GIS 服务器使用的帐户

SOM 帐户

SOM 帐户可运行 ArcGIS 服务器对象管理器 (SOM) Windows 服务。此进程用于管理容器计算机上的容器进程，以及 GIS 服务器的配置信息和日志文件。因此，SOM 帐户具有对服务器配置信息和日志文件存储位置 (<ArcGIS Server install location>\server folder) 的写入权限。它还具有在容器计算机上启动容器进程的权限。

SOC 帐户

容器进程实际上是用于托管 GIS 服务并执行各项工作。容器进程由服务器对象管理器 (SOM) 启动，但以 SOC 帐户的身份运行。因此，SOC 帐户必须具有对预先配置的所有 GIS 资源（地图、定位器、数据）的读取权限，而且特定于应用程序的服务需要利用这些 GIS 资源执行它们的工作。此外，SOC 帐户必须具有对 GIS 服务器的服务器目录的写入权限，以便容器进程中所运行的服务可以写入它们的输出。SOC 帐户的以下几方面内容对于管理您的站点而言至关重要，特别是在考虑到共享网络驱动器权限时。

对于 SOC 帐户来说，很重要的一点是，由于容器进程以该帐户身份运行，因此连接到 GIS 服务器的用户可以执行 SOC 帐户所能执行的任何操作。开发人员可以在服务器上自由创建对象，因此他们有权访问大量的功能，其中包括：可以对 SOC 帐户具有读取权限的数据执行读取操作。更为重要的是，开发人员可以对 SOC 帐户具有写入权限的文件进行编辑、删除以及其他操作。

将具有大量权限的域帐户用作 GIS 服务器的 SOC 帐户可能存在风险。SOC 帐户只需具有访问必要数据和执行服务运行任务所需的权限。ArcGIS Server 安装程序可以在每台容器计算机上创建具有以下最小权限的 SOC 帐户：

• 能够启动和激活容器进程
• 具有系统临时目录的写入权限

需要由 GIS 服务器管理员来授予该帐户访问必要数据的权限以及对服务器输出目录的写入权限。

GIS 服务器安装后配置允许您指定 SOM 和 SOC 帐户。

ArcGIS Web 服务帐户

ArcGIS Web 服务帐户用于处理 GIS 服务器上的 Web 服务请求。当用户进行 Internet 连接时，该帐户由 Web 服务器内部使用，用于同 GIS 服务器进行通信。

同 SOM 和 SOC 帐户一样，您既可以指定一个现有帐户，也可以使用安装后配置为自己创建一个帐户。

当您在 Web 服务器计算机上运行 Web 服务安装后配置或者在 SOM 上运行 GIS 服务器安装后配置时，系统会要求您输入 ArcGIS Web 服务帐户。您应该在 SOM 和 Web 服务器上输入相同的帐户信息。安装后配置会将帐户添加到 SOM 上的 agsadmin 组中。

您可以使用本地帐户或域帐户作为 ArcGIS Web 服务帐户。只要您未授予域帐户 agsadmin 组权限之外的任何其他权限，使用域帐户作为 ArcGIS Web 服务帐户与使用域帐户作为 SOM 和 SOC 帐户所带来的安全性风险就会不同。

最佳做法

• 上面所提到的帐户由 GIS 服务器在内部使用，只需要对计算机拥有有限的权限。仅当您在其他计算机上安装 ArcGIS Server 时，或者仅当您授予 GIS 服务器访问您的数据的权限时，您才会遇到这些帐户。大多数情况下，使用安装后配置（ArcGISSOM、ArcGISSOC 和 ArcGISWebServices）所建议的默认帐户名称并让安装后配置为您创建帐户即可。让安装后配置为您创建帐户时，它将授予帐户所需的最小权限。
• 出于安全考虑，ESRI 建议您使用本地帐户作为 SOM 和 SOC 帐户，而不是指定域帐户。这样，可防止恶意用户使用此类帐户获取网络中其他计算机的管理权限。如果选择让安装后配置来创建帐户，创建的将是本地帐户。
• 如果您的数据位于不包含任何 ArcGIS Server 组件的计算机中，您可能需要使用操作系统工具在该计算机中创建 SOC 帐户。为该 SOC 帐户所指定的用户名和密码应与它在系统中所有其他计算机上所使用的用户名和密码相同。然后，您可以授权该帐户访问您的数据。