[Windows]

Creazione e impostazione degli account di dominio di Windows per IBM MQ

Le seguenti informazioni sono concepite per gli amministratori del dominio. Utilizzare queste informazioni per creare e configurare un account di dominio speciale per il servizio IBM® MQ se IBM MQ deve essere installato su un dominio Windows in cui gli account locali non hanno l'autorizzazione per eseguire query dell'appartenenza al gruppo degli account utente del dominio.

Informazioni su questa attività

Quando si aggiunge un utente locale al gruppo mqm, questo consente all'utente di gestire IBM MQ sul sistema. Questa attività descrive il modo in cui eseguire le stesse operazioni utilizzando gli ID utente del dominio Windows.

IBM MQ ha un componente, eseguito come un servizio Windows in un account utente locale creato da IBM MQ al momento dell'installazione, che verifica che l'account in cui sono in esecuzione i servizi di IBM MQ abbia la capacità di eseguire query delle appartenenze al gruppo degli account di dominio e abbia l'autorizzazione per gestire IBM MQ. Senza la capacità di eseguire query delle appartenenze al gruppo, i controlli di accesso eseguiti dal servizio hanno esito negativo.

I controller di dominio Windows che eseguono Windows Active Directory, possono essere configurati in modo che gli account locali non abbiano l'autorizzazione ad eseguire query dell'appartenenza al gruppo degli account utente di dominio. Questo impedisce a IBM MQ di completare i controlli e l'accesso non riesce. Se si sta utilizzando Windows su un controller di dominio che è stato configurato in questo modo, deve invece essere utilizzato un account utente di dominio speciale con le autorizzazioni richieste.

Ciascuna installazione di IBM MQ nella rete deve essere configurata in modo da eseguire il proprio servizio in un account utente di dominio che dispone dell'autorizzazione richiesta per controllare che gli utenti definiti nei domini siano autorizzati ad accedere ai gestori code o alle code. Normalmente, questo account speciale dispone dei diritti di amministratore di IBM MQ tramite l'appartenenza al gruppo di domini DOMAIN\Domain mqm. Il gruppo di domini viene automaticamente nidificato dal programma di installazione nel gruppo mqm locale del sistema su cui sta venendo installato IBM MQ.

Importante: Al programma di installazione di IBM MQ devono essere forniti i dettagli nome utente e password di questo account utente di dominio speciale in modo che queste informazioni possano essere utilizzate per configurare il servizio IBM MQ dopo l'installazione del prodotto. Se si continua l'installazione e la configurazione di IBM MQ senza un account speciale, molti o tutti i componenti di IBM MQ non funzioneranno, a seconda degli specifici account utente interessati, così come riportato di seguito:
  • Le connessioni di IBM MQ ai gestori code eseguiti in account di dominio Windows su altri computer, potrebbero avere esito negativo.
  • Tra gli errori tipici vi sono: AMQ8066: Gruppo locale mqm non rilevato e AMQ8079: Accesso negato durante il tentativo di richiamo delle informazioni sull'appartenenza al gruppo per l'utente 'abc@xyz'.

È necessario ripetere i passi 1 e 2 della seguente procedura per ogni dominio che presenta nomi utente che gestiranno IBM MQ, per creare un account per IBM MQ su ogni dominio.

