ArcGIS Server 帐户
ArcGIS Server 在工作时,需要启动和停止进程、读取数据并将数据写入到文件系统中的相应位置以及在计算机之间进行通信。为了安全地执行这些任务,ArcGIS Server 将使用安装 ArcGIS for Server 时所指定的操作系统帐户。本文档中将其称为 ArcGIS Server 帐户。
何时使用 ArcGIS Server 帐户?
ArcGIS Server 帐户有以下几种用途:
- 启动和停止支持 GIS 服务器和服务的进程。
- 读取服务器后台的 GIS 数据。
- 读取文件并将文件写入 ArcGIS Server 目录中。例如,创建地图缓存时,ArcGIS Server 帐户会将缓存切片写入服务器缓存目录中。
- 读取文件并将文件写入配置存储中。例如,在管理器中创建新的集群时,ArcGIS Server 帐户会将集群配置信息写入配置存储中的文件中。
- 读取文件并将文件写入 ArcGIS Server 安装位置与系统临时目录中。例如,该帐户会写入可用于排除服务器故障的日志文件。
- 读取日志消息并将日志消息写入日志目录中。
ArcGIS Server 帐户与创建 ArcGIS Server 站点时所定义的主站点管理员不同。有关详细信息,请参阅确保 ArcGIS Server 站点安全。
应将哪个帐户指定为 ArcGIS Server 帐户?
ArcGIS Server 帐户的默认名称为 arcgis。对于大多数非生产部署,接受此默认值便已足够;但是,对于生产系统,建议在安装 ArcGIS Server 之前创建域帐户或活动目录帐户。请注意,如果组织的安全策略要求密码过期,则需要运行配置 ArcGIS Server 帐户实用程序来更新已过期的密码。
可指定本地帐户或域帐户。使用域账户更容易访问远程系统中的数据。出于安全考虑,在很多情况下也最好使用域帐户,因为域帐户采用集中管理。
如果已经选择本地帐户,每个 GIS 服务器都必须具有本地帐户和密码且它们完全相同。在具有多个 GIS 服务器的站点中,各 GIS 服务器必须使用相同的 ArcGIS Server 帐户。
如果指定的本地帐户不存在,安装程序将为您创建该帐户。如果指定的域帐户不存在,安装程序将返回错误。
建议的方法是导出设置配置文件并在 ArcGIS Server 后续安装中重新使用此文件。这样做能够保证站点中所有 GIS 服务器上 ArcGIS Server 帐户的配置方式完全相同。
我拥有先前安装 ArcGIS Server 的 SOC 帐户。能否将其指定为 ArcGIS Server 帐户?
对于先前版本的 ArcGIS Server,需要创建名为 SOC 帐户的帐户并向其授予对所有数据文件夹的权限。如果已经拥有 SOC 帐户且向其授予权限,若选择此帐户,则可以将其指定为 ArcGIS Server 帐户。这样,可以减少或避免在迁移过程中重新分配权限。
能否使用“本地系统”作为运行 ArcGIS Server 的“以身份登录”帐户?
人们经常询问能否将 ArcGIS Server Windows 服务配置为在 Windows 的本地 LocalSystem 帐户下运行。为此,可以在“Windows 服务”对话框中右键单击 ArcGIS Server 服务,然后配置该服务的属性,使其采用 LocalSystem 登录。采用这种方法配置服务时,请注意以下事项:
- LocalSystem 帐户具有需要注意的安全性的高级权限。有关详细信息,请参阅“Microsoft 开发中心”的 LocalSystem 帐户。
- LocalSystem 帐户不用于访问网络位置。为使帐户访问服务和站点数据,需要在本地存储数据。
- 在采用多个 GIS 服务器的站点中,不要使用 LocalSystem 作为 ArcGIS Server 帐户。
需要为 ArcGIS Server 帐户授予哪些权限?
