Vom GIS-Server verwendete Konten

Der GIS-Server muss für seine Arbeit Prozesse starten und beenden, Daten lesen und an Speicherorte im Dateisystem schreiben sowie mit Computern kommunizieren. Um diese Aufgaben sicher zu erledigen, verwendet der GIS-Server drei Betriebssystemkonten: das Konto ArcGIS Server Object Manager (SOM), das Konto ArcGIS Server Object Container (SOC) und das Konto ArcGIS-Web-Services. Sie werden im Rahmen der ArcGIS Server-Postinstallation aufgefordert, die Namen dieser Konten anzugeben. Diese Konten können über einen beliebigen Namen verfügen und können einem beliebigen, in Ihrer Organisation bereits vorhandenen Konto zugewiesen werden. Sie müssen jedoch verstehen, warum diese Konten notwendig sind, bevor Sie entscheiden, ob in der Domäne vorhandene Konten verwendet werden sollen oder ob diese Konten während der Postinstallation für Sie erstellt werden sollen.

Das SOM-Konto

Unter dem SOM-Konto wird der Windows-Dienst ArcGIS Server Object Manager ausgeführt. Dieser Prozess verwaltet die Containerprozesse auf den Container-Computern sowie die Konfigurationsinformationen und Protokolldateien des GIS-Servers. Folglich verfügt das SOM-Konto über Schreibberechtigungen für die Speicherorte, an denen die Serverkonfigurationsinformationen und Protokolldateien gespeichert sind (Ordner <ArcGIS Server-Installationspfad>\server). Es besitzt auch Berechtigungen zum Starten der Containerprozesse auf den Container-Computern.

Das SOC-Konto

Containerprozesse dienen tatsächlich als Host für die Services und erledigen alle Aufgaben. Die Containerprozesse werden vom Server Object Manager gestartet, aber unter dem SOC-Konto ausgeführt. Daher muss das SOC-Konto Lesezugriff auf alle GIS-Ressourcen (Karten, Locators, Daten) haben, die vorkonfigurierte und anwendungsspezifische Services zur Erledigung ihrer Aufgaben benötigen. Außerdem muss das SOC-Konto Schreibzugriff auf die Serververzeichnisse des GIS-Servers haben, damit Services, die in Containerprozessen ausgeführt werden, ihre Ausgabe schreiben können. Diese Aspekte des SOC-Kontos sind wichtig für die Verwaltung der Site, insbesondere im Hinblick auf die Berechtigungen für freigegebene Netzlaufwerke usw.

Ein wichtiger Aspekt des SOC-Kontos besteht darin, dass ein Benutzer, der eine Verbindung zum GIS-Server herstellt, alle Berechtigungen erhält, die dem SOC-Konto zugewiesen wurden, da die Containerprozesse unter diesem Konto ausgeführt werden. Da Entwickler ihre eigenen Objekte frei auf dem Server erstellen können, haben sie Zugriff auf viele Funktionen, darunter die Fähigkeit zum Lesen von Daten, für die das SOC-Konto Leseberechtigungen besitzt. Noch wichtiger ist, dass Entwickler die Dateien, für die das SOC-Konto Schreibberechtigungen besitzt, bearbeiten, löschen und auf andere Weise anpassen kann.

Es kann gefährlich sein, ein Domänenkonto mit zahlreichen Berechtigungen als SOC-Konto für den GIS-Server zu verwenden. Das SOC-Konto sollte über gerade so viele Berechtigungen verfügen, wie für den Zugriff auf die erforderlichen Daten und die Ausführung von Services erforderlich sind. Die ArcGIS Server-Installation kann SOC-Konten mit den folgenden Mindestberechtigungen auf jedem Container-Computer erstellen:

Es liegt in der Verantwortung des GIS-Serveradministrators, diesem Konto Zugriff auf alle notwendigen Daten und Schreibberechtigungen für die Ausgabeverzeichnisse des Servers zu gewähren.

Im Rahmen der GIS Server-Postinstallation können Sie das SOM-Konto und das SOC-Konto angeben.

Das ArcGIS-Web-Services-Konto

Das ArcGIS-Web-Services-Konto wird verwendet, um Web-Service-Anforderungen auf dem GIS-Server zu verarbeiten. Dieses Konto wird vom Webserver intern zur Kommunikation mit dem GIS-Server verwendet, wenn ein Benutzer eine Internetverbindung herstellt.

Wie bei den SOM- und SOC-Konten können Sie entweder ein vorhandenes Konto angeben oder das Konto im Rahmen der Postinstallation für Sie erstellen lassen.

Sie werden aufgefordert, das ArcGIS-Web-Services-Konto einzugeben, wenn Sie die Postinstallation von Web Services auf dem Webservercomputer ausführen bzw. wenn Sie die GIS-Server-Postinstallation auf dem SOM ausführen. Sie sollten auf dem SOM die gleichen Kontoinformationen wie auf dem Webserver eingeben. Das Konto wird während der Postinstallation auf dem SOM der Gruppe agsadmin hinzugefügt.

Sie können entweder ein lokales Konto oder ein Domänenkonto als ArcGIS-Web-Services-Konto verwenden. Die Nutzung eines Domänenkontos als Konto für die ArcGIS-Web-Services stellt nicht das gleiche Sicherheitsrisiko wie die Nutzung von Domänenkonten als SOM und SOC-Konten dar, solange Sie dem Domänenkonto keine anderen Berechtigungen als die Aufnahme in die Gruppe agsadmin gewähren.

Empfehlungen


3/6/2012