Sichern von lokalen Verbindungen mit Services
Lokale Verbindungen mit einem GIS-Server – und den Services, die darauf ausgeführt werden – werden vom Betriebssystem des SOM-Computers (Server Object Manager) verwaltet. Auf ähnliche Weise, wie das Betriebssystem es Ihnen ermöglicht, Dateien auf dem eigenen Computer zu erstellen und zu löschen, Sie jedoch daran hindert, dasselbe auf dem Computer des Kollegen zu tun, gewährt das Betriebssystem auf dem SOM einigen Benutzern Zugriff auf die Services, die auf den Servercomputern ausgeführt werden, und verweigert anderen Benutzern den Zugriff. Wenn Sie sich am eigenen Computer anmelden, identifizieren der Benutzername und das Kennwort, die Sie eingeben, Sie als im Netzwerk zulässigen Benutzer. Auf der Grundlage des Betriebssystemkontos wird Ihnen erlaubt, einen bestimmten Satz von Aktionen auszuführen – einer dieser Aktion könnte sein, auf einen GIS-Server zuzugreifen.
Bevor Sie mit dem GIS-Server zu arbeiten beginnen können, müssen Sie festlegen, wer darauf zugreifen kann. Sobald Sie dies getan haben, Sie sind in der Lage, eine Verbindung mit dem GIS-Server herzustellen und ihm Services hinzuzufügen.
Identifizieren, wer lokale Verbindungen mit dem Server herstellen kann
Wem sollen Sie lokalen Zugriff auf den GIS-Server gewähren? Die Antwort auf diese Frage hängt davon ab, welche Art von Services auf dem Server ausgeführt werden und wie diese Services genutzt werden sollen. In einigen Fällen sollten die Services, die auf dem Server eingerichtet werden, für jeden verfügbar gemacht werden. In anderen Fällen sollten Sie den Zugriff beschränken, da ein Service vertrauliche Informationen enthält, die nur für bestimmte Personen einsehbar sein sollten.
Als Administrator des GIS-Servers gewähren Sie Personen lokalen Zugriff auf den GIS-Server, indem Sie deren Betriebssystemkonto der Liste der Benutzer hinzufügen, die Zugriff auf den Server haben sollen. In Wirklichkeit gibt es zwei Listen: eine Liste der Benutzer, die die Services nutzen können, die auf dem Server ausgeführt werden, und einer Liste der Benutzer, die den Server selbst verwalten (also Server-Services hinzufügen, löschen und ändern) können. Weil das Betriebssystem letztlich den Zugriff auf den Server steuert, verwenden Sie zwei Betriebssystembenutzergruppen – ArcGIS Server-Benutzer und ArcGIS Server-Administratoren –, um die beiden Benutzerlisten zu verwalten. Eine Benutzergruppe definiert einfach den Satz von Benutzern, der Zugriff auf eine bestimmte Ressource – hier einen GIS-Server – hat.
Im Allgemeinen hängt die Liste der Konten, die Sie den ArcGIS Server-Benutzer- und -Administratorgruppen hinzufügen, davon ab, welche Clients erwartungsgemäß eine Verbindung mit dem Server herstellen. Jedes Betriebssystemkonto, unter dem ArcGIS Desktop ausgeführt wird, muss der Gruppe der ArcGIS Server-Benutzer hinzugefügt werden, wenn dieser Client Zugriff auf den GIS-Server haben soll. Darüber hinaus kann jede Webanwendung, die Sie erstellen, über ein bestimmtes Betriebssystemkonto eine Verbindung mit dem GIS-Server herstellen. Jedes Konto, das die Webanwendungen verwendet, sollte ebenfalls der Gruppe der ArcGIS Server-Benutzer hinzugefügt werden.
Sie müssen das SOM-Konto und das SOC-Konto der Administrator- oder Benutzergruppe hinzufügen. Diese Konten werden vom Betriebssystem nur verwendet, um Prozesse auf dem GIS-Server zu starten und zu beenden.
Steuern des Zugriffs auf einen GIS-Server
Wenn Sie ArcGIS Server installieren, werden während der Installation die Gruppen für die ArcGIS Server-Benutzer (agsusers) und Administratoren (agsadmin) automatisch erstellt. Diese werden als lokale Betriebssystemgruppen auf dem SOM-Computer und auf jedem Container-Computer erstellt. Das ArcGIS Server-Installationsprogramm fügt diesen Gruppen nicht automatisch Benutzer hinzu. Daher müssen Sie diesen Gruppen Benutzer hinzufügen, je nachdem, welche Art des Zugriffs die einzelnen Benutzer haben sollen. Natürlich müssen Sie als Erstes ihr eigenes Konto der Gruppe agsadmin hinzufügen.
Wenn Anwendungen lokale Verbindungen mit dem GIS-Server herstellen, werden sie anhand der Gruppen agsusers und agsadmin auf dem GIS-Server authentifiziert.
Wie Sie die Benutzerkonten diesen Gruppen hinzufügen, hängt davon ab, wie die Organisation Benutzer im Allgemeinen verwaltet. Wenn die Organisation bereits eine Reihe von Benutzergruppen eingerichtet hat, können Sie bestimmte Gruppen als Mitglieder den Gruppen agsadmin und agsusers hinzuzufügen. Sie können den Arbeitsaufwand minimieren, der erforderlich ist, um den Zugriff auf den GIS-Server zu ändern, indem Sie Benutzer auf der Grundlage anderer Gruppen zuweisen. Wenn beispielsweise ein neuer Mitarbeiter eingestellt und einer vorhandenen Gruppe der Organisation hinzugefügt wird, wird ihm automatisch Zugriff auf den GIS-Server gewährt, wenn der Mitarbeiter Mitglied einer Gruppe ist, die Mitglied der ArcGIS Server-Benutzergruppe ist. Sie können den Gruppen agsadmin oder agsusers stattdessen auch einzelne Benutzer hinzufügen.
Berechtigungen von Benutzern und Administratoren
Mitglieder der Gruppe der ArcGIS Server-Benutzer (agsusers) verfügen über Standardzugriffsrechte auf den GIS-Server. Benutzer auf Services zugreifen und sie anzeigen; sie können jedoch keine Verwaltungs-Tasks ausführen, z. B. Services hinzufügen, entfernen oder ändern. Sie können auch keine Eigenschaften des Servers selbst ändern, z. B. Computer hinzufügen oder entfernen.
Mitglieder der Gruppe der ArcGIS Server-Administratoren (agsadmin) werden Zugriffs- und Administratorberechtigungen für den GIS-Server gewährt. Wenn Sie als Mitglied der Administratorgruppe eine Verbindung herstellen, können Sie folgende Aktionen ausführen:
- Hinzufügen oder Entfernen von Containercomputern.
- Hinzufügen, Entfernen oder Ändern von Serververzeichnissen.
- Hinzufügen, Entfernen oder Ändern von Services.
- Starten, Beenden oder Anhalten von Services.
- Anzeigen von Statistikdaten.
Herstellen einer lokalen Verbindung mit dem Server von ArcGIS Desktop
Eine Desktop-Client-Anwendung für ArcGIS Server wird unter dem Benutzerkonto ausgeführt, das die Anwendung gestartet hat. Wenn Sie zum Beispiel an einem Desktopcomputer als Domänenbenutzer ANDY in der Domäne AVWORLD angemeldet sind und eine Anwendung wie ArcCatalog ausführen, hat die Anwendung die Identität AVWORLD\ANDY. Wenn Sie in dieser ArcCatalog-Sitzung eine lokale ArcGIS Server-Verbindung herstellen, stellen Sie eine Verbindung als AVWORLD\ANDY her. Sofern AVWORLD\ANDY Mitglied der Gruppe agsusers auf dem SOM ist, kann eine Verbindung hergestellt werden. Wenn AVWORLD\ANDY Mitglied der Gruppe agsadmin ist, haben Sie über diese Verbindung Administratorberechtigungen auf dem Server.
In der Regel wird empfohlen, für die täglichen Tasks ein Konto mit eingeschränkteren Berechtigungen zu verwenden und nur auf das Administratorkonto zurückzugreifen, wenn Sie Verwaltungs-Tasks auf dem Server ausführen müssen. Unter Windows können Sie den Befehl runas verwenden, um unter Verwendung eines anderen Betriebssystemkontos als dem, unter dem Sie aktuell angemeldet sind, eine Verbindung mit ArcCatalog herzustellen. Sie können den Befehl runas über die Befehlszeile ausführen. In einigen Betriebssystemversionen ist er auch als Menüoption im Kontextmenü der ausführbaren Datei von ArcCatalog verfügbar, die sich im Ordner bin des Installationsverzeichnisses befindet. Geben Sie an der Befehlszeile z. B. Folgendes ein:
runas /user:username "C:\Programme\ArcGIS\bin\ArcCatalog.exe"
Stattdessen können Sie auch zur Datei ArcCatalog.exe im Ordner bin wechseln oder die betreffende Verknüpfung suchen, mit der rechten Maustaste auf die ausführbare Datei klicken und dann auf Ausführen als klicken. Weitere Informationen zur Verwendung des Befehls "runas" finden Sie in der Windows-Dokumentation.
Herstellen einer lokalen Verbindung mit dem Server von einer Webanwendung
Wenn Sie Webanwendungen, die auf lokale Services zugreifen, mithilfe von Web Application Developer Framework (ADF) erstellen, müssen Sie eine Identität angeben. Das Konto, die Sie als Identität verwenden, müssen auf jedem lokalen Server, mit dem die Anwendung eine Verbindung herstellt, einem Mitglied der Gruppe agsadmin oder der Gruppe agsusers gehören. Wenn Endbenutzer auf die Anwendung zugreifen, müssen sie weder einen Namen noch ein Kennwort eingeben, um auf den Service zuzugreifen. Stattdessen wird die Identität verwendet. Die verschlüsselten Identitätsinformationen werden in der Datei web.config der Anwendung gespeichert.
Einschränken des Zugriffs auf bestimmte Services
Den Zugriff nur auf einige Services, nicht aber auf andere Services auf dem gleichen GIS-Server einzuschränken ist nur bei Internetverbindungen möglich. Nähere Informationen dazu, wie sich dies implementieren lässt, finden Sie im Abschnitt Sichern von Internetverbindungen und Webanwendungen.