ArcGIS Server がタスクを実行する際には、プロセスの開始と停止、ファイル システムでのデータの読み取りと書き込み、コンピューター間での通信が必要となります。これらの処理を安全に行うために、ArcGIS Server のインストール時に指定したオペレーティング システム アカウントが使用されます。このドキュメントでは、このアカウントのことを ArcGIS Server アカウントと呼びます。
ArcGIS Server アカウントを使用する場合
ArcGIS Server アカウントは次の目的に使用します。
- ArcGIS Server およびサービスに対応している処理の開始および停止。
- 登録済みのデータベースがオペレーティング システム認証を使用している場合は、サービスの背後にある GIS データを読み取ります。
- ArcGIS Server ディレクトリに対するファイルの読み取りおよび書き込み。たとえば、マップ キャッシュを作成すると、ArcGIS Server アカウントはキャッシュ タイルをサーバー キャッシュ ディレクトリに書き込みます。
- 構成ストアのファイルの読み書き。
- ArcGIS Server のインストール場所およびシステムの temp ディレクトリに対するファイルの読み取りおよび書き込み。たとえば、アカウントは、サーバーのトラブルシューティングに使用できるログ ファイルを書き込みます。
- ログ ディレクトリのログ メッセージの読み書き。
注意:
ArcGIS Server アカウントは、ArcGIS Server サイトの作成時に定義したプライマリ サイト管理者アカウントと同じではありません。詳細については、「ArcGIS Server サイトのセキュリティ保護」をご参照ください。
ArcGIS Server アカウントに指定するアカウント
ArcGIS Server アカウントのデフォルトは、arcgis という名前になります。実際の運用に向けた配置でなければこのデフォルトで十分ですが、実稼働システムの場合、Esri では ArcGIS Server をインストールする前にドメインまたは Active Directory アカウントを作成することをお勧めしています。組織のセキュリティ ポリシーでパスワードを有効期限切れにすることが必要な場合は、ArcGIS Server アカウントの構成ユーティリティを実行して有効期限切れのパスワードを更新する必要があることに注意してください。
ローカル アカウントまたはドメイン アカウントを指定できます。サイトの最初のコンピューターに ArcGIS Server をインストールするときにセットアップ構成ファイルをエクスポートして、サイトの他のコンピューターに ArcGIS Server をインストールするときにその構成ファイルを使用することができます。この方法により、ArcGIS Server アカウントをサイトのすべてのコンピューター上でまったく同じに構成できます。
ドメイン アカウント
ドメイン アカウントを指定すると、リモート システムのデータへのアクセスが簡単になります。ドメイン アカウントは集中管理されるため、セキュリティ上の目的からも、ドメイン アカウントを指定することをお勧めします。
ドメイン アカウントを指定するときは、DOMAIN\username という形式を使用します。ドメインを指定しない場合、ArcGIS Server インストール ウィザードは、指定したユーザー名を持つローカル アカウントを作成します。存在しないドメイン アカウントを指定した場合は、インストール中にエラーが返されます。
ログオン設定により、ArcGIS Server がインストールされているコンピューターへのログイン権限が拒否される場合は、インストール中にエラーが発生します。ArcGIS Server アカウントに [ローカル ログオン] グループ ポリシー設定を付与する必要はありません。詳細については、「ドメイン アカウントを使用する場合の詳細な注意事項」をご参照ください。
ローカル アカウント
ローカル アカウントを選択している場合は、ArcGIS Server の各コンピューター上にそのローカル アカウントとパスワードが存在し、アカウントとパスワードが一致している必要があります。ArcGIS Server をインストールする前に、各コンピューターで同じパスワードを持つローカル アカウントを作成したり、ArcGIS Server インストール ウィザードでローカル アカウントを作成したりできます。サイト内のすべてのコンピューターで同じユーザー名とパスワードを使用してください。
インストール時に新しいローカル アカウントを作成する場合、アカウントに指定するパスワードは、オペレーティング システムのローカル セキュリティ ポリシーに準拠する必要があります。パスワードがオペレーティング システムの強度の最小要件を満たしていない場合、インストール中にエラーが返されます。コンピューター上のセキュリティ ポリシーを確認する方法については、使用しているバージョンの Windows の Microsoft マニュアルをご参照ください。
グループ管理サービス アカウント
グループ管理サービス アカウント (gMSA) は、自動パスワード管理を提供する特殊な Active Directory ドメイン アカウントです。このアカウントは対話型のログインには使用できず、事前定義されたサーバーのグループのみでの使用に制限されています。
サービス アカウントが複数のコンピューター上のソフトウェアを管理する場合 (複数のコンピューターから構成される ArcGIS Server サイト内など)、gMSA の使用は特に便利です。gMSA はドメイン レベルで動作するため、手動の手順を必要とせず、各コンピューター上でサービス アカウントのパスワードを定期的に変更できます。
10.8 以降、下記の ServerConfigurationUtility コマンドライン ツールを使用して、gMSA で実行されるよう ArcGIS Server サービスを構成できます。ユーザー名パラメーターでは、末尾に $ シンボルを付ける、または付けずにグループ管理サービス アカウントを指定できます。パスワード パラメーターは不要です。readconfig パラメーターと writeconfig パラメーターはどちらも、グループ管理サービス アカウントで同様に機能します。
gMSA を ArcGIS Server アカウントとして構成するサンプル コマンドは次のとおりです。
ServerConfigurationUtility.exe /username mydomain\enterprise-gmsa$ /writeconfig c:\temp\domainaccountconfig.xml
Windows 固有のローカル システム アカウントを使用して、ArcGIS Server サービスを実行できますか?
はい。ただし、次の理由によりお勧めできません。
- Windows LocalSystem アカウントには高度な権限が与えられており、セキュリティ上の影響があります。詳細については、Microsoft Development Center の「The LocalSystem Account」をご参照ください。
- LocalSystem アカウントは、ネットワーク ロケーションにアクセスすることを意図していません。サービスおよびサイトのデータにアクセスするには、データをローカルに保存する必要があります。
- コンピューターが複数存在するサイトでは、LocalSystem を ArcGIS Server アカウントとして使用することはできません。
ArcGIS Server アカウントには、どの権限を付与する必要がありますか?
ArcGIS Server をインストールすると、ArcGIS Server アカウントには、サーバー プロセスの起動と停止など、基本的な機能を実行する権限が付与されます。このアカウントには、ArcGIS Server インストールディレクトリ内のすべてのフォルダーに対する読み取り権限、および下記のフォルダーへのフル コントロール権限も付与されます。
- <ArcGIS Server インストール ディレクトリ>\framework
- <ArcGIS Server インストール ディレクトリ>\usr
- <ArcGIS Server インストール ディレクトリ>\bin
- <ArcGIS Server インストール ディレクトリ>\XMLSchema
- <ArcGIS Server インストール ディレクトリ>\DatabaseSupport
サイトを作成する前に、ArcGIS Server アカウントに次の権限を付与する必要があります。
- サーバー ディレクトリが作成される場所に対するフル コントロール権限。サイトを構成した後、作成した新しいサーバー ディレクトリに対する読み取り/書き込み権限を ArcGIS Server アカウントに付与する必要があります。
- 構成ストアが作成される場所に対するフル コントロール権限。
- ArcGIS Server ログを含むディレクトリに対する読み取り/書き込みの権限と、フォルダーをまだ手動で作成していない場合は、このフォルダーを作成する権限。このディレクトリはデフォルトで C:\arcgisserver\logs です。
- 公開の前に ArcGIS Server サイトに登録するデータベース接続ファイルがあるディレクトリに対する読み取り権限。データベース認証の代わりに Windows 認証を使用している場合は、ArcGIS Server アカウントに書き込みアクセス権限を付与する必要もあります。
- 公開の前に ArcGIS Server サイトに登録する GIS データ フォルダーに対する読み取り権限。データをサーバーにコピーするための公開プロセス (「公開時に自動的にデータをサーバーへコピー」を参照) を許可する場合は、サイトの作成時に ArcGIS Server アカウントにすでに権限が付与されているサーバー ディレクトリにデータを置きます。元のサーバー ディレクトリに対するこれ以上の権限を適用する必要はありません。
- Python27 フォルダーに対するフル コントロール権限。ArcGIS Server を C: ドライブにインストールしている場合、デフォルトで、このフォルダーは C:\Python27 にあります。
サイトを作成すると、ArcGIS Server アカウントには、ArcGIS Server ログ ディレクトリに対する読み取り/書き込み権限が付与されます。新しいログの場所を作成した場合、それに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
ArcGIS Server アカウントを、サイト内のどのコンピューター上の Windows 管理者グループにも含める必要はありません。
ArcGIS Server アカウントの変更
ArcGIS Server アカウントを変更するために、ArcGIS Server のインストールを再実行する必要はありません。インストール後は、ソフトウェアに付属の ArcGIS Server アカウントの構成ユーティリティを実行することにより、ArcGIS Server アカウントを変更できます。変更は、セキュリティ ポリシーの変更に対応する場合や、サーバーのトラブルシューティングを行う場合に必要になることがあります。
オペレーティング システムのツールを使用して手動で ArcGIS Server アカウントを変更しないで、このユーティリティを使用します。このユーティリティは、配置内のすべてのコンピューターの、必要な (前述した) すべてのディレクトリに権限を適用するように設計されています。アカウントを手動で変更しようとして間違えると、サーバー障害やダウンタイムが発生する恐れがあります。
ユーティリティを使用して ArcGIS Server アカウントを変更するには、次の手順に従います。
- ArcGIS Server サイトの 1 台のコンピューターで、[ArcGIS Server アカウントの構成ユーティリティ] を開きます。
- アカウントを ArcGIS Server アカウントとして指定するには、名前とパスワードを指定します。[次へ] をクリックします。
- 必要に応じて、ArcGIS Server サイトで使用されるルート サーバー ディレクトリと構成ストアの場所を指定します。例:
- ローカルのドライブ文字パスを使用してルート サーバー ディレクトリと構成ストアを使用できる場合は、ユーティリティでこれらのディレクトリを指定します。ユーティリティにより、ディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。
- ルート サーバー ディレクトリと構成ストアで UNC (ネットワーク) パスを使用する場合は、これらのフィールドを空白にし、ユーティリティの完了後にディレクトリへの読み書き権限を新しいアカウントに手動により付与します。
- 必要に応じて、ログ ディレクトリの場所を指定します。場所を入力すると、ユーティリティによりそのディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。このフィールドを空白にすると、ユーティリティの完了後に ArcGIS Server サイト内のすべてのコンピューターでディレクトリに対する読み書き権限を新しいアカウントに手動で付与する必要があります。
注意:
ログ ディレクトリは、サーバー ディレクトリや構成ストアの場所とは無関係です。ログ ディレクトリの場所を変更する場合は、ArcGIS Server サイトのルート レベルで場所を指定するようにしてください。ログの場所としてネットワーク ディレクトリを指定することはできません。詳細については、「サーバー ログについて」をご参照ください。
- [次へ] をクリックします。
- [サーバー構成ファイルの出力] ダイアログ ボックスで、次の手順を実行します。
- ArcGIS Server サイト内に複数のコンピューターがある場合は、構成ファイルをエクスポートします。これにより、サイト内の残りのコンピューターについてユーティリティで情報を再入力する必要がなくなります。この方法により、ArcGIS Server アカウントをサイトのすべてのコンピューター上でまったく同じに構成できます。構成ファイルにセキュリティで保護された場所を指定し、[次へ] をクリックします。
- ArcGIS Server サイトにコンピューターが 1 台しかない場合は、構成ファイルをエクスポートして保存できます。セキュリティで保護された場所に格納し、[次へ] をクリックします。
- サマリー パネルで、アカウントのプロパティを確認し、[構成] をクリックします。ArcGIS Server アカウントとして、新しいアカウントが構成されます。ユーティリティを閉じます。
- サイト内の残りのコンピューターで個別にユーティリティを実行します。前の手順で作成した構成ファイルをユーティリティが参照するようにしたり、上記の手順で入力した情報を再入力できます。
- ArcGIS Server サイトに登録したデータ ディレクトリおよびデータベース接続ファイルに対する読み取り権限を新しいアカウントに付与します。データベース認証の代わりに Windows 認証を使用している場合は、接続ファイルに対する書き込みアクセス権も付与する必要があります。
コマンド ラインからの ArcGIS Server アカウントの変更
ArcGIS Server アカウントの構成ユーティリティ ウィザードを実行せずに、コマンド プロンプトから実行可能ファイルを実行できます。ServerConfigurationUtility.exe コマンド ライン ユーティリティは、<ArcGIS Server installation location>\bin にインストールされています。組織のセキュリティ ポリシーに更新を適用した後、ArcGIS Server アカウントへの更新スクリプトを作成できます。
使用できるパラメーターは次のとおりです。
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> - ユーティリティを前回実行したときに保存した構成ファイルへのオプションのパス。
- <writeconfig> - 今後のユーティリティの実行で同じプロパティを適用できるようにするための、構成ファイルを保存する場所へのオプションのパス。
- <username> - ArcGIS Server アカウントに使用する名前。
- <password> - ArcGIS Server アカウントのパスワード。
- <rsdir> - ルート サーバー ディレクトリのパス。このパラメーターはオプションです。ただし、これを指定しない場合は、ルート サーバー ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
- <csdir> - 構成ストアのディレクトリ。このパラメーターはオプションです。ただし、これを指定しない場合は、構成ストアに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
- <logsdir> - ArcGIS Server ログ ディレクトリへのパス。このパラメーターはオプションです。ただし、これを指定しない場合は、ログ ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
例: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
ArcGIS Server アカウントのロケールの指定
ArcGIS Server アカウントのロケールは、インストール時に指定した Windows アカウントのロケールに設定されます。アカウントを指定していないでデフォルト値 (arcgis) を使用する場合、アカウントのロケールは、使用しているオペレーティング システムの設定によって決まります。ArcGIS Server が生成するすべてのメッセージ (ログなど) が ArcGIS Server アカウントのロケールで表示されるため、このロケールは重要です。メッセージを別の言語または形式で表示するには、ArcGIS Server サイトの各コンピューターの ArcGIS Server アカウントの表示言語を変更する必要があります。使用しているオペレーティング システム バージョンに対する具体的な手順については、Microsoft のマニュアルをご参照ください。