Skip to main content

Compte ArcGIS Data Pipelines Server

ArcGIS Data Pipelines Server démarre et arrête des processus, lit et écrit des données dans des emplacements du système de fichiers et communique entre les ordinateurs. Pour effectuer ces opérations en toute sécurité, il utilise un compte de système d’exploitation que vous spécifiez lorsque vous installez ArcGIS Data Pipelines Server. On parlera dans cette documentation du compte ArcGIS Data Pipelines Server.

Lors de l’utilisation du compte ArcGIS Data Pipelines Server

Le compte ArcGIS Data Pipelines Server est utilisé aux fins suivantes :

  • Démarrer et arrêter les processus qui prennent en charge ArcGIS Data Pipelines Server et les services.

  • Lire et écrire des fichiers dans les répertoires ArcGIS Data Pipelines Server.

  • Lire et écrire des fichiers dans le magasin de configuration.

  • Lire et écrire des fichiers dans l’emplacement d’installation ArcGIS Data Pipelines Server et le répertoire temporaire du système. Par exemple, le compte écrit des fichiers journaux que vous pouvez utiliser pour dépanner le serveur.

  • Lire et écrire des messages de consignation dans le répertoire des journaux.

  • Lire et écrire les résultats des tâches planifiées de l’exécution d’ArcGIS Data Pipelines et les résultats d’exécution autonomes dans le config store.

Remarque :

Le compte ArcGIS Data Pipelines Server n’est pas le même que celui de l’administrateur principal du site que vous définissez lorsque vous créez le site ArcGIS Data Pipelines Server. Pour plus d’informations, reportez-vous à la rubrique Créer un site ArcGIS Data Pipelines Server.

Désigner le compte ArcGIS Data Pipelines Server

Le compte ArcGIS Server est celui que vous utilisez lorsque vous installez le logiciel. Durant l'installation, ce compte devient le propriétaire de tous les fichiers placés sur le système. Sur un site comportant plusieurs machines ArcGIS Server, l’ID utilisateur (UID) du compte ArcGIS Server doit être identique sur toutes les machines pour qu’elles puissent accéder aux données, au configuration store et aux répertoires du serveur grâce aux mêmes autorisations NFS.

Pour des raisons de sécurité, le compte racine ne peut pas servir de compte ArcGIS Server, ni servir à installer le logiciel.

Le compte ArcGIS Data Pipelines Server s’appelle par défaut arcgis. Dans la plupart des déploiements hors production, cette valeur par défaut s’avère suffisante ; en revanche, pour les systèmes de production, Esri vous recommande de créer un compte de domaine ou Active Directory avant d’installer ArcGIS Data Pipelines Server.

Vous êtes autorisé à spécifier un compte local ou un compte de domaine. Vous pouvez exporter le fichier de configuration du programme d’installation lorsque vous installez ArcGIS Data Pipelines Server sur la première machine de votre site et utiliser le fichier de configuration lorsque vous installez ArcGIS Data Pipelines Server sur les autres machines de votre site. Cela permet de s’assurer que le compte ArcGIS Data Pipelines Server est configuré de la même manière sur toutes les machines de votre site.

Compte de domaine

Un compte de domaine permet d’accéder plus facilement aux données sur les systèmes distants. Un compte de domaine est également préférable pour des raisons de sécurité, car le compte est géré centralement.

Pour spécifier un compte de domaine, suivez le format DOMAIN\username. Si vous ne spécifiez pas le domaine, l’assistant d’installation ArcGIS Data Pipelines Server crée un compte local avec le nom d’utilisateur que vous avez spécifié. Si vous spécifiez un compte de domaine qui n’existe pas, l’installation renvoie une erreur.

Si vos paramètres de connexion interdisent l’accès à la machine où est installé ArcGIS Data Pipelines Server, une erreur se produit à l’installation. Il n’est pas nécessaire d’accorder des paramètres de stratégie de groupe Log on locally (Ouvrir une session localement) au compte ArcGIS Data Pipelines Server.

Compte local

Si vous avez choisi un compte local, ce compte et le mot de passe doivent exister sur chaque machine du site ArcGIS Data Pipelines Server et doivent être identiques. Vous pouvez créer le compte local avec le même mot de passe sur chaque machine avant d’installer ArcGIS Data Pipelines Server, ou vous pouvez laisser l’assistant d’installation ArcGIS Data Pipelines Server créer le compte local ; veillez simplement à utiliser les mêmes nom d’utilisateur et mot de passe sur chaque machine du site.

Si vous créez un compte local dans le cadre de l’installation, le mot de passe que vous attribuez au compte doit respecter la stratégie de sécurité locale de votre système d’exploitation. Si le mot de passe ne respecte pas le niveau de sécurité minimal requis par votre système d’exploitation, l’installation renvoie une erreur. Consultez la documentation Microsoft correspondant à la version de Windows que vous utilisez pour savoir comment vérifier la stratégie de sécurité sur vos machines.

Compte de service contrôlé par un groupe

Un compte de service contrôlé par un groupe (gMSA) est un compte de domaine Active Directory offrant une gestion automatique des mots de passe. Le compte ne peut pas être utilisé pour les connexions interactives et ne peut s’utiliser que sur un groupe pré-défini de serveurs.

L’utilisation d’un gMSA est particulièrement avantageuse lorsqu’un compte de service régit les logiciels sur plusieurs machines, par exemple sur un site ArcGIS Data Pipelines Server constitué de plusieurs machines. Dans la mesure où le gMSA fonctionne au niveau du domaine, il est en mesure de modifier régulièrement le mot de passe du compte de service sur chaque machine, sans intervention manuelle.

L’outil de ligne de commande configureserviceaccount, décrit ci-dessous, permet de configurer le service ArcGIS Data Pipelines Server afin que celui-ci s’exécute sous un gMSA. Cet outil se trouve à l’emplacement suivant : <ArcGIS Data Pipelines Server install directory>\tools. Pour le paramètre username, le compte de service administré de groupe peut être spécifié avec ou sans le symbole $ à la fin. Le paramètre password n’est pas nécessaire. Les paramètres readconfig et writeconfig opèrent de la même manière avec un compte de service contrôlé par un groupe.

Voici un exemple de commande pour configurer un gMSA en tant que compte ArcGIS Data Pipelines Server :

configureserviceaccount.bat --username mydomain\enterprise-gmsa$ --writeconfig c:\temp\domainaccountconfig.xml

Autorisations à accorder au compte ArcGIS Data Pipelines Server

Avant de créer votre site, vous devez accorder au compte ArcGIS Data Pipelines Server les autorisations suivantes :

  • Autorisations de contrôle total à l’emplacement où seront créés vos répertoires de serveur. N’oubliez pas que vous devez accorder au compte ArcGIS Data Pipelines Server des autorisations en lecture et en écriture sur tout nouveau répertoire de serveur créé après la configuration de votre site. Par défaut, il s’agit du répertoire <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/directories.

  • Autorisations de contrôle total à l’emplacement où sera créé votre magasin de configuration. Par défaut, il s’agit du répertoire <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/config-store.

  • Autorisations de contrôle total au répertoire allant contenir les journaux ArcGIS Data Pipelines Server et autorisation de créer ce dossier si vous ne l’avez pas fait manuellement. Il s’agit du répertoire <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/logs.

  • Autorisations de lecture sur les dossiers de données que vous allez inscrire auprès du site ArcGIS Data Pipelines Server avant que les auteurs de pipelines de données puissent lire les données à partir des entrées de partage de fichiers.

  • Autorisations de contrôle total à l’emplacement où seront créés vos répertoires de serveur. N’oubliez pas que vous devez accorder au compte ArcGIS Data Pipelines Server des autorisations en lecture et en écriture sur tout nouveau répertoire de serveur créé après la configuration de votre site. Par défaut, il s’agit du répertoire C:\arcgisdatapipelinesserver\directories.

  • Autorisations de contrôle total à l’emplacement où sera créé votre magasin de configuration. Par défaut, il s’agit du répertoire C:\arcgisdatapipelinesserver\config-store.

  • Autorisations de contrôle total au répertoire allant contenir les journaux ArcGIS Data Pipelines Server et autorisation de créer ce dossier si vous ne l’avez pas fait manuellement. Par défaut, il s’agit du répertoire C:\arcgisdatapipelinesserver\logs.

  • Autorisations de lecture sur les dossiers de données que vous allez inscrire auprès du site ArcGIS Data Pipelines Server avant que les auteurs de pipelines de données puissent lire les données à partir des entrées de partage de fichiers.

Le compte ArcGIS Data Pipelines Server n’a pas besoin de faire partie du groupe Administrateurs de Windows sur les machines de votre site.

Changer de compte ArcGIS Data Pipelines Server

Vous n’avez pas besoin de réexécuter l’installation d’ArcGIS Data Pipelines Server pour changer de compte ArcGIS Data Pipelines Server. Après l’installation, vous pouvez changer de compte en exécutant l’utilitaire de configuration du compte d’ArcGIS Data Pipelines Server, fourni avec le logiciel. Par exemple, vous pouvez être amené à effectuer cette opération à la suite d’une modification de la stratégie de sécurité ou lorsque vous dépannez le serveur.

Pour changer de compte ArcGIS Data Pipelines Server à l’aide de l’utilitaire, exécutez l’exécutable à partir d’une invite de commande. L’utilitaire de ligne de commande ServerConfigurationUtility.exe se trouve dans <ArcGIS Data Pipelines Server install directory>\tools.

Les paramètres de ligne de commande de l’utilitaire sont les suivants :

  • --username : nom à utiliser pour le compte ArcGIS Server.

  • --password : mot de passe du compte ArcGIS Server.

  • --readconfig : chemin d’accès facultatif vers un fichier de configuration que vous avez enregistré lors d’une exécution précédente de l’utilitaire.

  • --writeconfig : chemin d’accès facultatif dans lequel un fichier de configuration sera enregistré afin que vous puissiez appliquer les mêmes propriétés lors des exécutions futures de l’utilitaire.

  • --help : affiche l’aide sur la ligne de commande et ferme l’outil.

Voici un exemple de commande pour changer de compte et exporter un fichier de configuration :

configureserviceaccount.bat --username arcgisnew --password secret --writeconfig c:\temp\myconfig.xml

Haut