Учетная запись ArcGIS for Server
ArcGIS for Server выполняет свою работу, запускает и останавливает процессы, читает и записывает данные в файловой системе, а также взаимодействует с разными компьютерами. Для безопасного выполнения этих операций используется учетная запись операционной системы, указываемая при установке ArcGIS for Server. В документации она называется учетной записью ArcGIS for Server.
Когда используется учетная запись ArcGIS for Server?
Учетная запись ArcGIS for Server используется для следующих целей:
- Запуск и остановка процессов, поддерживающих ГИС-сервер и сервисы.
- Считывание ГИС данных ваших сервисов
- Чтение и запись файлов в директориях ArcGIS for Server. Например, при создании кэша карты учетная запись ArcGIS for Server записывает листы кэша в директорию кэша сервера.
- Чтение и запись файлов в хранилище конфигурации. Например, при создании нового кластера в Менеджере (Manager) учетная запись ArcGIS for Server записывает информацию о его конфигурации в файлы, хранящиеся в хранилище конфигурации.
- Чтение и запись файлов в папку установки ArcGIS for Server и временную системную директорию. Например, учетная запись записывает файлы журнала, которые можно использовать для диагностики сервера.
- Чтение и запись сообщений журнала в папке журналов.
Необходимо различать учетную запись ArcGIS for Server и учетную запись главного администратора сайта, заданную при создании сайта ArcGIS for Server. Дополнительные сведения см. в разделе Защита вашего сайта ArcGIS for Server.
Какую учетную запись сделать учетной записью ArcGIS for Server?
По умолчанию имя учетной записи ArcGIS for Server – arcgis. Принятие данных значений по умолчанию является достаточным для большинства непроизводственных развертываний; при этом, для производственных систем рекомендуется перед установкой ArcGIS for Server создать домен или учетную запись Active Directory. Если ваша политика безопасности требует применения паролей со сроком действия, то вам необходимо будет запустить утилиту настройки учетной записи Configure ArcGIS for Server Account для обновления пароля с истекшим сроком действия.
Можно указать локальную или доменную учетную запись. Указание доменной учетной записи облегчает доступ к данным на удаленных системах. Во многих случаях доменная учетная запись является более предпочтительной из соображений безопасности, потому что она управляется централизованно.
Если вы выбрали локальную учетную запись, она должна существовать на каждом ГИС-сервере с одинаковым именем и паролем. На сайте с несколькими ГИС-серверами каждый из них должен использовать одну учетную запись ArcGIS for Server.
Если указать несуществующую локальную учетную запись, то она будет создана программой установки. Если указать несуществующую доменную учетную запись, программа установки сообщит об ошибке.
Рекомендуемым подходом является экспорт файла конфигурации установки и его использование при последующих установках ArcGIS Server. Таким образом, вы можете гарантировать, что учетная запись ArcGIS for Server настроена аналогично всем ГИС-серверам вашего сайта.
У меня есть учетная запись SOC из предыдущей установки ArcGIS Server. Могу ли я ее сделать учетной записью ArcGIS Server?
В предыдущих версиях ArcGIS Server от вас требовалось создание учетной записи SOC и предоставления этой учетной записи прав доступа для всех папок с данными. Если у вас уже имеется учетная запись SOC с правами доступа, то выбрав ее, вы можете задать ее в качестве учетной записи ArcGIS Server. Это может уменьшить или устранить операции по изменению прав доступа, которые будет необходимо производить во время перехода на новую версию.
Могу ли я для запуска ArcGIS Server использовать учетную запись локальной системы?
Часто задают вопрос, можно ли настроить сервис ArcGIS Server Windows, чтобы он работал с "родной" учетной записью Windows’ native LocalSystem. Вы можете это сделать, щелкнув правой кнопкой мыши сервис ArcGIS Server в диалоговом окне Службы Windows (Windows Services) и настроив свойства этой службы так, чтобы она подключилась к LocalSystem. При такой настройке этой службы следует иметь в виду следующее:
- Учетная запись LocalSystem имеет высокий уровень прав доступа с возможными последствиями для безопасности, о которых необходимо знать. Более подробно см. в разделе Учетная запись LocalSystem (The LocalSystem Account) в Microsoft Development Center.
