ArcGIS for Server使用AD中的用户配置

ArcGIS for Server使用AD中的用户配置

1、概述

默认情况下，ArcGIS Server使用内置存储模式来管理用户和角色。该模式使用基于文件格式来存储信息。当然，ArcGIS Server也支持将用户和角色信息由第三方接管，如使用企业系统中的用户和角色。目前支持的企业用户系统有LDAP和Windows AD。LDAP是一种标准的目录服务协议，有开源实现版本和商业版本可供选择。windows AD其实也是一种目录服务。如果使用第三方的用户体系，ArcGIS Server只能以只读模式管理用户和角色。

第三方用户体系接管的方式有两种：同时接管用户和角色；只接管用户，角色仍用ArcGIS Server自带的内置存储。

2、AD接管ArcGIS Server用户配置

2.1、安装环境说明

ArcGIS for Server安装版本：10.2.2，安装在非域环境下的机器上，默认方式安装。安装完成后，将机器添加到域环境中。

如果是在域环境下的机器上，使用本地账号安装ArcGIS Server应该也是可行的，这种情况未做测试。

注意：在测试中发现，如果Server所在的机器未添加到域环境中，使用域账号可正常访问域中共享的目录，但设置Server由AD接管用户时，始终提示连接失败。

2.2、AD接管用户信息配置

登陆ArcGIS for Server Manager站点，打开安全性à设置，修改配置设置信息。

（1）选择使用AD接管用户，角色仍用默认方式

（2）选择Windows域

（3）输入域管理员账号

（4）ArcGIS Server的身份验证有两种方式：ArcGIS Server令牌身份验证证和Web服务器身份验证。对应这里的GIS服务器层验证和Web层验证。Web层验证需要Web Adaptor支持。简单点，这里选择GIS服务器层验证。

（5）设置完成，打开用户信息，可查看读取自AD中的用户

注意：上述用户只有hany和xinli是我自定义的用户，其他用户来自AD机器上默认用户。在AD用户下却未找到krbtgt用户。

2.2、AD同时接管用户和角色信息配置

ArcGIS Server配置使用AD中的用户和角色与上述步骤一样。配置完成可查看角色信息。

注意：Server中读取的角色来自AD中Builtin和Users下的本地域安全组、全局安全组和通用安全组。

3、其他配置注意事项（来自帮助）

3.1、配置支持AD中的嵌套组

ArcGIS Server 提供了自定义 ASP.NET 提供程序来支持嵌套组。

（1）验证 ArcGIS Server .NET 扩展模块支持要素是否安装在托管服务器的计算机上。可通过启动 ArcGIS Server 安装程序，并检查所选的待安装功能列表来执行此操作。

（2）打开 ArcGIS Server admin目录。

（3）选择securityàconfigàupdateIdentityStore。

在User Store Configuration下输入：

{

"type": "ASP_NET",

"class": "AGSMembershipProvider.AGSADMembershipProvider",

"properties": {

"adminUserPassword": "[user password]",

"adminUser": "[domain]\\[user name]"

}

}

在Role Store Configuration下输入：

{

"type": "ASP_NET",

"class": "AGSMembershipProvider.AGSADRoleProvider",

"properties": {

"adminUserPassword": "[user password]",

"adminUser": "[domain]\\[user name]"

}

}

（4）点update即可。

3.2、登陆设置拒绝登陆托管AD的计算机

（1）设置Server以支持AD 中的嵌套组。

（2）登陆托管AD的机器，打开服务器管理器下的AD用户信息。

（3）找到Server安全配置中指定的域账号的组织单位，打开账号属性。

（4）在账号下，打开登陆到，将Server所在的机器添加进去。

注意：这方式只允许该账号访问指定机器。