Das ArcGIS-Server-Konto

Ein ArcGIS-Server muss für seine Arbeit Prozesse starten und beenden, Daten lesen und an Speicherorte im Dateisystem schreiben sowie mit Computern kommunizieren. Für die sichere Ausführung dieser Schritte wird ein Betriebssystemkonto verwendet, das Sie bei der Installation von ArcGIS for Server festlegen. Dieses wird in der Dokumentation als ArcGIS- Server-Konto bezeichnet.

Einsatzbereich des ArcGIS-Server-Kontos

Das ArcGIS-Server-Konto wird für folgende Aufgaben verwendet:

HinweisHinweis:

Das ArcGIS-Server-Konto ist nicht mit dem primären Site-Administrator zu vergleichen, der beim Erstellen der ArcGIS- Server-Site festlegen. Weitere Informationen hierzu finden Sie unter Sichern Ihrer ArcGIS-Server-Site.

Als ArcGIS-Server-Konto festzulegendes Konto

Für das ArcGIS-Server-Konto wird standardmäßig der Name arcgis verwendet. Diese Standardeinstellung ist für die meisten nicht produktionsbezogenen Bereitstellungen ausreichend. Bei Produktionssystem wird jedoch empfohlen, vor der Installation von ArcGIS for Server eine Domäne oder ein Active Directory-Konto zu erstellen. Wenn die Sicherheitsrichtlinie Ihrer Organisation nur für einen bestimmten Zeitraum gültige Kennwörter erfordert, müssen Sie das Dienstprogramm "ArcGIS-Server-Konto konfigurieren" erneut ausführen, um das abgelaufene Kennwort zu aktualisieren.

Sie können ein lokales Konto oder ein Domänenkonto auswählen. Es wird empfohlen, die Setup-Konfigurationsdatei zu exportieren und bei nachfolgenden Installationen von ArcGIS for Server zu verwenden. Auf diese Weise können Sie sicherstellen, dass das ArcGIS-Server-Konto auf allen GIS-Servern der Site genau gleich konfiguriert ist.

Verwenden eines lokalen Kontos

Wenn Sie ein lokales Konto ausgewählt haben, muss dieses zusammen mit dem Kennwort auf jedem GIS-Server vorhanden sein. An einem Standort mit mehreren GIS-Servern müssen alle GIS-Server dasselbe ArcGIS-Server-Konto verwenden. Wenn Sie ein lokales Konto angeben, das nicht vorhanden ist, wird das Konto während der Installation für Sie erstellt.

Wenn Sie im Rahmen der Installation ein neues lokales Konto erstellen, muss das Kennwort, das Sie für das Konto angeben, der lokalen Sicherheitsrichtlinie des Betriebssystems entsprechen. Wenn das Kennwort die minimale Kennwortstärke des Betriebssystems nicht erfüllt, wird bei der Installation ein Fehler zurückgegeben. Sie können eine Erläuterung der Anforderungen unter Windows anzeigen, indem Sie die folgenden Schritte ausführen:

  1. Öffnen Sie in der Systemsteuerung Lokale Sicherheitsrichtlinie, und erweitern Sie Kontorichtlinien.
  2. Wählen Sie den Ordner Kennwortrichtlinie, und doppelklicken Sie auf Kennwort muss Komplexitätsvoraussetzungen entsprechen.
  3. Klicken Sie im Dialogfeld "Eigenschaften" für Kennwort muss Komplexitätsvoraussetzungen entsprechen auf die Registerkarte Erklärung.

Verwenden eines Domänenkontos

Ein Domänenkonto vereinfacht den Zugriff auf Daten in Remote-Systemen. In vielen Szenarien ist ein Domänenkonto aus Sicherheitsgründen vorzuziehen, da das Konto zentral verwaltet wird.

Wenn sie ein Domänenkonto angeben, verwenden Sie das Format DOMAIN\Benutzername. Wenn Sie keine Domäne festlegen, wird ein lokales Konto mit demselben Benutzernamen erstellt. Wenn Sie ein Domänenkonto angeben, das nicht vorhanden ist, wird bei der Installation ein Fehler zurückgegeben.