- Учетная запись LocalSystem не предназначена для доступа к сетевым местоположениям. Для доступа с этой учетной записью к вашему сервису и данным сайта необходимо, чтобы эти данные хранились локально.
- На сайте с несколькими ГИС-серверами не используйте LocalSystem в качестве учетной записи ArcGIS Server.
Какие права доступа следует предоставить учетной записи ArcGIS Server?
При установке ArcGIS for Server учетная запись ArcGIS Server получает права на выполнение основных функций, в том числе на запуск и остановку процессов сервера. Этой учетной записи также предоставляются права доступа для чтения всех папок в установочной директории ArcGIS for Server и полного контроля над следующими папками:
- <Директория установкиArcGIS for Server > \framework
- <Директория установки ArcGIS for Server>\geronimo
- <Директория установки ArcGIS for Server>\usr
- <Директория установки ArcGIS for Server>\bin
- <Директория установкиArcGIS for Server > \XMLSchema
Перед созданием вашего сайта необходимо предоставить учетной записи ArcGIS Server следующие права доступа:
- права доступа для чтения и записи в местоположении, в котором будут созданы директории вашего сервера. Помните, что вам необходимо предоставить учетной записи ArcGIS for Server права для чтения и записи в любые новые серверные директории, которые вы создали после настройки сайта.
- Разрешения на чтение и запись в местоположении, в котором будет создано ваше хранилище конфигурации.
- Права чтения директорий, содержащих файлы подключения к базе данных, которые вы зарегистрируете при помощи сервера перед публикацией. Если вы используете систему проверки подлинности Windows вместо проверки подлинности базы данных, то вам также потребуется выдать для учетной записи права доступа к записи.
- Права доступа чтения для папок ГИС-данных, которые вы зарегистрируете при помощи сервера перед публикацией. Если разрешить процессу публикации копировать данные на сервер (см. раздел Автоматическое копирование данных на сервер при публикации), то данные размещаются в серверных директориях, для которых учетной записи ArcGIS for Server уже были назначены права при создании сайта. Применять дополнительные права доступа к исходным серверным директориям необязательно.
При создании сайта учетной записи ArcGIS Server предоставляются права для чтения и записи в директорию журналов ArcGIS Server. Если вы создадите новое местоположение для журнала, то вам будет необходимо вручную предоставить учетной записи ArcGIS Server права для чтения и записи в этом местоположении.
Учетной записи ArcGIS Server не нужно быть в группе администраторов ни на одном из компьютеров вашего сайта.
Изменение учетной записи ArcGIS for Server
Вам не нужно повторно запускать установку ArcGIS for Server для изменения учетной записи ArcGIS for Server. После установки вы можете изменить учетную запись, запустив утилиту Configure ArcGIS for Server Account, которая включена в программное обеспечение. Это можно сделать и в ответ на изменение политики безопасности или при устранении неполадок сервера.
Эту утилиту рекомендуется использовать вместо изменения учетной записи ArcGIS Server вручную с помощью инструментов операционной системы. Эта утилита предназначена для применения прав доступа для всех необходимых директорий на всех развернутых компьютерах. Если вы попробуете изменить учетную запись вручную и при этом сделаете ошибку, то это может привести к сбою сервера и бездействию системы.
Чтобы изменить учетную запись ArcGIS for Server с помощью утилиты, выполните следующие действия:
- На одном из ГИС серверов вашего сайта найдите утилиту в меню Пуск (Start) системы Windows в разделе ArcGIS > ArcGIS 10.1 for Server > Настройка учетной записи ArcGIS for Server (Configure ArcGIS for Server Account).
- Дополнительно введите имя пользователя и пароль для учетной записи, которую вы желаете назначить для учетной записи ArcGIS for Server. Щелкните Далее (Next).
- Дополнительно укажите корневой каталог сервера и местоположения хранилища конфигурации, используемого вашим сайтом ArcGIS for Server. Например:
- Если корневой каталог вашего сайта и хранилище конфигурации доступны через локальные пути с именами диска и вы указали эти директории в утилите, то она автоматически выдаст права доступа чтения и записи новой учетной записи для директорий.
- Если корневой каталог вашего сайта и хранилище конфигурации используют сетевые пути (UNC), оставьте эти поля пустыми и выдайте права доступа чтения и записи новой учетной записи для директорий вручную после завершения работы утилиты.
- При необходимости укажите положение директории журналов. Если вы ввели местоположение, то утилита автоматически предоставит новой учетной записи права для чтения и записи для данной директории. Если вы оставите данное поле пустым, то вам потребуется выдать вручную права доступа чтения и записи новой учетной записи для директорий каждого ГИС-сервера в вашем развертывании вручную после завершения работы утилиты.Примечание:
Директория журналов не имеет отношения к местоположению директорий сервера (server directories) или хранилища конфигураций (configuration store). Если вы изменили местоположение директории журналов, постарайтесь сохранить местоположение на корневом уровне вашего ГИС-сервера. Нельзя задать сетевую директорию в качестве местоположения журналов. Дополнительная информация приведена в разделе О журналах сервера.
- Щелкните Далее (Next).
- В диалоговом окне Экспорт файла конфигурации сервера (Export server configuration file) рассмотрите следующие возможности:
- Если в вашем развертывании имеется только один ГИС-сервер, то вы дополнительно можете сохранить файл конфигурации. Убедитесь, что файл сохранен в безопасном местоположении. Щелкните Далее (Next).
- Если в вашем развертывании имеется несколько ГИС-серверов, выполните экспорт файла конфигурации. Это обезопасит вас от необходимости ввода информации в утилиту для оставшихся компьютеров вашего сайта. Таким образом, вы можете гарантировать, что учетная запись ArcGIS for Server настроена аналогично всем ГИС-серверам вашего сайта. Укажите безопасное местоположение для файла конфигурации и нажмите Далее (Next).
- На итоговой панели просмотрите свойства учетной записи и нажмите Конфигурировать (Configure). Ваша новая учетная запись будет настроена как учетная запись ArcGIS for Server. Закройте утилиту.
- Запустите утилиту на каждом из оставшихся компьютеров вашего сайта. Вы можете указать утилите файл конфигурации, созданный ранее, или ввести информацию, которую вы предоставили выше.
- Выдайте новой учетной записи права чтения директорий, содержащих файлы данных и файлы подключения к базе данных, которые вы зарегистрировали при помощи сервера. Если вы используете систему проверки подлинности Windows вместо проверки подлинности базы данных, то вам также потребуется выдать для учетной записи права доступа записи для файлов подключения. Подробные инструкции по данной операции см. в Регистрация данных на ArcGIS for Server с помощью ArcGIS for Desktop.
Изменение учетной записи ArcGIS Server из командной строки
Учетную запись ArcGIS Server можно также изменить с помощью утилиты командной строки в местоположении <ArcGIS for Server installation location>\bin\ServerConfigurationUtility.exe. Обновление учетной записи может быть удобным действием после применения обновлений в политике безопасности вашей организации.
Доступные параметры следующие:
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> – дополнительный путь к файлу конфигурации, сохраненный вами во время предыдущего выполнения утилиты.
- <writeconfig> – дополнительный путь, где будет сохранен файл конфигурации, чтобы вы могли применять такие же свойства при последующих запусках утилиты.
- <username> – имя пользователя учетной записи ArcGIS Server
- <password> – пароль учетной записи ArcGIS Server
- <rsdir> – путь корневой директории сервера Этот параметр является дополнительным, но если его не указать, то вам будет необходимо вручную предоставить учетной записи ArcGIS Server права доступа для чтения и записи в корневой директории сервера.
- <csdir> – директория хранилища конфигураций. Этот параметр является дополнительным, но если его не указать, то вам будет необходимо вручную предоставить учетной записи ArcGIS Server права доступа для чтения и записи в хранилище конфигураций.
- <logsdir> – путь к директории журналов ArcGIS Server. Этот параметр является дополнительным, но если его не указать, то вам будет необходимо вручную предоставить учетной записи ArcGIS Server права доступа для чтения и записи в директории журналов.
Пример: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs