管理用户
管理器中的安全性 选项卡包含一个用户链接,可通过该链接查看用户列表。该面板的外观会因用户信息存储位置的不同而不同。如果使用 SQL Server 作为用户存储,则可以在管理器中添加、修改和删除用户。如果使用针对用户的自定义提供程序,则可以在自定义提供程序支持的情况下添加和修改用户。如果您的用户是 Windows 用户,则该面板中的视图为只读视图。如果视图为只读视图,则需要使用 Windows 中所固有的工具或自定义提供程序来添加、修改和删除用户。
如果用户存储中有许多用户,可对用户进行过滤,以便只显示整个用户列表的一部分。可使用该面板顶部附近的选项将显示内容限制为要查看的用户。
如果已经为用户分配了角色,可通过单击用户名左边的加号 (+) 按钮来查看和编辑(能否编辑取决于您的用户存储)用户的成员角色。
以下部分将介绍用于添加、修改和删除已经存储在 SQL Server 数据库中的用户。
添加用户
注:在管理器中,选择安全性模块。通过单击用户 面板中的添加用户来添加新用户。将显示一个用于添加用户的对话框。某些自定义提供程序也支持通过此对话框来添加用户。可在此对话框中设置以下内容:
- 用户名(必填项)
- 密码(必填项 - 必须使用相同的值进行确认)
- 电子邮件地址
- 密码检索问题和答案
- 用户的成员角色(角色必须在添加之前已经存在)
请不要在用户名中使用逗号 (,) 或分号 (;)。成员资格提供程序可能不允许其他特殊字符。如果尝试添加用户时出现错误,去掉特殊字符后重试。
密码强度要求。默认情况下,添加用户时需要使用强密码。使用强密码设置时,密码必须为至少七个字符并且必须包含至少一个非字母数字字符(例如 #、% 或 ^)。这些要求基于 ASP.NET 中的成员资格提供程序(在管理器中添加或编辑用户时会使用此提供程序)。可修改这些密码设置以要求不同长度的密码或不同数量的非字母数字字符。可通过编辑 <ArcGIS Instance>\Security Web 应用程序的 web.config 文件中的 <providers> 标记来修改这些密码设置。例如,如果不需要非字母数字字符,可将 minRequiredNonalphanumericCharacters 的属性设置为 0(如果没有此属性,可以添加此属性)。对密码策略所做的任何更改只会影响保存 web.config 文件后所创建或更改的帐户。有关详细信息,请参阅 Microsoft 文档为成员资格提供程序添加元素(ASP.NET 设置模式)。
设置了用户的属性后,单击添加用户将新用户保存到数据库,然后返回到用户 面板。单击取消放弃创建新用户。
修改用户
要更新一个现有用户,可单击用户列表中相应的编辑(铅笔)图标。除了不能更改用户名之外,编辑 对话框与添加用户 对话框的功能是相似的。此外,您不能使用“编辑”对话框更改用户密码。有关如何更改和恢复密码的信息,请参见下一部分。
如果尝试使用某个用户帐户登录时多次失败,系统会在一段较短的时间内锁定此帐户。此功能是 ASP.NET 中的内置功能。如果一个帐户被锁定,用户属性中的已锁定状态将表明此帐户已被锁定。要解锁 SQL Server 中的帐户,可使用 SQL Server Management Studio (Express) 打开用户数据库的“成员”表,然后更改被锁定用户的 IsLockedOut 列。对于自定义提供程序中的用户,必须使用特定于自定义提供程序的工具来解锁帐户。
做出更改之后,单击应用按钮保存更改并进行其他的更改,或者单击确定保存更改并返回到用户 面板。单击取消放弃所做的所有更改并返回到用户 面板。
更改和恢复丢失的密码
不能在帐户创建之后使用管理器更改或查看密码。某些类型的安全性存储支持密码管理。例如,SQL Server 支持更改和恢复密码,而对于 Windows 用户来说,则必须使用本地操作系统工具来管理密码。如果安全性存储支持密码管理功能,可使用以下工具更改密码或恢复丢失的密码:
- Web 应用程序:如果使用管理器来保护 Web 应用程序的安全,访问网站的用户将被重新定向到登录页面 (Login.aspx)。在此登录页面上,将出现用于更改密码和恢复丢失的密码的超链接(如果配置正确)。单击超链接时,将出现一个允许用户恢复或更改密码的表单。可通过编辑应用程序文件夹中名为 PasswordRecoveryMail.txt 的文本文件来修改电子邮件的内容。
- 密码管理器页面:密码管理页面随每个 ArcGIS Web 实例安装程序一起提供,用户可以通过此页面更改和恢复密码。即使 Web 应用程序没有任何安全保护,此页面仍然可用。只要在管理器中配置了安全性存储位置,此页面就可用。此页面的 URL 是 <ArcGIS Instance>/Security/PasswordManager.aspx(例如,http://myserver.example.com/ArcGIS/Security/PasswordManager.aspx)。可通过编辑文本文件 <ArcGIS instance>/Security/PasswordRecoveryMail.txt 来修改电子邮件的内容。
可能影响密码恢复的几个问题:
- 当某个用户恢复丢失的密码时,密码信息会被发送到为此用户所配置的电子邮件地址。必要时,请使用编辑用户 工具更新电子邮件地址。
如果用于恢复丢失密码的超链接未出现在登录页面或密码管理页面,则说明邮件服务器可能尚未正确配置。要发送密码信息,应用程序必须能将电子邮件发送给用户。可通过使用安全性 > 设置 > 更改向导来配置邮件服务器。即使已经配置了安全性设置,仍然可以再次使用此向导。
或者,也可以手动配置邮件服务器。这需要编辑 <ArcGIS Instance>\Security 应用程序中的 web.config 文件和已经使用管理器保护其安全的所有 Web 应用程序。有关邮件服务器所需设置的详细信息,请参阅 Microsoft 文档 <smtp> 元素(网络设置)。Web.config 文件中的邮件服务器标记通常是用 <system.net> 元素内的 <mailSettings> 元素进行配置的,如下所示(请用您的服务器信息替换示例中的相应信息;根据需要添加 system.net 标记):
<configuration> ... <system.net> <mailSettings> <smtp from="fromAddress@mailserver.com" deliveryMethod="Network"> <network host="myMailServer" port="25" userName="mymailaccount@esri.com" password="mailpassword" /> </smtp> </mailSettings> </system.net> ... </configuration>
- 通常不会发送用户的当前密码。但会将密码重置为随机值并将此新密码发送给用户。然后,用户可以选择返回到登录页面或密码管理页面并将密码更改为新值。原始密码可能不再可用,因为默认情况下大多数的成员资格提供程序都不会存储实际的密码。相反,成员资格提供程序会存储服务器从密码中计算出的密码哈希。服务器会将此哈希与用户尝试登录时所计算出的哈希进行比较。有关存储密码的详细信息和选项,请参阅 Microsoft 文档为成员资格提供程序添加元素(ASP.NET 设置模式)。
- 对于传输信息来说,发送电子邮件通常不是一种安全的方法。消息通常是以不加密的形式发送的并且可能被拥有网络访问权限的任何人截获。您可能想要通过此方法禁止恢复密码或需要在传输密码时使用 SSL。
- 有些成员资格提供程序不支持恢复或更改密码。例如,自定义成员资格提供程序可能需要使用单独的管理工具来修改密码。如果成员资格提供程序不支持密码更改和恢复功能,将不会显示密码更改和恢复超链接。
删除用户
要删除用户,可单击用户名旁边的删除图标(带有一个 X 的红色圆圈)。系统将提示您确认要删除此用户。