Configurar ArcGIS Enterprise para utilizar una cuenta de servicio administrada por el grupo

Resumen

Una cuenta de servicio administrada (MSA, por sus siglas en inglés) es una cuenta de dominio administrada que se utiliza habitualmente para aumentar la seguridad de las cuentas de servicio de Windows.

Es posible configurar los servicios de Windows para que se ejecuten como estas cuentas sin necesidad de introducir ni cambiar la contraseña. Active Directory administra y cambia la contraseña periódicamente (cada 30 días de forma predeterminada), lo que elimina la necesidad de que un administrador la administre. La MSA se trata como una cuenta de dominio y es posible otorgarle derechos sobre archivos, carpetas y recursos del dominio, pero no se puede usar para un inicio de sesión interactivo por un usuario humano.

Existen dos tipos de MSA: MSA independientes y MSA de grupo. Las MSA independientes están restringidas para su uso en un único equipo, mientras que las MSA de grupo se pueden usar en un grupo de equipos. Este documento describe cómo configurar ArcGIS Enterprise para que utilice una MSA de grupo para ejecutar los servicios de ArcGIS Server, Portal for ArcGIS y ArcGIS Data Store en Windows.

Las MSA de grupo solo están disponibles en Windows Server 2012 y versiones posteriores. Se da por hecho que la MSA ya se ha creado y que se han otorgado derechos a los equipos servidores que alojan ArcGIS Enterprise para usar la MSA.
Encontrará instrucciones para crear la MSA en la documentación de Microsoft: Introducción a las cuentas de servicio administradas por grupos.

Procedimiento

Nota:
La MSA de grupo de muestra utilizada en estos pasos es domain\ArcGIS_MSA.

1. Instale la implementación de ArcGIS Enterprise con una cuenta local o de dominio normal. En las carpetas enumeradas en el paso 3 que aparece a continuación se presupone que el sitio de ArcGIS Server y el sitio web del portal ya han sido creados, aunque los cambios en la cuenta de servicio de Windows se pueden realizar entre el momento de la instalación y la configuración, si se desea.
2. Compruebe si la MSA de grupo está lista para su uso en el servidor. Para ello, puede ejecutar el siguiente comando en el servidor mediante PowerShell.

Test-ADServiceAccount -Identity ArcGIS_MSA

Si devuelve True, la MSA de grupo está lista. Si devuelve False, es posible que sea necesario agregar el nombre de host del servidor al grupo de la MSA, o bien reiniciar el servidor para aplicar los cambios en Active Directory. Si no puede ejecutar este comando desde PowerShell, las herramientas de administración de Active Directory para PowerShell se pueden instalar con el siguiente comando:

Add-WindowsFeature -Name RSAT-AD-PowerShell

3. Actualice los permisos de Windows para otorgar a la cuenta de servicio domain\ArcGIS_MSA$ el acceso a los archivos y carpetas necesarios, que se enumeran a continuación. El símbolo "$" se agrega al final del nombre de la cuenta para indicar a Windows que se trata de una cuenta de servicio y no de una cuenta de usuario normal. En algunos casos, las Cuentas de servicio se deben seleccionar en la lista de Tipos de objetos para que Windows pueda encontrar correctamente la MSA, como se muestra en la imagen que aparece a continuación.

Actualice los permisos de carpetas en ArcGIS Server para "domain\ArcGIS_MSA$":
Otorgue solo lectura a la carpeta C:\Archivos de programa\arcgis\server\
Otorgue control total a C:\Archivos de programa\arcgis\server\framework\
Otorgue control total a C:\Archivos de programa\arcgis\server\usr\
Otorgue control total a C:\Archivos de programa\arcgis\server\bin\
Otorgue control total a C:\Archivos de programa\arcgis\server\XMLSchema\
Otorgue control total a C:\Archivos de programa\arcgis\server\DatabaseSupport\
Otorgue control total a la carpeta C:\arcgisserver\ (o la carpeta que contenga el almacén de configuración y los directorios)
 
Actualice los permisos de carpetas en Portal for ArcGIS para "domain\ArcGIS_MSA$":
Otorgue solo lectura a la carpeta C:\Archivos de programa\arcgis\portal\
Otorgue control total a C:\Archivos de programa\arcgis\portal\apps\
Otorgue control total a C:\Archivos de programa\arcgis\portal\customizations\
Otorgue control total a C:\Archivos de programa\arcgis\portal\etc\
Otorgue control total a C:\Archivos de programa\arcgis\portal\framework\
Otorgue control total a C:\Archivos de programa\arcgis\portal\tools\
Otorgue control total a C:\Archivos de programa\arcgis\portal\usr\
Otorgue control total a la carpeta C:\arcgisportal\ (o la carpeta que contenga los directorios content, index, db y temp)
 
Actualice los permisos de carpetas en ArcGIS Data Store para "domain\ArcGIS_MSA$":
Otorgue control total a C:\Archivos de programa\arcgis\datastore\
Otorgue control total a C:\arcgisdatastore\ (o a la ubicación del directorio de contenido de ArcGIS Data Store)

4. Actualice la cuenta Iniciar sesión como de cada uno de los servicios de Windows de ArcGIS Enterprise:
   • ArcGIS Data Store
   • ArcGIS Server
   • Portal for ArcGIS

Haga doble clic en el servicio para abrir las propiedades del servicio, haga clic en la pestaña Inicio de sesión y entre en la cuenta MSA de grupo sin especificar ninguna contraseña. La cuenta debe terminar en un símbolo "$" para indicar que se trata de una cuenta de servicio. Haga clic en Aceptar y reinicie cada servicio para aplicar los cambios.

Notas acerca de la actualización de ArcGIS Enterprise al utilizar cuentas de servicio administradas:
La utilidad de instalación o actualización de ArcGIS Enterprise 10.7.1 y versiones anteriores no es compatible con la especificación de una MSA como cuenta "Iniciar sesión como" en los servicios de Windows de ArcGIS Enterprise. Antes de actualizarse en el futuro, debe cambiar manualmente la cuenta "Iniciar sesión como" a una cuenta local o de dominio para cada servicio de Windows de ArcGIS Enterprise. Una vez completada la actualización, es necesario repetir los pasos 3 y 4 para confirmar que los permisos sigan siendo precisos y, a continuación, volver a utilizar la MSA.