文章
姚 鑫 · 九月 16 阅读大约需 3 分钟

第三十四章 在 Windows 上使用 IRIS(一)

第三十四章 在 Windows 上使用 IRIS(一)

Microsoft Windows 平台上管理 IRIS 数据平台实例非常简单。可以使用管理门户和 IRIS 启动器执行大多数任务。还可以从命令提示符控制 IRIS 实例。

本主题使用 install-dir 来指代 IRIS 安装目录——可以在安装指南的默认安装目录部分找到默认目录。

注意:不要对 IRIS IRIS.DAT 数据库文件使用 Windows 文件压缩。 (通过右键单击 Windows 资源管理器中的文件或文件夹并选择属性,然后选择高级,然后压缩内容以节省磁盘空间来压缩文件;压缩后,文件夹名称或文件名在 Windows 资源管理器中呈现为蓝色。)如果压缩一个IRIS.DAT 文件,它所属的实例将无法启动,并出现误导性错误。

管理对 IRIS 实例的访问

InterSystems 服务

所有 IRIS job和进程都从 InterSystems 服务、 IRIS Controller for <instance-name> 运行。 InterSystems 服务具有的权限由其关联的 Windows 用户帐户决定。当这是本地 SYSTEM 帐户时, IRIS 可以访问 Windows 系统上的所有文件和权限。为了维护一个更安全和限制性更强的环境,应该为服务选择一个仅具有所需权限和访问权限的 Windows帐户。

在正常安装和锁定安装中, IRIS 创建两个本地用户组来授予对实例的访问权限。当为 InterSystems 服务指定一个 Windows 用户帐户而不是默认的本地 SYSTEM 帐户时 IRIS 将该 Windows 用户帐户添加到每个组。这些组是:

  • IRISServices,它授予启动、停止和控制 IRIS 实例的权限。
  • IRIS_Instance_instancename,授予对安装树的访问权限——IRIS 的安装目录及其所有子目录。

注意:这些组可能不会授予 IRIS 执行某些操作所需的所有权限。要确保 IRIS 对安装树之外的所有实例、日志和日志文件具有所需的访问权限,请授予 IRIS_Instance_instancename 组对这些文件和包含它们的目录的完全访问权限。如有必要,还可以授予该组额外的权限。

通常,在安装期间为 <instance-name> 选择 IRIS 控制器的 Windows 帐户,如安装指南的 Windows 用户帐户部分所述。

限制对安装树的访问

默认情况下,任何经过身份验证的 Windows 用户都可以访问安装树,这可能是不可取的。以下命令为经过身份验证的用户删除 Windows 访问控制条目 (ACE):

icacls <install-dir> /remove "NT AUTHORITY\Authenticated Users"

运行此命令后,只有管理员用户或 IRIS_Instance_instancename 组中的用户才能访问安装树。

重要提示:如果不这样做,任何可以登录到主机 Windows 系统的用户都可以轻松地修改文件、更改设置或完全禁用 IRIS 实例。

在某些情况下,除了 IRIS 控制器用于 <instance-name> 服务的帐户之外,可能还希望授予另一个 Windows 帐户访问安装树的权限。例如,这可能包括运行自动化任务的帐户,或直接登录到 Windows 服务器以访问 IRIS 的帐户(通过本地终端会话或调用自定义调用可执行文件)。可以通过将任何此类帐户添加到 IRIS_Instance_instancename 组来为其提供所需的访问权限。

更改 InterSystems 服务帐户

在命令行中输入以下内容以更改用于 IRIS Controller for <instance-name>Windows 用户帐户:

<install-dir>\bin\IRISinstall.exe setserviceusername <instance-name> <username> <password>

此命令将 Windows 用户帐户更改为指定的帐户。它还将用户添加到 IRISServicesIRIS_Instance_instancename 组,并在必要时创建这些组。运行此命令并重新启动 IRIS 实例后,该实例将在新指定的 Windows 用户帐户下运行。

1
0 8
讨论 (0)1
登录或注册以继续