Wenn Sie über keine Anmelderechte für den Computer verfügen, auf dem ArcGIS-Server installiert ist, wird bei der Installation eine Fehlermeldung angezeigt. Es ist nicht notwendig, dem Benutzer die Gruppenrichtlinieneinstellungen Lokal anmelden für das ArcGIS-Server-Konto zu erteilen. Weitere Informationen finden Sie unter Erweiterte Überlegungen bei der Verwendung von Domänenkonten.

Ich verfüge über ein SOC-Konto aus einer früheren Installation des ArcGIS-Servers. Kann ich dieses als ArcGIS-Server-Konto festlegen?

Vorherige Versionen von ArcGIS for Server erforderten die Erstellung eines Kontos mit der Bezeichnung "SOC-Konto" und die Erteilung von Berechtigungen für alle Datenordner. Wenn Sie bereits über ein SOC-Konto mit entsprechenden Berechtigungen verfügen, können Sie es nach Wunsch als ArcGIS-Server-Konto angeben. Dadurch kann der Aufwand für die Neuzuweisung von Berechtigungen während der Migration reduziert oder eliminiert werden.

Kann ich das lokale System als "Anmelden als"-Konto zum Betrieb des ArcGIS-Servers verwenden?

Die Frage, ob der ArcGIS-Server-Windows-Dienst für die Ausführung unter einem systemeigenen LocalSystem-Konto von Windows konfiguriert werden kann, wird häufig gestellt. Dies ist möglich, indem Sie im Dialogfeld Windows-Dienste mit der rechten Maustaste auf den ArcGIS-Server-Dienst klicken und die Eigenschaften des Dienstes so konfigurieren, dass er als LocalSystem angemeldet wird. Wenn der Dienst auf diese Weise konfiguriert wird, muss Folgendes beachtet werden:

  • Das LocalSystem-Konto weist hohe Berechtigungen mit sicherheitsbezogenen Auswirkungen auf, die Sie berücksichtigen müssen. Weitere Informationen finden Sie unter Das LocalSystem-Konto im Microsoft Development Center.
  • Das LocalSystem-Konto ist für den Zugriff auf Netzwerkstandorte vorgesehen. Damit das Konto auf den Dienst und die Site-Daten zugreifen kann, müssen die Daten lokal gespeichert werden.
  • Verwenden Sie LocalSystem auf einer Site mit mehreren GIS-Servern nicht als ArcGIS-Server-Konto.

Welche Berechtigungen müssen dem ArcGIS-Server-Konto zugewiesen werden?

Durch die Installation von ArcGIS for Server werden dem ArcGIS-Server-Konto Berechtigungen zur Durchführung einfacher Funktionen wie das Starten und Beenden von Serverprozessen gewährt. Zudem werden dem Konto Leseberechtigungen für alle Ordner im Installationsverzeichnis von ArcGIS for Server sowie Berechtigungen zum Vollzugriff auf die folgenden Ordner gewährt:

Bevor Sie die Site erstellen, müssen Sie dem ArcGIS-Server-Konto folgende Berechtigungen gewähren:

Wenn Sie die Site erstellen, werden dem ArcGIS-Server-Konto Lese- und Schreibzugriff auf das ArcGIS- Server-Protokollverzeichnis gewährt. Wenn Sie einen neuen Speicherort für die Protokolle erstellen, müssen Sie dem ArcGIS-Server-Konto den Lese- und Schreibzugriff manuell zuweisen.

Das ArcGIS-Server-Konto muss sich nicht in der Administratorgruppe sämtlicher Computer in Ihrer Site befinden.

Ändern des ArcGIS-Server-Kontos

Sie müssen die ArcGIS for Server-Installation nicht wiederholen, um das ArcGIS-Server-Konto zu ändern. Nach der Installation können Sie das Konto mithilfe des Dienstprogramms "ArcGIS-Server-Konto konfigurieren" ändern, das in der Software enthalten ist. Dies ist möglicherweise bei einer Änderung der Sicherheitsrichtlinie oder der Behebung von Problemen mit dem Server erforderlich.

