Учетная запись ArcGIS Server—ArcGIS Server | Документация для ArcGIS Enterprise

ArcGIS Server запускает и останавливает процессы, читает и записывает данные в папки файловой системы, а также взаимодействует с разными компьютерами. Для безопасного выполнения этих операций используется учетная запись операционной системы, указываемая при установке ArcGIS Server. В документации она называется учетной записью ArcGIS Server.

Когда используется учетная запись ArcGIS Server

Учетная запись ArcGIS Server используется для следующих целей:

Запуск и остановка процессов, поддерживающих ArcGIS Server и сервисы.
Чтение ГИС-данных за сервисами, когда зарегистрированная база данных использует аутентификацию операционной системы.
Выполните чтение и запись файлов в директориях ArcGIS Server. Например, при создании кэша карты учетная запись ArcGIS Server записывает листы кэша в директорию кэша сервера.
Чтение и запись файлов в хранилище конфигурации.
Чтение и запись файлов в папку установки ArcGIS Server и системную директорию temp. Например, учетная запись записывает файлы журнала, которые можно использовать для диагностики сервера.
Чтение и запись сообщений журнала в папке журналов.

Примечание:

Учетная запись ArcGIS Server не является учетной записью основного администратора сайта, заданную вами при создании сайта ArcGIS Server. Дополнительные сведения см. в разделе Защита вашего сайта ArcGIS Server.

Какую учетную запись сделать учетной записью ArcGIS Server

По умолчанию имя учетной записи ArcGIS Server – arcgis. Принятие данных значений по умолчанию подходит для большинства непроизводственных развертываний, однако для производственных систем рекомендуется перед установкой ArcGIS Server создать домен или учетную запись Active Directory. Если ваша политика безопасности требует применения паролей со сроком действия, то вам необходимо будет запустить утилиту настройки учетной записи для обновления пароля с истекшим сроком действия.

Вы можете указать локальную или доменную учетную запись. Вы можете экспортировать файл конфигурации установки в процессе инсталляции ArcGIS Server на первом компьютере сайта и использовать этот файл для инсталляции ArcGIS Server на всех остальных компьютерах сайта. Таким образом, вы гарантируете, что учетная запись ArcGIS Server настроена одинаково на всех компьютерах вашего сайта.

Доменная учетная запись

Доменная учетная запись обеспечивает вам доступ к данным в удаленных системах. Доменная учетная запись предпочтительнее и с точки зрения безопасности, поскольку управление ею осуществляется централизованно.

При задании учетной записи домена, используйте формат DOMAIN\username. Если вы не указываете домен, мастер установки ArcGIS Server создаёт локальную учётную запись с указанным вами именем пользователя. Если указать несуществующую доменную учетную запись, программа установки сообщит об ошибке.

Если настройки входа запрещают вход с машины, на которой установлен ArcGIS Server, вы получите во время установки сообщение об ошибке. Настраивать для учетной записи ArcGIS Server параметр групповой политики Локальный вход необязательно. Более подробно см. Дополнительные вопросы использования доменных учетных записей.

Локальная учётная запись

Если вы выбрали локальную учетную запись, она должна существовать на каждом компьютере сайта ArcGIS Server с одинаковым именем и паролем. Вы можете создать локальную учетную запись с одинаковым паролем на всех компьютерах перед установкой ArcGIS Server, либо разрешить мастеру установки ArcGIS Server создать локальную учетную запись, но при этом обязательно использовать одинаковые имя пользователя и пароль на всех компьютерах сайта.

Если в процессе установки вы создали новую локальную учетную запись, пароль необходимо задавать в соответствии с локальной политикой безопасности вашей ОС. Если пароль не соответствует минимальным требованиям ОС, в процессе установки появится сообщение об ошибке.

Чтобы узнать требования к паролям на локальном компьютере, откройте консоль Локальная политика безопасности. Информацию о том, как получить доступ к локальной политике безопасности, см. в документации Microsoft Windows.

