Во время работы ArcGIS Server он запускает и останавливает процессы, читает и записывает данные в местоположение в файловой системе, а также взаимодействует с разными компьютерами. Для безопасного выполнения этих операций используется учетная запись операционной системы, указываемая при установке ArcGIS Server. В документации она называется учетной записью ArcGIS Server.
Когда используется учетная запись ArcGIS Server?
Учетная запись ArcGIS Server используется для следующих целей:
- Запуск и остановка процессов, поддерживающих ArcGIS Server и сервисы.
- Чтение ГИС-данных за сервисами, когда зарегистрированная база данных использует аутентификацию операционной системы.
- Чтение и запись файлов в директориях ArcGIS Server; например, при создании кэша карты учетная запись ArcGIS Server записывает листы кэша в директорию кэша сервера.
- Чтение и запись файлов в хранилище конфигурации.
- Чтение и запись файлов в папку установки ArcGIS Server и системную директорию temp; например, учетная запись записывает файлы журнала, которые можно использовать для диагностики сервера.
- Чтение и запись сообщений журнала в папке журналов.
Примечание:
Необходимо различать учетную запись ArcGIS Server и учетную запись основного администратора сайта, заданную при создании сайта ArcGIS Server. Дополнительную информацию см. в разделе Обеспечение безопасности вашего сайта ArcGIS Server.
Какую учетную запись сделать учетной записью ArcGIS Server?
По умолчанию имя учетной записи ArcGIS Server – arcgis. Принятие данных значений по умолчанию является достаточным для большинства непроизводственных развертываний; для производственных систем рекомендуется перед установкой ArcGIS Server создать домен или учетную запись Active Directory. Если ваша политика безопасности требует применения паролей со сроком действия, то вам необходимо будет запустить утилиту настройки учетной записи Configure ArcGIS for Server для обновления пароля с истекшим сроком действия.
Вы можете указать локальную или доменную учетную запись. Вы можете экспортировать файл конфигурации установки в процессе инсталляции ArcGIS Server на первом компьютере сайта и использовать этот файл для инсталляции ArcGIS Server на всех остальных компьютерах сайта. Таким образом, вы можете гарантировать, что учетная запись ArcGIS Server настроена аналогично на всех компьютерах вашего сайта.
Доменная учетная запись
Доменная учетная запись облегчает доступ к данным в удаленных системах. Доменная учетная запись предпочтительнее и с точки зрения безопасности, поскольку управление ею осуществляется централизованно.
При задании учетной записи домена, используйте формат DOMAIN\username. Если вы не указываете домен, мастер установки ArcGIS Server создаёт локальную учётную запись с указанным вами именем пользователя. Если указать несуществующую доменную учетную запись, программа установки сообщит об ошибке.
Если настройки входа запрещают вход с машины, на которой установлен ArcGIS Server, вы получите во время установки сообщение об ошибке. Настраивать для пользователя ArcGIS Server параметр групповой политики Локальный вход (Log on locally) необязательно. Более подробно см. Дополнительные вопросы использования доменных учетных записей.
Локальная учётная запись
Если вы выбрали локальную учетную запись, она должна существовать на каждой установке ArcGIS Server с одинаковым именем и паролем. Вы можете создать локальную учётную запись с одинаковыми паролями на всех машинах перед установкой ArcGIS Server, или позволить мастеру установки ArcGIS Server создать локальную учётную запись; проверьте только чтобы на всех машинах сайта использовались одинаковые имя пользователя и пароль.
Если в процессе установки вы создаете новую локальную учетную запись, пароль необходимо задавать в соответствии с локальной политикой безопасности вашей ОС. Если пароль не соответствует минимальным требованиям ОС, в процессе установки появится сообщение об ошибке. Обратитесь к документации Microsoft по поводу используемой вами версии Windows, как проверить политику безопасности на ваших машинах.
Групповая управляемая учетная запись сервиса
Групповая управляемая учетная запись сервиса (gMSA) облегчает автоматическую смену паролей учетной записи сервиса на регулярной основе. Использование gMSA особенно выгодно, когда учетная запись сервиса управляет программным обеспечением на нескольких компьютерах, например на сайте ArcGIS Server с несколькими компьютерами; поскольку gMSA работает на уровне домена, она может регулярно изменять пароль учетной записи сервиса на каждом компьютере без необходимости выполнения ручных действий.