Es wird empfohlen, dieses Dienstprogramm zu verwenden, anstatt das ArcGIS-Server-Konto manuell mithilfe Ihrer Betriebssystemwerkzeuge zu ändern. Das Dienstprogramm wurde für die Anwendung von Berechtigungen auf alle erforderlichen Verzeichnisse (wie oben erläutert) auf allen Computern der Bereitstellung entworfen. Wenn Sie versuchen, das Konto manuell zu ändern und Ihnen dabei ein Fehler unterläuft, könnte ein Serverfehler verursacht werden, der zu Systemausfällen führt.

Führen Sie folgende Schritte aus, um das ArcGIS-Server-Konto mithilfe des Dienstprogramms zu ändern:

  1. Navigieren Sie auf einem der GIS-Server an Ihrem Standort über das Windows-Menü Start zum Dienstprogramm unter ArcGIS > ArcGIS for Server > ArcGIS-Server-Konto konfigurieren.
  2. Geben Sie den Namen und das Kennwort des Kontos an, das Sie als das ArcGIS-Server-Konto festlegen möchten. Klicken Sie auf Weiter.
  3. Geben Sie optional das Stammserververzeichnis und die Konfigurationsspeicherverzeichnisse an, die von der ArcGIS-Server-Site verwendet werden. Beispiel:
    • Wenn das Stammserververzeichnis und der Konfigurationsspeicher über lokale Laufwerksbuchstabenpfade verfügbar sind und Sie diese Verzeichnisse im Dienstprogramm angeben, gewährt das Dienstprogramm dem neuen Konto automatisch die Lese- und Schreibberechtigungen für diese Verzeichnisse.
    • Wenn das Stammserververzeichnis und der Konfigurationsspeicher Netzwerkpfade (UNC) nutzen, füllen Sie diese Felder nicht aus und gewähren Sie dem neuen Konto die Lese- und Schreibberechtigungen für diese Verzeichnisse manuell, nachdem Sie das Dienstprogramm beendet haben.
  4. Geben Sie optional das Protokollverzeichnis an. Wen Sie ein Verzeichnis eingeben, gewährt das Dienstprogramm dem neuen Konto die Lese- und Schreibberechtigungen für dieses Verzeichnis automatisch. Wenn Sie dieses Feld nicht ausfüllen, müssen Sie dem neuen Konto die Lese- und Schreibberechtigungen für diese Verzeichnisse manuell auf jedem GIS-Server gewähren, nachdem Sie das Dienstprogramm beendet haben.
    HinweisHinweis:

    Das Protokollverzeichnis hat keinen Bezug zu den Serververzeichnissen oder dem Speicherort für den Konfigurationsspeicher. Wenn Sie das Protokollverzeichnis ändern, achten Sie nach Möglichkeit darauf, den Speicherort auf der Stammverzeichnisebenen des GIS-Servers einzurichten. Ein Netzwerkverzeichnis kann nicht als Speicherort für die Protokolle angegeben werden. Weitere Informationen finden Sie unter Serverprotokolle.

  5. Klicken Sie auf Weiter.
  6. Im Dialogfeld Serverkonfigurationsdatei exportieren ist Folgendes zu beachten:
    • Wenn Sie in der Bereitstellung nur einen GIS-Server haben, können Sie die Konfigurationsdatei optional speichern. Sie sollte an einem sicheren Ort gespeichert werden. Klicken Sie auf Weiter.
    • Wenn Sie mehrere GIS-Server in der Bereitstellung haben, exportieren Sie die Konfigurationsdatei. Auf diese Weise müssen Sie die Informationen für die übrigen Rechner der Site nicht erneut im Dienstprogramm eingeben. Auf diese Weise können Sie sicherstellen, dass das ArcGIS-Server-Konto auf allen GIS-Servern der Site genau gleich konfiguriert ist. Geben Sie einen sicheren Speicherort für die Konfigurationsdatei an, und klicken Sie auf Weiter.
  7. Überprüfen Sie im Zusammenfassungsfenster die Kontoeigenschaften, und klicken Sie auf Konfigurieren. Das neue Konto wurde als das ArcGIS-Server-Konto konfiguriert. Schließen Sie das Dienstprogramm.
  8. Führen Sie das Dienstprogramm auf jedem Rechner der Site aus. Sie können das Dienstprogramm auf die zuvor erstellte Konfigurationsdatei verweisen oder die oben angegebenen Informationen erneut eingeben.
  9. Gewähren Sie dem neuen Konto die Leseberechtigungen für die Datenverzeichnisse und die Datenbankverbindungsdateien, die Sie auf dem Server registriert haben. Wenn Sie die Windows-Authentifizierung anstelle der Datenbankauthentifizierung verwenden, müssen Sie dem Konto auch Schreibzugriff auf die Verbindungsdateien gewähren. Anweisungen dazu finden Sie unter Registrieren von Daten bei ArcGIS for Server mit ArcGIS for Desktop.

Ändern des ArcGIS-Server-Kontos über die Befehlszeile

Sie können das ArcGIS-Server-Konto auch über das Befehlszeilendienstprogramm unter <ArcGIS for Server-Installationsverzeichnis>\bin\ServerConfigurationUtility.exe ändern. Die Aktualisierung des Kontos kann für die Skripterstellung praktisch sein, nachdem Aktualisierungen auf die Sicherheitsrichtlinie Ihrer Organisation angewendet wurden.

Folgende Parameter stehen zur Verfügung:

ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]

  • <readconfig> – Optionaler Pfad zu einer Konfigurationsdatei, die Sie bei einer früheren Ausführung des Dienstprogramms gespeichert haben.
  • <writeconfig> – Optionaler Pfad, unter dem eine Konfigurationsdatei gespeichert wird, damit dieselben Eigenschaften bei zukünftigen Ausführungen des Dienstprogramms angewendet werden können.
  • <username> – Der für das ArcGIS-Server-Konto zu verwendende Name.
  • <username> – Das für das ArcGIS-Server-Konto zu verwendende Kennwort.
  • <rsdir> – Der Pfad des Stammserververzeichnisses. Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS-Server-Konto die Lese- und Schreibberechtigungen für das Stammserververzeichnis manuell gewährt werden.
  • <csdir> – Das Verzeichnis des Konfigurationsspeichers Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS-Server-Konto die Lese- und Schreibberechtigungen für den Konfigurationsspeicher manuell gewährt werden.
  • <logsdir> – Der Pfad zum ArcGIS-Server-Protokollverzeichnis. Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS-Server-Konto die Lese- und Schreibberechtigungen für das Protokollverzeichnis manuell gewährt werden.

Beispiel: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs

Angeben des Gebietsschemas des ArcGIS-Server-Kontos

Als Gebietsschema des ArcGIS-Server-Kontos ist das Gebietsschema des Windows-Kontos festgelegt, das während der Installation angegeben wurde. Wenn kein Konto angegeben wurde und der Standardwert (arcgis) verwendet wird, wird das Gebietsschema des Kontos durch Ihre Betriebssystemeinstellungen festgelegt. Das Gebietsschema ist wichtig, da alle vom Server generierten Meldungen (z. B. Protokolle) im Gebietsschema des ArcGIS-Server-Kontos angezeigt werden. Um die Meldungen des Servers in einer anderen Sprache oder einem anderen Format anzuzeigen, gehen Sie wie folgt vor:

  1. Melden Sie sich am Computer, auf dem der ArcGIS-Server gehostet wird, über das ArcGIS-Server-Konto an.
  2. Öffnen Sie die Systemsteuerung, und wählen Sie Region und Sprache.
  3. Klicken Sie auf die Registerkarte Formate, und wählen Sie in der Dropdown-Liste Format das entsprechende Land aus.
  4. Klicken Sie auf die Registerkarte Tastaturen und Sprachen, und ändern Sie die Anzeigesprache zur gewünschten Sprache.
  5. Klicken Sie auf die Registerkarte Verwaltung, und wählen Sie das gewünschte Systemgebietsschema durch Klicken auf die Schaltfläche Gebietsschema ändern.
  6. Klicken Sie auf OK.
5/16/2014