Групповая управляемая учетная запись сервиса

Групповая управляемая учетная запись сервиса (gMSA) это специальная учетная запись домена Active Directory, которая обеспечивает автоматическое управление паролями. Учетная запись не может использоваться для интерактивных входов в систему и ограничена для использования только на предварительно определенной группе серверов.

Использование gMSA особенно удобно, когда служебная учетная запись управляет ПО на нескольких компьютерах, например, при использовании сайта ArcGIS Server на нескольких компьютерах. Поскольку gMSA работает на уровне домена, имеется возможность регулярной смены пароля служебной учетной записи на каждом компьютере без вмешательства вручную.

Утилита configureserviceaccount, описываемая ниже, может использоваться для настройки запуска сервиса ArcGIS Server под gMSA. Для параметра имени пользователя, групповая управляемая учетная запись сервиса может быть задана с и без символа $ в конце. Параметр пароля не требуется. Параметры readconfig и writeconfig с групповой управляемой учетной записью сервиса работают одинаково.

Пример команды для настройки gMSA в качестве учетной записи ArcGIS Server:

configureserviceaccount.bat --username mydomain\enterprise-gmsa$ --writeconfig c:\temp\domainaccountconfig.xml

Использование родной учётной записи Windows Local System для запуска сервера ArcGIS Server

Не рекомендуется использовать учетную запись локальной системы Windows для запуска сервиса ArcGIS Server по следующим причинам:

У учётной записи Windows LocalSystem очень много прав, это может плохо повлиять на безопасность. Подробные сведения см. в разделе Учетная запись LocalSystem в Microsoft Development Center.
Учетная запись LocalSystem не предназначена для доступа к сетевым папкам. Для доступа к сервису и данным сайта под учетной записью LocalSystem вам надо хранить данные локально.
Вы не можете использовать LocalSystem в качестве учетной записи ArcGIS Server на сайте с несколькими машинами.

Права доступа для учетной записи ArcGIS Server

При установке ArcGIS Server учетной записи ArcGIS Server предоставляются права выполнения базовых функций, таких как запуск и остановка процессов сервера. Кроме того, учетная запись получает права чтения во всех папках каталога установки ArcGIS Server и полный доступ к следующим папкам:

<ArcGIS Server installation directory>\bin
<ArcGIS Server installation directory>\DatabaseSupport
<ArcGIS Server installation directory>\framework
<ArcGIS Server installation directory>\usr

Перед созданием сайта учетной записи ArcGIS Server необходимо предоставить следующие права:

Полный доступ к местоположению, где создаются серверные директории. Помните, что вам необходимо предоставить учетной записи ArcGIS Server права для чтения и записи в любые новые серверные директории, которые вы создали после настройки сайта.
Полный доступ к местоположению, где создается хранилище конфигурации.
Полный доступ к директории, где хранятся журналы ArcGIS Server и право создания этой папки, если она еще не создана вручную. По умолчанию используется директория C:\arcgisserver\logs.
Права чтения директорий, содержащих файлы подключения к базе данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если вы выберете систему проверки подлинности Windows вместо проверки подлинности базы данных, то вам также потребуется выдать для учетной записи ArcGIS Server права доступа к записи.
Права доступа чтения для папок ГИС-данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если разрешить процессу публикации копировать данные на сервер (см. раздел Автоматическое копирование данных на сервер при публикации), то данные размещаются в серверных директориях, для которых учетной записи ArcGIS Server уже были назначены права при создании сайта. Применять дополнительные права доступа к исходным серверным директориям необязательно.

При создании сайта учетная запись ArcGIS Server наделяется правами чтения и записи в каталоге журналов ArcGIS Server. Если вы создаете новую папку журналов, вам необходимо вручную предоставить учетной записи ArcGIS Server права чтения и записи в ней.

Учетной записи ArcGIS Server не нужно быть в группе Windows Администраторы на какой-либо из машин вашего сайта.

Изменение учетной записи ArcGIS Server

Вам не нужно повторно запускать установку ArcGIS Server для изменения учетной записи ArcGIS Server. После установки вы можете изменить учетную запись, запустив утилиту настройки учетной записи, которая входит в комплект программного обеспечения. К примеру, это можно сделать и в ответ на изменение политики безопасности или при устранении неполадок сервера.

Утилита предназначена для изменения учетной записи RunAs, назначенной сервису ArcGIS Server, и предоставления учетной записи разрешений на чтение всех папок в директории установки ArcGIS Server, а также разрешений на полный контроль над следующими папками:

<ArcGIS Server installation directory>\bin
<ArcGIS Server installation directory>\DatabaseSupport
<ArcGIS Server installation directory>\framework
<ArcGIS Server installation directory>\usr

После использования утилиты configureserviceaccount для изменения используемого сервиса ArcGIS Server используйте средства операционной системы для обновления следующих местоположений, используемых ArcGIS Server, со следующими разрешениями:

Разрешения на полный контроль над всеми директориями сервера, директорией хранилища конфигурации и директорией журнала ArcGIS Server. Используйте директорию администратора ArcGIS Server Manager или ArcGIS Server, чтобы найти эти директории.
Права чтения директорий, содержащих файлы подключения к базе данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если вы выберете систему проверки подлинности Windows вместо проверки подлинности базы данных, то вам также потребуется выдать для учетной записи ArcGIS Server права доступа к записи.
Права доступа чтения для папок ГИС-данных, которые вы зарегистрируете на сайте ArcGIS Server перед публикацией веб-сервисов. Если разрешить процессу публикации копировать данные на сервер, то данные размещаются в серверных директориях, для которых учетной записи ArcGIS Server уже были назначены права, и вам больше не нужно применять никаких разрешений к вашим исходным директориям сервера.

Утилита configureserviceaccount устанавливается в следующую папку <ArcGIS Server installation directory>\tools\ConfigUtility. Этот инструмент задает новую учетную запись для запуска сервиса ArcGIS Server и предоставляет необходимые права доступа к местоположениям директорий установки ArcGIS Server, используемых этим сервисом.

В следующем примере утилита configureserviceaccount настраивает учетную запись домена для запуска сервиса ArcGIS Server, предоставляет учетной записи права, необходимые для доступа к папкам и файлам директории установки ArcGIS Server, и записывает файл конфигурации с информацией учетной записи Windows на ваш диск.

Примечание:

Утилита configureserviceaccount должна запускаться из окна командной строки, открытого с использованием опции Запуск от имени администратора.

configureserviceaccount.bat --username mydomain\username --password difficultpsswd --writeconfig c:\temp\domainaccountconfig.xml

Примечание:

Изменение учетной записи, под которой работает сервис, приведет к его перезапуску.

У утилиты configureserviceaccount есть следующие параметры:

configureserviceaccount [--username username] [--password password] [--readconfig user-configuration-file] [--writeconfig user-configuration-file]

username — имя, используемое для учетной записи ArcGIS Server
password — пароль, используемый для учетной записи ArcGIS Server
readconfig — необязательный путь к файлу конфигурации, сохраненный при предыдущем выполнении утилиты
writeconfig — необязательный путь к папке, где будет сохранен файл конфигурации, чтобы можно было применить те же свойства при последующих запусках утилиты

Определение региональных настроек (локали) учетной записи ArcGIS Server

В качестве локали учетной записи ArcGIS Server выбирается локаль учетной записи Windows, заданная в процессе установки. Если учетная запись не указана и используется учетная запись по умолчанию (arcgis), ее локаль определяется настройками ОС. Локаль имеет важное значение, поскольку все сообщения, генерируемые ArcGIS Server, например, журналы, отображаются на языке учетной записи ArcGIS Server. Чтобы сообщения отображались на другом языке или в другом формате, вам надо изменить язык отображения для учётной записи ArcGIS Server на каждой машине вашего сайта ArcGIS Server. См. документацию Microsoft для получения конкретных инструкций, касающихся используемой вами версии операционной системы.

Отзыв по этому разделу?