントと呼ばれるアカウントを作成し、すべてのデータ フォルダーに対する権限をそのアカウントに付与する必要がありました。SOC アカウントとその権限がすでに存在する場合、それを選択すれば、ArcGIS Server アカウントとして指定できます。そうすることで、移行中に実行する必要のある権限の再割り当て作業を減らすか、なくすことができます。
LocalSystem アカウントを、ArcGIS Server を実行するためのログオン アカウントとして使用できますか?
ArcGIS Server Windows サービスを、Windows 固有の LocalSystem アカウントで実行するように設定できないかという質問がよくあります。これは、次のようにして行えます。[Windows サービス] ダイアログ ボックスで [ArcGIS Server サービス] を右クリックし、LocalSystem でログオンするようにサービスのプロパティを設定します。この方法でサービスを設定する場合、次の点に留意してください。
- LocalSystem アカウントには、セキュリティに影響を及ぼす高度な権限が与えられているため、注意が必要です。詳細については、Microsoft Development Center の「The LocalSystem Account」をご参照ください。
- LocalSystem アカウントは、ネットワーク ロケーションにアクセスすることを意図していません。このアカウントを使用してサービスやサイトのデータにアクセスするには、そのデータをローカルな場所に保存する必要があります。
- GIS サーバーが複数存在するサイトでは、LocalSystem を ArcGIS Server アカウントとして使用しないでください。
ArcGIS Server アカウントには、どの権限を付与する必要がありますか?
ArcGIS for Server をインストールすると、ArcGIS Server アカウントには、サーバー プロセスの起動と停止など、基本的な機能を実行する権限が付与されます。このアカウントには、ArcGIS for Server インストールディレクトリ内のすべてのフォルダーに対する読み取り権限、および下記のフォルダーへのフル コントロール権限も付与されます。
- <ArcGIS for Server インストール ディレクトリ>\framework
- <ArcGIS for Server インストール ディレクトリ>\geronimo
- <ArcGIS for Server インストール ディレクトリ>\usr
- <ArcGIS for Server インストール ディレクトリ>\bin
- <ArcGIS for Server インストール ディレクトリ>\XMLSchema
- <ArcGIS for Server インストール ディレクトリ>\DatabaseSupport
サイトを作成する前に、ArcGIS Server アカウントに次の権限を付与する必要があります。
- サーバー ディレクトリが作成される場所に対する読み取り/書き込み権限。サイトを構成した後、作成した新しいサーバー ディレクトリに対する読み書き権限を ArcGIS Server アカウントに付与する必要があります。
- 構成ストアが作成される場所に対する読み書き権限。
- <ArcGIS Server installation directory>\arcgisserver\logs に対する読み取り権限と書き込み権限、および、このフォルダーをまだ手動で作成していない場合は、このフォルダーを作成する権限。
- 公開の前にサーバーに登録するデータベース接続ファイルがあるディレクトリに対する読み取り権限。データベース認証の代わりに Windows 認証を使用している場合は、アカウントに書き込みアクセス権を付与する必要もあります。
- 公開の前にサーバーに登録する GIS データ フォルダーに対する読み取り権限。データをサーバーにコピーするための公開プロセス (「公開時に自動的にデータをサーバーへコピー」を参照) を許可する場合は、サイトの作成時に ArcGIS Server アカウントにすでに権限が付与されているサーバー ディレクトリにデータを置きます。元のサーバー ディレクトリに対するこれ以上の権限を適用する必要はありません。
- Python27 フォルダーに対するフル コントロール権限。デフォルトで、このフォルダーは C:\Python27 にあります。
サイトを作成すると、ArcGIS Server アカウントには、ArcGIS Server ログ ディレクトリに対する読み取り/書き込み権限が付与されます。新しいログの場所を作成した場合、それに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
ArcGIS Server アカウントを、サイト内のどのコンピューター上の管理者グループにも含める必要はありません。
ArcGIS Server アカウントの変更
ArcGIS Server アカウントを変更するために、ArcGIS Server のインストールを再実行する必要はありません。インストール後は、ソフトウェアに付属の ArcGIS Server アカウントの構成ユーティリティを実行することにより、ArcGIS Server アカウントを変更できます。変更は、セキュリティ ポリシーの変更に対応する場合や、サーバーのトラブルシューティングを行う場合に必要になることがあります。
オペレーティング システムのツールを使用して手動で ArcGIS Server アカウントを変更しないで、このユーティリティを使用することをお勧めします。このユーティリティは、配置内のすべてのコンピューターの、必要な (前述した) すべてのディレクトリに権限を適用するように設計されています。アカウントを手動で変更しようとして間違えると、サーバー障害やダウンタイムが発生する恐れがあります。
ユーティリティを使用して ArcGIS Server アカウントを変更するには、次の手順に従います。
- サイトの GIS サーバーで、Windows の [スタート] メニューから [ArcGIS] > [ArcGIS for Server] > [ArcGIS Server アカウントの構成] の順に選択してユーティリティに移動します。
- アカウントを ArcGIS Server アカウントとして指定するには、名前とパスワードを指定します。[次へ] をクリックします。
- 必要に応じて、ArcGIS Server サイトで使用されるルート サーバー ディレクトリと構成ストアの場所を指定します。たとえば、次のような場合です。
