Verwalten von Benutzern
Die Registerkarte Sicherheit in Manager enthält den Link Benutzer, über den Sie eine Liste der Benutzer anzeigen können. Das Aussehen dieses Fensters ist davon abhängig, wo die Benutzerinformationen gespeichert werden. Wenn Sie SQL Server als Benutzerspeicher verwenden, können Sie in Manager Benutzer hinzufügen, ändern und löschen. Bei Verwendung eines benutzerdefinierten Anbieters können Sie Benutzer und Rollen unter Umständen mit Manager verwalten, wenn der benutzerdefinierte Anbieter Manager unterstützt. Wenn die Benutzer Windows-Benutzer sind, ist die Anzeige in diesem Fenster schreibgeschützt. Wenn die Anzeige schreibgeschützt ist, müssen Sie die Windows eigenen Werkzeuge oder den benutzerdefinierten Anbieter verwenden, um Benutzer hinzuzufügen, zu ändern und zu löschen.
Wenn der Benutzerspeicher viele Benutzer umfasst, können Sie sie filtern, um nur einen Teil der gesamten Benutzerliste anzuzeigen. Verwenden Sie die Optionen am oberen Rand des Fensters, um die Anzeige auf diejenigen Benutzer einzuschränken, die Sie anzeigen möchten.
Wenn Benutzer Rollen zugewiesen wurden, können Sie auf die Plusschaltfläche (+) links von dem anzuzeigenden Benutzernamen klicken und (abhängig vom Benutzerspeicher) die Rollen bearbeiten, denen der Benutzer angehört.
In den folgenden Abschnitte werden die Manager-Werkzeuge zum Hinzufügen, Ändern und Löschen von Benutzern, die in einer SQL Server-Datenbank gespeichert werden, erklärt.
Hinzufügen von Benutzern
Hinweis:Wählen Sie in Manager das Modul Sicherheit aus. Fügen Sie einen neuen Benutzer hinzu, indem Sie im Fenster Benutzer auf Benutzer hinzufügen klicken. Daraufhin wird ein Dialogfeld zum Hinzufügen von Benutzern angezeigt. Einige benutzerdefinierte Anbieter unterstützen auch das Hinzufügen von Benutzern über dieses Dialogfeld. In diesem Dialogfeld können Sie Folgendes festlegen:
- Benutzername (erforderlich)
- Kennwort (erforderlich – muss mit einem identischen Wert bestätigt werden)
- E-Mail-Adresse
- Frage und Antwort für Kennwortabruf
- Rollenmitgliedschaft für den Benutzer (Rollen müssen bereits vorhanden sein, bevor sie hinzugefügt werden können)
Benutzernamen dürfen weder ein Komma () noch ein Semikolon (;) enthalten. Andere Sonderzeichen werden möglicherweise vom Anbieter der Mitgliedschaft nicht zugelassen. Wenn beim Hinzufügen eines Benutzers ein Fehler angezeigt wird, versuchen Sie es nochmals ohne Sonderzeichen.
Anforderungen an Kennwortkomplexität. Standardmäßig ist beim Hinzufügen von Benutzern ein sicheres Kennwort erforderlich. Bei dieser Einstellung müssen Kennwörter mindestens sieben Zeichen lang sein und mindestens ein Zeichen enthalten, das kein alphanumerisches Zeichen ist (z. B. #, %, oder ^). Diese Anforderungen basieren auf dem Anbieter der Mitgliedschaft in ASP.NET, der verwendet wird, wenn Benutzer in Manager hinzugefügt oder bearbeitet werden. Diese Kennworteinstellungen können geändert werden, sodass eine andere Kennwortlänge oder eine andere Anzahl von nicht-alphanumerischen Zeichen erforderlich ist. Sie ändern diese Einstellungen, indem Sie das Tag <providers> in der Datei web.config der <ArcGIS-Instanz>\Security-Webanwendung bearbeiten. Wenn beispielsweise kein nicht-alphanumerisches Zeichen erforderlich sein soll, legen Sie das Attribut für minRequiredNonalphanumericCharacters auf 0 fest (Sie können das Attribut hinzufügen, wenn es nicht vorhanden ist). Alle Änderungen an der Kennwortrichtlinie wirken sich nur auf diejenigen Konten aus, die erstellt oder geändert werden, nachdem die Datei web.config gespeichert wurde. Nähere Informationen hierzu finden Sie im Microsoft-Dokument http://add Element for providers for membership (ASP.NET Settings Schema).