ArcGIS Server можно настроить на использование gMSA для учетной записи сервиса, но это необходимо сделать после установки. Инструкции см. Cтатье базы знаний
Могу ли я использовать из Windows родную учётную запись Local System для запуска сервиса ArcGIS Server?
Да; но это не рекомендуется по следующим причинам:
- У учётной записи Windows LocalSystem очень много прав, это может плохо повлиять на безопасность. Подробные сведения см. в Учетная запись LocalSystem в Microsoft Development Center.
- Учетная запись LocalSystem не предназначена для доступа к сетевым папкам. Для доступа к сервису и данным сайта вам надо хранить данные локально.
- Вы не можете использовать LocalSystem в качестве учетной записи ArcGIS Server на сайте с несколькими машинами.
Какие права доступа необходимо предоставить учетной записи ArcGIS Server?
При установке ArcGIS Server учетной записи ArcGIS Server предоставляются права выполнения базовых функций, таких как запуск и остановка процессов сервера. Кроме того, учетная запись получает права чтения во всех папках каталога установки ArcGIS Server и полный доступ к следующим папкам:
- <ArcGIS Server директория установки>\framework
- <ArcGIS Server директория установки>\geronimo
- <ArcGIS Server директория установки>\usr
- <ArcGIS Server директория установки>\bin
- <ArcGIS Server директория установки>\XMLSchema
- <ArcGIS Server директория установки> \DatabaseSupport
Перед созданием сайта учетной записи ArcGIS Server необходимо предоставить следующие права:
- Права чтения и записи там, где будут созданы каталоги вашего сервера. Помните, что вам необходимо предоставить учетной записи ArcGIS Server права для чтения и записи в любые новые серверные директории, которые вы создали после настройки сайта.
- Разрешения на чтение и запись в местоположении, в котором будет создано ваше хранилище конфигурации.
- Права чтения и записи в <ArcGIS Server installation directory>\arcgisserver\logs и право создания этой папки, если она еще не создана вручную.
- Права чтения директорий, содержащих файлы подключения к базе данных, которые вы зарегистрируете при помощи сайта ArcGIS Server перед публикацией веб-сервисов. Если вы используете систему проверки подлинности Windows вместо проверки подлинности базы данных, то вам также потребуется выдать для учетной записи права доступа к учётной записи ArcGIS Server.
- Права доступа чтения для папок ГИС-данных, которые вы зарегистрируете при помощи сайта ArcGIS Server перед публикацией веб-сервисов. Если разрешить процессу публикации копировать данные на сервер (см. раздел Автоматическое копирование данных на сервер при публикации), то данные размещаются в серверных директориях, для которых учетной записи ArcGIS Server уже были назначены права при создании сайта. Применять дополнительные права доступа к исходным серверным директориям необязательно.
- Права с полным управлением к папке Python27. По умолчанию эта папка расположена в каталоге C:\Python27.
При создании сайта учетная запись ArcGIS Server наделяется правами чтения и записи в каталоге журналов ArcGIS Server. Если вы создаете новую папку журналов, вам необходимо вручную предоставить учетной записи ArcGIS Server права чтения и записи в ней.
Учетной записи ArcGIS Server не нужно быть в группе Администраторы Windows на какой-либо из машин вашего сайта.
Изменение учетной записи ArcGIS Server
Вам не нужно повторно запускать установку ArcGIS Server для изменения учетной записи ArcGIS Server. После установки вы можете изменить учетную запись, запустив утилиту Configure ArcGIS Server Account utility, которая входит в комплект программного обеспечения. Это можно сделать и в ответ на изменение политики безопасности или при устранении неполадок сервера.
Используйте эту утилиту вместо того, чтобы вручную изменять учетную запись ArcGIS Server с помощью инструментов операционной системы. Утилита предназначена для предоставления доступа ко всем необходимым директориям (как описано выше) на всех компьютерах в системе. Ошибка при изменении учетной записи вручную может привести к сбою сервера и выходу системы из строя.
Чтобы изменить учетную запись ArcGIS Server с помощью утилиты, выполните следующие действия:
- На одной машине сайта ArcGIS Server откройте утилиту Configure ArcGIS Server Account.
- Введите имя пользователя и пароль для учетной записи, которую вы желаете назначить для учетной записи ArcGIS Server. Щелкните Далее.
- Дополнительно укажите корневой каталог сервера и местоположения хранилища конфигурации, используемого вашим сайтом ArcGIS Server. Пример
- Если корневой каталог вашего сайта и хранилище конфигурации доступны через локальные пути с именами диска и вы указали эти директории в утилите, то она автоматически выдаст права доступа чтения и записи новой учетной записи для директорий.
- Если корневой каталог вашего сайта и хранилище конфигурации используют сетевые пути (UNC), оставьте эти поля пустыми и выдайте права доступа чтения и записи новой учетной записи для директорий вручную после завершения работы утилиты.
- При необходимости укажите положение директории журналов. Если вы ввели местоположение, то утилита автоматически предоставит новой учетной записи права для чтения и записи для данной директории. Если вы оставите данное поле пустым, то вам потребуется выдать вручную права доступа чтения и записи новой учетной записи для директорий каждой машины вашего сайта ArcGIS Server в вашем развертывании вручную после завершения работы утилиты.
Примечание:
Директория журналов не имеет отношения к местоположению директорий сервера или хранилища конфигураций. Если вы изменили местоположение директории журналов, постарайтесь сохранить местоположение на корневом уровне вашего сайта ArcGIS Server. Нельзя задать сетевую директорию в качестве местоположения журналов. Дополнительная информация приведена в разделе О журналах сервера.
- Нажмите Далее.
- В диалоговом окне Экспорт файла конфигурации сервера рассмотрите следующие возможности:
- Если в вашем развертывании имеется несколько сайтов ArcGIS Server, выполните экспорт файла конфигурации. Это обезопасит вас от необходимости ввода информации в утилиту для оставшихся компьютеров вашего сайта. Таким образом, вы можете гарантировать, что учетная запись ArcGIS Server настроена одинаково на всех компьютерах вашего сайта. Укажите безопасное местоположение для файла конфигурации и нажмите Далее.
- Вы можете экспортировать и сохранить файл конфигурации, если у вас есть одна машина в сайте ArcGIS Server, файл конфигурации можно сохранить опционно. Убедитесь, что файл сохранен в безопасном местоположении, и щёлкните Далее.
- На итоговой панели просмотрите свойства учетной записи и нажмите Настроить. Ваша новая учетная запись будет настроена как учетная запись ArcGIS Server. Закройте утилиту.
- Запустите утилиту на каждом из оставшихся компьютеров вашего сайта. Вы можете указать утилите файл конфигурации, созданный ранее, или ввести информацию, которую вы предоставили выше.
- Выдайте новой учетной записи права чтения директорий, содержащих файлы данных и файлы подключения к базе данных, которые вы зарегистрировали на сайте ArcGIS Server. Если вы используете аутентификацию Windows вместо аутентификации средствами базы данных, то вам также потребуется выдать для учетной записи права доступа записи для файлов подключения.
Изменение учетной записи ArcGIS Server из командной строки
Чтобы не запускать мастер утилиты Configure ArcGIS Server Account, вы можете запустить исполняемый файл из командной строки. Утилита командной строки ServerConfigurationUtility.exe устанавливается в <ArcGIS Server installation location>\bin. Вы можете собрать в скрипт обновления на учётной записи ArcGIS Server после применения обновлений в политике безопасности вашей организации.
Доступны следующие параметры:
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> – Необязательный путь к файлу конфигурации, сохраненный при предыдущем выполнении утилиты.
- <writeconfig> – Необязательный путь к папке, где будет сохранен файл конфигурации, чтобы можно было применить те же свойства при последующих запусках утилиты.
- <username> – имя учетной записи ArcGIS Server.
- <Password> – пароль учётной записи ArcGIS Server.
- <rsdir> – Путь к корневому каталогу сервера. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в корневом каталоге сервера.
- <csdir> – Каталог хранилища конфигурации. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в хранилище конфигурации.
- <logsdir> – Путь к каталогу журналов ArcGIS Server. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в директории журналирования.
Пример: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs
Определение региональных настроек учетной записи ArcGIS Server
Локаль учетной записи ArcGIS Server выбирается согласно локали учетной записи Windows, заданной в процессе установки. Если учетная запись не указана и используется учетная запись по умолчанию (arcgis), ее локаль определяется настройками ОС. Локаль имеет важное значение, поскольку все сообщения, генерируемые ArcGIS Server, такие как журналы, отображаются на языке учетной записи ArcGIS Server. Чтобы сообщения отображались на другом языке или с другим форматом, вам надо изменить язык отображения для учётной записи ArcGIS Server на каждой машине вашего сайта ArcGIS Server. См. документацию Microsoft по определённым инструкциям для используемой вами версии операционной системы.