Skip To Content

Настройка учетной записи ArcGIS Server

Во время работы ArcGIS Server он запускает и останавливает процессы, читает и записывает данные в папки файловой системы, а также обменивается данными с другими компьютерами. Для безопасного выполнения этих операций используется учетная запись операционной системы, указываемая при установке ArcGIS Server. В документации она называется учетной записью ArcGIS Server.

Когда используется учетная запись ArcGIS Server

Учетная запись ArcGIS Server используется для следующих целей:

  • Запуск и остановка процессов, поддерживающих ArcGIS Server и сервисы.
  • Чтение ГИС-данных за сервисами, когда зарегистрированная база данных использует аутентификацию операционной системы.
  • Чтение и запись файлов в директориях ArcGIS Server, например, при создании кэша карты учетная запись ArcGIS Server записывает листы кэша в директорию кэша сервера.
  • Чтение и запись файлов в хранилище конфигурации.
  • Чтение и запись файлов в папку установки ArcGIS Server и системную директорию temp; например, учетная запись записывает файлы журнала, которые можно использовать для диагностики сервера.
  • Чтение и запись сообщений журнала в папке журналов.
Примечание:

Учетная запись ArcGIS Server не является учетной записью основного администратора сайта, заданную вами при создании сайта ArcGIS Server. Дополнительные сведения см. в разделе Защита вашего сайта ArcGIS Server.

Какую учетную запись сделать учетной записью ArcGIS Server

По умолчанию имя учетной записи ArcGIS Server – arcgis. Принятие данных значений по умолчанию подходит для большинства непроизводственных развертываний, однако для производственных систем рекомендуется перед установкой ArcGIS Server создать домен или учетную запись Active Directory. Если ваша политика безопасности требует применения паролей со сроком действия, то вам необходимо будет запустить утилиту настройки учетной записи Configure ArcGIS Server для обновления пароля с истекшим сроком действия.

Вы можете указать локальную или доменную учетную запись. Вы можете экспортировать файл конфигурации установки в процессе инсталляции ArcGIS Server на первом компьютере сайта и использовать этот файл для инсталляции ArcGIS Server на всех остальных компьютерах сайта. Таким образом, вы можете гарантировать, что учетная запись ArcGIS Server настроена аналогично на всех компьютерах вашего сайта.

Доменная учетная запись

Доменная учетная запись обеспечивает вам доступ к данным в удаленных системах. Доменная учетная запись предпочтительнее и с точки зрения безопасности, поскольку управление ею осуществляется централизованно.

При задании учетной записи домена, используйте формат DOMAIN\username. Если вы не указываете домен, мастер установки ArcGIS Server создаёт локальную учётную запись с указанным вами именем пользователя. Если указать несуществующую доменную учетную запись, программа установки сообщит об ошибке.

Если настройки входа запрещают вход с машины, на которой установлен ArcGIS Server, вы получите во время установки сообщение об ошибке. Настраивать для учетной записи ArcGIS Server параметр групповой политики Локальный вход необязательно. Более подробно см. Варианты дополнительных настроек.

Локальная учётная запись

Если вы выбрали локальную учетную запись, она должна существовать на каждом компьютере сайта ArcGIS Server с одинаковым именем и паролем. Вы можете самостоятельно создать локальную учётную запись с одинаковым паролем на всех компьютерах перед установкой ArcGIS Server; вы также можете разрешить мастеру установки ArcGIS Serverсоздать эту локальную учетную запись. Необходимо использовать одинаковые имя пользователя и пароль на всех компьютерах сайта.

Если в процессе установки вы создали новую локальную учетную запись, пароль необходимо задавать в соответствии с локальной политикой безопасности вашей ОС. Если пароль не соответствует минимальным требованиям ОС, в процессе установки появится сообщение об ошибке. Обратитесь к документации Microsoft по поводу используемой вами версии Windows, чтобы узнать, как проверить политику безопасности на ваших машинах.

Групповая управляемая учетная запись сервиса

Групповая управляемая учетная запись сервиса (gMSA) это специальная учетная запись домена Active Directory, которая обеспечивает автоматическое управление паролями. Учетная запись не может использоваться для интерактивных входов в систему и ограничена для использования только на предварительно определенной группе серверов.

Использование gMSA особенно удобно, когда служебная учетная запись управляет ПО на нескольких компьютерах, например, при использовании сайта ArcGIS Server на нескольких компьютерах. Поскольку gMSA работает на уровне домена, имеется возможность регулярной смены пароля служебной учетной записи на каждом компьютере без вмешательства вручную.

Утилита командной строки ServerConfigurationUtility, описываемая ниже, может использоваться для настройки запуска службы ArcGIS Server под gMSA. Для параметра имени пользователя, групповая управляемая учетная запись сервиса может быть задана с и без символа $ в конце. Параметр пароля не требуется. Параметры readconfig и writeconfig с групповой управляемой учетной записью сервиса работают одинаково.

