Windows tartományfiókok létrehozása és beállítása az IBM MQ rendszerhez

A következő információk a tartományadminisztrátoroknak szólnak. Az információk segítségével speciális tartományfiókokat hozhat létre és állíthat be az IBM® MQ szolgáltatáshoz, ha az IBM MQ telepítése olyan Windows tartományban történik, ahol a helyi fiókok nem rendelkeznek jogosultsággal a tartományi felhasználófiókok csoporttagságának lekérdezéséhez.

Erről a feladatról

Ha a helyi felhasználót hozzáadja az mqm csoporthoz, akkor az lehetővé teszi a felhasználó számára az IBM MQ adminisztrálását a rendszeren. Ez a feladat azt mutatja be, hogyan lehet ugyanezt Windows tartomány felhasználói azonosítók használatával megtenni.

Windows szolgáltatásként futtatva az IBM MQ által telepítéskor létrehozott helyi felhasználói fiók alatt, az IBM MQ rendelkezik egy olyan összetevővel, amely ellenőrzi, hogy a fiók, amely alatt az IBM MQ szolgáltatások futtatása történik, rendelkezik-e képességgel a tartományfiókok csoporttagságának lekérdezéséhez és jogosultsággal az IBM MQ adminisztrációjához. A csoporttagságok lekérdezési lehetősége nélkül a szolgáltatások hozzáférés ellenőrzése sikertelen lesz.

A Windows Active Directory szolgáltatást futtató Windows tartományvezérlők úgy is beállíthatók, hogy a helyi fiókok ne rendelkezzenek a tartományfelhasználói fiókok csoporttagságainak lekérdési jogosultságával. Ez megakadályozza, hogy az IBM MQ elvégezze az ellenőrzést, és a hozzáférés meghiúsul. Ha ilyen módon beállított tartományvezérlőn használ Windows rendszert, akkor ehelyett egy, a szükséges jogosultságokkal rendelkező speciális tartományfelhasználói fiókot kell használnia.

A hálózaton az összes IBM MQ telepítést úgy kell beállítani, hogy a szolgáltatások olyan tartományfelhasználói fiók alatt fussanak, amely rendelkezik a szükséges jogosultsággal annak ellenőrzésére, hogy a tartományokban megadott felhasználók jogosultak a sorkezelők vagy sorok elérésére. Jellemzően ez a speciális fiók IBM MQ adminisztrátori jogokkal rendelkezik a DOMAIN\Domain mqm tartománycsoport tagságán keresztül. A tartománycsoportot a telepítőprogram automatikusan beágyazza a helyi mqm csoport alá azon a rendszeren, amelyen az IBM MQ telepítése történik.

Fontos: Az IBM MQ telepítőnek meg kell adni a speciális tartományfelhasználói fiók azonosítóját és jelszavát, hogy ezek az információk felhasználhatók legyenek az IBM MQ szolgáltatás beállításához a termék telepítése után. Ha a telepítő mindenképpen lefut és speciális fiók nélkül konfigurálja a IBM MQ terméket, akkor a IBM MQ számos, illetve akár az összes része működésképtelen lesz, az érintett felhasználói fiókoktól függően, az alábbiak szerint:

A más számítógépeken Windows tartományfiókok alatt futó sorkezelők felé az IBM MQ kapcsolatok sikertelenek lehetnek.
A jellemző hibák többek között: AMQ8066: Helyi mqm csoport nem található és AMQ8079: Hozzáférés megtagadva az 'abc@xyz' felhasználóra vonatkozó csoporttagság információk lekérésére tett kísérlet során.

Ismételje meg az alábbi eljárás 1 és 2 lépését minden olyan tartományra vonatkozóan, amely az IBM MQ rendszer adminisztrációját végző felhasználónevekkel rendelkezik, hogy létrehozzon egy fiókot az egyes tartományokon az IBM MQ számára.

Eljárás

Hozzon létre egy tartománycsoportot a IBM MQ számára ismert speciális névvel (lásd: 1.d), és adjon a csoport tagjainak jogosultságot, hogy bármely fiók csoporttagságát lekérdezhessék:
1. Jelentkezzen be a tartományvezérlőbe tartományadminisztrátor jogosultsággal rendelkező fiókként.
2. A Start menüből nyissa meg az Active Directory felhasználók és számítógépek lehetőséget.
3. Keresse meg a tartománynevet a navigációs panelen, kattintson rá a jobb egérgombbal, majd válassza az előugró menü Új csoport menüpontját.
4. Írjon be egy csoportnevet a Csoportnév mezőbe.
  Megjegyzés: Az előnyben részesített csoportnév a Domain mqm. Pontosan így írja be.
  - A csoport Domain mqm elnevezése tartományi munkaállomáson vagy kiszolgálón módosítja az IBM MQ előkészítése varázsló viselkedését. Azt eredményezi, hogy az IBM MQ előkészítése varázsló automatikusan hozzáadja a Domain mqm csoportot a helyi mqm csoporthoz az IBM MQ minden új telepítésekor a tartományban.
  - Munkaállomásokat vagy kiszolgálókat telepíthet tartományban Domain mqm globális csoport nélkül is. Ha így jár el, akkor a Domain mqm csoportéval azonos tulajdonságokkal kell azt meghatároznia. A csoportot vagy a csoport felhasználó tagjait fel kell vennie a helyi mqm csoport tagjai közé, mindenhová, ahol az IBM MQ tartományba van telepítve. A tartomány felhasználókat több csoportba is helyezheti. Hozzon létre több tartománycsoportot, az egyes csoportokat megfeleltetve a külön kezelendő telepítéscsoportoknak. Ossza fel a tartományfelhasználókat külön tartománycsoportokba az általuk kezelt telepítések szerint. Vegye fel az egyes tartománycsoportokat a különböző IBM MQ telepítések helyi mqm csoportjába. Csak azoknak a tartománycsoportoknak a tartományfelhasználói hozhatnak létre, adminisztrálhatnak és futtathatnak sorkezelőket az adott telepítésre vonatkozóan, amelyek egy speciális helyi mqm csoport tagjai.
  - Egy tartományban az IBM MQ munkaállomáson vagy kiszolgálón történő telepítése során kijelölt tartományfelhasználónak a Domain mqm csoporthoz kell tartoznia, illetve a Domain mqm csoportéval megegyező tulajdonságokkal létrehozott alternatív csoporthoz.
5. Hagyja a Csoport hatóköre beállítást a Globális értéken, vagy módosítsa az Univerzális értékre. Hagyja bekapcsolva a Biztonsági értéket a Csoport típusaként. Kattintson az OK gombra.
6. A tartományvezérlő Windows változata esetén a csoportok jogosultságainak kiosztásához tegye a következőket:
  Windows Server 2012, Windows Server 2012 R2 és Windows Server 2016 esetén:
  1. A Kiszolgálókezelőben kattintson az Eszközök elemre, majd válassza ki a Könyvtár felhasználók és számítógépek aktiválása elemet a listamezőből.
  2. Válassza ki a Megtekintés > Speciális szolgáltatások menüpontot.
  3. Bontsa ki a tartománynevét, majd kattintson a Felhasználók elemre.
  4. A Felhasználók ablakban kattintson a jobb egérgombbal a Domain mqm > Tulajdonságok menüpontra.
  5. A Biztonság lapon kattintson a Speciális > Hozzáadás... lehetőségre.
  6. Kattintson az Alapelv választása elemre, majd írja be: Domain mqm, és kattintson a Nevek ellenőrzése > OK gombra.
    A Név mező előre fel van töltve a Domain mqm (tartománynév\Domain mqm) karakterlánccal.
  7. Az Alkalmazás erre listában válassza ki a Leszármazott felhasználóobjektumok elemet.
  8. Az Engedélyek listában jelölje be a Csoporttagság olvasása és Csoporttagság SAM olvasása jelölőnégyzeteket.
  9. Kattintson az OK > Alkalmaz > OK > OK gombra.
  Windows Server 2008 and Windows 2008 R2 esetén:
  1. A kiszolgálókezelő navigációs fáján kattintson a Felhasználók elemre.
  2. A Kiszolgálókezelő műveletsorában kattintson a Nézet > Speciális szolgáltatások elemre.
  3. A Felhasználók ablakban kattintson a jobb egérgombbal a Domain mqm > Tulajdonságok menüpontra.
  4. A Biztonság lapon kattintson a Speciális > Hozzáadás lehetőségre, majd írja be a Domain mqm kifejezést és kattintson a Nevek ellenőrzése > OK elemre.
    A Név mező előre fel van töltve a Domain mqm (tartománynév\Domain mqm) karakterlánccal
  5. Kattintson a Tulajdonságok gombra. Az Alkalmazás erre listában válassza ki a Leszármazott felhasználóobjektumok elemet.
  6. Az Engedélyek listában jelölje be a Csoporttagság olvasása és Csoporttagság SAM olvasása jelölőnégyzeteket.
  7. Kattintson az OK > Alkalmaz > OK > OK gombra.
Hozzon létre legalább egy fiókot, majd adja hozzá a csoporthoz:
1. Az Active Directory felhasználók és számítógépek nézetben hozzon létre egy felhasználói fiókot egy választott névvel, majd adja hozzá a Domain mqm csoporthoz (vagy egy olyan csoporthoz, amely tagja a helyi mqm csoportnak).
2. Ezt ismételje meg a létrehozni kívánt összes fiókra.
Figyelem: Windows rendszeren nem használhat mqm nevű felhasználói tartományt.
Ismételje meg a 1. és 2. lépést minden tartomány esetében, amely olyan felhasználói nevekkel rendelkezik, amelyek az IBM MQ adminisztrációját fogják végezni, hogy mindegyik tartományon létrehozzon az IBM MQ számára egy fiókot.
A fiókok segítségével konfigurálja az egyes IBM MQ telepítéseket:
1. Vagy használja ugyanazt a tartományfelhasználói fiókot (ahogy azt a 1. lépésben létrehozta) az IBM MQ minden telepítéséhez, vagy hozzon létre hozzon létre mindegyikhez külön fiókot, hozzáadva őket a Domain mqm csoporthoz (illetve egy olyan csoporthoz, amely tagja a helyi mqm csoportnak).
2. Miután létrehozta őket, adjon egy fiókot minden olyan személynek, aki IBM MQ telepítést fog konfigurálni. A fiók részleteit (tartománynév, felhasználónév és jelszó) meg kell adniuk az IBM MQ előkészítése varázslóban. Olyan fiókot adjon meg számukra, amelyik ugyanazon a tartományon helyezkedik el, mint amelyiken azok telepítő felhasználói azonosítója található.
3. A tartomány bármely rendszerén az IBM MQ telepítésekor az IBM MQ telepítőprogram észleli a Domain mqm csoport létezését a LAN hálózaton, és automatikusan hozzáadja azt a helyi mqm csoporthoz. (A helyi mqm csoport a telepítés során jön létre; a benne található összes felhasználói fiók rendelkezik az IBM MQ kezeléséhez szükséges jogosultsággal.) Ezért a Domain mqm csoport egyes tagjai jogosultak lesznek az IBM MQ kezelésére az adott rendszeren.
4. Azonban a továbbiakban is meg kell adnia egy tartományfelhasználói fiókot (amit az 1. lépés során hozott létre) az egyes telepítésekhez, és konfigurálnia kell az IBM MQ terméket, hogy ezt használja a lekérdezésekhez. A fiókra vonatkozó részleteket célszerű megadni a telepítés végén automatikusan elinduló IBM MQ előkészítése varázslóban (a varázsló a start menüből is bármikor futtatható).
Állítsa be a jelszó lejárati időtartamokat:
- Ha az IBM MQ összes felhasználójához csak egy fiókot használ, akkor javasolt a jelszót soha le nem járóként megadni, másképp a jelszó lejáratakor az IBM MQ összes példánya egyidejűleg leáll.
- Ha az IBM MQ egyes felhasználói saját felhasználói fiókot kapnak, akkor több felhasználói fiókot kell létrehoznia és kezelnie, viszont a jelszó lejáratakor csak egy IBM MQ példány fog leállni.
Ha megad jelszólejáratot, akkor figyelmeztesse a felhasználókat, hogy a IBM MQ minden lejáratkor üzenetet fog küldeni - az üzenet figyelmeztet a jelszó lejáratára és leírja, hogyan kell visszaállítani azt.
Windows tartományfiók használatához az IBM MQ szolgáltatás felhasználói azonosítójaként, tegye a következőket:
1. Kattintson a Start > Futtatás... menüpontra.
  Írja be a secpol.msc parancsot, majd kattintson az OK gombra.
2. Nyissa meg a Biztonsági beállítások > Helyi házirendek > Felhasználói jogok kiosztása menüpontot.
  A házirendlistában kattintson a jobb egérgombbal a Bejelentkezés szolgáltatásként > Tulajdonságok elemre.
3. Kattintson a Felhasználó vagy csoport hozzáadása... gombra.
  Írja be a tartományadminisztrátortól kapott felhasználónevet, majd kattintson a Nevek ellenőrzése elemre.
4. Ha egy Windows biztonsági ablak felszólítja, akkor írja be egy megfelelő jogosultsággal rendelkező fiók felhasználó vagy adminisztrátor nevét és jelszavát, majd kattintson az OK > Alkalmaz > OK gombokra.
  Zárja be a Helyi biztonsági házirend ablakot.
Megjegyzés: A felhasználói fiókfelügyelet (UAC) alapértelmezésben engedélyezett. Az UAC szolgáltatás korlátozza a felhasználók által elvégezhető műveleteket bizonyos operációs rendszer szolgáltatásokra vonatkozóan akkor is, ha az Adminisztrátorok csoport tagjai. Megfelelő lépéseket kell tennie, hogy ezt a korlátozást leküzdje.