Vytvoření a nastavení účtů domény Windows pro IBM MQ

Následující informace jsou určeny administrátorům domén. Tyto informace můžete využít k vytvoření a nastavení speciálního účtu domény pro službu IBM® MQ, pokud má být produkt IBM MQ nainstalován v doméně Windows, kde místní účty nemají oprávnění dotazovat se uživatelských účtů domény na členství ve skupinách.

Informace o této úloze

Přidáte-li lokálního uživatele do skupiny mqm, umožní to uživateli spravovat IBM MQ na systému. Tato úloha popisuje, jak provést to samé pomocí ID uživatele domény Windows.

IBM MQ má komponentu, spuštěnou jako službu Windows pod účtem lokálního uživatele vytvořeným produktem IBM MQ při instalaci, která kontroluje, zda má účet, pod kterým jsou služby IBM MQ spouštěny, schopnost dotazovat se na členství účtů domény ve skupinách a má oprávnění pro správu produktu IBM MQ. Bez schopnosti dotazovat se na členství ve skupinách se kontroly přístupu prováděné službami nezdaří.

Řadiče domén Windows, které využívají Windows Active Directory, lze nastavit tak, aby lokální účty neměly oprávnění dotazovat se na členství účtů uživatelů domény ve skupinách. To brání produktu IBM MQ v provádění kontrol a přístup se nezdaří. Pokud používáte Windows v rámci řadiče domény, který byl nastaven tímto způsobem, je nutné místo toho použít speciální účet uživatele domény s nezbytnými oprávněními.

Každá instalace produktu IBM MQ v síti musí být nakonfigurována ke spuštění své služby pod uživatelským účtem domény, který má potřebné oprávnění ke kontrole, zda mají uživatelé, kteří jsou definováni v doménách, oprávnění pro přístup ke správcům front nebo frontám. Obvykle má tento speciální účet oprávnění administrátora IBM MQ prostřednictvím členství ve skupině domén DOMAIN\Domain mqm. Skupina domén je instalačním programem automaticky vnořena do lokální skupiny mqm systému, ve kterém je produkt IBM MQ instalován.

Důležité: Instalační program produktu IBM MQ musí mít podrobnosti o ID uživatele a hesle tohoto speciálního uživatelského účtu domény, aby bylo možné tyto informace použít ke konfiguraci služby IBM MQ po nainstalování produktu. Pokud instalační program pokračuje dále a nakonfiguruje produkt IBM MQ bez speciálního účtu, některé součásti produktu IBM MQ, v závislosti na konkrétním použitém uživatelském účtu, nebudou funkční, jak je popsáno zde:

Připojení produktu IBM MQ ke správcům front spuštěným pod doménovými účty systému Windows na jiných počítačích se pravděpodobně nezdaří.
Mezi typické chyby patří AMQ8066: Nelze nalézt lokální skupinu mqm a AMQ8079: Při pokusu o načtení informací o členství uživatele 'abc@xyz' ve skupině byl odepřen přístup.

Kroky 1 a 2 následující procedury musíte zopakovat pro každou doménu se jmény uživatelů, kteří budou spravovat produkt IBM MQ, a vytvořit tak pro produkt IBM MQ účet v každé doméně.

