第三十四章 在 Windows 上使用 IRIS（一）

在 Microsoft Windows 平台上管理 IRIS 数据平台实例非常简单。可以使用管理门户和 IRIS 启动器执行大多数任务。还可以从命令提示符控制 IRIS 实例。

本主题使用 install-dir 来指代 IRIS 安装目录——可以在安装指南的默认安装目录部分找到默认目录。

注意：不要对 IRIS IRIS.DAT 数据库文件使用 Windows 文件压缩。 （通过右键单击 Windows 资源管理器中的文件或文件夹并选择属性，然后选择高级，然后压缩内容以节省磁盘空间来压缩文件；压缩后，文件夹名称或文件名在 Windows 资源管理器中呈现为蓝色。）如果压缩一个IRIS.DAT 文件，它所属的实例将无法启动，并出现误导性错误。

管理对 IRIS 实例的访问

InterSystems 服务

所有 IRIS job和进程都从 InterSystems 服务、 IRIS Controller for <instance-name> 运行。 InterSystems 服务具有的权限由其关联的 Windows 用户帐户决定。当这是本地 SYSTEM 帐户时， IRIS 可以访问 Windows 系统上的所有文件和权限。为了维护一个更安全和限制性更强的环境，应该为服务选择一个仅具有所需权限和访问权限的 Windows帐户。

在正常安装和锁定安装中， IRIS 创建两个本地用户组来授予对实例的访问权限。当为 InterSystems 服务指定一个 Windows 用户帐户而不是默认的本地 SYSTEM 帐户时 IRIS 将该 Windows 用户帐户添加到每个组。这些组是：

• IRISServices，它授予启动、停止和控制 IRIS 实例的权限。
• IRIS_Instance_instancename，授予对安装树的访问权限——IRIS 的安装目录及其所有子目录。

注意：这些组可能不会授予 IRIS 执行某些操作所需的所有权限。要确保 IRIS 对安装树之外的所有实例、日志和日志文件具有所需的访问权限，请授予 IRIS_Instance_instancename 组对这些文件和包含它们的目录的完全访问权限。如有必要，还可以授予该组额外的权限。

通常，在安装期间为 <instance-name> 选择 IRIS 控制器的 Windows 帐户，如安装指南的 Windows 用户帐户部分所述。

限制对安装树的访问

默认情况下，任何经过身份验证的 Windows 用户都可以访问安装树，这可能是不可取的。以下命令为经过身份验证的用户删除 Windows 访问控制条目 (ACE)：

icacls <install-dir> /remove "NT AUTHORITY\Authenticated Users"

运行此命令后，只有管理员用户或 IRIS_Instance_instancename 组中的用户才能访问安装树。

重要提示：如果不这样做，任何可以登录到主机 Windows 系统的用户都可以轻松地修改文件、更改设置或完全禁用 IRIS 实例。

在某些情况下，除了 IRIS 控制器用于 <instance-name> 服务的帐户之外，可能还希望授予另一个 Windows 帐户访问安装树的权限。例如，这可能包括运行自动化任务的帐户，或直接登录到 Windows 服务器以访问 IRIS 的帐户（通过本地终端会话或调用自定义调用可执行文件）。可以通过将任何此类帐户添加到 IRIS_Instance_instancename 组来为其提供所需的访问权限。

更改 InterSystems 服务帐户

在命令行中输入以下内容以更改用于 IRIS Controller for <instance-name>的Windows 用户帐户：

<install-dir>\bin\IRISinstall.exe setserviceusername <instance-name> <username> <password>

此命令将 Windows 用户帐户更改为指定的帐户。它还将用户添加到 IRISServices 和 IRIS_Instance_instancename 组，并在必要时创建这些组。运行此命令并重新启动 IRIS 实例后，该实例将在新指定的 Windows 用户帐户下运行。