Skip to main content

ArcGIS Data Pipelines Server-Konto

ArcGIS Data Pipelines Server startet und beendet Prozesse, liest Daten, schreibt sie an Speicherorte im Dateisystem und kommuniziert mit Computern. Für die sichere Ausführung dieser Schritte wird ein Betriebssystemkonto verwendet, das Sie bei der Installation von ArcGIS Data Pipelines Server festlegen. Dieses wird in der Dokumentation als ArcGIS Data Pipelines Server-Konto bezeichnet.

Einsatzbereich des ArcGIS Data Pipelines Server-Kontos

Das ArcGIS Data Pipelines Server-Konto wird für folgende Aufgaben verwendet:

  • Prozesse, die ArcGIS Data Pipelines Server und -Services unterstützen, starten und beenden

  • Dateien in den ArcGIS Data Pipelines Server-Verzeichnissen lesen und schreiben

  • Dateien im Konfigurationsspeicher lesen und schreiben

  • Dateien am ArcGIS Data Pipelines Server-Installationsspeicherort und im temporären Systemverzeichnis lesen und schreiben. Das Konto schreibt beispielsweise Protokolldateien, mit denen Sie Probleme des Servers behandeln können.

  • Protokollmeldungen im Protokollverzeichnis lesen und schreiben

  • Ergebnisse geplanter ArcGIS Data Pipelines Ausführungen und eigenständiger Ausführungen lesen und in den Konfigurationsspeicher schreiben

Hinweis:

Das ArcGIS Data Pipelines Server-Konto ist nicht identisch mit dem primären Site-Administrator, den Sie beim Erstellen der ArcGIS Data Pipelines Server definieren. Weitere Informationen finden Sie unter Erstellen einer ArcGIS Data Pipelines Server-Site.

Festlegen des ArcGIS Data Pipelines Server-Kontos

Das ArcGIS-Server-Konto ist das Konto, das Sie bei der Installation der Software verwendet haben. Das Installationsprogramm macht dieses Konto zum Eigentümer aller Dateien, die es auf das System kopiert. Bei einer Site mit mehreren ArcGIS Server-Computern muss die Benutzer-ID (UID) für das ArcGIS-Server-Konto auf allen Rechnern gleich sein, sodass alle mithilfe der gleichen NFS-Berechtigungen auf die Daten, den Konfigurationsspeicher und die Serververzeichnisse zugreifen können.

Aus Sicherheitsgründen kann das Root-Konto weder als ArcGIS-Server-Konto noch zur Installation der Software verwendet werden.

Für das ArcGIS-Server-Konto wird standardmäßig der Name arcgis verwendet. Diese Standardeinstellung ist für die meisten nicht produktionsbezogenen Bereitstellungen ausreichend. Bei Produktionssystemen wird jedoch von Esri empfohlen, vor der Installation von ArcGIS Data Pipelines Server ein Domänen- oder ein Active Directory-Konto zu erstellen.

Sie können ein lokales Konto oder ein Domänenkonto auswählen. Sie können beim Installieren von ArcGIS Data Pipelines Server auf dem ersten Computer der Site die Setupkonfigurationsdatei exportieren und diese verwenden, wenn Sie ArcGIS Data Pipelines Server auf den anderen Computern der Site installieren. Auf diese Weise ist sichergestellt, dass das ArcGIS Data Pipelines Server-Konto auf allen Computern der Site gleich konfiguriert ist.

Domänenkonto

Ein Domänenkonto vereinfacht den Zugriff auf Daten in Remote-Systemen. Ein Domänenkonto ist auch aus Sicherheitsgründen vorzuziehen, da das Konto zentral verwaltet wird.

Wenn Sie ein Domänenkonto angeben, verwenden Sie das Format DOMAIN\username. Wenn Sie keine Domäne festlegen, erstellt der ArcGIS Data Pipelines Server-Installationsassistent ein lokales Konto mit dem von Ihnen angegebenen Benutzernamen. Wenn Sie ein Domänenkonto angeben, das nicht vorhanden ist, wird bei der Installation ein Fehler zurückgegeben.

Wenn Sie keine Anmelderechte für den Computer haben, auf dem ArcGIS Data Pipelines Server installiert ist, wird bei der Installation eine Fehlermeldung angezeigt. Es ist nicht notwendig, dem ArcGIS Data Pipelines Server-Konto die Gruppenrichtlinieneinstellungen Lokal anmelden zu erteilen.

Lokales Konto

Wenn Sie ein lokales Konto ausgewählt haben, muss dieses zusammen mit dem Kennwort auf jedem Computer der ArcGIS Data Pipelines Server-Site vorhanden und identisch sein. Sie können auf jedem Computer das lokale Konto mit demselben Kennwort erstellen, bevor Sie ArcGIS Data Pipelines Server installieren, oder das lokale Konto vom ArcGIS Data Pipelines Server-Installationsassistenten erstellen lassen. Sie müssen jedoch sicherstellen, dass auf jedem Computer der Site der gleiche Benutzername und das gleiche Kennwort verwendet werden.

Wenn Sie im Rahmen der Installation ein neues lokales Konto erstellen, muss das Kennwort, das Sie für das Konto angeben, der lokalen Sicherheitsrichtlinie des Betriebssystems entsprechen. Wenn das Kennwort die minimale Kennwortstärke des Betriebssystems nicht erfüllt, wird bei der Installation ein Fehler zurückgegeben. Entnehmen Sie der Microsoft-Dokumentation die von Ihnen verwendete Windows-Version, um zu ermitteln, wie Sie die Sicherheitsrichtlinie auf Ihren Computern überprüfen.

Gruppenverwaltetes Dienstkonto

Ein gruppenverwaltetes Dienstkonto (gMSA) ist ein spezielles Active Directory-Domänenkonto, das die automatische Verwaltung von Kennwörtern ermöglicht. Das Konto kann nicht für interaktive Anmeldungen verwendet werden, und seine Verwendung ist auf vordefinierte Servergruppen beschränkt.

Die Verwendung eines gMSA ist insbesondere dann sinnvoll, wenn über ein Dienstkonto Software auf mehreren Computern gesteuert wird, beispielsweise in einer ArcGIS Data Pipelines Server-Site. Da das gMSA auf Domänenebene konfiguriert ist, kann damit das Dienstkonto-Kennwort für jeden Computer regelmäßig geändert werden, ohne dass manuelle Schritte erforderlich sind.

Mit dem unten beschriebenen Befehlszeilenwerkzeug "configureserviceaccount" kann der ArcGIS Data Pipelines Server-Service für die Ausführung unter einem gMSA konfiguriert werden. Sie finden dieses Werkzeug am folgenden Speicherort: <ArcGIS Data Pipelines Server install directory>\tools. Im Parameter username kann das gruppenverwaltete Dienstkonto mit oder ohne das Zeichen $ am Ende der Zeichenfolge angegeben werden. Der password-Parameter ist nicht erforderlich. Die Funktion der readconfig- und writeconfig-Parameter bleibt bei Verwendung eines gruppenverwalteten Dienstkontos unverändert.

Im Folgenden finden Sie einen Beispielbefehl, mit dem ein gMSA als ArcGIS Data Pipelines Server-Konto konfiguriert werden kann:

configureserviceaccount.bat --username mydomain\enterprise-gmsa$ --writeconfig c:\temp\domainaccountconfig.xml

Berechtigungen, die dem ArcGIS Data Pipelines Server-Konto erteilt werden müssen

Bevor Sie die Site erstellen, müssen Sie dem ArcGIS Data Pipelines Server-Konto folgende Berechtigungen erteilen:

  • Berechtigungen zum Vollzugriff für den Speicherort, an dem die Serververzeichnisse erstellt werden. Beachten Sie, dass Sie dem ArcGIS Data Pipelines Server-Konto Lese- und Schreibberechtigungen für jedes neue Serververzeichnis erteilen müssen, das Sie nach der Site-Konfiguration erstellen. Standardmäßig ist dies das Verzeichnis <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/directories.