- ローカルのドライブ文字パスを使用してルート サーバー ディレクトリと構成ストアを使用できる場合は、ユーティリティでこれらのディレクトリを指定します。ユーティリティにより、ディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。
- ルート サーバー ディレクトリと構成ストアで UNC (ネットワーク) パスを使用する場合は、これらのフィールドを空白にし、ユーティリティの完了後にディレクトリへの読み書き権限を新しいアカウントに手動により付与します。
- 必要に応じて、ログ ディレクトリの場所を指定します。場所を入力すると、ユーティリティによりそのディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。このフィールドを空白にすると、ユーティリティの完了後に配置内のすべての GIS サーバーでディレクトリに対する読み書き権限を新しいアカウントに手動で付与する必要があります。
注意:
ログ ディレクトリは、サーバー ディレクトリや構成ストアの場所とは無関係です。ログ ディレクトリの場所を変更する場合は、GIS サーバーのルート レベルで場所を指定するようにしてください。ログの場所としてネットワーク ディレクトリを指定することはできません。詳細については、「サーバー ログについて」をご参照ください。
- [次へ] をクリックします。
- [サーバー構成ファイルの出力] ダイアログ ボックスで、次の手順を実行します。
- 配置内の GIS サーバーが 1 つのみである場合は、必要に応じて構成ファイルを保存できます。セキュリティで保護された場所に格納してください。[次へ] をクリックします。
- 配置内に 複数の GIS サーバーがある場合は、構成ファイルをエクスポートします。これにより、サイト内の残りのコンピューターについてユーティリティで情報を再入力する必要がなくなります。この方法により、ArcGIS Server アカウントはサイトのすべての GIS サーバー上でまったく同じに構成されます。構成ファイルにセキュリティで保護された場所を指定し、[次へ] をクリックします。
- サマリー パネルで、アカウントのプロパティを確認し、[構成] をクリックします。ArcGIS Server アカウントとして、新しいアカウントが構成されます。ユーティリティを閉じます。
- サイト内の残りのコンピューターで個別にユーティリティを実行します。前の手順で作成した構成ファイルをユーティリティが参照するようにしたり、上記の手順で入力した情報を再入力できます。
- サーバーに登録したデータ ディレクトリおよびデータベース接続ファイルに対する読み書き権限を新しいアカウントに付与します。データベース認証の代わりに Windows 認証を使用している場合は、接続ファイルに対する書き込みアクセス権も付与する必要があります。詳細については、「ArcGIS for Desktop を使用したデータの ArcGIS Server への登録」をご参照ください。
コマンド ラインからの ArcGIS Server アカウントの変更
別の方法として、コマンド ライン ユーティリティ <ArcGIS for Server のインストール場所>\bin\ServerConfigurationUtility.exe を使用して ArcGIS Server アカウントを変更することもできます。組織のセキュリティ ポリシーに更新を適用した後は、アカウントの更新はスクリプトを記述する楽な作業になります。
使用できるパラメーターは次のとおりです。
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> - ユーティリティを前回実行したときに保存した構成ファイルへのオプションのパス。
- <writeconfig> - 今後のユーティリティの実行で同じプロパティを適用できるようにするための、構成ファイルを保存する場所へのオプションのパス。
- <username> - ArcGIS Server アカウントに使用する名前。
- <password> - ArcGIS Server アカウントのパスワード。
- <rsdir> - ルート サーバー ディレクトリのパス。このパラメーターはオプションです。ただし、これを指定しない場合は、ルート サーバー ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
- <csdir> - 構成ストアのディレクトリ。このパラメーターはオプションです。ただし、これを指定しない場合は、構成ストアに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
- <logsdir> - ArcGIS Server ログ ディレクトリへのパス。このパラメーターはオプションです。ただし、これを指定しない場合は、ログ ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
例: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
ArcGIS Server アカウントのロケールの指定
ArcGIS Server アカウントのロケールは、インストール時に指定した Windows アカウントのロケールに設定されます。アカウントを指定していないでデフォルト値 (arcgis) を使用する場合、アカウントのロケールは、使用しているオペレーティング システムの設定によって決まります。サーバーが生成するすべてのメッセージ (ログなど) が ArcGIS Server アカウントのロケールで表示されるため、このロケールは重要です。サーバーのメッセージをデフォルトの言語または形式で表示するには、以下の手順を実行する必要があります。
- ArcGIS Server をホストしているコンピューターに、ArcGIS Server アカウントを使用してログインします。
- [コントロール パネル] を開き、[地域と言語] を選択します。
- [フォーマット] タブをクリックし、[フォーマット] ドロップダウン リストで目的の国を選択します。
- [キーボードと言語] タブをクリックして、[表示言語] を目的の言語に変更します。
- [管理] をタブをクリックし、[システム ロケールの変更] ボタンをクリックして、目的のシステム ロケールを選択します。
- [OK] をクリックします。