Во время работы ArcGIS Server он запускает и останавливает процессы, читает и записывает данные в местоположение в файловой системе, а также взаимодействует с разными компьютерами. Для безопасного выполнения этих операций используется учетная запись операционной системы, указываемая при установке ArcGIS Server. В документации она называется учетной записью ArcGIS Server.
Когда используется учетная запись ArcGIS Server?
Учетная запись ArcGIS Server используется для следующих целей:
- Запуск и остановка процессов, поддерживающих ArcGIS Server и сервисы.
- Считывание ГИС данных ваших сервисов
- Чтение и запись файлов в директориях ArcGIS Server; например, при создании кэша карты учетная запись ArcGIS Server записывает листы кэша в директорию кэша сервера.
- Чтение и запись файлов в хранилище конфигурации; например, при создании нового кластера в Manager учетная запись ArcGIS Server записывает информацию о его конфигурации в файлы, находящиеся в хранилище конфигурации.
- Чтение и запись файлов в папку установки ArcGIS Server и системную директорию temp; например, учетная запись записывает файлы журнала, которые можно использовать для диагностики сервера.
- Чтение и запись сообщений журнала в папке журналов.
Примечание:
Необходимо различать учетную запись ArcGIS Server и учетную запись основного администратора сайта, заданную при создании сайта ArcGIS Server. Дополнительную информацию см. в разделе Обеспечение безопасности вашего сайта ArcGIS Server.
Какую учетную запись сделать учетной записью ArcGIS Server?
По умолчанию имя учетной записи ArcGIS for Server – arcgis. Принятие данных значений по умолчанию является достаточным для большинства непроизводственных развертываний; для производственных систем рекомендуется перед установкой ArcGIS Server создать домен или учетную запись Active Directory. Если ваша политика безопасности требует применения паролей со сроком действия, то вам необходимо будет запустить утилиту настройки учетной записи Configure ArcGIS for Server Account для обновления пароля с истекшим сроком действия.
Вы можете указать локальную или доменную учетную запись. Рекомендуется экспортировать файл конфигурации установки и использовать его при последующих установках ArcGIS Server. Таким образом, вы можете гарантировать, что учетная запись ArcGIS for Server настроена аналогично всем ГИС-серверам вашего сайта.
Использование локальной учетной записи
Если вы выбрали локальную учетную запись, она должна существовать на каждом ГИС-сервере с одинаковым именем и паролем. На сайте с несколькими ГИС-серверами каждый из них должен использовать одну учетную запись ArcGIS for Server. Если указать несуществующую локальную учетную запись, то она будет создана программой установки.
Если в процессе установки вы создаете новую локальную учетную запись, пароль необходимо задавать в соответствии с локальной политикой безопасности вашей ОС. Если пароль не соответствует минимальным требованиям ОС, в процессе установки появится сообщение об ошибке. Вы можете просмотреть описание требований в Windows следующим способом:
- В Панели управления откройте Локальная политика безопасности и разверните Политики учетных записей.
- Выберите папку Политика паролей и дважды щелкните Пароль должен отвечать требованиям сложности.
- В диалоговом окне Свойства: Пароли должны отвечать требованиям сложности щелкните вкладку Описание.
Использование доменной учетной записи
Доменная учетная запись облегчает доступ к данным в удаленных системах. Во многих случаях доменная учетная запись предпочтительнее и с точки зрения безопасности, поскольку управление ею осуществляется централизованно.
При задании учетной записи домена, используйте формат DOMAIN\username. Если вы не указали домен, локальная учетная запись создается с тем же именем пользователя. Если указать несуществующую доменную учетную запись, программа установки сообщит об ошибке.
Если настройки входа запрещают вход с машины, на которой установлен ArcGIS Server, вы получите во время установки сообщение об ошибке. Настраивать для учетной записи ArcGIS Server параметр групповой политики Локальный вход необязательно. Более подробно см. Дополнительные вопросы использования доменных учетных записей.
У меня есть учетная запись SOC из предыдущей установки ArcGIS Server. Могу ли я сделать ее учетной записью ArcGIS Server?
В предыдущих версиях ArcGIS Server требовалось создать учетную запись, называемую учетной записью SOC, и предоставить ей права доступа ко всем папкам данных. Если у вас уже есть учетная запись SOC с необходимыми правами доступа, вы можете указать ее в качестве учетной записи ArcGIS Server. Это частично или полностью устраняет необходимость в повторном назначении прав доступа при переходе на новую версию.
Могу ли я использовать Локальную систему в качестве учетной записи в Войти как для запуска ArcGIS Server?
Часто задают вопрос, можно ли настроить сервис Windows ArcGIS Server на работу с собственной учетной записью Windows LocalSystem. Чтобы это сделать, щелкните правой кнопкой мыши сервис ArcGIS Server в диалоговом окне Службы Windows и настройте в свойствах сервиса вход с учетной записью LocalSystem. Выбирая такую настройку сервиса, следует иметь в виду следующее:
- Учетная запись LocalSystem имеет особые свойства для обеспечения высокого уровня безопасности, о которых вам нужно знать. Подробные сведения см. в Учетная запись LocalSystem в Microsoft Development Center.
- Учетная запись LocalSystem не предназначена для доступа к сетевым папкам. Для обеспечения доступа учетной записи к сервису и данным на сайте данные должны храниться локально.
- Не используйте LocalSystem в качестве учетной записи ArcGIS Server на сайте с несколькими ГИС-серверами.
Какие права доступа необходимо предоставить учетной записи ArcGIS Server?
При установке ArcGIS Server учетной записи ArcGIS Server предоставляются права выполнения базовых функций, таких как запуск и остановка процессов сервера. Кроме того, учетная запись получает права чтения во всех папках каталога установки ArcGIS Server и полный доступ к следующим папкам:
- <ArcGIS Server директория установки>\framework
- <ArcGIS Server директория установки>\geronimo
- <ArcGIS Server директория установки>\usr
- <ArcGIS Server директория установки>\bin
- <ArcGIS Server директория установки>\XMLSchema
- <ArcGIS Server директория установки> \DatabaseSupport
Перед созданием сайта, учетной записи ArcGIS Server необходимо предоставить следующие права:
- Права чтения и записи там, где будут созданы каталоги вашего сервера. Помните, что вам необходимо предоставить учетной записи ArcGIS for Server права для чтения и записи в любые новые серверные директории, которые вы создали после настройки сайта.
- Разрешения на чтение и запись в местоположении, в котором будет создано ваше хранилище конфигурации.
- Права чтения и записи в <ArcGIS Server installation directory>\arcgisserver\logs и право создания этой папки, если она еще не создана вручную.
- Права чтения директорий, содержащих файлы подключения к базе данных, которые вы зарегистрируете при помощи сервера перед публикацией. Если вы используете систему проверки подлинности Windows вместо проверки подлинности базы данных, то вам также потребуется выдать для учетной записи права доступа к записи.
- Права доступа чтения для папок ГИС-данных, которые вы зарегистрируете при помощи сервера перед публикацией. Если разрешить процессу публикации копировать данные на сервер (см. раздел Автоматическое копирование данных на сервер при публикации), то данные размещаются в серверных директориях, для которых учетной записи ArcGIS for Server уже были назначены права при создании сайта. Применять дополнительные права доступа к исходным серверным директориям необязательно.
- Права с полным управлением к папке Python27. По умолчанию эта папка расположена в каталоге C:\Python27.
При создании сайта учетная запись ArcGIS Server наделяется правами чтения и записи в каталоге журналов ArcGIS Server. Если вы создаете новую папку журналов, вам необходимо вручную предоставить учетной записи ArcGIS Server права чтения и записи в ней.
Учетной записи ArcGIS Server не нужно быть в группе Администраторы на какой-либо из машин вашего сайта.
Изменение учетной записи ArcGIS for Server
Вам не нужно повторно запускать установку ArcGIS for Server для изменения учетной записи ArcGIS for Server. После установки вы можете изменить учетную запись, запустив утилиту Configure ArcGIS for Server Account, которая входит в комплект программного обеспечения. Это можно сделать и в ответ на изменение политики безопасности или при устранении неполадок сервера.
Рекомендуется использовать эту утилиту вместо того, чтобы вручную изменять учетную запись ArcGIS Server с помощью инструментов операционной системы. Утилита предназначена для предоставления доступа ко всем необходимым директориям (как описано выше) на всех компьютерах в системе. Ошибка при изменении учетной записи вручную может привести к сбою сервера и выходу системы из строя.
Чтобы изменить учетную запись ArcGIS for Server с помощью утилиты, выполните следующие действия:
- На одном из ГИС-серверов вашего сайта найдите утилиту в меню Windows Пуск под заголовком ArcGIS > ArcGIS Server > Настройка учетной записи ArcGIS Server.
- Дополнительно введите имя пользователя и пароль для учетной записи, которую вы желаете назначить для учетной записи ArcGIS for Server. Щелкните Далее.
- Дополнительно укажите корневой каталог сервера и местоположения хранилища конфигурации, используемого вашим сайтом ArcGIS for Server. Пример:
- Если корневой каталог вашего сайта и хранилище конфигурации доступны через локальные пути с именами диска и вы указали эти директории в утилите, то она автоматически выдаст права доступа чтения и записи новой учетной записи для директорий.
- Если корневой каталог вашего сайта и хранилище конфигурации используют сетевые пути (UNC), оставьте эти поля пустыми и выдайте права доступа чтения и записи новой учетной записи для директорий вручную после завершения работы утилиты.
- При необходимости укажите положение директории журналов. Если вы ввели местоположение, то утилита автоматически предоставит новой учетной записи права для чтения и записи для данной директории. Если вы оставите данное поле пустым, то вам потребуется выдать вручную права доступа чтения и записи новой учетной записи для директорий каждого ГИС-сервера в вашем развертывании вручную после завершения работы утилиты.
Примечание:
Директория журналов не имеет отношения к местоположению директорий сервера или хранилища конфигураций. Если вы изменили местоположение директории журналов, постарайтесь сохранить местоположение на корневом уровне вашего ГИС-сервера. Нельзя задать сетевую директорию в качестве местоположения журналов. Дополнительная информация приведена в разделе О журналах сервера.
- Щелкните Далее.
- В диалоговом окне Экспорт файла конфигурации сервера рассмотрите следующие возможности:
- Если в вашем развертывании имеется только один ГИС-сервер, то вы дополнительно можете сохранить файл конфигурации. Убедитесь, что файл сохранен в безопасном местоположении. Щелкните Далее.
- Если в вашем развертывании имеется несколько ГИС-серверов, выполните экспорт файла конфигурации. Это обезопасит вас от необходимости ввода информации в утилиту для оставшихся компьютеров вашего сайта. Таким образом, вы можете гарантировать, что учетная запись ArcGIS for Server настроена аналогично всем ГИС-серверам вашего сайта. Укажите безопасное местоположение для файла конфигурации и нажмите Далее.
- На итоговой панели просмотрите свойства учетной записи и нажмите Настроить. Ваша новая учетная запись будет настроена как учетная запись ArcGIS for Server. Закройте утилиту.
- Запустите утилиту на каждом из оставшихся компьютеров вашего сайта. Вы можете указать утилите файл конфигурации, созданный ранее, или ввести информацию, которую вы предоставили выше.
- Выдайте новой учетной записи права чтения директорий, содержащих файлы данных и файлы подключения к базе данных, которые вы зарегистрировали при помощи сервера. Если вы используете аутентификацию Windows вместо аутентификации средствами базы данных, то вам также потребуется выдать для учетной записи права доступа записи для файлов подключения. Подробные инструкции по данной операции см. в Регистрация данных на ArcGIS Server с помощью ArcGIS Desktop.
Изменение учетной записи ArcGIS Server из командной строки
Учетную запись ArcGIS Server можно изменить также с помощью утилиты командной строки в <каталог установки ArcGIS Server>\bin\ServerConfigurationUtility.exe. Вам может понадобиться написать скрипт обновления учетной записи после внесения изменений в политику безопасности вашей организации.
Доступны следующие параметры:
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> – Необязательный путь к файлу конфигурации, сохраненный при предыдущем выполнении утилиты.
- <writeconfig> – Необязательный путь к папке, где будет сохранен файл конфигурации, чтобы можно было применить те же свойства при последующих запусках утилиты.
- <username> – имя учетной записи ArcGIS Server.
- <password> – пароль учетной записи ArcGIS Server.
- <rsdir> – Путь к корневому каталогу сервера. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в корневом каталоге сервера.
- <csdir> – Каталог хранилища конфигурации. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в хранилище конфигурации.
- <logsdir> – Путь к каталогу журналов ArcGIS Server. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в каталоге журналов.
Пример: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
Задание региональных настроек учетной записи ArcGIS Server
Локаль учетной записи ArcGIS Server выбирается согласно локали учетной записи Windows, заданной в процессе установки. Если учетная запись не указана и используется учетная запись по умолчанию (arcgis), ее локаль определяется настройками ОС. Локаль имеет важное значение, поскольку все сообщения, генерируемые сервером, такие как журналы, отображаются на языке учетной записи ArcGIS Server. Чтобы отображать сообщения сервера на другом языке или в другом формате, необходимо сделать следующее:
- На компьютере, на котором расположен ArcGIS Server, выполните вход с использованием учетной записи ArcGIS Server.
- Откройте Панель управления и выберите Язык и региональные стандарты.
- Щелкните вкладку Форматы и выберите нужную страну из ниспадающего списка Формат.
- Щелкните вкладку Языки и клавиатуры и измените Отображаемый язык на предпочитаемый.
- Щелкните вкладку Администрирование и выберите системную локаль, щелкнув кнопку Изменить язык системы.
- Щелкните ОК.