ArcGIS 10.1 for Server (Windows) - Compte ArcGIS Server

Lorsqu'ArcGIS Server fait son travail, il doit démarrer et arrêter des processus, lire et écrire des données dans des emplacements du système de fichiers et communiquer entre les ordinateurs. Pour effectuer ces opérations en toute sécurité, il utilise un compte de système d'exploitation que vous spécifiez lorsque vous installez ArcGIS for Server. On parlera dans cette documentation du compte ArcGIS Server.

Quand est-ce que le compte ArcGIS Server est-il utilisé ?

Il est utilisé pour effectuer les opérations suivantes :

Démarrer et arrêter les processus qui assurent le fonctionnement des services et du serveur SIG.
Lire les données SIG de base de vos services.
Lire et écrire des fichiers dans les répertoires d'ArcGIS Server. Par exemple, lorsque vous créez un cache de carte, le compte ArcGIS Server écrit les tuiles du cache dans votre répertoire de cache du serveur.
Lire et écrire des fichiers dans le magasin de configuration. Par exemple, lorsque vous créez un cluster dans le Gestionnaire, le compte ArcGIS Server écrit les informations de configuration du cluster dans des fichiers du magasin de configuration.
Lire et écrire des fichiers dans le répertoire d'installation et le répertoire système temporaire d'ArcGIS for Server. Par exemple, le compte écrit des fichiers journaux que vous pouvez utiliser pour dépanner le serveur.
Lire et écrire des messages de consignation dans le répertoire des journaux.

Remarque :

Ne confondez pas le compte ArcGIS Server et celui de l'administrateur principal du site que vous définissez lorsque vous créez le site ArcGIS Server. Pour plus d'informations, reportez-vous à la rubrique Sécurisation du site ArcGIS Server.

Quel compte dois-je désigner comme étant le compte ArcGIS Server ?

Par défaut, le compte ArcGIS Server, prend le nom arcgis. Dans la plupart des déploiements non destinés à la production, cette valeur par défaut s'avère suffisante ; cependant, pour les systèmes de production, il est conseillé de créer un compte de domaine ou Active Directory avant d'installer ArcGIS Server. Si l'expiration des mots de passe est exigée par la stratégie de sécurité de votre organisation, notez que vous devrez exécuter l'utilitaire Configurer le compte ArcGIS Server pour mettre à jour le mot de passe qui a expiré.

Vous êtes autorisé à spécifier un compte local ou un compte de domaine. Un compte de domaine permet d'accéder plus facilement aux données sur les systèmes distants. Dans de nombreux cas, un compte de domaine est également préférable pour des raisons de sécurité, car le compte est géré centralement.

Si vous avez choisi un compte local, ce compte et le mot de passe doivent exister sur chaque serveur SIG et être identiques. Sur un site doté de plusieurs serveurs SIG, chacun d'entre eux doit utiliser le même compte ArcGIS Server.

Si vous spécifiez un compte local qui n’existe pas, un compte est créé pour vous à l'installation. Si vous spécifiez un compte de domaine qui n'existe pas, l'installation renvoie une erreur.

La méthode recommandée consiste à exporter le fichier de configuration et à le réutiliser sur les installations suivantes d'ArcGIS Server. De cette manière, vous avez la garantie que la configuration du compte ArcGIS Server est parfaitement identique sur tous les serveurs SIG de votre site.

Je possède un compte utilisateur du conteneur ArcGIS d'une installation précédente d'ArcGIS Server. Puis-je le désigner comme compte ArcGIS Server ?

Les versions précédentes d'ArcGIS Server nécessitent la création d'un compte appelé compte utilisateur du conteneur ArcGIS, qui doit disposer d'autorisations sur tous les dossiers de données. Si vous possédez déjà un compte utilisateur du conteneur ArcGIS doté des autorisations en question, vous pouvez le spécifier comme compte ArcGIS Server si vous le souhaitez. Ceci peut réduire ou éliminer la réaffectation des autorisations que vous devez réaliser au cours de la migration.

Puis-je utiliser le compte Système local comme compte de connexion pour exécuter ArcGIS Server ?

Les gens demandent souvent si le service Windows d'ArcGIS Server peut être configuré pour s'exécuter sous le compte Système local natif de Windows. Cela est possible. Pour ce faire, cliquez avec le bouton droit de la souris sur le service ArcGIS Server dans la boîte de dialogue Services Windows et configurez les propriétés du service de manière à ce qu'il se connecte en tant que Système local. Tenez compte des points suivants si vous configurez le service de cette manière :

Le compte Système local dispose de privilèges élevés avec des implications en matière de sécurité que vous devez connaître. Pour en savoir plus, consultez l'article sur le compte Système local dans le centre de développement de Microsoft.
Le compte Système local n'a pas vocation à accéder aux emplacements réseau. Pour que le compte puisse accéder aux données de votre service et du site, elles doivent être stockées localement.
Sur un site doté de plusieurs serveurs SIG, n'utilisez pas Système local comme compte ArcGIS Server.

