Skip To Content

Учетная запись ArcGIS Server

Во время работы ArcGIS Server он запускает и останавливает процессы, читает и записывает данные в папки файловой системы, а также взаимодействует с разными компьютерами. Для безопасного выполнения этих операций используется учетная запись операционной системы, указываемая при установке ArcGIS Server. В документации она называется учетной записью ArcGIS Server.

Когда используется учетная запись ArcGIS Server?

Учетная запись ArcGIS Server используется для следующих целей:

  • Запуск и остановка процессов, поддерживающих ArcGIS Server и сервисы.
  • Чтение ГИС-данных за сервисами, когда зарегистрированная база данных использует аутентификацию операционной системы.
  • Чтение и запись файлов в директориях ArcGIS Server, например, при создании кэша карты учетная запись ArcGIS Server записывает листы кэша в директорию кэша сервера.
  • Чтение и запись файлов в хранилище конфигурации.
  • Чтение и запись файлов в папку установки ArcGIS Server и системную директорию temp; например, учетная запись записывает файлы журнала, которые можно использовать для диагностики сервера.
  • Чтение и запись сообщений журнала в папке журналов.
Примечание:

Учетная запись ArcGIS Server не является учетной записью основного администратора сайта, заданную вами при создании сайта ArcGIS Server. Дополнительные сведения см. в разделе Защита вашего сайта ArcGIS Server.

Какую учетную запись сделать учетной записью ArcGIS Server?

По умолчанию имя учетной записи ArcGIS Server – arcgis. Принятие данных значений по умолчанию подходит для большинства непроизводственных развертываний, однако для производственных систем Esri рекомендует перед установкой ArcGIS Server создать домен или учетную запись Active Directory. Если ваша политика безопасности требует применения паролей со сроком действия, то вам необходимо будет запустить утилиту настройки учетной записи Configure ArcGIS Server для обновления пароля с истекшим сроком действия.

Вы можете указать локальную или доменную учетную запись. Вы можете экспортировать файл конфигурации установки в процессе инсталляции ArcGIS Server на первом компьютере сайта и использовать этот файл для инсталляции ArcGIS Server на всех остальных компьютерах сайта. Таким образом, вы можете гарантировать, что учетная запись ArcGIS Server настроена аналогично на всех компьютерах вашего сайта.

Доменная учетная запись

Доменная учетная запись облегчает доступ к данным в удаленных системах. Доменная учетная запись предпочтительнее и с точки зрения безопасности, поскольку управление ею осуществляется централизованно.

При задании учетной записи домена, используйте формат DOMAIN\username. Если вы не указываете домен, мастер установки ArcGIS Server создаёт локальную учётную запись с указанным вами именем пользователя. Если указать несуществующую доменную учетную запись, программа установки сообщит об ошибке.

Если настройки входа запрещают вход с машины, на которой установлен ArcGIS Server, вы получите во время установки сообщение об ошибке. Настраивать для учетной записи ArcGIS Server параметр групповой политики Локальный вход необязательно. Более подробно см. Дополнительные вопросы использования доменных учетных записей.

Локальная учётная запись

Если вы выбрали локальную учетную запись, она должна существовать на каждом компьютере сайта ArcGIS Server с одинаковым именем и паролем. Вы можете создать локальную учётную запись с одинаковыми паролями на всех машинах перед установкой ArcGIS Server, или позволить мастеру установки ArcGIS Server создать локальную учётную запись; проверьте только чтобы на всех машинах сайта использовались одинаковые имя пользователя и пароль.

Если в процессе установки вы создали новую локальную учетную запись, пароль необходимо задавать в соответствии с локальной политикой безопасности вашей ОС. Если пароль не соответствует минимальным требованиям ОС, в процессе установки появится сообщение об ошибке. Обратитесь к документации Microsoft по поводу используемой вами версии Windows, чтобы узнать, как проверить политику безопасности на ваших машинах.

Групповая управляемая учетная запись сервиса

Групповая управляемая учетная запись сервиса (gMSA) это специальная учетная запись домена Active Directory, которая обеспечивает автоматическое управление паролями. Учетная запись не может использоваться для интерактивных входов в систему и ограничена для использования только на предварительно определенной группе серверов.

Использование gMSA особенно удобно, когда служебная учетная запись управляет ПО на нескольких компьютерах, например, при использовании сайта ArcGIS Server на нескольких компьютерах. Поскольку gMSA работает на уровне домена, имеется возможность регулярной смены пароля служебной учетной записи на каждом компьютере без вмешательства вручную.

Утилита командной строки ServerConfigurationUtility, описываемая ниже, может использоваться для настройки запуска службы ArcGIS Server под gMSA. Для параметра имени пользователя, групповая управляемая учетная запись сервиса может быть задана с и без символа $ в конце. Параметр пароля не требуется. Параметры readconfig и writeconfig с групповой управляемой учетной записью сервиса работают одинаково.

