Das ArcGIS-Server-Konto

Der ArcGIS-Server muss für seine Arbeit Prozesse starten und beenden, Daten lesen und an Speicherorte im Dateisystem schreiben sowie mit Computern kommunizieren. Für die sichere Ausführung dieser Schritte wird ein Betriebssystemkonto verwendet, das Sie bei der Installation von ArcGIS for Server festlegen. Dieses wird in der Dokumentation als ArcGIS-Server-Konto bezeichnet.

Einsatzbereich des ArcGIS-Server-Kontos

Das ArcGIS-Server-Konto wird für folgende Aufgaben verwendet:

HinweisHinweis:

Das ArcGIS-Server-Konto ist nicht mit dem primären Site-Administrator zu vergleichen, der beim Erstellen der ArcGIS-Server-Site festgelegt wird. Weitere Informationen hierzu finden Sie unter Sichern Ihrer ArcGIS-Server-Site.

Als ArcGIS-Server-Konto festzulegendes Konto

Für das ArcGIS-Server-Konto wird standardmäßig der Name arcgis verwendet. Diese Standardeinstellung ist für die meisten nicht produktionsbezogenen Bereitstellungen ausreichend. Bei Produktionssystemen wird jedoch empfohlen, vor der ArcGIS-Server-Installation eine Domäne oder ein Active Directory-Konto zu erstellen. Wenn die Sicherheitsrichtlinie Ihrer Organisation nur für einen bestimmten Zeitraum gültige Kennwörter erfordert, müssen Sie das Dienstprogramm "ArcGIS-Server-Konto konfigurieren" erneut ausführen, um das abgelaufene Kennwort zu aktualisieren.

Sie können ein lokales Konto oder ein Domänenkonto auswählen. Ein Domänenkonto vereinfacht den Zugriff auf Daten in Remote-Systemen. In vielen Szenarien ist ein Domänenkonto aus Sicherheitsgründen vorzuziehen, da das Konto zentral verwaltet wird.

Wenn Sie ein lokales Konto ausgewählt haben, muss dieses zusammen mit dem Kennwort auf jedem GIS-Server vorhanden sein. Bei einer Site mit mehreren GIS-Servern müssen alle GIS-Server dasselbe ArcGIS-Server-Konto verwenden.

Wenn Sie ein lokales Konto angeben, das nicht vorhanden ist, wird das Konto während der Installation für Sie erstellt. Wenn Sie ein Domänenkonto angeben, das nicht vorhanden ist, wird bei der Installation ein Fehler zurückgegeben.

Es wird empfohlen, die Setup-Konfigurationsdatei zu exportieren und bei nachfolgenden Installationen des ArcGIS-Servers zu verwenden. Auf diese Weise können Sie sicherstellen, dass das ArcGIS-Server-Konto auf allen GIS-Servern der Site genau gleich konfiguriert ist.

Ich verfüge über ein SOC-Konto aus einer früheren ArcGIS-Server-Installation. Kann ich dieses als ArcGIS-Server-Konto festlegen?

Vorherige ArcGIS-Server-Versionen erforderten die Erstellung eines Kontos mit der Bezeichnung "SOC-Konto" und die Erteilung von Berechtigungen für alle Datenordner. Wenn Sie bereits über ein SOC-Konto mit entsprechenden Berechtigungen verfügen, können Sie es nach Wunsch als ArcGIS-Server-Konto angeben. Dadurch kann der Aufwand für die Neuzuweisung von Berechtigungen während der Migration reduziert oder eliminiert werden.

Kann ich das lokale System als "Anmelden als"-Konto zum Ausführen von ArcGIS-Server verwenden?

Die Frage, ob der ArcGIS-Server-Windows-Dienst für die Ausführung unter dem systemeigenen LocalSystem-Konto von Windows konfiguriert werden kann, wird häufig gestellt. Dies ist möglich, indem Sie im Dialogfeld "Windows-Dienste" mit der rechten Maustaste auf den ArcGIS-Server-Dienst klicken und die Eigenschaften des Dienstes so konfigurieren, dass er als LocalSystem angemeldet wird. Wenn der Service auf diese Weise konfiguriert wird, muss Folgendes beachtet werden:

  • Das LocalSystem-Konto weist hohe Berechtigungen mit sicherheitsbezogenen Auswirkungen auf, die Sie berücksichtigen müssen. Weitere Informationen finden Sie unter Das LocalSystem-Konto im Microsoft Development Center.
  • Das LocalSystem-Konto ist für den Zugriff auf Netzwerkstandorte vorgesehen. Damit das Konto auf den Service und die Site-Daten zugreifen kann, müssen die Daten lokal gespeichert werden.
  • Verwenden Sie LocalSystem auf einer Site mit mehreren GIS-Servern nicht als ArcGIS-Server-Konto.