Quels privilèges dois-je octroyer au compte ArcGIS Server ?

Lors de l'installation d'ArcGIS for Server, des privilèges sont octroyés au compte ArcGIS Server. Ils permettent d'effectuer des fonctions de base, telles que démarrer et arrêter des processus serveur. Des autorisations de lecture sur tous les dossiers du répertoire d'installation d'ArcGIS for Server sont également accordées au compte, ainsi que des autorisations de contrôle total sur les dossiers suivants :

<répertoire d'installation d'ArcGIS for Server>\framework
<répertoire d'installation d'ArcGIS for Server>\geronimo
<répertoire d'installation d'ArcGIS for Server>\usr
<répertoire d'installation d'ArcGIS for Server>\bin
<répertoire d'installation d'ArcGIS for Server>\XMLSchema

Avant de créer votre site, vous devez accorder les autorisations suivantes au compte ArcGIS Server :

Autorisations d'accès en lecture et en écriture à l'emplacement où seront créés vos répertoires de serveur. N'oubliez pas que vous devez accorder au compte ArcGIS Server des autorisations en lecture et en écriture à tout nouveau répertoire créé après la configuration de votre site.
Autorisations d'accès en lecture et en écriture à l'emplacement où sera créé votre magasin de configuration.
Autorisations en lecture aux répertoires contenant les fichiers de connexion à la base de données que vous inscrivez auprès du serveur avant la publication. Si vous comptez utiliser l'authentification Windows au lieu de l'authentification de la base de données, vous devez également accorder un accès en écriture au compte.
Autorisations en lecture aux répertoires de données SIG que vous inscrivez auprès du serveur avant la publication. Si vous autorisez le processus de publication à copier vos données sur le serveur (reportez-vous à la rubrique Copie automatique de données sur le serveur lors de la publication), les données sont placées dans vos répertoires de serveur sur lesquels le compte ArcGIS Server s'est vu octroyer des autorisations. Vous n'êtes pas obligé d'accorder d'autres autorisations d'accès à vos répertoires de serveur d'origine.

Lorsque vous créez votre site, des autorisations en lecture et en écriture sur le répertoire des journaux d'ArcGIS Server sont accordées au compte ArcGIS Server. Si vous créez un nouvel emplacement pour les journaux, vous devez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur ces répertoires.

Le compte ArcGIS Server n'a pas besoin de faire partie du groupe Administrateurs sur les machines de votre site.

Modification du compte ArcGIS Server

Il n'est pas nécessaire d'exécuter à nouveau l'installation d'ArcGIS Server pour modifier le compte ArcGIS Server. Après l'installation, vous pouvez modifier le compte ArcGIS Server en exécutant l'utilitaire Configurer le compte ArcGIS Server fourni avec le logiciel. Vous devrez peut-être exécuter cette opération à la suite d'une modification de la stratégie de sécurité ou lorsque vous dépannez votre serveur.

Il est conseillé de faire appel à cet utilitaire au lieu d'essayer de modifier manuellement le compte ArcGIS for Server avec les outils de votre système d'exploitation. Cet utilitaire a été conçu pour appliquer des autorisations à tous les répertoires nécessaires (comme expliqué ci-dessus) sur toutes les machines de votre déploiement. Si vous tentez de modifier manuellement le compte et que vous commettez une erreur, cela peut entraîner une panne et une indisponibilité du serveur.

Pour modifier le compte ArcGIS Server à l'aide de l'utilitaire, procédez comme suit :

