ArcGIS Server アカウント
ArcGIS Server がタスクを実行する際には、プロセスの開始と停止、ファイル システムでのデータの読み取りと書き込み、コンピュータ間でのやり取りが必要となります。これらの処理を安全に行うために、ArcGIS for Server のインストール時に指定したオペレーティング システム アカウントが使用されます。このドキュメントでは、このアカウントのことを ArcGIS Server アカウントと呼びます。
ArcGIS Server アカウントを使用する場合
ArcGIS Server アカウントは次の目的に使用します。
- GIS サーバおよびサービスに対応している処理の開始および停止。
- サービスの背後での GIS データの読み取り。
- ArcGIS Server ディレクトリのファイルの読み書き。たとえば、マップ キャッシュを作成するときには、ArcGIS Server アカウントによってサーバのキャッシュ ディレクトリにキャッシュ タイルが書き込まれます。
- 構成ストアのファイルの読み書き。たとえば、Manager で新しいクラスタを作成するときには、ArcGIS Server アカウントによってサーバの構成ストアにクラスタ構成情報が書き込まれます。
- ArcGIS Server のインストール場所およびシステムの一時ディレクトリのファイルの読み書き。たとえば、ArcGIS Server アカウントによって書き込まれるログ ファイルは、サーバのトラブルシューティングに利用できます。
- ログ ディレクトリのログ メッセージの読み書き。
ArcGIS Server アカウントは、ArcGIS Server サイトの作成時に定義したプライマリ サイトの管理者アカウントと同じではありません。詳細については、「ArcGIS Server サイトのセキュリティ保護」をご参照ください。
ArcGIS Server アカウントに指定するアカウント
ArcGIS Server アカウントのデフォルトは、arcgis という名前になります。実際の運用に向けた配置でなければこのデフォルトで十分ですが、実稼動システムの場合は、ArcGIS Server をインストールする前にドメインまたは Active Directory アカウントを作成することをお勧めします。組織のセキュリティ ポリシーでパスワードを有効期限切れにすることが必要な場合は、ArcGIS Server アカウントの構成ユーティリティを実行して有効期限切れのパスワードを更新する必要があることに注意してください。
ローカル アカウントまたはドメイン アカウントを指定できます。ドメイン アカウントを指定すると、リモート システムのデータへのアクセスが簡単になります。ドメイン アカウントは集中管理されるため、セキュリティ上の目的からも、多くのシナリオでドメイン アカウントを指定することをお勧めします。
ローカル アカウントを選択している場合は、各 GIS サーバ上にそのローカル アカウントが存在し、アカウントとパスワードが一致している必要があります。GIS サーバが複数存在するサイトでは、各 GIS サーバで同じ ArcGIS Server アカウントを使用する必要があります。
存在しないローカル アカウントを指定すると、インストール中にアカウントが自動的に作成されます。存在しないドメイン アカウントを指定した場合は、インストール中にエラーが返されます。
推奨する方法は、セットアップ構成ファイルをエクスポートし、以降の ArcGIS Server のインストールで再利用することです。この方法により、ArcGIS Server アカウントはサイトのすべての GIS サーバ上でまったく同じに構成されます。
ArcGIS Server の以前のインストールの SOC アカウントがあります。これを ArcGIS Server アカウントとして指定できますか?
以前のバージョンの ArcGIS Server では、SOC アカウントと呼ばれるアカウントを作成し、すべてのデータ フォルダに対する権限をそのアカウントに付与する必要がありました。SOC アカウントとその権限がすでに存在する場合、それを選択すれば、ArcGIS Server アカウントとして指定できます。そうすることで、移行中に実行する必要のある権限の再割り当て作業を減らすか、なくすことができます。
LocalSystem アカウントを、ArcGIS Server を実行するためのログオン アカウントとして使用できますか?