Welche Berechtigungen müssen dem ArcGIS-Server-Konto zugewiesen werden?

Durch die Installation von ArcGIS for Server werden dem ArcGIS-Server-Konto Berechtigungen zur Durchführung einfacher Funktionen wie das Starten und Beenden von Serverprozessen gewährt. Zudem werden dem Konto Leseberechtigungen für alle Ordner im Installationsverzeichnis von ArcGIS for Server sowie Berechtigungen zum Vollzugriff auf die folgenden Ordner gewährt:

Bevor Sie die Site erstellen, müssen Sie dem ArcGIS-Server-Konto folgende Berechtigungen gewähren:

Wenn Sie die Site erstellen, werden dem ArcGIS-Server-Konto Lese- und Schreibzugriff auf das ArcGIS-Server-Protokollverzeichnis gewährt. Wenn Sie einen neuen Speicherort für die Protokolle erstellen, müssen Sie dem ArcGIS-Server-Konto den Lese- und Schreibzugriff manuell zuweisen.

Das ArcGIS-Server-Konto muss sich nicht in der Administratorgruppe sämtlicher Computer in Ihrer Site befinden.

Ändern des ArcGIS-Server-Kontos

Sie müssen die ArcGIS-Server-Installation nicht wiederholen, um das ArcGIS-Server-Konto zu ändern. Nach der Installation können Sie das Konto mithilfe des Dienstprogramms "ArcGIS-Server-Konto konfigurieren" ändern, das in der Software enthalten ist. Dies ist möglicherweise bei einer Änderung der Sicherheitsrichtlinie oder der Behebung von Problemen mit dem Server erforderlich.

Es wird empfohlen, dieses Dienstprogramm zu verwenden, anstatt das ArcGIS-Server-Konto manuell mithilfe Ihrer Betriebssystemwerkzeuge zu ändern. Das Dienstprogramm wurde für die Anwendung von Berechtigungen auf alle erforderlichen Verzeichnisse (wie oben erläutert) auf allen Computern der Bereitstellung entworfen. Wenn Sie versuchen, das Konto manuell zu ändern und Ihnen dabei ein Fehler unterläuft, könnte ein Serverfehler verursacht werden, der zu Systemausfällen führt.

Führen Sie folgende Schritte aus, um das ArcGIS-Server-Konto mithilfe des Dienstprogramms zu ändern:

  1. Navigieren Sie auf einem der GIS-Server an Ihrer Site über das Windows-Startmenü zum Dienstprogramm unter ArcGIS > ArcGIS 10.1 for Server > ArcGIS-Server-Konto konfigurieren.
  2. Geben Sie den Namen und das Kennwort des Kontos an, das Sie als das ArcGIS-Server-Konto festlegen möchten. Klicken Sie auf Weiter.
  3. Geben Sie optional das Stammserververzeichnis und die Konfigurationsspeicherverzeichnisse an, die von der ArcGIS-Server-Site verwendet werden. Beispiel:
    • Wenn das Stammserververzeichnis und der Konfigurationsspeicher über lokale Pfade und Laufwerksbuchstabenpfade verfügbar sind und Sie diese Verzeichnisse im Dienstprogramm angeben, gewährt das Dienstprogramm dem neuen Konto automatisch die Lese- und Schreibberechtigungen für diese Verzeichnisse.
    • Wenn das Stammserververzeichnis und der Konfigurationsspeicher Netzwerkpfade (UNC) nutzen, füllen Sie diese Felder nicht aus und gewähren Sie dem neuen Konto die Lese- und Schreibberechtigungen für diese Verzeichnisse manuell, nachdem Sie das Dienstprogramm beendet haben.
  4. Geben Sie optional das Protokollverzeichnis an. Wen Sie ein Verzeichnis eingeben, gewährt das Dienstprogramm dem neuen Konto die Lese- und Schreibberechtigungen für dieses Verzeichnis automatisch. Wenn Sie dieses Feld nicht ausfüllen, müssen Sie dem neuen Konto die Lese- und Schreibberechtigungen für diese Verzeichnisse manuell auf jedem GIS-Server gewähren, nachdem Sie das Dienstprogramm beendet haben.
    HinweisHinweis:

    Das Protokollverzeichnis hat keinen Bezug zu den Serververzeichnissen oder dem Speicherort für den Konfigurationsspeicher. Wenn Sie das Protokollverzeichnis ändern, achten Sie nach Möglichkeit darauf, den Speicherort auf der Stammverzeichnisebenen des GIS-Servers einzurichten. Ein Netzwerkverzeichnis kann nicht als Speicherort für die Protokolle angegeben werden. Weitere Informationen finden Sie unter Serverprotokolle.

