ArcGIS Data Pipelines Server アカウント

ArcGIS Data Pipelines Server は、プロセスの開始と停止、ファイルシステム上の場所でのデータの読み取りと書き込み、コンピューター間での通信を行います。これらの処理を安全に行うために、ArcGIS Data Pipelines Server のインストール時に指定したオペレーティングシステムアカウントが使用されます。これは、このドキュメント全体を通して ArcGIS Data Pipelines Server アカウントと呼ばれています。

ArcGIS Data Pipelines Server アカウントを使用する場合

ArcGIS Data Pipelines Server アカウントは、次の目的で使用されます:

ArcGIS Data Pipelines Server およびサービスをサポートするプロセスの開始と停止。
ArcGIS Data Pipelines Server ディレクトリーへのファイルの読み書き。
構成ストアのファイルの読み書き。
ArcGIS Data Pipelines Server のインストール場所とシステムの一時ディレクトリーへのファイルの読み書き。たとえば、アカウントは、サーバーのトラブルシューティングに使用できるログファイルを書き込みます。
ログディレクトリーのログメッセージの読み書き。
構成ストアへの ArcGIS Data Pipelines のスケジュールされたタスクの実行結果とスタンドアロンの実行結果の読み書き。

注意:

ArcGIS Data Pipelines Server アカウントは、ArcGIS Data Pipelines Server サイトの作成時に定義するプライマリーサイト管理者と同じではありません。詳細については、「ArcGIS Data Pipelines Server サイトの作成」をご参照ください。

ArcGIS Data Pipelines Server アカウントの指定

ArcGIS Server アカウントとは、このソフトウェアのインストール時に使用したアカウントです。インストールでは、このアカウントが、システムに配置されるすべてのファイルの所有者となります。 ArcGIS Server コンピューターが複数存在するサイトでは、ArcGIS Server アカウントのユーザー ID (UID) をすべてのコンピューターで同じものにして、各サーバーが同じ NFS 権限を使ってデータや構成ストア、サーバーディレクトリーにアクセスできるようにする必要があります。

セキュリティー上の理由から、ルートアカウントを ArcGIS Server アカウントとして使用したり、ソフトウェアのインストールに使用したりすることはできません。

ArcGIS Data Pipelines Server アカウントの名前は、デフォルトで arcgis になります。実際の運用に向けたデプロイメントでなければこのデフォルトで十分ですが、実稼働システムの場合、Esri では ArcGIS Data Pipelines Server をインストールする前にドメインアカウントまたは Active Directory アカウントを作成することをおすすめしています。

ローカルアカウントまたはドメインアカウントを指定できます。サイト内の最初のコンピューターに ArcGIS Data Pipelines Server をインストールするときにセットアップ構成ファイルをエクスポートして、サイト内のそれ以外のコンピューターに ArcGIS Data Pipelines Server をインストールするときにその構成ファイルを使用できます。これにより、ArcGIS Data Pipelines Server アカウントがサイト内のすべてのコンピューターで同じように構成されます。

ドメインアカウント

ドメインアカウントを指定すると、リモートシステムのデータへのアクセスが簡単になります。ドメインアカウントは集中管理されるため、セキュリティー上の目的からも、ドメインアカウントを指定することをお勧めします。

ドメインアカウントを指定するときは、DOMAIN\username という形式を使用します。ドメインを指定しない場合、ArcGIS Data Pipelines Server インストールウィザードでは、指定したユーザー名を持つローカルアカウントが作成されます。存在しないドメインアカウントを指定した場合は、インストール中にエラーが返されます。

ログイン設定により、ArcGIS Data Pipelines Server がインストールされているコンピューターへのログイン権限が拒否される場合は、インストール中にエラーが発生します。 [ローカルログオン] グループポリシー設定を ArcGIS Data Pipelines Server アカウントに付与する必要はありません。

ローカルアカウント

ローカルアカウントを選択している場合は、ArcGIS Data Pipelines Server サイトの各コンピューター上にそのローカルアカウントとパスワードが存在し、アカウントとパスワードが一致している必要があります。 ArcGIS Data Pipelines Server をインストールする前に、各コンピューターで同じパスワードを持つローカルアカウントを作成したり、ArcGIS Data Pipelines Server インストールウィザードでローカルアカウントの作成を許可したりできます。サイト内のすべてのコンピューターで同じユーザー名とパスワードを使用してください。

インストール時に新しいローカルアカウントを作成する場合、アカウントに指定するパスワードは、オペレーティングシステムのローカルセキュリティーポリシーに準拠する必要があります。パスワードがオペレーティングシステムの強度の最小要件を満たしていない場合、インストール中にエラーが返されます。コンピューター上のセキュリティーポリシーを確認する方法については、使用しているバージョンの Windows の Microsoft マニュアルをご参照ください。

グループ管理サービスアカウント

グループ管理サービスアカウント (gMSA) は、自動的なパスワード管理を提供する特殊な Active Directory ドメインアカウントです。このアカウントは、対話的ログオンには使用できず、事前に定義されたサービスのグループでの使用のみに制限されます。

サービスアカウントが複数のコンピューター上のソフトウェアを管理する場合 (複数コンピューターの ArcGIS Data Pipelines Server サイト内など)、gMSA の使用は特に便利です。 gMSA はドメインレベルで動作するため、手動の手順を必要とせず、各コンピューター上でサービスアカウントのパスワードを定期的に変更できます。

以下で説明する configureserviceaccount コマンドラインツールを使用して、ArcGIS Data Pipelines Server サービスを gMSA で実行するように構成できます。このツールは、次の場所にあります: <ArcGIS Data Pipelines Server install directory>\tools。 username パラメーターでは、末尾に $ シンボルを付ける、または付けずにグループ管理サービスアカウントを指定できます。 password パラメーターは不要です。 readconfig パラメーターと writeconfig パラメーターはどちらも、グループ管理サービスアカウントで同様に機能します。

gMSA を ArcGIS Data Pipelines Server アカウントとして構成するコマンドの例を次に示します:

configureserviceaccount.bat --username mydomain\enterprise-gmsa$ --writeconfig c:\temp\domainaccountconfig.xml

ArcGIS Data Pipelines Server アカウントに付与する権限

サイトを作成する前に、ArcGIS Data Pipelines Server アカウントに次の権限を付与する必要があります:

サーバーディレクトリーが作成される場所に対するフルコントロール権限。サイトを構成した後、作成した新しいサーバーディレクトリーに対する読み取り/書き込み権限を ArcGIS Data Pipelines Server アカウントに付与する必要があります。デフォルトでは、このディレクトリーは <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/directories です。
構成ストアが作成される場所に対するフルコントロール権限。デフォルトでは、このディレクトリーは <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/config-store です。
ArcGIS Data Pipelines Server ログを含むディレクトリーに対するフルコントロール権限と、フォルダーをまだ手動で作成していない場合は、このフォルダーを作成する権限。このディレクトリーは <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/logs です。
データパイプライン作成者がファイル共有入力からデータを読み取る前に ArcGIS Data Pipelines Server サイトに登録するデータフォルダーに対する読み取り権限。

サーバーディレクトリーが作成される場所に対するフルコントロール権限。サイトを構成した後、作成した新しいサーバーディレクトリーに対する読み取り/書き込み権限を ArcGIS Data Pipelines Server アカウントに付与する必要があります。デフォルトでは、このディレクトリーは C:\arcgisdatapipelinesserver\directories です。
構成ストアが作成される場所に対するフルコントロール権限。デフォルトでは、このディレクトリーは C:\arcgisdatapipelinesserver\config-store です。
ArcGIS Data Pipelines Server ログを含むディレクトリーに対するフルコントロール権限と、フォルダーをまだ手動で作成していない場合は、このフォルダーを作成する権限。デフォルトでは、このディレクトリーは C:\arcgisdatapipelinesserver\logs です。
データパイプライン作成者がファイル共有入力からデータを読み取る前に ArcGIS Data Pipelines Server サイトに登録するデータフォルダーに対する読み取り権限。

ArcGIS Data Pipelines Server アカウントを、サイト内のどのコンピューター上の Windows 管理者グループにも含める必要はありません。

ArcGIS Data Pipelines Server アカウントの変更

ArcGIS Data Pipelines Server アカウントを変更するために、ArcGIS Data Pipelines Server のインストールを再実行する必要はありません。インストールが終了したら、ソフトウェアに付属している ArcGIS Data Pipelines Server アカウントユーティリティーを実行して、アカウントを変更できます。たとえば、変更はセキュリティーポリシーの変更に対応する場合や、サーバーのトラブルシューティングを行う場合に行います。

このユーティリティーを使用して ArcGIS Data Pipelines Server アカウントを変更するには、コマンドプロンプトから実行可能ファイルを実行します。 ServerConfigurationUtility.exe コマンドラインユーティリティーは <ArcGIS Data Pipelines Server install directory>\tools にインストールされています。

このユーティリティーのコマンドラインパラメーターは次のとおりです。

--username - ArcGIS Server アカウントに使用する名前。
--password - ArcGIS Server アカウントのパスワード。
--readconfig - ユーティリティーの前回の実行時に保存した構成ファイルへのオプションのパス。
--writeconfig - 構成ファイルが保存される場所へのオプションのパス。このパラメーターを指定すると、ユーティリティーの今後の実行で同じプロパティを適用できるようになります。
--help - コマンドラインヘルプを表示して、終了します。

アカウントを変更し、設定ファイルをエクスポートするコマンドの例を次に示します:

configureserviceaccount.bat --username arcgisnew --password secret --writeconfig c:\temp\myconfig.xml