ArcGIS Server は、プロセスの開始と停止、ファイル システムでのデータの読み取りと書き込み、コンピューター間での通信を行います。 これらの処理を安全に行うために、ArcGIS Server のインストール時に指定したオペレーティング システム アカウントが使用されます。 このドキュメントでは、このアカウントのことを ArcGIS Server アカウントと呼びます。
ArcGIS Server アカウントを使用する場合
ArcGIS Server アカウントは次の目的に使用します。
- ArcGIS Server およびサービスに対応している処理の開始および停止。
- 登録済みのデータベースがオペレーティング システム認証を使用している場合は、サービスの背後にある GIS データを読み取ります。
- ArcGIS Server ディレクトリーに対するファイルの読み取りおよび書き込み。 たとえば、マップ キャッシュを作成すると、ArcGIS Server アカウントはキャッシュ タイルをサーバー キャッシュ ディレクトリーに書き込みます。
- 構成ストアのファイルの読み書き。
- ArcGIS Server のインストール場所およびシステムの temp ディレクトリーに対するファイルの読み取りおよび書き込み。 たとえば、アカウントは、サーバーのトラブルシューティングに使用できるログ ファイルを書き込みます。
- ログ ディレクトリーのログ メッセージの読み書き。
注意:
ArcGIS Server アカウントは、ArcGIS Server サイトを作成するときに定義するプライマリ サイト管理者と同じではありません。 詳細については、「ArcGIS Server サイトのセキュリティー保護」をご参照ください。
ArcGIS Server アカウントに指定するアカウント
ArcGIS Server アカウントの名前はデフォルトで arcgis に設定されます。 実際の運用に向けたデプロイメントでなければこのデフォルトで十分ですが、実稼働システムの場合は、ArcGIS Server をインストールする前にドメインまたは Active Directory アカウントを作成することをおすすめします。 組織のセキュリティー ポリシーでパスワードを期限切れにしなければならない場合は、サービス アカウントの構成ユーティリティーを実行して、期限切れのパスワードを更新する必要があります。
ローカル アカウントまたはドメイン アカウントを指定できます。 サイトの最初のコンピューターに ArcGIS Server をインストールするときにセットアップ構成ファイルをエクスポートして、サイトの他のコンピューターに ArcGIS Server をインストールするときにその構成ファイルを使用することができます。 この方法により、ArcGIS Server アカウントをサイトのすべてのコンピューター上で同じ構成にできます。
ドメイン アカウント
ドメイン アカウントを指定すると、リモート システムのデータへのアクセスが可能になります。 ドメイン アカウントは集中管理されるため、セキュリティー上の目的からも、ドメイン アカウントを指定することをお勧めします。
ドメイン アカウントを指定するときは、DOMAIN\username という形式を使用します。 ドメインを指定しない場合、ArcGIS Server インストール ウィザードは、指定したユーザー名を持つローカル アカウントを作成します。 存在しないドメイン アカウントを指定した場合は、インストール中にエラーが返されます。
ログイン設定により、ArcGIS Server がインストールされているコンピューターへのログイン権限が拒否される場合は、インストール中にエラーが発生します。 ArcGIS Server アカウントに [ローカル ログオン] グループ ポリシー設定を付与する必要はありません。 詳細については、「ドメイン アカウントを使用する場合の詳細な注意事項」をご参照ください。
ローカル アカウント
ローカル アカウントを選択している場合は、ArcGIS Server サイトの各コンピューター上にそのローカル アカウントとパスワードが存在し、アカウントとパスワードが一致している必要があります。 ArcGIS Server をインストールする前に、各コンピューターで同じパスワードを持つローカル アカウントを作成したり、ArcGIS Server インストール ウィザードでローカル アカウントを作成したりできます。ただし、サイト内のすべてのコンピューターで同じユーザー名とパスワードを使用してください。
インストール時にローカル アカウントを作成した場合、アカウントに指定するパスワードは、オペレーティング システムのローカル セキュリティー ポリシーに準拠する必要があります。 パスワードがオペレーティング システムの強度の最小要件を満たしていない場合、インストール中にエラーが返されます。
ローカル コンピューター上でパスワード要件を確認するには、ローカル セキュリティー ポリシー コンソールを開きます。 ローカル セキュリティー ポリシーへのアクセス方法の詳細については、Microsoft Windows のドキュメントをご参照ください。
グループ管理サービス アカウント
グループ管理サービス アカウント (gMSA) は、自動的なパスワード管理を提供する特殊な Active Directory ドメイン アカウントです。 このアカウントは、対話的ログオンには使用できず、事前に定義されたサービスのグループでの使用のみに制限されます。
サービス アカウントが複数のコンピューター上のソフトウェアを管理する場合 (複数のコンピューターから構成される ArcGIS Server サイト内など)、gMSA の使用は特に便利です。 gMSA はドメイン レベルで動作するため、手動の手順を必要とせず、各コンピューター上でサービス アカウントのパスワードを定期的に変更できます。
下記の configureserviceaccount ユーティリティーを使用して、ArcGIS Server サービスが gMSA で実行されるように設定できます。 ユーザー名パラメーターでは、末尾に $ シンボルを付ける、または付けずにグループ管理サービス アカウントを指定できます。 パスワード パラメーターは不要です。 readconfig パラメーターと writeconfig パラメーターはどちらも、グループ管理サービス アカウントで同様に機能します。
gMSA を ArcGIS Server アカウントとして構成するサンプル コマンドは次のとおりです。
configureserviceaccount.bat --username mydomain\enterprise-gmsa$ --writeconfig c:\temp\domainaccountconfig.xmlWindows 固有のローカル システム アカウントを使用して、ArcGIS Server サービスを実行する
Windows 固有のローカル システム アカウントを使用して ArcGIS Server サービスを実行するのは、次の理由からおすすめできません。
- Windows LocalSystem アカウントには高度な権限が与えられており、セキュリティー上の影響があります。 詳細については、Microsoft Development Center の「The LocalSystem Account」をご参照ください。
- LocalSystem アカウントは、ネットワーク ロケーションにアクセスすることを意図していません。 LocalSystem アカウントを使用してサービスおよびサイトのデータにアクセスするには、データをローカルに保存する必要があります。
- コンピューターが複数存在するサイトでは、LocalSystem を ArcGIS Server アカウントとして使用することはできません。
ArcGIS Server アカウントに付与する権限
ArcGIS Server をインストールすると、ArcGIS Server アカウントには、サーバー プロセスの起動と停止など、基本的な機能を実行する権限が付与されます。 このアカウントには、ArcGIS Server インストール ディレクトリー内のすべてのフォルダーに対する読み取り権限、および下記のフォルダーへのフル コントロール権限も付与されます。
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\DatabaseSupport
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
サイトを作成する前に、ArcGIS Server アカウントに次の権限を付与する必要があります。
- サーバー ディレクトリーが作成される場所に対するフル コントロール権限。 サイトを構成した後、作成した新しいサーバー ディレクトリーに対する読み取り/書き込み権限を ArcGIS Server アカウントに付与する必要があります。
- 構成ストアが作成される場所に対するフル コントロール権限。
- ArcGIS Server ログを含むディレクトリーに対する読み取り/書き込みの権限と、フォルダーをまだ手動で作成していない場合は、このフォルダーを作成する権限。 このディレクトリーはデフォルトで C:\arcgisserver\logs です。
- Web サービスの公開前に ArcGIS Server サイトに登録するデータベース接続ファイルがあるディレクトリーに対する読み取り権限。 データベース認証の代わりに Windows 認証を使用している場合は、ArcGIS Server アカウントに書き込みアクセス権を付与する必要もあります。
- Web サービスの公開前に ArcGIS Server サイトに登録する GIS データ フォルダーに対する読み取り権限。 データをサーバーにコピーするための公開プロセス (「公開時に自動的にデータをサーバーへコピー」を参照) を許可する場合は、サイトの作成時に ArcGIS Server アカウントにすでに権限が付与されているサーバー ディレクトリーにデータを置きます。 元のサーバー ディレクトリーに対するこれ以上の権限を適用する必要はありません。
サイトを作成すると、ArcGIS Server アカウントには、ArcGIS Server ログ ディレクトリーに対する読み取り/書き込み権限が付与されます。 新しいログの場所を作成した場合、それに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
ArcGIS Server アカウントを、サイト内のどのコンピューター上の Windows 管理者グループにも含める必要はありません。
ArcGIS Server アカウントの変更
ArcGIS Server アカウントを変更するために、ArcGIS Server のインストールを再実行する必要はありません。 インストールが終了したら、ソフトウェアに付属しているサービス アカウントの構成ユーティリティーを実行して、アカウントを変更できます。 たとえば、変更はセキュリティー ポリシーの変更に対応する場合や、サーバーのトラブルシューティングを行う場合に行います。
このユーティリティーは、ArcGIS Server サービスに割り当てられた RunAs アカウントを変更し、ArcGIS Server インストール ディレクトリー内のすべてのフォルダーに対する読み取り権限と次のフォルダーに対するフル コントロール権限をこのアカウントに付与するように設計されています。
- <ArcGIS Server installation directory>\bin
- <ArcGIS Server installation directory>\DatabaseSupport
- <ArcGIS Server installation directory>\framework
- <ArcGIS Server installation directory>\usr
configureserviceaccount ユーティリティーを使用して利用中の ArcGIS Server サービスを変更したら、オペレーティング システム ツールを使用して、次の権限を持つ ArcGIS Server で使用されている次の場所を更新します。
- すべてのサーバー ディレクトリー、構成ストアのディレクトリー、および ArcGIS Server ログ ディレクトリーに対するフル コントロール権限。 これらのディレクトリーの場所を特定するには、ArcGIS Server Manager または ArcGIS Server Administrator Directory を使用します。
- Web サービスの公開時に ArcGIS Server サイトに登録するデータベース接続ファイルを含むディレクトリーに対する読み取り権限。 データベース認証の代わりに Windows 認証を使用している場合は、ArcGIS Server アカウントに書き込みアクセス権を付与する必要もあります。
- Web サービスの公開前に ArcGIS Server サイトに登録する GIS データ フォルダーに対する読み取り権限。 データをサーバーにコピーすることを公開プロセスに許可している場合は、ArcGIS Server アカウントにすでに権限が付与されているサーバー ディレクトリーにデータが配置されているため、元のサーバー ディレクトリーに権限をこれ以上適用する必要はありません。
configureserviceaccount ユーティリティーは <ArcGIS Server installation directory>\tools\ConfigUtility ディレクトリーにインストールされています。 このツールは、ArcGIS Server サービスを実行するためのアカウントを新規に設定し、そのサービスで使用される ArcGIS Server インストール ディレクトリーの場所に対する必要な権限を付与します。
次の例では、configureserviceaccount ユーティリティーは、ArcGIS Server サービスを実行するためのドメイン アカウントを設定し、ArcGIS Server インストール ディレクトリーのフォルダーとファイルに対する必要な権限をこのアカウントに付与し、Windows アカウント情報を含む構成ファイルをディスクに書き込みます。
注意:
configureserviceaccount ユーティリティーは、管理者として実行オプションを使用して開いたコマンド プロンプト ウィンドウから実行する必要があります。
configureserviceaccount.bat --username mydomain\username --password difficultpsswd --writeconfig c:\temp\domainaccountconfig.xml注意:
サービスの実行に使用されているアカウントを変更すると、そのサービスが再起動します。
configureserviceaccount ユーティリティーには、次のパラメーターがあります。
configureserviceaccount [--username username] [--password password] [--readconfig user-configuration-file] [--writeconfig user-configuration-file]- username - ArcGIS Server アカウントで使用する名前
- password - ArcGIS Server アカウントで使用するパスワード
- readconfig - ユーティリティーの前回の実行時に保存した構成ファイルへのオプションのパス
- writeconfig - 構成ファイルが保存される場所へのオプションのパス。このパラメーターを指定すると、ユーティリティーの今後の実行で同じプロパティを適用できるようになります。
ArcGIS Server アカウントのロケールの指定
ArcGIS Server アカウントのロケールは、インストール時に指定した Windows アカウントのロケールに設定されます。 アカウントを指定していないでデフォルト値 (arcgis) を使用する場合、アカウントのロケールは、使用しているオペレーティング システムの設定によって決まります。 ArcGIS Server が生成するすべてのメッセージ (ログなど) が ArcGIS Server アカウントのロケールで表示されるため、このロケールは重要です。 メッセージを別の言語または形式で表示するには、ArcGIS Server サイトで各コンピューターの ArcGIS Server アカウントの表示言語を変更します。 使用しているオペレーティング システム バージョンに対する具体的な手順については、Microsoft のマニュアルをご参照ください。