ArcGIS Server アカウント

ArcGIS Server がタスクを実行する際には、プロセスの開始と停止、ファイル システムでのデータの読み取りと書き込み、コンピュータ間でのやり取りが必要となります。これらの処理を安全に行うために、ArcGIS for Server のインストール時に指定したオペレーティング システム アカウントが使用されます。このドキュメントでは、このアカウントのことを ArcGIS Server アカウントと呼びます。

ArcGIS Server アカウントを使用する場合

ArcGIS Server アカウントは次の目的に使用します。

注意注意:

ArcGIS Server アカウントは、ArcGIS Server サイトの作成時に定義したプライマリ サイトの管理者アカウントと同じではありません。詳細については、「ArcGIS Server サイトのセキュリティ保護」をご参照ください。

ArcGIS Server アカウントに指定するアカウント

ArcGIS Server アカウントのデフォルトは、arcgis という名前になります。実際の運用に向けた配置でなければこのデフォルトで十分ですが、実稼働システムの場合は、ArcGIS Server をインストールする前にドメインまたは Active Directory アカウントを作成することをお勧めします。組織のセキュリティ ポリシーでパスワードを有効期限切れにすることが必要な場合は、ArcGIS Server アカウントの構成ユーティリティを実行して有効期限切れのパスワードを更新する必要があることに注意してください。

ローカル アカウントまたはドメイン アカウントを指定できます。推奨する方法は、セットアップ構成ファイルをエクスポートし、以降の ArcGIS Server のインストールで再利用することです。この方法により、ArcGIS Server アカウントはサイトのすべての GIS サーバ上でまったく同じに構成されます。

ローカル アカウントの使用

ローカル アカウントを選択している場合は、各 GIS サーバ上にそのローカル アカウントが存在し、アカウントとパスワードが一致している必要があります。GIS サーバが複数存在するサイトでは、各 GIS サーバで同じ ArcGIS Server アカウントを使用する必要があります。存在しないローカル アカウントを指定すると、インストール中にアカウントが自動的に作成されます。

インストール時に新しいローカル アカウントを作成する場合、アカウントに指定するパスワードは、オペレーティング システムのローカル セキュリティ ポリシーに準拠する必要があります。パスワードがオペレーティング システムの強度の最小要件を満たしていない場合、インストール中にエラーが返されます。Windows の要件を表示するには、次の操作を行います。

  1. コントロール パネルから [ローカル セキュリティ ポリシー] を開いて、[アカウント ポリシー] を展開します。
  2. [パスワードのポリシー] フォルダを選択して、[複雑さの要件を満たす必要があるパスワード] をダブルクリックします。
  3. [複雑さの要件を満たす必要があるパスワードのプロパティ] ダイアログ ボックスで [説明] タブをクリックします。

ドメイン アカウントの使用

ドメイン アカウントを指定すると、リモート システムのデータへのアクセスが簡単になります。ドメイン アカウントは集中管理されるため、セキュリティ上の目的からも、多くのシナリオでドメイン アカウントを指定することをお勧めします。

ドメイン アカウントを指定するときは、DOMAIN\username という形式を使用します。ドメインを指定しない場合、同じユーザ名のローカル アカウントが作成されます。存在しないドメイン アカウントを指定した場合は、インストール中にエラーが返されます。

ログオン設定により、ArcGIS Server がインストールされているコンピュータへのログイン権限が拒否される場合は、インストール中にエラーが発生します。ArcGIS Server アカウントへの [ローカル ログオン] グループ ポリシー設定の付与は必須ではありません。詳細については、「ドメイン アカウントを使用する場合の詳細な注意事項」をご参照ください。

ArcGIS Server の以前のインストールの SOC アカウントがあります。これを ArcGIS Server アカウントとして指定できますか?

以前のバージョンの ArcGIS Server では、SOC アカウントと呼ばれるアカウントを作成し、すべてのデータ フォルダに対する権限をそのアカウントに付与する必要がありました。SOC アカウントとその権限がすでに存在する場合、それを選択すれば、ArcGIS Server アカウントとして指定できます。そうすることで、移行中に実行する必要のある権限の再割り当て作業を減らすか、なくすことができます。

LocalSystem アカウントを、ArcGIS Server を実行するためのログオン アカウントとして使用できますか?