Пример команды для настройки gMSA в качестве учетной записи ArcGIS Server:

ServerConfigurationUtility.exe /username mydomain\enterprise-gmsa$ /writeconfig c:\temp\domainaccountconfig.xml

Могу ли я использовать из Windows родную учётную запись Local System для запуска службы ArcGIS Server?

Да; но это не рекомендуется по следующим причинам:

  • У учётной записи Windows LocalSystem очень много прав, это может плохо повлиять на безопасность. Подробные сведения см. в разделе Учетная запись LocalSystem в Microsoft Development Center.
  • Учетная запись LocalSystem не предназначена для доступа к сетевым папкам. Для доступа к сервису и данным сайта под учетной записью LocalSystem вам надо хранить данные локально.
  • Вы не можете использовать LocalSystem в качестве учетной записи ArcGIS Server на сайте с несколькими машинами.

Какие права доступа необходимо предоставить учетной записи ArcGIS Server?

При установке ArcGIS Server учетной записи ArcGIS Server предоставляются права выполнения базовых функций, таких как запуск и остановка процессов сервера. Кроме того, учетная запись получает права чтения во всех папках каталога установки ArcGIS Server и полный доступ к следующим папкам:

  • <ArcGIS Server installation directory>\framework
  • <ArcGIS Server installation directory>\usr
  • <ArcGIS Server installation directory>\bin
  • <ArcGIS Server installation directory>\XMLSchema
  • <ArcGIS Server installation directory>\DatabaseSupport

Перед созданием сайта учетной записи ArcGIS Server необходимо предоставить следующие права:

  • Полный доступ к местоположению, где создаются серверные директории. Помните, что вам необходимо предоставить учетной записи ArcGIS Server права для чтения и записи в любые новые серверные директории, которые вы создали после настройки сайта.
  • Полный доступ к местоположению, где создается хранилище конфигурации.
  • Полный доступ к директории, где хранятся журналы ArcGIS Server и право создания этой папки, если она еще не создана вручную. По умолчанию используется директория C:\arcgisserver\logs.
  • Права чтения директорий, содержащих файлы подключения к базе данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если вы выберете систему проверки подлинности Windows вместо проверки подлинности базы данных, то вам также потребуется выдать для учетной записи ArcGIS Server права доступа к записи.
  • Права доступа чтения для папок ГИС-данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если разрешить процессу публикации копировать данные на сервер (см. раздел Автоматическое копирование данных на сервер при публикации), то данные размещаются в серверных директориях, для которых учетной записи ArcGIS Server уже были назначены права при создании сайта. Применять дополнительные права доступа к исходным серверным директориям необязательно.
  • Права с полным управлением к папке Python27. Эта папка существует, только если вы включите в ArcGIS Server 10.9.1 возможности ArcMap Runtime Support. По умолчанию, эта директория - C:\Python27, если вы устанавливали ArcGIS Server на диск C:.

При создании сайта учетная запись ArcGIS Server наделяется правами чтения и записи в каталоге журналов ArcGIS Server. Если вы создаете новую папку журналов, вам необходимо вручную предоставить учетной записи ArcGIS Server права чтения и записи в ней.

Учетной записи ArcGIS Server не нужно быть в группе Windows Администраторы на какой-либо из машин вашего сайта.

Изменение учетной записи ArcGIS Server

Вам не нужно повторно запускать установку ArcGIS Server для изменения учетной записи ArcGIS Server. После установки вы можете изменить учетную запись, запустив утилиту Configure ArcGIS Server Account utility, которая входит в комплект программного обеспечения. Это можно сделать и в ответ на изменение политики безопасности или при устранении неполадок сервера.

Запустите эту утилиту вместо того, чтобы вручную менять учетную запись ArcGIS Server инструментами операционной системы. Утилита предназначена для предоставления доступа ко всем необходимым директориям (как описано выше), кроме директории Python 2.7, на всех компьютерах в системе. Ошибка при изменении учетной записи вручную может привести к сбою сервера и выходу системы из строя.

Примечание:

Инструмент Configure ArcGIS Server Account utility не предоставляет директории Python 2.7 никаких прав. Вам нужно вручную предоставить папке Python 2.7 права доступа после запуска утилиты.

Чтобы изменить учетную запись ArcGIS Server с помощью утилиты, выполните следующие действия:

  1. На одной машине сайта ArcGIS Server откройте утилиту Configure ArcGIS Server Account.
  2. Введите имя пользователя и пароль для учетной записи, которую вы желаете назначить для учетной записи ArcGIS Server. Щелкните Далее.
  3. Дополнительно укажите корневой каталог сервера и местоположения хранилища конфигурации, используемого вашим сайтом ArcGIS Server. Например:
    • Если корневой каталог вашего сайта и хранилище конфигурации доступны через локальные пути с именами диска и вы указали эти директории в утилите, то она автоматически выдаст права доступа чтения и записи новой учетной записи для директорий.
    • Если корневой каталог вашего сайта и хранилище конфигурации используют сетевые пути (UNC), оставьте эти поля пустыми и выдайте права доступа чтения и записи новой учетной записи для директорий вручную после завершения работы утилиты.
  4. При необходимости укажите положение директории журналов. Если вы ввели местоположение, то утилита автоматически предоставит новой учетной записи права для чтения и записи для данной директории. Если вы оставите данное поле пустым, то вам потребуется выдать вручную права доступа чтения и записи новой учетной записи для директорий каждой машины вашего сайта ArcGIS Server развертывания вручную после завершения работы утилиты.
    Примечание:

    Директория журналов не имеет отношения к местоположению директорий сервера или хранилища конфигураций. Если вы изменили местоположение директории журналов, постарайтесь сохранить местоположение на корневом уровне вашего сайта ArcGIS Server. Нельзя задать сетевую директорию в качестве местоположения журналов. Дополнительная информация приведена в разделе О журналах сервера.

  5. Щелкните Далее.
  6. В диалоговом окне Экспорт файла конфигурации сервера рассмотрите следующие возможности:
    • Если у вас есть несколько машин на сайте ArcGIS Server, выполните экспорт файла конфигурации. Это обезопасит вас от необходимости ввода информации в утилиту для оставшихся компьютеров вашего сайта. Так вы можете быть уверены в том, что учетная запись ArcGIS Server настроена одинаково на всех компьютерах вашего сайта. Укажите безопасное местоположение для файла конфигурации и нажмите Далее.
    • Вы можете экспортировать и сохранить файл конфигурации, если у вас есть одна машина на сайте ArcGIS Server, а файл конфигурации можно на всякий случай сохранить. Убедитесь, что файл сохранен в безопасном местоположении, и щёлкните Далее.
  7. На итоговой панели просмотрите свойства учетной записи и нажмите Настроить. Ваша новая учетная запись будет настроена в качестве учетной записи ArcGIS Server. Закройте утилиту.
  8. Запустите утилиту на каждом из оставшихся компьютеров вашего сайта. Вы можете указать утилите файл конфигурации, созданный ранее, или ввести информацию, которую вы предоставили выше.
  9. Выдайте новой учетной записи права чтения директорий, содержащих файлы данных и файлы подключения к базе данных, которые вы зарегистрировали при помощи сайта ArcGIS Server. Если вы используете аутентификацию Windows вместо аутентификации средствами базы данных, то вам также потребуется выдать для учетной записи права доступа записи для файлов подключения.

Изменение учетной записи ArcGIS Server из командной строки

Чтобы не запускать мастер утилиты ArcGIS Server Configure ArcGIS Server Account, вы можете запустить исполняемый файл из командной строки. Утилита командной строки ServerConfigurationUtility.exe устанавливается в папку <ArcGIS Server installation location>\bin. Вы можете собрать в скрипт обновления на учётной записи ArcGIS Server после применения обновлений в политике безопасности вашей организации.

Доступны следующие параметры:

ServerConfigurationUtility /readconfig /writeconfig /username /password /rsdir /csdir /logsdir

  • /readconfig – необязательный путь к файлу конфигурации, сохраненный при предыдущем выполнении утилиты.
  • /writeconfig – необязательный путь к папке, где будет сохранен файл конфигурации, чтобы можно было применить те же свойства при последующих запусках утилиты.
  • /username – имя для учетной записи ArcGIS Server.
  • /password – пароль учетной записи ArcGIS Server.
  • /rsdir – путь к корневому каталогу сервера. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в корневом каталоге сервера.
  • /csdir – директория хранилища конфигурации. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в хранилище конфигурации.
  • /logsdir – путь к каталогу журналов ArcGIS Server. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в каталоге журналов.

Пример: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs

Определение региональных настроек (локали) учетной записи ArcGIS Server

В качестве локали учетной записи ArcGIS Server выбирается локаль учетной записи Windows, заданная в процессе установки. Если учетная запись не указана и используется учетная запись по умолчанию (arcgis), ее локаль определяется настройками ОС. Локаль имеет важное значение, поскольку все сообщения, генерируемые ArcGIS Server, например, журналы, отображаются на языке учетной записи ArcGIS Server. Чтобы сообщения отображались на другом языке или в другом формате, вам надо изменить язык отображения для учётной записи ArcGIS Server на каждой машине вашего сайта ArcGIS Server. См. документацию Microsoft для получения конкретных инструкций, касающихся используемой вами версии операционной системы.