ArcGIS Server Windows サービスを、Windows 固有の LocalSystem アカウントで実行するように設定できないかという質問がよくあります。これは、次のようにして行えます。[Windows サービス] ダイアログ ボックスで [ArcGIS Server サービス] を右クリックし、LocalSystem でログオンするようにサービスのプロパティを設定します。この方法でサービスを設定する場合、次の点に留意してください。
- LocalSystem アカウントには、セキュリティに影響を及ぼす高度な権限が与えられているため、注意が必要です。詳細については、Microsoft Development Center の「The LocalSystem Account」をご参照ください。
- LocalSystem アカウントは、ネットワーク ロケーションにアクセスすることを意図していません。このアカウントを使用してサービスやサイトのデータにアクセスするには、そのデータをローカルな場所に保存する必要があります。
- GIS サーバが複数存在するサイトでは、LocalSystem を ArcGIS Server アカウントとして使用しないでください。
ArcGIS Server アカウントには、どの権限を付与する必要がありますか?
ArcGIS for Server をインストールすると、ArcGIS Server アカウントには、サーバ プロセスの起動と停止など、基本的な機能を実行する権限が付与されます。このアカウントには、ArcGIS for Server インストールディレクトリ内のすべてのフォルダに対する読み取り権限、および下記のフォルダへのフル コントロール権限も付与されます。
- <ArcGIS for Server インストール ディレクトリ>\framework
- <ArcGIS for Server インストール ディレクトリ>\geronimo
- <ArcGIS for Server インストール ディレクトリ>\usr
- <ArcGIS for Server インストール ディレクトリ>\bin
- <ArcGIS for Server インストール ディレクトリ>\XMLSchema
サイトを作成する前に、ArcGIS Server アカウントに次の権限を付与する必要があります。
- サーバ ディレクトリが作成される場所に対する読み取り/書き込み権限。サイトを構成した後、作成した新しいサーバ ディレクトリに対する読み書き権限を ArcGIS Server アカウントに付与する必要があります。
- 構成ストアが作成される場所に対する読み書き権限。
- 公開の前にサーバに登録するデータベース接続ファイルがあるディレクトリに対する読み取り権限。データベース認証の代わりに Windows 認証を使用している場合は、アカウントに書き込みアクセス権を付与する必要もあります。
- 公開の前にサーバに登録する GIS データ フォルダに対する読み取り権限。データをサーバにコピーするための公開プロセス(「公開時に自動的にデータをサーバへコピー」を参照)を許可する場合は、サイトの作成時に ArcGIS Server アカウントにすでに権限が付与されているサーバ ディレクトリにデータを置きます。元のサーバ ディレクトリに対するこれ以上の権限を適用する必要はありません。
サイトを作成すると、ArcGIS Server アカウントには、ArcGIS Server ログ ディレクトリに対する読み取り/書き込み権限が付与されます。新しいログの場所を作成した場合、それに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
ArcGIS Server アカウントを、サイト内のどのコンピュータ上の管理者グループにも含める必要はありません。
ArcGIS Server アカウントの変更
ArcGIS Server アカウントを変更するために、ArcGIS Server のインストールを再実行する必要はありません。インストール後は、ソフトウェアに付属の ArcGIS Server アカウントの構成ユーティリティを実行することにより、ArcGIS Server アカウントを変更できます。変更は、セキュリティ ポリシーの変更に対応する場合や、サーバのトラブルシューティングを行う場合に必要になることがあります。
オペレーティング システムのツールを使用して手動で ArcGIS Server アカウントを変更しないで、このユーティリティを使用することをお勧めします。このユーティリティは、配置内のすべてのコンピュータの、必要な(前述した)すべてのディレクトリに権限を適用するように設計されています。アカウントを手動で変更しようとして間違えると、サーバ障害やダウンタイムが発生する恐れがあります。
ユーティリティを使用して ArcGIS Server アカウントを変更するには、次の手順に従います。
- サイトの GIS サーバで、Windows の [スタート] メニューから [ArcGIS] → [ArcGIS 10.1 for Server] → [Configure ArcGIS Server Account] の順に選択してユーティリティに移動します。
- アカウントを ArcGIS Server アカウントとして指定するには、名前とパスワードを指定します。[次へ] をクリックします。