ArcGIS Server Windows サービスを、Windows 固有の LocalSystem アカウントで実行するように設定できないかという質問がよくあります。これは、次のようにして行えます。[Windows サービス] ダイアログ ボックスで [ArcGIS Server サービス] を右クリックし、LocalSystem でログオンするようにサービスのプロパティを設定します。この方法でサービスを設定する場合、次の点に留意してください。

  • LocalSystem アカウントには、セキュリティに影響を及ぼす高度な権限が与えられているため、注意が必要です。詳細については、Microsoft Development Center の「The LocalSystem Account」をご参照ください。
  • LocalSystem アカウントは、ネットワーク ロケーションにアクセスすることを意図していません。このアカウントを使用してサービスやサイトのデータにアクセスするには、そのデータをローカルな場所に保存する必要があります。
  • GIS サーバが複数存在するサイトでは、LocalSystem を ArcGIS Server アカウントとして使用しないでください。

ArcGIS Server アカウントには、どの権限を付与する必要がありますか?

ArcGIS for Server をインストールすると、ArcGIS Server アカウントには、サーバ プロセスの起動と停止など、基本的な機能を実行する権限が付与されます。このアカウントには、ArcGIS for Server インストールディレクトリ内のすべてのフォルダに対する読み取り権限、および下記のフォルダへのフル コントロール権限も付与されます。

サイトを作成する前に、ArcGIS Server アカウントに次の権限を付与する必要があります。

サイトを作成すると、ArcGIS Server アカウントには、ArcGIS Server ログ ディレクトリに対する読み取り/書き込み権限が付与されます。新しいログの場所を作成した場合、それに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。

ArcGIS Server アカウントを、サイト内のどのコンピュータ上の管理者グループにも含める必要はありません。

ArcGIS Server アカウントの変更

ArcGIS Server アカウントを変更するために、ArcGIS Server のインストールを再実行する必要はありません。インストール後は、ソフトウェアに付属の ArcGIS Server アカウントの構成ユーティリティを実行することにより、ArcGIS Server アカウントを変更できます。変更は、セキュリティ ポリシーの変更に対応する場合や、サーバのトラブルシューティングを行う場合に必要になることがあります。

オペレーティング システムのツールを使用して手動で ArcGIS Server アカウントを変更しないで、このユーティリティを使用することをお勧めします。このユーティリティは、配置内のすべてのコンピュータの、必要な(前述した)すべてのディレクトリに権限を適用するように設計されています。アカウントを手動で変更しようとして間違えると、サーバ障害やダウンタイムが発生する恐れがあります。

ユーティリティを使用して ArcGIS Server アカウントを変更するには、次の手順に従います。

  1. サイトの GIS サーバで、Windows の [スタート] メニューから [ArcGIS] [ArcGIS for Server] [Configure ArcGIS Server Account] の順に選択してユーティリティを参照します。
  2. アカウントを ArcGIS Server アカウントとして指定するには、名前とパスワードを指定します。[次へ] をクリックします。
  3. 必要に応じて、ArcGIS Server サイトで使用されるルート サーバ ディレクトリと構成ストアの場所を指定します。以下に例を示します。
    • ローカルのドライブ文字パスを使用してルート サーバ ディレクトリと構成ストアを使用できる場合は、ユーティリティでこれらのディレクトリを指定します。ユーティリティにより、ディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。
    • ルート サーバ ディレクトリと構成ストアで UNC(ネットワーク)パスを使用する場合は、これらのフィールドを空白にし、ユーティリティの完了後にディレクトリへの読み書き権限を新しいアカウントに手動により付与します。
  4. 必要に応じて、ログ ディレクトリの場所を指定します。場所を入力すると、ユーティリティによりそのディレクトリに対する読み書き権限が新しいアカウントに自動的に付与されます。このフィールドを空白にすると、ユーティリティの完了後に配置内のすべての GIS サーバでディレクトリに対する読み書き権限を新しいアカウントに手動で付与する必要があります。
    注意注意:

    ログ ディレクトリは、サーバ ディレクトリや構成ストアの場所とは無関係です。ログ ディレクトリの場所を変更する場合は、GIS サーバのルート レベルで場所を指定するようにしてください。ログの場所としてネットワーク ディレクトリを指定することはできません。詳細については、「サーバ ログについて」をご参照ください。