Sur un serveur SIG de votre site, accédez à l'utilitaire à partir du menu Démarrer de Windows en cliquant sur ArcGIS > ArcGIS 10.1 for Server > Configurer le compte ArcGIS Server.
Indiquez le nom d'utilisateur et le mot de passe du compte que vous souhaitez désigner comme compte ArcGIS Server. Cliquez sur Suivant.
Vous pouvez éventuellement indiquer les emplacements du répertoire de serveur racine et du magasin de configuration utilisés par votre site ArcGIS Server. Par exemple :
- Si votre répertoire de serveur racine et votre magasin de configuration sont accessibles par le biais de chemins d’accès locaux avec lettres de lecteur, et que vous spécifiez ces répertoires dans l'utilitaire, ce dernier octroie automatiquement au nouveau compte des autorisations d'accès en lecture et en écriture.
- Si votre répertoire de serveur racine et votre magasin de configuration utilisent des chemins d'accès réseau (UNC), ne renseignez pas ces champs et accordez manuellement au nouveau compte des autorisations d'accès en lecture et en écriture aux répertoires après avoir exécuté l'utilitaire.
Vous pouvez éventuellement indiquer l'emplacement du répertoire des journaux. Si vous indiquez un emplacement, l'utilitaire accorde automatiquement au nouveau compte des autorisations en lecture et en écriture au répertoire. Si vous n'indiquez rien dans ce champ, vous devez accorder manuellement au nouveau compte des autorisations d'accès en lecture et en écriture aux répertoires sur chaque serveur SIG de votre déploiement après avoir exécuté l'utilitaire.
Remarque :
Le répertoire des journaux n'est pas lié aux répertoires des serveurs, ni à l'emplacement du magasin de configuration. Si vous modifiez l'emplacement du répertoire des journaux, tâchez de choisir un emplacement au niveau racine de votre serveur SIG. Il est impossible de désigner un répertoire réseau comme emplacement pour les journaux. Pour plus d'informations, reportez-vous à la rubrique A propos des journaux du serveur.
Cliquez sur Suivant.
Dans la boîte de dialogue Exporter le fichier de configuration du serveur, veuillez tenir compte des points suivants :
- Si votre déploiement se compose d'un seul serveur SIG, vous pouvez éventuellement enregistrer le fichier de configuration. Veillez à le stocker dans un emplacement sécurisé. Cliquez sur Suivant.
- Si votre déploiement comprend plusieurs serveurs SIG, exportez le fichier de configuration. Cela vous évite de devoir saisir à nouveau les informations dans l'utilitaire pour les autres machines de votre site. De cette manière, vous avez la garantie que la configuration du compte ArcGIS Server est parfaitement identique sur tous les serveurs SIG de votre site. Indiquez un emplacement sécurisé pour le fichier de configuration, puis cliquez sur Suivant.
Passez en revue les propriétés du compte affichées dans le volet de résumé, puis cliquez sur Configurer. Votre nouveau compte est alors configuré comme compte ArcGIS Server. Fermez l'utilitaire.
Exécutez l'utilitaire sur chaque machine restante du site. Vous pouvez faire pointer l'utilitaire vers le fichier de configuration créé précédemment ou saisir à nouveau les informations fournies ci-dessus.
Accordez au nouveau compte des autorisations en lecture aux répertoires de données aux fichiers de connexion à la base de données que vous avez inscrits auprès du serveur. Si vous utilisez l'authentification Windows au lieu de l'authentification de la base de données, vous devez également accorder un accès en écriture aux fichiers de connexion. Pour plus d'informations sur cette opération, reportez-vous à la rubrique Inscription de vos données auprès d'ArcGIS Server à l'aide d'ArcGIS for Desktop.

Modification du compte ArcGIS Server à partir de la ligne de commande

Vous pouvez modifier le compte ArcGIS Server en faisant appel à l'utilitaire de la ligne de commande dans <dossier d'installation d'ArcGIS for Server>\bin\ServerConfigurationUtility.exe. Il peut être judicieux d'écrire un script visant à mettre à jour le compte après l'application des mises à jour à la stratégie de sécurité de votre organisation.

Les paramètres disponibles sont les suivants :

<readconfig> : chemin d'accès facultatif vers un fichier de configuration que vous avez enregistré lors d'une exécution précédente de l'utilitaire.
<writeconfig> : chemin d'accès facultatif dans lequel un fichier de configuration sera enregistré afin que vous puissiez appliquer les mêmes propriétés lors des exécutions futures de l'utilitaire.
<username> : nom à utiliser pour le compte ArcGIS Server.
<password> : mot de passe du compte ArcGIS Server.
<rsdir> : chemin d'accès au répertoire racine du serveur. Ce paramètre est facultatif, mais si vous ne l'indiquez pas, vous devrez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur le répertoire racine du serveur.
<csdir> : répertoire du magasin de configuration. Ce paramètre est facultatif, mais si vous ne l'indiquez pas, vous devrez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur le magasin de configuration.
<logsdir> : chemin d'accès au répertoire des journaux d'ArcGIS Server. Ce paramètre est facultatif, mais si vous ne l'indiquez pas, vous devrez accorder manuellement au compte ArcGIS Server des autorisations en lecture et en écriture sur le répertoire des journaux.

Exemple : ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs

9/18/2013