GIS サーバによって使用されるアカウント
GIS サーバがタスクを実行する際には、プロセスの開始と停止、ファイル システムでのデータの読み取りと書き込み、コンピュータ間でのやり取りが必要となります。これらの処理を安全に行うために、GIS サーバは ArcGIS SOM(Server Object Manager)アカウント、ArcGIS SOC(Server Object Container)アカウント、ArcGIS Web Services アカウントの 3 つのオペレーティング システム アカウントを使用します。ArcGIS Server ポスト インストールを実行する際には、これらのアカウントの名前を入力する必要があります。これらのアカウントの名前は任意であり、組織にすでに存在するアカウントを割り当てることができます。ただし、ドメインの既存のアカウントを使用するのか、それとも ArcGIS Server ポスト インストールでアカウントを自動的に作成するのかを決定する前に、これらのアカウントがなぜ必要なのかを理解することが重要となります。
SOM アカウント
SOM アカウントは Server Object Manager Windows サービスを実行します。このプロセスは、SOC コンピュータ上のコンテナ プロセスと、GIS サーバのコンフィグレーション情報およびログ ファイルを管理します。このため、SOM アカウントには、サーバのコンフィグレーション情報とログ ファイルの格納場所(<ArcGIS Server インストール場所>\server フォルダ)への書き込み権限があります。また、SOC コンピュータ上でコンテナ プロセスを開始するための権限もあります。
SOC アカウント
コンテナ プロセスは、実際にサービスをホストし、タスクを実行します。コンテナ プロセスは SOM によって開始されますが、SOC アカウントとして実行されます。このため、SOC アカウントには、既定のサービスとアプリケーション固有のサービスを実行するのに必要な GIS リソース(マップ、ツール、データ)への読み取りアクセスの権限が必要です。さらに SOC アカウントには、コンテナ プロセスで実行されるサービスが出力を書き出すための、GIS サーバのサーバ ディレクトリへの書き込み権限も必要です。共有ネットワーク ドライブの権限について検討する場合は特にそうですが、SOC アカウントのこれらの側面はサイトを管理する上で重要となります。
SOC アカウントの重要な側面の 1 つは、コンテナ プロセスがそのアカウントとして実行されることから、SOC アカウントで実行できることを GIS サーバに接続するユーザがすべて実行できることです。さらに重要なのは、SOC アカウントが書き込み権限を持つファイルを開発者が編集、削除、またはその他の方法で操作できることです。
GIS サーバの SOC アカウントとして多くの権限を持つドメイン アカウントを使用するのは危険かもしれません。SOC アカウントには、必要なファイルにアクセスしてサービスのタスクを実行するのに必要な権限があれば十分です。ArcGIS Server のインストールでは、各 SOC コンピュータ上で次の最低限の権限を持つ SOC アカウントを作成することができます。
- コンテナ プロセスを起動し、アクティブ化する権限
- システムの temp ディレクトリへの書き込みアクセスの権限
GIS サーバ管理者は、このアカウントに対し、必要なデータへのアクセス権限とサーバの出力ディレクトリへの書き込み権限を割り当てる必要があります。
 |
GIS サーバ ポスト インストールでは、SOM アカウントと SOC アカウントを指定することができます。
ArcGIS Web Services アカウント
ArcGIS Web Services アカウントは、GIS サーバ上で Web サービス リクエストを処理するために使用されます。このアカウントは、ユーザがインターネット接続を確立したときに、Web サーバや GIS サーバとやり取りするために内部で使用するものです。
SOM アカウントや SOC アカウントと同様に、既存のアカウントを指定するか、あるいはポスト インストールでアカウントを自動的に作成することができます。
ArcGIS Web Services アカウントは、Web サーバ コンピュータ上で Web サービス ポスト インストールを実行するときと、SOM 上で GIS サーバ ポスト インストールを実行するときに指定する必要があります。SOM では、Web サーバと同じアカウント情報を入力する必要があります。ポスト インストールにより、アカウントは SOM 上の agsadmin グループに追加されます。
ArcGIS Web Services アカウントには、ローカル アカウントとドメイン アカウントのどちらかを使用することができます。ArcGIS Web Services アカウントにドメイン アカウントを使用することは、ドメイン アカウントに agsadmin グループに追加すること以外の権限を割り当てなければ、SOM アカウントや SOC アカウントの場合ほど危険ではありません。
ベスト プラクティス
- 上記のアカウントは、GIS サーバによって内部で使用され、コンピュータ上の限定的な権限のみを必要とします。それらに遭遇するのは、他のコンピュータに ArcGIS Server をインストールするときか、GIS サーバのデータにアクセスするための権限を割り当てるときだけでしょう。ほとんどの場合は、ポスト インストール時に示されるデフォルトのアカウント名(ArcGISSOM、ArcGISSOC、ArcGISWebServices)を選択し、ポスト インストールでそれらのアカウントを自動的に作成すれば十分です。ポスト インストールでアカウントを自動的に作成すると、最低限必要な権限が割り当てられます。
- セキュリティ上の理由から、SOM アカウントと SOC アカウントにはドメイン アカウントを指定するのではなく、ローカル アカウントを指定することが推奨されます。これにより、悪意を持つユーザがアカウントを利用して、ネットワーク内の他のコンピュータの管理者権限を手に入れることは不可能になります。ポスト インストールでアカウントを自動的に作成すると、ローカル アカウントが作成されます。
- ArcGIS Server のコンポーネントが含まれていないコンピュータ上にデータが存在する場合は、オペレーティング システムのツールを使用して、そのコンピュータ上で SOC アカウントを作成する必要があるかもしれません。この SOC アカウントには、システム内のその他すべてのコンピュータと同じユーザ名とパスワードを割り当てる必要があります。その後、アカウントにデータへのアクセス権限を割り当てることができます。