Sobald Sie die Eigenschaften des Benutzerkontos festgelegt haben, klicken Sie auf Benutzer hinzufügen, um den neuen Benutzer in der Datenbank zu speichern und zum Fenster Benutzer zurückzukehren. Klicken Sie auf Abbrechen, um die Erstellung des neuen Benutzers abzubrechen.
Ändern von Benutzern
Um einen vorhandenen Benutzer zu aktualisieren, klicken Sie in der Benutzerliste auf das entsprechende Symbol Bearbeiten (Stift). Das Dialogfeld Bearbeiten ähnelt dem Dialogfeld Benutzer hinzufügen, nur können Sie den Benutzernamen hier nicht ändern. Sie können mit diesem Dialogfeld auch keine Kennwörter für Benutzer ändern. Informationen zum Ändern und Wiederherstellen von Kennwörtern finden Sie im nächsten Abschnitt.
Ein Konto kann gesperrt werden, wenn innerhalb eines kurzen Zeitraums mehrere Versuche scheitern, sich mit dem Konto des Benutzers anzumelden. Dies ist ein integriertes Feature von ASP.NET. Wenn ein Konto gesperrt wird, zeigt der Status Gesperrt in den Benutzereigenschaften an, dass das Konto gesperrt wurde. Um die Konten in SQL Server zu entsperren, verwenden Sie SQL Server Management Studio (Express), um die Tabelle Membership in der Benutzerdatenbank zu öffnen, und ändern Sie die Spalte IsLockedOut für den Benutzer. Bei Benutzerkonten, die in einem benutzerdefinierten Anbieter gespeichert werden, müssen Sie Werkzeuge des benutzerdefinierten Anbieters verwenden, um das Konto zu entsperren.
Sobald Sie die Änderungen vorgenommen haben, klicken Sie auf die Schaltfläche Übernehmen , um die Änderungen zu speichern und weitere Änderungen vorzunehmen, oder klicken Sie auf OK, um die Änderungen zu speichern und zum Fenster Benutzer zurückzukehren. Klicken Sie auf Abbrechen, um alle vorgenommenen Änderungen zurückzunehmen und zum Fenster Benutzer zurückzukehren.
Ändern und Wiederherstellen von verlorenen Kennwörtern
Sobald ein Konto erstellt worden ist, kann das zugehörige Kennwort mit Manager nicht geändert oder angezeigt werden. Einige Sicherheitsspeichertypen unterstützen die Kennwortverwaltung. SQL Server unterstützt z. B. das Ändern und Wiederherstellen von Kennwörtern, dagegen müssen für Windows-Benutzer systemeigene Betriebssystemwerkzeuge zum Verwalten von Kennwörtern verwendet werden. Sofern der Sicherheitsspeicher sie unterstützt, sind die folgenden Werkzeuge zum Ändern und Wiederherstellen verlorener Kennwörter verfügbar:
- Webanwendungen: Wenn Sie mit Manager eine Webanwendung schützen, werden die Benutzer, die die Website besuchen, zur Anmeldeseite (Login.aspx) umgeleitet. Auf dieser Anmeldeseite werden Hyperlinks zum Ändern eines Kennworts und (wenn ordnungsgemäß konfiguriert) Wiederherstellen eines verlorenen Kennworts angezeigt. Wenn auf diese Hyperlinks geklickt wird, wird ein Formular angezeigt, um es dem Benutzer zu ermöglichen, das Kennwort wiederherzustellen oder zu ändern. Der Inhalt dieser E-Mail kann geändert werden, indem eine Textdatei namens PasswordRecoveryMail.txt im Anwendungsordner bearbeitet wird.
- Seite "Kennwort-Manager": Eine Seite zur Kennwortverwaltung, die mit jeder ArcGIS Web-Instanzinstallation bereitgestellt wird und es den Benutzern ermöglicht, Kennwörter zu ändern und wiederherzustellen. Diese Seite ist verfügbar, ohne Webanwendungen zu sichern. Sie ist verfügbar, sobald der Speicherort des Sicherheitsspeichers in Manager konfiguriert worden ist. Die URL dieser Seite lautet <ArcGIS-Instanz>/Security/PasswordManager.aspx (z. B. http://myserver.example.com/ArcGIS/Security/PasswordManager.aspx). Der Inhalt dieser E-Mail kann geändert werden, indem die Textdatei namens <ArcGIS-Instanz>/Security/PasswordRecoveryMail.txt bearbeitet wird.
Folgende Probleme können sich auf das Wiederherstellen von Kennwörtern auswirken:
- Wenn ein Benutzer ein verlorenes Kennwort wiederherstellt, werden die Kennwortinformationen an die für den Benutzer konfigurierte E-Mail-Adresse gesendet. Aktualisieren Sie bei Bedarf die E-Mail-Adresse mit dem Werkzeug Benutzer bearbeiten.
Wenn der Hyperlink zum Wiederherstellen eines verlorenen Kennworts nicht auf der Anmeldungs- oder Kennwortverwaltungsseite angezeigt wird, dann wurde der E-Mail-Server möglicherweise nicht ordnungsgemäß konfiguriert. Zum Senden von Kennwortinformationen muss die Anwendung in der Lage sein, E-Mail-Nachrichten an den Benutzer zu senden. Sie können den E-Mail-Server mit dem Assistenten unter Sicherheit > Einstellungen > Ändern konfigurieren. Selbst wenn Sie die Sicherheitseinstellungen bereits konfiguriert haben, können Sie diesen Assistenten erneut verwenden.
Stattdessen können Sie den E-Mail-Server auch manuell konfigurieren. Hierzu müssen die Datei web.config für <ArcGIS-Instanz>\Security-Anwendung sowie die Webanwendungen, die Sie mit Manager gesichert haben, bearbeitet werden. Nähere Informationen zu den erforderlichen Einstellungen für den E-Mail-Server finden Sie im Microsoft-Dokument <smtp> Element (Network Settings). Das E-Mail-Server-Tag in der Datei Web.config wird in der Regel wie folgt mit dem <mailSetting>-Element innerhalb des <system.net>-Elements konfiguriert (setzen Sie die entsprechenden Informationen für den Server ein; fügen Sie bei Bedarf das system.net-Tag hinzu):
<configuration> ... <system.net> <mailSettings> <smtp from="fromAddress@mailserver.com" deliveryMethod="Network"> <network host="myMailServer" port="25" userName="mymailaccount@esri.com" password="mailpassword" /> </smtp> </mailSettings> </system.net> ... </configuration>
- In der Regel wird nicht das aktuelle Kennwort des Benutzers gesendet. Stattdessen wird das Kennwort auf einen Zufallswert zurückgesetzt und dieses neue Kennwort wird an den Benutzer gesendet. Der Benutzer kann dann optional zur Anmeldungs- oder Kennwortverwaltungsseite zurückkehren und das Kennwort in einen neuen Wert ändern. Das ursprüngliche Kennwort ist möglicherweise nicht verfügbar, da die meisten Anbieter der Mitgliedschaft das tatsächliche Kennwort standardmäßig nicht speichern. Stattdessen wird ein vom Server berechneter Hash-Wert des Kennworts gespeichert. Der Server vergleicht diesen Hash-Wert mit dem Wert, der berechnet wurde, als sich der Benutzer anzumelden versucht hat. Nähere Informationen zum Speichern von Kennwörtern und den hierfür verfügbaren Optionen finden Sie im Microsoft-Dokument add Element for providers for membership (ASP.NET Settings Schema).
- E-Mail ist in der Regel keine sichere Methode zum Senden von Informationen. E-Mail-Nachrichten werden normalerweise unverschlüsselt gesendet und können von jedem, der Zugriff auf das Netzwerk hat, abgefangen werden. Sie sollten verbieten, dass Kennwörter mit dieser Methode wiederhergestellt werden können, oder stattdessen die Verwendung von SSL beim Senden von Kennwörtern als erforderlich festlegen.
- Einige Anbieter der Mitgliedschaft unterstützen das Wiederherstellen oder Ändern von Kennwörtern nicht. Beispielsweise kann ein benutzerdefinierter Anbieter der Mitgliedschaft ein eigenes Verwaltungswerkzeug zum Ändern von Kennwörtern erfordern. Die Hyperlinks zum Ändern und Wiederherstellen des Kennworts werden nicht angezeigt, wenn diese Funktionalität vom Anbieter der Mitgliedschaft nicht unterstützt wird.
Löschen von Benutzern
Um einen Benutzer zu löschen, klicken Sie auf das Symbol Löschen (roter Kreis mit einem X) neben dem Namen des Benutzers. Sie werden aufgefordert, das Löschen des Benutzers zu bestätigen.