日本語
Continue in the app
Be The First To Get Support Updates
Want to know about the latest technical content and software updates?

操作手順: グループ管理サービス アカウントを使用するために ArcGIS Enterprise を構成する

概要

Managed Service アカウント (MSA) は、一般的に Windows サービス アカウントのセキュリティを強化するために使用される管理ドメイン アカウントです。

Windows サービスは、パスワードの入力や変更を行わなくても、これらのアカウントとして実行するよう構成できます。 Active Directory は定期的に (デフォルトでは 30 日ごと) パスワードの管理と変更を行うため、管理者による管理の必要はありません。 MSA はドメイン アカウントとして扱われ、ファイルやフォルダー、ドメイン リソースへの権限を付与できますが、実際のユーザーによる対話式ログインでは使用できません。

MSA には、スタンドアロン MSA とグループ MSA の 2 種類があります。 スタンドアロン MSA は 1 台のコンピューターでしか使用できないよう制限されていますが、グループ MSA はコンピューターのグループで使用できます。 このドキュメントでは、Windows でグループ MSA を使用して ArcGIS Server、Portal for ArcGIS、ArcGIS Data Store サービスを実行するよう ArcGIS Enterprise を構成する方法を示します。

グループ MSA は、Windows Server 2012 以降でのみ使用できます。 ここでは、MSA はすでに作成されており、ArcGIS Enterprise をホストするサーバー コンピューターに MSA を使用する権限が付与されていることを前提としています。
MSA を作成する方法については、Microsoft のドキュメント「グループ管理されたサービス アカウントの概要」をご参照ください。

手順

注意:
この手順で使用されるサンプル グループ MSA は domain\ArcGIS_MSA です。
  1. 通常のローカル アカウントまたはドメイン アカウントを使用し、ArcGIS Enterprise 配置をインストールします。 以下の手順 3 で記すフォルダーでは、ArcGIS Server サイトとポータル Web サイトがすでに作成されていることを前提としていますが、必要に応じ、インストールと構成の間で Windows サービス アカウントを変更することも可能です。
  2. サーバー上でグループ MSA が使用できる状態であるかどうかをテストします。 PowerShell を使用し、サーバーで次のコマンドを実行します。
Test-ADServiceAccount -Identity ArcGIS_MSA

True が返された場合は、グループ MSA は使用できる状態です。 False が返された場合は、サーバーのホスト名を MSA グループに追加するか、サーバーを再起動して Active Directory の変更を有効にする必要があります。 PowerShell でコマンドを実行できない場合は、次のコマンドを実行して Active Directory の PowerShell 向け管理ツールをインストールします。

Add-WindowsFeature -Name RSAT-AD-PowerShell
  1. 以下の必須のファイルやフォルダーに、domain\ArcGIS_MSA$ サービス アカウントへのアクセス権を付与するよう、Windows のパーミッションを更新します。 アカウント名の末尾に「$」を追加することで、これが通常のユーザー アカウントではなくサービス アカウントであることを Windows に示します。 場合によっては、Windows が MSA を正常に検索できるよう、[オブジェクト タイプ] のリストから [サービス アカウント] を選択しなくてはならないことがあります。以下の図をご参照ください。
User-added image
User-added image

ArcGIS Server で "domain\ArcGIS_MSA$" のフォルダー権限を更新する
C:\Program Files\arcgis\server\ フォルダーに読み取り専用権限を付与する
C:\Program Files\arcgis\server\framework\ フォルダーにフル コントロールを付与する
C:\Program Files\arcgis\server\usr\ フォルダーにフル コントロールを付与する
C:\Program Files\arcgis\server\bin\ フォルダーにフル コントロールを付与する
C:\Program Files\arcgis\server\XMLSchema\ フォルダーにフル コントロールを付与する
C:\Program Files\arcgis\server\DatabaseSupport\ フォルダーにフル コントロールを付与する
C:\arcgisserver\ フォルダー (または config-store またはディレクトリが存在する場所) にフル コントロールを付与する
 
Portal for ArcGIS で "domain\ArcGIS_MSA$" のフォルダー権限を更新する
C:\Program Files\arcgis\portal\ フォルダーに読み取り専用権限を付与する
C:\Program Files\arcgis\portal\apps\ フォルダーにフル コントロールを付与する
C:\Program Files\arcgis\portal\customizations\ フォルダーにフル コントロールを付与する
C:\Program Files\arcgis\portal\etc\ フォルダーにフル コントロールを付与する
C:\Program Files\arcgis\portal\framework\ フォルダーにフル コントロールを付与する
C:\Program Files\arcgis\portal\tools\ フォルダーにフル コントロールを付与する
C:\Program Files\arcgis\portal\usr\ フォルダーにフル コントロールを付与する
C:\arcgisportal\ フォルダー (または content、index、db、temp ディレクトリが存在する場所) にフル コントロールを付与する
 
ArcGIS Data Stire で "domain\ArcGIS_MSA$" のフォルダー権限を更新する
C:\Program Files\arcgis\datastore\ フォルダーにフル コントロールを付与する
C:\arcgisdatastore\ フォルダー (または ArcGIS Data Store のコンテンツ ディレクトリ) にフル コントロールを付与する

  1. 各 ArcGIS Enterprise Windows サービスに対し、[ログオン] アカウントを更新します。
    • ArcGIS Data Store
    • ArcGIS for Server
    • Portal for ArcGIS

サービスをダブルクリックしてサービス プロパティを開き、[ログオン] タブをクリックし、パスワードを指定せずにグループ MSA アカウントを入力します。 アカウント名の末尾には、サービス アカウントであることを示す「$」を付ける必要があります。 [OK] をクリックし、各サービスを再起動して変更を有効にします。

User-added image
Managed Service アカウントを使用する場合の ArcGIS Enterprise のアップグレードについて
ArcGIS Enterprise 10.7.1 以前のセットアップまたはアップグレード ユーティリティでは、ArcGIS Enterprise Windows サービスの [ログオン] アカウントとして MSA を指定できません。 今後アップグレードする前に、[ログオン] アカウントを、ArcGIS Enterprise の各 Windows サービスのローカル アカウントまたはドメイン アカウントに手動で切り替える必要があります。 アップグレードが完了したら、手順 3 と 4 を繰り返してパーミッションが正しいことを確認し、MSA に戻します。

更新日時: 1/30/2020

記事 ID: 000021125

ソフトウェア: ArcGIS GeoAnalytics Server 10.7.1, 10.7, 10.6.1, 10.6, 10.5.1, 10.5 Portal for ArcGIS 10.7.1, 10.7, 10.6.1, 10.6, 10.5.1, 10.5, 10.4.1, 10.4, 10.3.1, 10.3, 10.2.2, 10.2.1, 10.2 ArcGIS Data Store 10.7.1, 10.7, 10.6.1, 10.6, 10.5.1, 10.5, 10.4.1, 10.4, 10.3.1, 10.3