Пример команды для настройки gMSA в качестве учетной записи ArcGIS Server:

ServerConfigurationUtility.exe /username mydomain\enterprise-gmsa$ /writeconfig c:\temp\domainaccountconfig.xml

Использование родной учётной записи Windows Local System для запуска сервера ArcGIS Server

Вы можете использовать учетную запись Local System из Windows для запуска сервиса ArcGIS Server; однако это не рекомендуется по следующим причинам:

  • У учётной записи Windows LocalSystem очень много прав, это может плохо повлиять на безопасность. Подробные сведения см. в разделе Использование учетной записи LocalSystem в качестве служебной учетной записи для входа в систему в Microsoft Development Center.
  • Учетная запись LocalSystem не предназначена для доступа к сетевым папкам. Для доступа к сервису и данным сайта под учетной записью LocalSystem вам надо хранить данные локально.
  • Вы не можете использовать LocalSystem в качестве учетной записи ArcGIS Server на сайте с несколькими машинами.

Права доступа для учетной записи ArcGIS Server

При установке ArcGIS Server учетной записи ArcGIS Server предоставляются права выполнения базовых функций, таких как запуск и остановка процессов сервера. Кроме того, учетная запись получает права чтения во всех папках каталога установки ArcGIS Server и полный доступ к следующим папкам:

  • <ArcGIS Server installation directory>\framework
  • <ArcGIS Server installation directory>\usr
  • <ArcGIS Server installation directory>\bin
  • <ArcGIS Server installation directory>\XMLSchema
  • <ArcGIS Server installation directory>\DatabaseSupport

Перед созданием сайта, предоставьте следующие права учетной записи ArcGIS Server:

  • Полный доступ к местоположению, где создаются серверные директории. Вам необходимо предоставить учетной записи ArcGIS Server права для чтения и записи в любые новые серверные директории, которые вы создали после настройки сайта.
  • Полный доступ к местоположению, где создается хранилище конфигурации.
  • Полный доступ к директории, где хранятся журналы ArcGIS Server и право создания этой папки, если она еще не создана вручную. По умолчанию используется директория C:\arcgisserver\logs.
  • Права чтения директорий, содержащих файлы подключения к базе данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если вы выберете систему проверки подлинности Windows вместо проверки подлинности базы данных, то вам также потребуется выдать для учетной записи ArcGIS Server права доступа к записи.
  • Права доступа чтения для папок ГИС-данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если в процессе публикации разрешить копирование данных на сервер (см. раздел Копирование данных при публикации в ArcGIS Server), то данные будут размещены в директориях сервера, где для учетной записи ArcGIS Server права доступа уже предоставлены. Применять дополнительные права доступа к исходным серверным директориям необязательно.
  • Права с полным управлением к папке Python27. Эта папка существует, только если вы включите в ArcGIS Server 10.9.1 возможности ArcMap Runtime Support. По умолчанию, эта директория - C:\Python27, если вы устанавливали ArcGIS Server на диск C:.

При создании сайта учетная запись ArcGIS Server наделяется правами чтения и записи в каталоге журналов ArcGIS Server. Если вы создаете новую папку журналов, вам необходимо вручную предоставить учетной записи ArcGIS Server права чтения и записи в ней.

Учетной записи ArcGIS Server не нужно быть в группе Windows Администраторы на какой-либо из машин вашего сайта.

Изменение учетной записи ArcGIS Server

Вам не нужно повторно запускать установку ArcGIS Server для изменения учетной записи ArcGIS Server. После установки вы можете изменить учетную запись, запустив утилиту Configure ArcGIS Server Account utility, которая входит в комплект программного обеспечения. Это можно сделать и в ответ на изменение политики безопасности или при устранении неполадок сервера.

Запустите эту утилиту вместо того, чтобы вручную менять учетную запись ArcGIS Server инструментами операционной системы. Утилита предназначена для предоставления доступа ко всем необходимым директориям (как описано выше), кроме директории Python 2.7, на всех компьютерах в системе. Ошибка при изменении учетной записи вручную может привести к сбою сервера и выходу системы из строя.

Примечание:

Инструмент Configure ArcGIS Server Account utility не предоставляет директории Python 2.7 никаких прав. Вам нужно вручную предоставить папке Python 2.7 права доступа после запуска утилиты.

Чтобы изменить учетную запись ArcGIS Server с помощью утилиты, выполните следующие действия:

  1. На одной машине сайта ArcGIS Server откройте утилиту Configure ArcGIS Server Account.
  2. Введите имя пользователя и пароль для учетной записи, которую вы желаете назначить для учетной записи ArcGIS Server. Щелкните Далее.
  3. Дополнительно укажите корневой каталог сервера и местоположения хранилища конфигурации, используемого вашим сайтом ArcGIS Server. См. пример ниже:
    • Если корневой каталог вашего сайта и хранилище конфигурации доступны через локальные пути с именами диска и вы указали эти директории в утилите, то она автоматически выдаст права доступа чтения и записи новой учетной записи для директорий.
    • Если корневой каталог вашего сайта и хранилище конфигурации используют сетевые пути (UNC), оставьте эти поля пустыми и выдайте права доступа чтения и записи новой учетной записи для директорий вручную после завершения работы утилиты.
  4. При необходимости укажите положение директории журналов.