- 必要に応じて、ArcGIS Server サイトで使用されるルート サーバ ディレクトリと構成ストアの場所を指定します。次に例を示します。
- ローカルのドライブ文字パスを使用してルート サーバ ディレクトリと構成ストアを使用できる場合は、ユーティリティでこれらのディレクトリを指定します。ユーティリティにより、ディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。
- ルート サーバ ディレクトリと構成ストアで UNC(ネットワーク)パスを使用する場合は、これらのフィールドを空白にし、ユーティリティの完了後にディレクトリへの読み書き権限を新しいアカウントに手動により付与します。
- 必要に応じて、ログ ディレクトリの場所を指定します。場所を入力すると、ユーティリティによりそのディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。このフィールドを空白にすると、ユーティリティの完了後に配置内のすべての GIS サーバでディレクトリに対する読み書き権限を新しいアカウントに手動で付与する必要があります。注意:
ログ ディレクトリは、サーバ ディレクトリや構成ストアの場所とは無関係です。ログ ディレクトリの場所を変更する場合は、GIS サーバのルート レベルで場所を指定するようにしてください。ログの場所としてネットワーク ディレクトリを指定することはできません。詳細については、「サーバ ログについて」をご参照ください。
- [次へ] をクリックします。
- [サーバ構成ファイルの出力] ダイアログ ボックスで、次の手順を実行します。
- 配置内の GIS サーバが 1 つのみである場合は、必要に応じて構成ファイルを保存できます。セキュリティで保護された場所に格納してください。[次へ] をクリックします。
- 配置内に 複数の GIS サーバがある場合は、構成ファイルをエクスポートします。これにより、サイト内の残りのコンピュータについてユーティリティで情報を再入力する必要がなくなります。この方法により、ArcGIS Server アカウントはサイトのすべての GIS サーバ上でまったく同じに構成されます。構成ファイルにセキュリティで保護された場所を指定し、[次へ] をクリックします。
- サマリ パネルで、アカウントのプロパティを確認し、[構成] をクリックします。ArcGIS Server アカウントとして、新しいアカウントが構成されます。ユーティリティを閉じます。
- サイト内の残りのコンピュータで個別にユーティリティを実行します。前の手順で作成した構成ファイルをユーティリティが参照するようにしたり、上記の手順で入力した情報を再入力できます。
- サーバに登録したデータ ディレクトリおよびデータベース接続ファイルに対する読み書き権限を新しいアカウントに付与します。データベース認証の代わりに Windows 認証を使用している場合は、接続ファイルに対する書き込みアクセス権も付与する必要があります。詳細については、「ArcGIS for Desktop を使用したデータの ArcGIS Server への登録」をご参照ください。
コマンド ラインからの ArcGIS Server アカウントの変更
別の方法として、コマンド ライン ユーティリティ <ArcGIS for Server のインストール場所>\bin\ServerConfigurationUtility.exe を使用して ArcGIS Server アカウントを変更することもできます。組織のセキュリティ ポリシーに更新を適用した後は、アカウントの更新はスクリプトを記述する楽な作業になります。
次に、使用可能なパラメータを示します。
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> - ユーティリティを前回実行したときに保存した構成ファイルへのオプションのパス
- <writeconfig> - 今後のユーティリティの実行で同じプロパティを適用できるようにするための、構成ファイルを保存する場所へのオプションのパス
- <username> - ArcGIS Server アカウントに使用する名前
- <password> - ArcGIS Server アカウントのパスワード
- <rsdir> - ルート サーバ ディレクトリのパス。このパラメータはオプションです。ただし、これを指定しない場合は、ルート サーバ ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
- <csdir> - 構成ストアのディレクトリ。このパラメータはオプションです。ただし、これを指定しない場合は、構成ストアに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
- <logsdir> - ArcGIS Server ログ ディレクトリへのパス。このパラメータはオプションです。ただし、これを指定しない場合は、ログ ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
例: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs