Vom GIS-Server verwendete Konten
Der GIS-Server muss für seine Arbeit Prozesse starten und beenden, Daten lesen und an Speicherorte im Dateisystem schreiben sowie mit Computern kommunizieren. Um diese Aufgaben sicher zu erledigen, verwendet der GIS-Server drei Betriebssystemkonten: das Konto ArcGIS Server Object Manager (SOM), das Konto ArcGIS Server Object Container (SOC) und das Konto ArcGIS-Web-Services. Sie werden im Rahmen der ArcGIS Server-Postinstallation aufgefordert, die Namen dieser Konten anzugeben. Diese Konten können über einen beliebigen Namen verfügen und können einem beliebigen, in Ihrer Organisation bereits vorhandenen Konto zugewiesen werden. Sie müssen jedoch verstehen, warum diese Konten notwendig sind, bevor Sie entscheiden, ob in der Domäne vorhandene Konten verwendet werden sollen oder ob diese Konten während der Postinstallation für Sie erstellt werden sollen.
Das SOM-Konto
Unter dem SOM-Konto wird der Windows-Dienst ArcGIS Server Object Manager ausgeführt. Dieser Prozess verwaltet die Containerprozesse auf den Container-Computern sowie die Konfigurationsinformationen und Protokolldateien des GIS-Servers. Folglich verfügt das SOM-Konto über Schreibberechtigungen für die Speicherorte, an denen die Serverkonfigurationsinformationen und Protokolldateien gespeichert sind (Ordner <ArcGIS Server-Installationspfad>\server). Es besitzt auch Berechtigungen zum Starten der Containerprozesse auf den Container-Computern.
Das SOC-Konto
Containerprozesse dienen tatsächlich als Host für die Services und erledigen alle Aufgaben. Die Containerprozesse werden vom Server Object Manager gestartet, aber unter dem SOC-Konto ausgeführt. Daher muss das SOC-Konto Lesezugriff auf alle GIS-Ressourcen (Karten, Locators, Daten) haben, die vorkonfigurierte und anwendungsspezifische Services zur Erledigung ihrer Aufgaben benötigen. Außerdem muss das SOC-Konto Schreibzugriff auf die Serververzeichnisse des GIS-Servers haben, damit Services, die in Containerprozessen ausgeführt werden, ihre Ausgabe schreiben können. Diese Aspekte des SOC-Kontos sind wichtig für die Verwaltung der Site, insbesondere im Hinblick auf die Berechtigungen für freigegebene Netzlaufwerke usw.
Ein wichtiger Aspekt des SOC-Kontos besteht darin, dass ein Benutzer, der eine Verbindung zum GIS-Server herstellt, alle Berechtigungen erhält, die dem SOC-Konto zugewiesen wurden, da die Containerprozesse unter diesem Konto ausgeführt werden. Da Entwickler ihre eigenen Objekte frei auf dem Server erstellen können, haben sie Zugriff auf viele Funktionen, darunter die Fähigkeit zum Lesen von Daten, für die das SOC-Konto Leseberechtigungen besitzt. Noch wichtiger ist, dass Entwickler die Dateien, für die das SOC-Konto Schreibberechtigungen besitzt, bearbeiten, löschen und auf andere Weise anpassen kann.
Es kann gefährlich sein, ein Domänenkonto mit zahlreichen Berechtigungen als SOC-Konto für den GIS-Server zu verwenden. Das SOC-Konto sollte über gerade so viele Berechtigungen verfügen, wie für den Zugriff auf die erforderlichen Daten und die Ausführung von Services erforderlich sind. Die ArcGIS Server-Installation kann SOC-Konten mit den folgenden Mindestberechtigungen auf jedem Container-Computer erstellen:
- Fähigkeit, Containerprozesse zu starten und zu aktivieren
- Schreibzugriff auf das Systemverzeichnis für temporäre Dateien (temp)
Es liegt in der Verantwortung des GIS-Serveradministrators, diesem Konto Zugriff auf alle notwendigen Daten und Schreibberechtigungen für die Ausgabeverzeichnisse des Servers zu gewähren.
Im Rahmen der GIS Server-Postinstallation können Sie das SOM-Konto und das SOC-Konto angeben.
Das ArcGIS-Web-Services-Konto
Das ArcGIS-Web-Services-Konto wird verwendet, um Web-Service-Anforderungen auf dem GIS-Server zu verarbeiten. Dieses Konto wird vom Webserver intern zur Kommunikation mit dem GIS-Server verwendet, wenn ein Benutzer eine Internetverbindung herstellt.
Wie bei den SOM- und SOC-Konten können Sie entweder ein vorhandenes Konto angeben oder das Konto im Rahmen der Postinstallation für Sie erstellen lassen.
Sie werden aufgefordert, das ArcGIS-Web-Services-Konto einzugeben, wenn Sie die Postinstallation von Web Services auf dem Webservercomputer ausführen bzw. wenn Sie die GIS-Server-Postinstallation auf dem SOM ausführen. Sie sollten auf dem SOM die gleichen Kontoinformationen wie auf dem Webserver eingeben. Das Konto wird während der Postinstallation auf dem SOM der Gruppe agsadmin hinzugefügt.
Sie können entweder ein lokales Konto oder ein Domänenkonto als ArcGIS-Web-Services-Konto verwenden. Die Nutzung eines Domänenkontos als Konto für die ArcGIS-Web-Services stellt nicht das gleiche Sicherheitsrisiko wie die Nutzung von Domänenkonten als SOM und SOC-Konten dar, solange Sie dem Domänenkonto keine anderen Berechtigungen als die Aufnahme in die Gruppe agsadmin gewähren.
Empfehlungen
- Die oben genannten Konten werden vom GIS-Server intern verwendet und benötigen auf dem Computer nur eingeschränkte Berechtigungen. Wahrscheinlich werden Sie damit nur in Berührung kommen, wenn Sie ArcGIS Server auf anderen Computern installieren oder wenn Sie dem GIS-Server Berechtigungen für den Datenzugriff geben. In den meisten Fällen genügt es, die von der Postinstallation vorgeschlagenen Standardkontonamen (ArcGISSOM, ArcGISSOC und ArcGISWebServices) zu verwenden und die Konten im Rahmen der Postinstallation erstellen zu lassen. Wenn Sie die Konten während der Postinstallation für Sie erstellen lassen, erhalten diese nur die unbedingt notwendigen Berechtigungen.
- Aus Sicherheitsgründen empfiehlt Esri, dass Sie lokale Konten als SOM- und SOC-Konto verwenden, statt Domänenkonten anzugeben. Dadurch wird sichergestellt, dass böswillige Benutzer die Konten nicht nutzen können, um sich Administratorrechte für andere Computer im Netzwerk zu beschaffen. Wenn Sie entscheiden, dass die Konten während der Postinstallation für Sie erstellt werden sollen, werden lokale Konten angelegt.
- Wenn sich die Daten auf einem Computer befinden, der keine Komponenten von ArcGIS Server enthält, müssen Sie das SOC-Konto möglicherweise mit den entsprechenden Betriebssystemwerkzeugen auf diesem Computer erstellen. Sie sollten dem SOC-Konto den gleichen Benutzernamen und das gleiche Kennwort zuweisen, die das Konto auf allen anderen Computern im System hat. Dann können Sie dem Konto Zugriff auf die Daten gewähren.