    Если вы ввели местоположение, то утилита автоматически предоставит новой учетной записи права для чтения и записи для данной директории. Если вы оставите данное поле пустым, то вам потребуется выдать вручную права доступа чтения и записи новой учетной записи для директорий каждой машины вашего сайта ArcGIS Server развертывания вручную после завершения работы утилиты.

    Примечание:

    Директория журналов не имеет отношения к местоположению директорий сервера или хранилища конфигураций. Если вы изменили местоположение директории журналов, сохраните местоположение на корневом уровне вашего сайта ArcGIS Server. Нельзя задать сетевую директорию в качестве местоположения журналов. Дополнительная информация приведена в разделе Журналы сервера.

  5. Щелкните Далее.
  6. В диалоговом окне Экспорт файла конфигурации сервера рассмотрите следующие возможности:
    • Если у вас есть несколько машин на сайте ArcGIS Server, выполните экспорт файла конфигурации. Это обезопасит вас от необходимости ввода информации в утилиту для оставшихся компьютеров вашего сайта. Так вы можете быть уверены в том, что учетная запись ArcGIS Server настроена одинаково на всех компьютерах вашего сайта. Укажите безопасное местоположение для файла конфигурации и нажмите Далее.
    • Вы можете экспортировать и сохранить файл конфигурации, если у вас есть одна машина на сайте ArcGIS Server, а файл конфигурации можно на всякий случай сохранить. Сохраните его в надежном месте и нажмите Далее.
  7. На итоговой панели просмотрите свойства учетной записи и нажмите Настроить.

    Ваша новая учетная запись будет настроена в качестве учетной записи ArcGIS Server.

  8. Закройте утилиту.
  9. Запустите утилиту на каждом из оставшихся компьютеров вашего сайта.

    Вы можете указать утилите файл конфигурации, созданный ранее, или ввести информацию, которую вы предоставили выше.

  10. Выдайте новой учетной записи права чтения директорий, содержащих файлы данных и файлы подключения к базе данных, которые вы зарегистрировали при помощи сайта ArcGIS Server. Если вы используете аутентификацию Windows, а не аутентификацию средствами базы данных, то вам также потребуется выдать для учетной записи права доступа записи для файлов подключения.

Изменение учетной записи ArcGIS Server из командной строки

Чтобы не запускать мастер утилиты ArcGIS Server Configure ArcGIS Server Account, вы можете запустить исполняемый файл из командной строки. Утилита командной строки ServerConfigurationUtility.exe устанавливается в папку <ArcGIS Server installation location>\bin. Вы можете собрать в скрипт обновления на учётной записи ArcGIS Server после применения обновлений в политике безопасности вашей организации.

Примечание:

Для пользователей Active Directory ServerConfigurationUtility.exe требуется DNS-суффикс, который можно использовать для поиска указанной учетной записи.

Доступны следующие параметры:

ServerConfigurationUtility /readconfig /writeconfig /username /password /rsdir /csdir /logsdir

  • /readconfig – необязательный путь к файлу конфигурации, сохраненный при предыдущем выполнении утилиты.
  • /writeconfig – необязательный путь к папке, где будет сохранен файл конфигурации, чтобы можно было применить те же свойства при последующих запусках утилиты.
  • /username – имя для учетной записи ArcGIS Server.
  • /password – пароль учетной записи ArcGIS Server.
  • /rsdir – путь к корневому каталогу сервера. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в корневом каталоге сервера.
  • /csdir – директория хранилища конфигурации. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в хранилище конфигурации.
  • /logsdir – путь к каталогу журналов ArcGIS Server. Это необязательный параметр, но если вы его не укажете, вам придется вручную предоставить учетной записи ArcGIS Server права чтения и записи в каталоге журналов.

См. следующий пример: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs

Определение региональных настроек (локали) учетной записи ArcGIS Server

В качестве локали учетной записи ArcGIS Server выбирается локаль учетной записи Windows, заданная в процессе установки. Если учетная запись не указана и используется учетная запись по умолчанию (arcgis), ее локаль определяется настройками ОС. Локаль имеет важное значение, поскольку все сообщения, генерируемые ArcGIS Server, например, журналы, отображаются на языке учетной записи ArcGIS Server. Чтобы сообщения отображались на другом языке или в другом формате, вам надо изменить язык отображения для учётной записи ArcGIS Server на каждой машине вашего сайта ArcGIS Server. См. документацию Microsoft для получения конкретных инструкций, касающихся используемой вами версии операционной системы.