操作方法：将 ArcGIS Enterprise 配置为使用组托管服务帐户

摘要

托管服务帐户 (MSA) 是托管域帐户，通常用于增加 Windows 服务帐户的安全性。

Windows 服务可以配置为以此帐户运行，而无需输入或更改密码。 Active Directory 将进行管理并定期更改密码（默认为每 30 天），从而无需管理员管理。 MSA 被视为域帐户，并且可以向其授予对文件、文件夹和域资源的访问权限，但是人类用户不能将其用于交互式登录。

MSA 有两种类型：独立 MSA 和组 MSA。 独立 MSA 仅限在一台计算机上使用，而组 MSA 可以在一组计算机上使用。 本文档概述了如何配置 ArcGIS Enterprise 以使用组 MSA 在 Windows 上运行 ArcGIS Server、Portal for ArcGIS 和 ArcGIS Data Store 服务

组 MSA 仅在 Windows Server 2012 和更高版本中可用。 假定已创建 MSA 且托管 ArcGIS Enterprise 的计算机已被授予使用 MSA 的权限。
可以在 Microsoft 文档中找到创建 MSA 的说明：组托管服务帐户入门。

过程

注：
这些步骤中使用的示例组 MSA 为 domain\ArcGIS_MSA。

1. 使用普通本地帐户或域帐户安装 ArcGIS Enterprise 部署。 下面步骤 3 中列出的文件夹假定已经创建了 ArcGIS Server 站点和门户网站，但如果需要，可以在安装和配置之间完成对 Windows 服务帐户的更改。
2. 测试组 MSA 是否已准备好在服务器上使用。 此操作可以通过使用 PowerShell 在服务器上运行以下命令来完成。

Test-ADServiceAccount -Identity ArcGIS_MSA

如果返回 True，则组 MSA 已就绪。 如果返回 False，可能仍需要将服务器主机名添加到 MSA 组中，或者必须重新启动服务器才能使 Active Directory 中的更改生效。 如果无法从 PowerShell 运行此命令，可以使用以下命令安装用于 PowerShell 的 Active Directory 管理工具：

Add-WindowsFeature -Name RSAT-AD-PowerShell

3. 更新 Windows 权限以向 domain\ArcGIS_MSA$ 服务帐户授予对下列所需文件和文件夹的访问权限。 “$”已添加到帐户名的末尾，以向 Windows 指示它是服务帐户而不是普通用户帐户。 在某些情况下，必须从对象类型列表中选择服务帐户以便 Windows 能够成功找到 MSA，如下图所示。

在 ArcGIS Server 为“domain\ArcGIS_MSA$”更新文件夹权限
授予对文件夹 C:\Program Files\arcgis\server\ 的只读权限
授予对文件夹 C:\Program Files\arcgis\server\framework\ 的完全控制权限
授予对文件夹 C:\Program Files\arcgis\server\usr\ 的完全控制权限
授予对文件夹 C:\Program Files\arcgis\server\bin\ 的完全控制权限
授予对文件夹 C:\Program Files\arcgis\server\XMLSchema\ 的完全控制权限
授予对文件夹 C:\Program Files\arcgis\server\DatabaseSupport\ 的完全控制权限
授予对文件夹 C:\arcgisserver\（或 config-store 和目录所在文件夹）的完全控制权限
 
在 Portal for ArcGIS 中为“domain\ArcGIS_MSA$”更新文件夹权限：
授予对文件夹 C:\Program Files\arcgis\portal\ 的只读权限
授予对文件夹 C:\Program Files\arcgis\portal\apps\ 的完全控制权限
授予对文件夹 C:\Program Files\arcgis\portal\customizations\ 的完全控制权限
授予对文件夹 C:\Program Files\arcgis\portal\etc\ 的完全控制权限
授予对文件夹 C:\Program Files\arcgis\portal\framework\ 的完全控制权限
授予对文件夹 C:\Program Files\arcgis\portal\tools\ 的完全控制权限
授予对文件夹 C:\Program Files\arcgis\portal\usr\ 的完全控制权限
授予对文件夹 C:\arcgisportal\（或内容、索引、db 和临时目录的所在位置）的完全控制权限
 
在 ArcGIS Data Store 中为“domain\ArcGIS_MSA$”更新文件夹权限：
授予对文件夹 C:\Program Files\arcgis\datastore\ 的完全控制权限
授予对文件夹 C:\arcgisdatastore\（或 ArcGIS Data Store 内容目录的位置）的完全控制权限

4. 为每个 ArcGIS Enterprise Windows 服务更新登录为 帐户：
   • ArcGIS Data Store
   • ArcGIS Server
   • Portal for ArcGIS

双击服务以打开服务属性，然后单击登录 选项卡，然后输入组 MSA 帐户不指定任何密码。 该帐户的末尾必须带有“$”以表示它是服务帐户。 单击确认 并重新启动各个服务以使更改生效。

使用托管服务帐户时升级 ArcGIS Enterprise 的注意事项：
ArcGIS Enterprise 10.7.1 和更早版本的设置或升级实用程序不支持将 MSA 指定为 ArcGIS Enterprise Windows 服务的“登录为”帐户。 在未来进行升级 之前，对于 ArcGIS Enterprise 中的每个 Windows 服务，必须将“登录为”帐户手动更改回本地或域帐户。 升级完成后，应重复步骤 3 和步骤 4 以确认权限仍然正确，然后切换回使用 MSA。