  5. [次へ] をクリックします。
  6. [サーバ構成ファイルの出力] ダイアログ ボックスで、次の手順を実行します。
    • 配置内の GIS サーバが 1 つのみである場合は、必要に応じて構成ファイルを保存できます。セキュリティで保護された場所に格納してください。[次へ] をクリックします。
    • 配置内に 複数の GIS サーバがある場合は、構成ファイルをエクスポートします。これにより、サイト内の残りのコンピュータについてユーティリティで情報を再入力する必要がなくなります。この方法により、ArcGIS Server アカウントはサイトのすべての GIS サーバ上でまったく同じに構成されます。構成ファイルにセキュリティで保護された場所を指定し、[次へ] をクリックします。
  7. サマリ パネルで、アカウントのプロパティを確認し、[構成] をクリックします。ArcGIS Server アカウントとして、新しいアカウントが構成されます。ユーティリティを閉じます。
  8. サイト内の残りのコンピュータで個別にユーティリティを実行します。前の手順で作成した構成ファイルをユーティリティが参照するようにしたり、上記の手順で入力した情報を再入力できます。
  9. サーバに登録したデータ ディレクトリおよびデータベース接続ファイルに対する読み書き権限を新しいアカウントに付与します。データベース認証の代わりに Windows 認証を使用している場合は、接続ファイルに対する書き込みアクセス権も付与する必要があります。詳細については、「ArcGIS for Desktop を使用したデータの ArcGIS Server への登録」をご参照ください。

コマンド ラインからの ArcGIS Server アカウントの変更

別の方法として、コマンド ライン ユーティリティ <ArcGIS for Server のインストール場所>\bin\ServerConfigurationUtility.exe を使用して ArcGIS Server アカウントを変更することもできます。組織のセキュリティ ポリシーに更新を適用した後は、アカウントの更新はスクリプトを記述する楽な作業になります。

使用できるパラメータは次のとおりです。

ServerConfigurationUtility [/readconfig] | [/writeconfig] | [/username] | [/password] | [/rsdir] | [/csdir] | [/logsdir]

  • <readconfig> - ユーティリティを前回実行したときに保存した構成ファイルへのオプションのパス。
  • <writeconfig> - 今後のユーティリティの実行で同じプロパティを適用できるようにするための、構成ファイルを保存する場所へのオプションのパス。
  • <username> - ArcGIS Server アカウントに使用する名前。
  • <password> - ArcGIS Server アカウントのパスワード。
  • <rsdir> - ルート サーバ ディレクトリのパス。このパラメータはオプションです。ただし、これを指定しない場合は、ルート サーバ ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
  • <csdir> - 構成ストアのディレクトリ。このパラメータはオプションです。ただし、これを指定しない場合は、構成ストアに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。
  • <logsdir> - ArcGIS Server ログ ディレクトリへのパス。このパラメータはオプションです。ただし、これを指定しない場合は、ログ ディレクトリに対する読み取り/書き込み権限を、手動で ArcGIS Server アカウントに付与する必要があります。

例: ServerConfigurationUtility /writeconfig c:\temp\myconfig.xml /username arcgisnew /password secret /rsdir c:\arcgisserver\directories /csdir c:\arcgisserver\config-store /logsdir c:\arcgisserver\logs

ArcGIS Server アカウントのロケールの指定

ArcGIS Server アカウントのロケールは、インストール時に指定した Windows アカウントのロケールに設定されます。アカウントを指定していないでデフォルト値(arcgis)を使用する場合、アカウントのロケールは、使用しているオペレーティング システムの設定によって決まります。サーバが生成するすべてのメッセージ(ログなど)が ArcGIS Server アカウントのロケールで表示されるため、このロケールは重要です。サーバのメッセージをデフォルトの言語または形式で表示するには、以下の手順を実行する必要があります。

  1. ArcGIS Server をホストしているコンピュータに、ArcGIS Server アカウントを使用してログインします。
  2. [コントロール パネル] を開き、[地域と言語] を選択します。
  3. [フォーマット] タブをクリックし、[フォーマット] ドロップダウン リストで目的の国を選択します。
  4. [キーボードと言語] タブをクリックして、[表示言語] を目的の言語に変更します。
  5. [管理] をタブをクリックし、[システム ロケールの変更] ボタンをクリックして、目的のシステム ロケールを選択します。
  6. [OK] をクリックします。
5/20/2014