Skip to main content

ArcGIS Data Pipelines Server 账户

ArcGIS Data Pipelines Server 可启动和停止进程、读取数据并将数据写入到文件系统中的相应位置以及在计算机之间进行通信。 为了安全地执行这些任务,ArcGIS Server 将使用安装 ArcGIS Data Pipelines Server 时所指定的操作系统账户。 这在整个文档中称为 ArcGIS Data Pipelines Server 账户。

在使用 ArcGIS Data Pipelines Server 账户时

ArcGIS Data Pipelines Server 账户用于以下目的:

  • 启动和停止支持 ArcGIS Data Pipelines Server 和服务的进程。

  • 在 ArcGIS Data Pipelines Server 目录中读取和写入文件。

  • 读取和写入文件到配置存储。

  • 在 ArcGIS Data Pipelines Server 安装位置和系统临时目录中读取和写入文件。 例如,该账户会写入可用于排除服务器故障的日志文件。

  • 读取日志消息并将日志消息写入日志目录中。

  • 在 config-store 中读取并写入 ArcGIS Data Pipelines 计划任务运行结果和独立运行结果。

注:

ArcGIS Data Pipelines Server 账户与创建 ArcGIS Data Pipelines Server 站点时定义的主站点管理员不同。 有关详细信息,请参阅创建 ArcGIS Data Pipelines Server 站点

指定 ArcGIS Data Pipelines Server 账户

ArcGIS Server 账户是您安装软件时使用的账户。 安装使该账户成为安装到系统中所有文件的所有者。 在具有多个 ArcGIS Server 计算机的站点中,ArcGIS Server 账户的用户 ID (UID) 在所有计算机上应完全相同,以便它们可以使用相同的 NFS 权限访问数据、配置存储和服务器目录。

出于安全方面的原因,根账户不可用作 ArcGIS Server 账户,也不可用于安装软件。

ArcGIS Data Pipelines Server 账户默认为名称 arcgis。 对于大多数非生产部署,接受此默认值便已足够;但是,对于生产系统,Esri 建议在安装 ArcGIS Data Pipelines Server 之前创建域账户或 Active Directory 账户。

可指定本地账户或域账户。 您可以在站点中的第一台计算机上安装 ArcGIS Data Pipelines Server 时导出安装程序配置文件,并在站点中的其他计算机上安装 ArcGIS Data Pipelines Server 时使用该配置文件。 这可确保在站点中的所有计算机上对 ArcGIS Data Pipelines Server 账户进行相同的配置。

域账户

使用域账户更容易访问远程系统中的数据。 出于安全考虑,也最好使用域账户,因为域账户采用集中管理。

在指定域账户时使用格式 DOMAIN\username。 如果未指定域,则 ArcGIS Data Pipelines Server 安装向导将使用您指定的用户名创建一个本地账户。 如果指定的域账户不存在,安装程序将返回错误。

如果登录设置拒绝您登录安装 ArcGIS Data Pipelines Server 的计算机,在安装时会出现错误。 无需向 ArcGIS Data Pipelines Server 账户授予本地登录群组策略设置。

本地账户

如果已经选择本地账户,则 ArcGIS Data Pipelines Server 站点中的每台计算机都必须具有本地账户和密码,并且必须完全相同。 安装 ArcGIS Data Pipelines Server 之前,您可以在每台计算机上使用相同密码创建本地账户,或者可以允许 ArcGIS Data Pipelines Server 安装向导创建本地账户;只需确保在站点中的每台计算机上使用相同的用户名和密码。

如果要将新本地账户的创建作为安装过程的一部分,则为该账户指定的密码必须符合您操作系统的本地安全策略。 如果密码不满足您操作系统的最小强度要求,则安装程序将返回错误。 要了解如何检查计算机上的安全策略,请参阅您正在使用的 Windows 版本的 Microsoft 文档。

组托管服务账户

组托管服务账户 (gMSA) 是一个可提供自动密码管理的特殊 Active Directory 域账户。 该账户不能用于交互式登录,仅限用于预定义的服务器组。

当一个服务账户管理多台计算机上的软件(例如在多机 ArcGIS Data Pipelines Server 站点中)时,使用 gMSA 尤其有用。 由于 gMSA 是在域级别运行的,它可以定期更改每台计算机上的服务账户密码,且无需手动步骤。

configureserviceaccount 命令行工具(如下所述)可用于将 ArcGIS Data Pipelines Server 服务配置为在 gMSA 下运行。 您可以在以下位置找到此工具:<ArcGIS Data Pipelines Server install directory>\tools。 对于 username 参数,可以指定群组托管服务账户末尾是否有 $ 符号。 不需要 password 参数。 readconfigwriteconfig 参数均使用群组托管服务账户达到相同效果。

以下是将 gMSA 配置为 ArcGIS Data Pipelines Server 账户的示例命令:

configureserviceaccount.bat --username mydomain\enterprise-gmsa$ --writeconfig c:\temp\domainaccountconfig.xml

授予 ArcGIS Data Pipelines Server 账户的权限

在创建站点之前,必须向 ArcGIS Data Pipelines Server 账户授予以下权限:

  • 对服务器目录创建位置的完全控制权限。 请注意,您必须授予 ArcGIS Data Pipelines Server 账户对您在配置站点后所创建的任何新服务器目录的读写权限。 默认情况下,此目录为 <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/directories

  • 对配置存储创建位置的完全控制权限。 默认情况下,此目录为 <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/config-store

  • 对将包含 ArcGIS Data Pipelines Server 日志的目录的完全控制权限和创建此文件夹的权限(如果尚未手动创建)。 此目录是 <ArcGIS Data Pipelines Server installation directory>/datapipelines/usr/logs

  • 在数据管道作者可以从文件共享输入读取数据之前,对您将在 ArcGIS Data Pipelines Server 站点中注册的数据文件夹的读取权限。

  • 对服务器目录创建位置的完全控制权限。 请注意,您必须授予 ArcGIS Data Pipelines Server 账户对您在配置站点后所创建的任何新服务器目录的读写权限。 默认情况下,此目录为 C:\arcgisdatapipelinesserver\directories

  • 对配置存储创建位置的完全控制权限。 默认情况下,此目录为 C:\arcgisdatapipelinesserver\config-store

  • 对将包含 ArcGIS Data Pipelines Server 日志目录的完全控制权限和创建此文件夹的权限(如果尚未手动创建)。 默认情况下,此目录为 C:\arcgisdatapipelinesserver\logs

  • 在数据管道作者可以从文件共享输入读取数据之前,对您将在 ArcGIS Data Pipelines Server 站点中注册的数据文件夹的读取权限。

ArcGIS Data Pipelines Server 账户无需属于站点中任何计算机的 Windows 管理员群组。

更改 ArcGIS Data Pipelines Server 账户

无需重新运行 ArcGIS Data Pipelines Server 安装即可更改 ArcGIS Data Pipelines Server 账户。 安装后,可通过运行随此软件提供的“配置 ArcGIS Data Pipelines Server 账户”实用程序来更改账户。 例如,此操作可用来响应安全策略更改,或者在排除服务器故障时实施。

要使用该实用程序更改 ArcGIS Data Pipelines Server 账户,请从命令提示符运行可执行文件。 ServerConfigurationUtility.exe 命令行实用程序在 <ArcGIS Data Pipelines Server install directory>\tools 中安装。

实用程序的命令行参数如下:

  • --username - 要用于 ArcGIS Server 账户的名称。

  • --password - ArcGIS Server 账户的密码。

  • --readconfig - 先前运行实用程序时保存的配置文件的可选路径。

  • --writeconfig - 保存配置文件的可选路径,以便将来运行实用程序时应用相同属性。

  • --help - 显示命令行帮助并退出。

下面是一个用于更改账户和导出配置文件的示例命令:

configureserviceaccount.bat --username arcgisnew --password secret --writeconfig c:\temp\myconfig.xml

返回顶部