  • Berechtigungen zum Vollzugriff für den Speicherort, an dem der Konfigurationsspeicher erstellt wird. Standardmäßig ist dies das Verzeichnis <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/config-store.

  • Berechtigungen zum Vollzugriff für das Verzeichnis, in dem ArcGIS Data Pipelines Server-Protokolle gespeichert werden, und Berechtigungen zum Erstellen dieses Ordners, wenn Sie diesen nicht bereits manuell erstellt haben. Dieses Verzeichnis ist <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/logs.

  • Leseberechtigungen für die Datenordner, die Sie bei der ArcGIS Data Pipelines Server-Site registrieren, bevor Data-Pipeline-Autoren Daten aus Eingaben für die Dateifreigabe lesen können.

  • Berechtigungen zum Vollzugriff für den Speicherort, an dem die Serververzeichnisse erstellt werden. Beachten Sie, dass Sie dem ArcGIS Data Pipelines Server-Konto Lese- und Schreibberechtigungen für jedes neue Serververzeichnis erteilen müssen, das Sie nach der Site-Konfiguration erstellen. Standardmäßig ist dies das Verzeichnis C:\arcgisdatapipelinesserver\directories.

  • Berechtigungen zum Vollzugriff für den Speicherort, an dem der Konfigurationsspeicher erstellt wird. Standardmäßig ist dies das Verzeichnis C:\arcgisdatapipelinesserver\config-store.

  • Berechtigungen zum Vollzugriff für das Verzeichnis, in dem ArcGIS Data Pipelines Server-Protokolle gespeichert werden, und Berechtigungen zum Erstellen dieses Ordners, wenn Sie diesen nicht bereits manuell erstellt haben. Standardmäßig ist dies das Verzeichnis C:\arcgisdatapipelinesserver\logs.

  • Leseberechtigungen für die Datenordner, die Sie bei der ArcGIS Data Pipelines Server-Site registrieren, bevor Data-Pipeline-Autoren Daten aus Eingaben für die Dateifreigabe lesen können.

Das ArcGIS Data Pipelines Server-Konto muss sich auf keinem Computer der Site in der Gruppe der Windows-Administratoren befinden.

Ändern des ArcGIS Data Pipelines Server-Kontos

Sie müssen die ArcGIS Data Pipelines Server-Installation nicht erneut ausführen, um das ArcGIS Data Pipelines Server-Konto zu ändern. Nach der Installation können Sie das Konto mithilfe des Dienstprogramms zum Konfigurieren des ArcGIS Data Pipelines Server-Kontos ändern, das in der Software enthalten ist. Dies ist beispielsweise bei einer Änderung der Sicherheitsrichtlinie oder der Behebung von Problemen mit dem Server erforderlich.

Um das ArcGIS Data Pipelines Server-Konto mit dem Dienstprogramm zu ändern, führen Sie die ausführbare Datei über eine Eingabeaufforderung aus. Das Befehlszeilendienstprogramm "ServerConfigurationUtility.exe" wird in <ArcGIS Data Pipelines Server install directory>\toolsinstalliert.

Die Befehlszeilenparameter für das Dienstprogramm lauten wie folgt:

  • --username: Der Name, der für das ArcGIS-Server-Konto verwendet werden soll.

  • --password: Das Kennwort für das ArcGIS-Server-Konto.

  • --readconfig: Optionaler Pfad zu einer Konfigurationsdatei, die Sie bei einer früheren Ausführung des Dienstprogramms gespeichert haben.

  • --writeconfig: Optionaler Pfad, unter dem eine Konfigurationsdatei gespeichert wird, damit dieselben Eigenschaften bei zukünftigen Ausführungen des Dienstprogramms angewendet werden können.

  • --help: Die Hilfe für die Befehlszeile wird angezeigt und beendet.

Im Folgenden finden Sie einen Beispielbefehl zum Ändern des Kontos und Exportieren einer Konfigurationsdatei:

configureserviceaccount.bat --username arcgisnew --password secret --writeconfig c:\temp\myconfig.xml

Nach oben