  5. Klicken Sie auf Weiter.
  6. Im Dialogfeld Serverkonfigurationsdatei exportieren ist Folgendes zu beachten:
    • Wenn Sie in der Bereitstellung nur einen GIS-Server haben, können Sie die Konfigurationsdatei optional speichern. Sie sollte an einem sicheren Ort gespeichert werden. Klicken Sie auf Weiter.
    • Wenn Sie mehrere GIS-Server in der Bereitstellung haben, exportieren Sie die Konfigurationsdatei. Auf diese Weise müssen Sie die Informationen für die übrigen Rechner der Site nicht erneut im Dienstprogramm eingeben. Auf diese Weise können Sie sicherstellen, dass das ArcGIS-Server-Konto auf allen GIS-Servern der Site genau gleich konfiguriert ist. Geben Sie einen sicheren Speicherort für die Konfigurationsdatei an, und klicken Sie auf Weiter.
  7. Überprüfen Sie im Zusammenfassungsfenster die Kontoeigenschaften, und klicken Sie auf Konfigurieren. Das neue Konto wurde als das ArcGIS-Server-Konto konfiguriert. Schließen Sie das Dienstprogramm.
  8. Führen Sie das Dienstprogramm auf jedem Rechner am Site aus. Sie können das Dienstprogramm auf die zuvor erstellte Konfigurationsdatei verweisen oder die oben angegebenen Informationen erneut eingeben.
  9. Gewähren Sie dem neuen Konto die Leseberechtigungen für die Datenverzeichnisse und die Datenbankverbindungsdateien, die Sie auf dem Server registriert haben. Wenn Sie die Windows-Authentifizierung anstelle der Datenbankauthentifizierung verwenden, müssen Sie dem Konto auch Schreibzugriff auf die Verbindungsdateien gewähren. Anweisungen dazu finden Sie unter Registrieren von Daten beim ArcGIS-Server mit ArcGIS for Desktop.

Ändern des ArcGIS-Server-Kontos über die Befehlszeile

Sie können das ArcGIS-Server-Konto auch über das Befehlszeilendienstprogramm unter <ArcGIS for Server-Installationsverzeichnis>\bin\ServerConfigurationUtility.exe ändern. Die Aktualisierung des Kontos kann für die Skripterstellung praktisch sein, nachdem Aktualisierungen auf die Sicherheitsrichtlinie Ihrer Organisation angewendet wurden.

Folgende Parameter stehen zur Verfügung:

ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]

  • <readconfig> – Optionaler Pfad zu einer Konfigurationsdatei, die Sie bei einer früheren Ausführung des Dienstprogramms gespeichert haben
  • <writeconfig> – Optionaler Pfad, unter dem eine Konfigurationsdatei gespeichert wird, damit dieselben Eigenschaften bei zukünftigen Ausführungen des Dienstprogramms angewendet werden können
  • <username> – Der für das ArcGIS-Server-Konto zu verwendende Name
  • <username> – Das für das ArcGIS-Server-Konto zu verwendende Kennwort
  • <rsdir> – Der Pfad des Stammserververzeichnisses. Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS-Server-Konto die Lese- und Schreibberechtigungen für das Stammserververzeichnis manuell gewährt werden.
  • <csdir> – Das Verzeichnis des Konfigurationsspeichers Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS-Server-Konto die Lese- und Schreibberechtigungen für den Konfigurationsspeicher manuell gewährt werden.
  • <logsdir> – Der Pfad zum ArcGIS-Server-Protokollverzeichnis. Dieser Parameter ist optional, wenn er jedoch nicht bereitgestellt wird, müssen dem ArcGIS-Server-Konto die Lese- und Schreibberechtigungen für das Protokollverzeichnis manuell gewährt werden.

Beispiel: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs

9/23/2013