ArcGIS for Server 安装程序授予 ArcGIS Server 帐户执行服务器启动和停止进程等基本功能的权限。它还为帐户授予对 ArcGIS for Server 安装目录中所有文件夹的读取权限和对以下文件夹的完全控制权限:
- <ArcGIS for Server 安装目录 >\framework
- <ArcGIS for Server 安装目录 >\geronimo
- <ArcGIS for Server 安装目录 >\usr
- <ArcGIS for Server 安装目录 >\bin
- <ArcGIS for Server 安装目录 >\XMLSchema
创建站点之前,应授予 ArcGIS Server 帐户下列权限:
- 对服务器目录创建位置的读写权限。请记住,您需要授予 ArcGIS Server 帐户对您在配置站点后所创建的任何新服务器目录的读写权限。
- 对配置存储创建位置的读写权限。
- 对包含将在发布之前注册到服务器的数据库连接文件的目录的读取权限。如果使用的是 Windows 身份验证而非数据库身份验证,还需要授予该帐户写入权限。
- 对将在发布之前注册到服务器的 GIS 数据文件夹的读取权限。如果允许发布进程将数据复制到服务器中(请参阅发布时自动将数据复制到服务器),则数据会放置在已对 ArcGIS Server 帐户授予权限的服务器目录中。不必再对原始服务器目录应用任何其他权限。
创建站点时,将授予 ArcGIS Server 帐户对 ArcGIS Server 日志目录的读写权限。如果创建新的日志位置,则需要为 ArcGIS Server 帐户手动授予对此位置的读写权限。
ArcGIS Server 帐户无需属于站点中任何计算机的“管理员”组。
更改 ArcGIS Server 帐户
无需重新运行 ArcGIS Server 安装进程也能更改 ArcGIS Server 帐户。安装后,可通过运行随此软件提供的配置 ArcGIS Server 帐户实用程序来更改帐户。此操作可用来响应安全策略更改,或者在排除服务器故障时实施。
建议使用本实用程序而不是尝试使用操作系统工具手动更改 ArcGIS Server 帐户。该实用程序旨在对部署中的所有计算机上的所有必要目录(如上所述)应用权限。如果尝试手动更改帐户并出现误操作,服务器可能出现故障并停止运行。
要使用该实用程序来更改 ArcGIS Server 帐户,请按照下列步骤操作:
- 在站点中的一台 GIS 服务器上,从 Windows“开始”菜单浏览到 ArcGIS > ArcGIS 10.1 for Server > 配置 ArcGIS Server 帐户下的该实用程序。
- 为要指定为 ArcGIS Server 帐户的帐户指定帐户名和密码。单击下一步。
- 也可以指定 ArcGIS Server 站点所使用的根服务器目录和配置存储位置。例如:
- 如果根服务器目录和配置存储在本地驱动器盘符路径中可用,并且您在该实用程序中指定了这些目录,则该实用程序会将该目录的读写权限自动授予新帐户。
- 如果根服务器目录和配置存储使用网络 (UNC) 路径,则将这些字段留空并在完成该实用程序后将该目录的读写权限手动授予新帐户。
- 也可以指定日志目录位置。如果输入一个位置,则该实用程序会将该目录的读写权限自动授予新帐户。如果将此字段保留为空,需要在完成该实用程序后在部署中的每台 GIS 服务器上将该目录的读写权限手动授予新帐户。注:
日志目录与服务器目录或配置存储位置无关。如果更改日志目录的位置,请尝试将该位置保留在 GIS 服务器的根级别。无法将网络目录指定为日志位置。有关详细信息,请参阅关于服务器日志。
- 单击下一步。
- 在导出服务器配置文件对话框中,考虑以下情形:
- 如果部署中只有一台 GIS 服务器,可选择保存该配置文件。务必将其存储在安全位置。单击下一步。
- 如果部署中具有多台 GIS 服务器,请导出配置文件。对于站点中其余的计算机,这样做就不必将此信息重新输入该实用程序。这样做能够保证站点中所有 GIS 服务器上 ArcGIS Server 帐户的配置方式完全相同。为配置文件指定安全位置并单击下一步。
- 在汇总面板中,查看账户属性并单击配置。您的新帐户被配置为 ArcGIS Server 帐户。关闭该实用程序。
- 在站点中其余每台计算机上运行该实用程序。可将该实用程序指向之前创建的配置文件,或重新输入上面所提供的信息。
- 将已注册到服务器的数据目录和数据库连接文件的读取权限授予新帐户。如果使用的是 Windows 身份验证而非数据库身份验证,还需要授予该连接文件的写入权限。有关操作说明,请参阅使用 ArcGIS for Desktop 将数据注册到 ArcGIS Server。
通过命令行更改 ArcGIS Server 帐户
此外,也可以使用 <ArcGIS for Server 安装位置>\bin\ServerConfigurationUtility.exe 中的命令行实用程序更改 ArcGIS Server 帐户。对组织安全策略应用更新后,更新帐户可能是针对脚本进行的简便操作。
可用参数包括:
ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]
- <readconfig> - 先前运行实用程序时保存的配置文件的可选路径
- <writeconfig> - 保存配置文件的可选路径,以便将来运行实用程序时应用相同属性
- <username> - ArcGIS Server 帐户的名称
- <password> - ArcGIS Server 帐户的密码
- <rsdir> - 根服务器目录的路径。本参数可选,但如果未提供它,您需要为 ArcGIS Server 帐户手动授予对根服务器目录的读写权限。
- <csdir> - 配置存储目录。本参数可选,但如果不提供它,您需要为 ArcGIS Server 帐户手动授予对配置存储的读写权限。
- <logsdir> - ArcGIS Server 日志目录的路径。本参数可选,但如果不提供它,您需要为 ArcGIS Server 帐户手动授予对日志目录的读写权限。
示例:ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs