ArcGIS Server は、プロセスの開始と停止、ファイル システムでのデータの読み取りと書き込み、コンピューター間での通信を行います。 これらの処理を安全に行うために、ArcGIS Server のインストール時に指定したオペレーティング システム アカウントが使用されます。 このドキュメントでは、このアカウントのことを ArcGIS Server アカウントと呼びます。
ArcGIS Server アカウントを使用する場合
ArcGIS Server アカウントは次の目的に使用します。
- ArcGIS Server およびサービスに対応している処理の開始および停止。
- 登録済みのデータベースがオペレーティング システム認証を使用している場合は、サービスの背後にある GIS データを読み取ります。
- ArcGIS Server ディレクトリに対するファイルの読み取りおよび書き込み。 たとえば、マップ キャッシュを作成すると、ArcGIS Server アカウントはキャッシュ タイルをサーバー キャッシュ ディレクトリに書き込みます。
- 構成ストアのファイルの読み書き。
- ArcGIS Server のインストール場所およびシステムの temp ディレクトリに対するファイルの読み取りおよび書き込み。 たとえば、アカウントは、サーバーのトラブルシューティングに使用できるログ ファイルを書き込みます。
- ログ ディレクトリのログ メッセージの読み書き。
注意:
ArcGIS Server アカウントは、ArcGIS Server サイトを作成するときに定義するプライマリ サイト管理者と同じではありません。 詳細については、「ArcGIS Server サイトのセキュリティ保護」をご参照ください。
ArcGIS Server アカウントに指定するアカウント
ArcGIS Server アカウントの名前はデフォルトで arcgis に設定されます。 実際の運用に向けた配置でなければこのデフォルトで十分ですが、実稼働システムの場合は、ArcGIS Server をインストールする前にドメインまたは Active Directory アカウントを作成することをお勧めします。 組織のセキュリティ ポリシーでパスワードを有効期限切れにすることが必要な場合は、ArcGIS Server アカウントの構成ユーティリティを実行して有効期限切れのパスワードを更新する必要があります。
ローカル アカウントまたはドメイン アカウントを指定できます。 サイトの最初のコンピューターに ArcGIS Server をインストールするときにセットアップ構成ファイルをエクスポートして、サイトの他のコンピューターに ArcGIS Server をインストールするときにその構成ファイルを使用することができます。 この方法により、ArcGIS Server アカウントをサイトのすべてのコンピューター上で同じ構成にできます。
ドメイン アカウント
ドメイン アカウントを指定すると、リモート システムのデータへのアクセスが可能になります。 ドメイン アカウントは集中管理されるため、セキュリティ上の目的からも、ドメイン アカウントを指定することをお勧めします。
ドメイン アカウントを指定するときは、DOMAIN\username という形式を使用します。 ドメインを指定しない場合、ArcGIS Server インストール ウィザードは、指定したユーザー名を持つローカル アカウントを作成します。 存在しないドメイン アカウントを指定した場合は、インストール中にエラーが返されます。
ログイン設定により、ArcGIS Server がインストールされているコンピューターへのログイン権限が拒否される場合は、インストール中にエラーが発生します。 ArcGIS Server アカウントに [ローカル ログオン] グループ ポリシー設定を付与する必要はありません。 詳細については、「ドメイン アカウントを使用する場合の詳細な注意事項」をご参照ください。
ローカル アカウント
ローカル アカウントを選択している場合は、ArcGIS Server サイトの各コンピューター上にそのローカル アカウントとパスワードが存在し、アカウントとパスワードが一致している必要があります。 ArcGIS Server をインストールする前に、各コンピューターで同じパスワードを持つローカル アカウントを作成したり、ArcGIS Server インストール ウィザードでローカル アカウントを作成したりできます。ただし、サイト内のすべてのコンピューターで同じユーザー名とパスワードを使用してください。
インストール時にローカル アカウントを作成した場合、アカウントに指定するパスワードは、オペレーティング システムのローカル セキュリティ ポリシーに準拠する必要があります。 パスワードがオペレーティング システムの強度の最小要件を満たしていない場合、インストール中にエラーが返されます。
ローカル コンピューター上でパスワード要件を確認するには、ローカル セキュリティ ポリシー コンソールを開きます。 ローカル セキュリティ ポリシーへのアクセス方法の詳細については、Microsoft Windows のドキュメントをご参照ください。
グループ管理サービス アカウント
グループ管理サービス アカウント (gMSA) は、自動的なパスワード管理を提供する特殊な Active Directory ドメイン アカウントです。 このアカウントは、対話的ログオンには使用できず、事前に定義されたサービスのグループでの使用のみに制限されます。
サービス アカウントが複数のコンピューター上のソフトウェアを管理する場合 (複数のコンピューターから構成される ArcGIS Server サイト内など)、gMSA の使用は特に便利です。 gMSA はドメイン レベルで動作するため、手動の手順を必要とせず、各コンピューター上でサービス アカウントのパスワードを定期的に変更できます。
下記の ServerConfigurationUtility コマンドライン ツールを使用して、gMSA で実行されるよう ArcGIS Server サービスを構成できます。 ユーザー名パラメーターでは、末尾に $ シンボルを付ける、または付けずにグループ管理サービス アカウントを指定できます。 パスワード パラメーターは不要です。 readconfig パラメーターと writeconfig パラメーターはどちらも、グループ管理サービス アカウントで同様に機能します。
gMSA を ArcGIS Server アカウントとして構成するサンプル コマンドは次のとおりです。
ServerConfigurationUtility.exe /username mydomain\enterprise-gmsa$ /writeconfig c:\temp\domainaccountconfig.xml
Windows 固有のローカル システム アカウントを使用して、ArcGIS Server サービスを実行する
Windows 固有のローカル システム アカウントを使用して ArcGIS Server サービスを実行するのは、次の理由からお勧めできません。
- Windows LocalSystem アカウントには高度な権限が与えられており、セキュリティ上の影響があります。 詳細については、Microsoft Development Center の「The LocalSystem Account」をご参照ください。
- LocalSystem アカウントは、ネットワーク ロケーションにアクセスすることを意図していません。 LocalSystem アカウントを使用してサービスおよびサイトのデータにアクセスするには、データをローカルに保存する必要があります。
- コンピューターが複数存在するサイトでは、LocalSystem を ArcGIS Server アカウントとして使用することはできません。
ArcGIS Server アカウントに付与する権限
ArcGIS Server をインストールすると、ArcGIS Server アカウントには、サーバー プロセスの起動と停止など、基本的な機能を実行する権限が付与されます。 このアカウントには、ArcGIS Server インストール ディレクトリ内のすべてのフォルダーに対する読み取り権限、および下記のフォルダーへのフル コントロール権限も付与されます。
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\DatabaseSupport
サイトを作成する前に、ArcGIS Server アカウントに次の権限を付与する必要があります。
- サーバー ディレクトリが作成される場所に対するフル コントロール権限。 サイトを構成した後、作成した新しいサーバー ディレクトリに対する読み取り/書き込み権限を ArcGIS Server アカウントに付与する必要があります。
- 構成ストアが作成される場所に対するフル コントロール権限。
- ArcGIS Server ログを含むディレクトリに対する読み取り/書き込みの権限と、フォルダーをまだ手動で作成していない場合は、このフォルダーを作成する権限。 このディレクトリはデフォルトで C:\arcgisserver\logs です。
- Web サービスの公開前に ArcGIS Server サイトに登録するデータベース接続ファイルがあるディレクトリに対する読み取り権限。 データベース認証の代わりに Windows 認証を使用している場合は、ArcGIS Server アカウントに書き込みアクセス権を付与する必要もあります。
- Web サービスの公開前に ArcGIS Server サイトに登録する GIS データ フォルダーに対する読み取り権限。 データをサーバーにコピーするための公開プロセス (「公開時に自動的にデータをサーバーへコピー」を参照) を許可する場合は、サイトの作成時に ArcGIS Server アカウントにすでに権限が付与されているサーバー ディレクトリにデータを置きます。 元のサーバー ディレクトリに対するこれ以上の権限を適用する必要はありません。
サイトを作成すると、ArcGIS Server アカウントには、ArcGIS Server ログ ディレクトリに対する読み取り/書き込み権限が付与されます。 新しいログの場所を作成した場合、それに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
ArcGIS Server アカウントを、サイト内のどのコンピューター上の Windows 管理者グループにも含める必要はありません。
ArcGIS Server アカウントの変更
ArcGIS Server アカウントを変更するために、ArcGIS Server のインストールを再実行する必要はありません。 インストール後は、ソフトウェアに付属の ArcGIS Server アカウントの構成ユーティリティを実行することにより、アカウントを変更できます。 たとえば、変更はセキュリティ ポリシーの変更に対応する場合や、サーバーのトラブルシューティングを行う場合に行います。
オペレーティング システムのツールを使用して手動で ArcGIS Server アカウントを変更しないで、このユーティリティを使用します。 このユーティリティは、配置内のすべてのコンピューターの、必要な (前述した) すべてのディレクトリに権限を適用するように設計されています。 アカウントを手動で変更して間違えると、サーバー障害やダウンタイムが発生する恐れがあります。
ユーティリティを使用して ArcGIS Server アカウントを変更するには、次の手順に従います。
- ArcGIS Server サイトの 1 台のコンピューターで、[ArcGIS Server アカウントの構成] ユーティリティを開きます。
- アカウントを ArcGIS Server アカウントとして指定するには、名前とパスワードを指定します。 [次へ] をクリックします。
- 必要に応じて、ArcGIS Server サイトで使用されるルート サーバー ディレクトリと構成ストアの場所を指定します。 以下の例をご参照ください。
- ローカルのドライブ文字パスを使用してルート サーバー ディレクトリと構成ストアを使用できる場合は、ユーティリティでこれらのディレクトリを指定します。ユーティリティにより、ディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。
- ルート サーバー ディレクトリと構成ストアで UNC (ネットワーク) パスを使用する場合は、これらのフィールドを空白にし、ユーティリティの完了後にディレクトリへの読み書き権限を新しいアカウントに手動により付与します。
- 必要に応じて、ログ ディレクトリの場所を指定します。
場所を入力すると、ユーティリティによりそのディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。 このフィールドを空白にすると、ユーティリティの完了後に ArcGIS Server サイト内のすべてのコンピューターでディレクトリに対する読み書き権限を新しいアカウントに手動で付与する必要があります。
注意:
ログ ディレクトリは、サーバー ディレクトリや構成ストアの場所とは無関係です。 ログ ディレクトリの場所を変更する場合は、ArcGIS Server サイトのルート レベルで場所を指定するようにしてください。 ログの場所としてネットワーク ディレクトリを指定することはできません。 詳細については、「サーバー ログ」をご参照ください。
- [次へ] をクリックします。
- [サーバー構成ファイルの出力] ダイアログ ボックスで、次の手順を実行します。
- ArcGIS Server サイト内に複数のコンピューターがある場合は、構成ファイルをエクスポートします。 これにより、サイト内の残りのコンピューターについてユーティリティで情報を再入力する必要がなくなります。 この方法により、ArcGIS Server アカウントをサイトのすべてのコンピューター上で同じ構成にできます。 構成ファイルにセキュリティで保護された場所を指定し、[次へ] をクリックします。
- ArcGIS Server サイトにコンピューターが 1 台しかない場合は、構成ファイルをエクスポートして保存できます。 セキュリティで保護された場所に格納し、[次へ] をクリックします。
- サマリー パネルで、アカウントのプロパティを確認し、[構成] をクリックします。 ユーティリティを閉じます。
ArcGIS Server アカウントとして、新しいアカウントが構成されます。
- サイト内の残りのコンピューターで個別にユーティリティを実行します。
前の手順で作成した構成ファイルをユーティリティが参照するようにしたり、上記の手順で入力した情報を再入力できます。
- ArcGIS Server サイトに登録したデータ ディレクトリおよびデータベース接続ファイルに対する読み取り権限を新しいアカウントに付与します。 データベース認証の代わりに Windows 認証を使用している場合は、接続ファイルに対する書き込みアクセス権を付与する必要があります。
コマンド ラインからの ArcGIS Server アカウントの変更
ArcGIS Server アカウントの構成ユーティリティ ウィザードを実行せずに、コマンド プロンプトから実行可能ファイルを実行できます。 ServerConfigurationUtility.exe コマンド ライン ユーティリティは、<ArcGIS Server installation location>\framework\runtime\ArcGIS\bin にインストールされています。 組織のセキュリティ ポリシーに更新を適用した後、ArcGIS Server アカウントへの更新スクリプトを作成できます。
注意:
Active Directory ユーザーの場合、ServerConfigurationUtility.exe には、特定のアカウントを検索するために使用される DNS 接尾辞が必要です。
使用できるパラメーターは次のとおりです。
ServerConfigurationUtility /readconfig /writeconfig /username /password /rsdir /csdir /logsdir
- /readconfig - ユーティリティの前回の実行時に保存した構成ファイルへのオプションのパス
- /writeconfig - 構成ファイルが保存される場所へのオプションのパス。このパラメーターを指定すると、ユーティリティの今後の実行で同じプロパティを適用できるようになります。
- /username - ArcGIS Server アカウントに使用する名前。
- /password - ArcGIS Server アカウントのパスワード。
- /rsdir - ルート サーバー ディレクトリのパス。 このパラメーターはオプションです。ただし、これを指定しない場合は、ルート サーバー ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
- /csdir - 構成ストアのディレクトリ。 このパラメーターはオプションです。ただし、これを指定しない場合は、構成ストアに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
- /logsdir - ArcGIS Server ログ ディレクトリへのパス。 このパラメーターはオプションです。ただし、これを指定しない場合は、ログ ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
例: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
ArcGIS Server アカウントのロケールの指定
ArcGIS Server アカウントのロケールは、インストール時に指定した Windows アカウントのロケールに設定されます。 アカウントを指定していないでデフォルト値 (arcgis) を使用する場合、アカウントのロケールは、使用しているオペレーティング システムの設定によって決まります。 ArcGIS Server が生成するすべてのメッセージ (ログなど) が ArcGIS Server アカウントのロケールで表示されるため、このロケールは重要です。 メッセージを別の言語または形式で表示するには、ArcGIS Server サイトで各コンピューターの ArcGIS Server アカウントの表示言語を変更します。 使用しているオペレーティング システム バージョンに対する具体的な手順については、Microsoft のマニュアルをご参照ください。