Postup

Vytvořte skupinu domén se speciálním názvem, který produkt IBM MQ (viz 1.d) rozpozná, a přidělte členům této skupiny oprávnění k dotazování na členství kteréhokoli účtu ve skupině:
1. Přihlaste se k řadiči domény jako účet s oprávněním administrátora domény.
2. V nabídce Start otevřete nástroj Uživatelé a počítače služby Active Directory.
3. V navigačním podokně najděte daný název domény, klepněte na něj pravým tlačítkem myši a vyberte příkaz Nová skupina.
4. Do pole Název skupiny zadejte název skupiny.
  Poznámka: Upřednostňovaný název skupiny je Domain mqm. Zadejte jej přesně tak, jak je uveden.
  - Nazváním skupiny Domain mqm se upraví chování Prepare IBM MQ Wizard na pracovní stanici nebo serveru domény. Způsobí to, že Prepare IBM MQ Wizard automaticky přidá skupinu Domain mqm do lokální skupiny mqm v každé nové instalaci produktu IBM MQ v dané doméně.
  - Pracovní stanice nebo servery můžete instalovat i v doméně bez globální skupiny Domain mqm. Pokud tak učiníte, musíte definovat skupinu se stejnými vlastnostmi, jaké má skupina Domain mqm. Tuto skupinu nebo uživatele, kteří jsou jejími členy, musíte určit jako členy lokální skupiny mqm, kdekoli je produkt IBM MQ v nějaké doméně nainstalován. Uživatele domény můžete zahrnout do více skupin. Vytvořte několik skupin domén, kde každá skupina odpovídá sadě instalací, kterou chcete spravovat samostatně. Uživatele domén rozdělte podle instalací, které spravují, do různých skupin domén. Jednotlivé skupiny domén přidejte do lokální skupiny mqm v různých instalacích produktu IBM MQ. Pouze uživatelé domény ve skupinách domén, které jsou členy specifické lokální skupiny mqm, mohou vytvářet, spravovat a spouštět správce front pro tuto instalaci.
  - Uživatel domény, kterého nominujete při instalaci produktu IBM MQ na pracovní stanici nebo serveru v doméně, musí být členem skupiny Domain mqm nebo alternativní skupiny, kterou jste definovali, se stejnými vlastnostmi jako skupina Domain mqm.
5. Rozsah skupiny ponechte Globální, případně jej můžete změnit na Univerzální. Typ skupiny ponechte jako Zabezpečení. Klepněte na tlačítko OK.
6. Chcete-li skupině přiřadit oprávnění na základě verze Windows řadiče domény, postupujte takto:
  V systémech Windows Server 2012, Windows Server 2012 R2 aWindows Server 2016:
  1. Ve správci serveru klepněte na volbu Nástroje a v poli se seznamem vyberte položku Uživatelé a počítače služby Active Directory.
  2. Vyberte volbu Zobrazit > Rozšířené vlastnosti.
  3. Rozbalte název domény a klepněte na volbu Uživatelé.
  4. V okně Uživatelé klepněte pravým tlačítkem myši na položku Domain mqm > Vlastnosti.
  5. Na kartě Zabezpečení klepněte na volbu Rozšířené > Přidat...
  6. Klepněte na volbu Vybrat zásadu, poté zadejte Domain mqm a klepněte na volbu Zkontrolovat názvy > OK.
    V poli Název je předvyplněn řetězec Domain mqm (název domény\Domain mqm).
  7. V seznamu Platí pro vyberte položku Podřízené objekty uživatele.
  8. V seznamu Oprávnění zaškrtněte políčka Načíst členství skupiny a Načíst groupMembershipSAM.
  9. Klepněte na tlačítko OK > Použít > OK > OK.
  V systémech Windows Server 2008 a Windows 2008 R2:
  1. V navigačním stromě Správce serverů klepněte na položku Uživatelé.
  2. V řádku s akcemi Správce serverů klepněte na volbu Zobrazení > Rozšířené vlastnosti.
  3. V okně Uživatelé klepněte pravým tlačítkem myši na položku Domain mqm > Vlastnosti.
  4. Na kartě Zabezpečení klepněte na volbu Rozšířené > Přidat, potom zadejte Domain mqm a klepněte na volbu Zkontrolovat názvy > OK.
    V poli Název je předvyplněn řetězec Domain mqm (název domény\Domain mqm).
  5. Klepněte na volbu Vlastnosti. V seznamu Použít na vyberte položku Podřízené objekty uživatele.
  6. V seznamu Oprávnění zaškrtněte políčka Načíst členství skupiny a Načíst groupMembershipSAM.
  7. Klepněte na tlačítko OK > Použít > OK > OK.
Vytvoření jednoho nebo více uživatelských účtů a jejich přidání do skupiny:
1. V nástroji Uživatelé a počítače služby Active Directory vytvořte uživatelský účet s libovolným názvem a přidejte jej do skupiny Domain mqm (nebo do skupiny, která je členem lokální skupiny mqm).
2. Opakujte akci pro všechny účty, které chcete vytvořit.
Upozornění: Nemůžete použít uživatelskou doménu s názvem mqm v systému Windows.
Kroky 1 a 2 opakujte pro každou doménu se jmény uživatelů, kteří budou spravovat produkt IBM MQ, a vytvořte tak pro produkt IBM MQ účet v každé doméně.
Použití daných účtů ke konfiguraci každé instalace produktu IBM MQ:
1. Pro každou instalaci produktu IBM MQ použijte stejný doménový uživatelský účet (vytvořený v rámci kroku 1), nebo pro každou instalaci vytvořte samostatný účet a přidejte je do skupiny Domain mqm (nebo do skupiny, která je členem lokální skupiny mqm).
2. Po vytvoření účtů předejte každý z nich příslušné osobě, která konfiguruje instalaci produktu IBM MQ. Do Prepare IBM MQ Wizard musí zadat bližší údaje o účtu (název domény, jméno uživatele a heslo). Předejte jim účet, který existuje ve stejné doméně jako jméno uživatele pro instalaci.
3. Při instalaci produktu IBM MQ v libovolném systému v dané doméně zjistí instalační program produktu IBM MQ existenci skupiny Domain mqm v síti LAN a přidá ji automaticky do lokální skupiny mqm. (Lokální skupina mqm je vytvořena během instalace; všechny uživatelské účty v ní mají oprávnění ke správě produktu IBM MQ). Proto budou mít všichni členové skupiny Domain mqm oprávnění ke správě produktu IBM MQ v tomto systému.
4. Je však stále třeba zajistit pro každou instalaci uživatelský účet domény (vytvořený v kroku 1 ) a nakonfigurovat IBM MQ pro jeho použití při zadávání dotazů. Podrobnosti účtu je třeba zadat do Prepare IBM MQ Wizard, který se spustí automaticky na konci instalace (tohoto průvodce lze také spustit kdykoli z nabídky start).
Nastavení lhůt vypršení platnosti hesel:
- Pokud pro všechny uživatele produktu IBM MQ používáte jen jeden účet, zvažte nastavení neomezené platnosti hesla, jinak při vypršení platnosti přestanou fungovat všechny instance produktu IBM MQ.
- Pokud dáte každému uživateli produktu IBM MQ vlastní uživatelský účet, budete muset vytvořit a spravovat více uživatelských účtů, ale při vypršení platnosti hesla přestane fungovat pouze jedna instance produktu IBM MQ.
Pokud nastavíte vypršení platnosti hesla, upozorněte uživatele, že se jim při každém vypršení zobrazí zpráva z produktu IBM MQ, která upozorňuje na skončení platnosti hesla a popisuje postup jeho obnovení.
Chcete-li jako ID uživatele pro službu IBM MQ použít účet domény Windows, postupujte takto:
1. Klepněte na volbu Start > Spustit...
  Zadejte příkaz secpol.msc a klepněte na tlačítko OK.
2. Otevřete Nastavení zabezpečení > Lokální zásady > Přiřazení uživatelských práv.
  V seznamu zásad klepněte pravým tlačítkem myši na volbu Přihlášení jako služba > Vlastnosti.
3. Klepněte na volbu Přidat uživatele nebo skupinu....
  Zadejte jméno uživatele, které jste získali od administrátora domény, a klepněte na volbu Zkontrolovat jména.
4. Pokud k tomu budete oknem Zabezpečení systému Windows vyzváni, zadejte jméno uživatele a heslo administrátora či uživatele účtu s dostatečným oprávněním a klepněte na volby OK > Použít > OK.
  Zavřete okno Lokální zásada zabezpečení.
Poznámka: Řízení uživatelských účtů (UAC) je při výchozím nastavení povoleno. Funkce UAC omezuje akce, které mohou uživatelé provádět na určitých zařízeních operačního systému, i když jsou členy skupiny Administrátoři. Musíte provést příslušné kroky, abyste tato omezení překonali.