Procedura

  1. Creare un gruppo di domini con un nome speciale noto a IBM MQ (consultare 1.d) e assegnare ai membri di questo gruppo l'autorizzazione per eseguire query dell'appartenenza al gruppo per ogni account:
    1. Collegarsi al controller del dominio con un'utenza che dispone di autorizzazioni da amministratore del dominio.
    2. Dal menu Start, aprire Utenti e computer di Active Directory.
    3. Individuare il nome del dominio nel riquadro di navigazione, fare clic con il tasto destro del mouse e selezionare Nuovo gruppo.
    4. Immettere un nome gruppo nel campo Nome gruppo.
      Nota: Il nome del gruppo preferito è Domain mqm. Immetterlo esattamente come visualizzato.
      • La chiamata del gruppo Domain mqm modifica il comportamento della procedura guidata Prepara IBM MQ in una workstation o in un server del dominio. La procedura guidata Prepara IBM MQ aggiunge automaticamente il gruppo Domain mqm al gruppo locale mqm in ogni nuova installazione di IBM MQ nel dominio.
      • È possibile installare le workstation o i server in un dominio in cui non è disponibile il gruppo globale Domain mqm. In questo caso, è necessario definire un gruppo con le stesse proprietà del gruppo Domain mqm. È necessario rendere il gruppo o gli utenti membri di esso, dei membri del gruppo mqm locale ovunque IBM MQ sia installato in un dominio. È possibile inserire gli utenti di dominio in più gruppi. Creare più gruppi di domini, ciascuno dei quali corrispondente a un insieme di installazioni che si desidera gestire separatamente. Assegnare gli utenti di dominio ai diversi gruppi di domini in base alle installazioni gestite. Aggiungere ciascun gruppo o gruppi di domini al gruppo mqm locale delle diverse installazioni di IBM MQ. Solo gli utenti di dominio nei gruppi di domini che sono dei membri di un gruppo mqm locale specifico possono creare, gestire ed eseguire i gestori code per tale installazione.
      • L'utente di dominio nominato durante l'installazione di IBM MQ in una workstation o in un server di un dominio deve essere membro del gruppo Domain mqm o di un gruppo alternativo definito con le stesse proprietà del gruppo Domain mqm.
    5. Lasciare selezionato Globale come Ambito del gruppo o modificarlo in Universale. Lasciare selezionato Sicurezza come Tipo di gruppo. Fare clic su OK.
    6. Seguire questa procedura per assegnare le autorizzazioni al gruppo in base alla versione di Windows del controller di dominio:
      Su Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016:
      1. In Server Manager, fare clic su Strumenti quindi selezionare Utenti e computer di Active Directory dalla casella di elenco.
      2. Selezionare Visualizza > Funzioni avanzate.
      3. Espandere il nome del dominio, quindi fare clic su Utenti.
      4. Nella finestra Utenti, fare clic con il tasto destro su Domain mqm > Proprietà.
      5. Nella scheda Sicurezza, fare clic su Avanzate > Aggiungi....
      6. Fare clic su Seleziona principio quindi immettere Domain mqm e fare clic su Controlla nomi > OK.

        Il campo Nome viene precompilato con la stringa Domain mqm (domain name\Domain mqm).

      7. Nell'elenco Applica a, selezionare Oggetti utente discendenti.
      8. Nell'elenco Autorizzazioni, selezionare le caselle di spunta Leggi appartenenza al gruppo e Leggi groupMembershipSAM.
      9. Fare clic su OK > Applica > OK > OK.
      Su Windows Server 2008 e Windows 2008 R2:
      1. Nella struttura di navigazione Server Manager, fare clic su Utenti.
      2. Nella barra delle azioni di Server Manager, fare clic su Visualizza > Funzioni avanzate.
      3. Nella finestra Utenti, fare clic con il tasto destro su Domain mqm > Proprietà.
      4. Nella scheda Sicurezza, fare clic su Avanzate > Aggiungi, quindi immettere Domain mqm e fare clic su Controlla nomi > OK.

        Il campo Nome viene precompilato con la stringa Domain mqm (domain name\Domain mqm)

      5. Fare clic su Proprietà. Nell'elenco Applica a, selezionare Oggetti utente discendenti.
      6. Nell'elenco Autorizzazioni, selezionare le caselle di spunta Leggi appartenenza al gruppo e Leggi groupMembershipSAM.
      7. Fare clic su OK > Applica > OK > OK.
  2. Creare uno o più account utente e aggiungerli al gruppo.
    1. Nella finestra Utenti e computer di Active Directory, creare un account utente e aggiungerlo al gruppo Dominio mqm (o a un gruppo che fa parte del gruppo mqm locale).
    2. Ripetere queste operazioni per tutti gli account che si desidera creare.
  3. Ripetere i passi 1 e 2 per ciascun dominio che presenta nomi utente che gestiranno IBM MQ, per creare un account per IBM MQ su ogni dominio.
  4. Utilizzare gli account per configurare ogni installazione di IBM MQ:
    1. Utilizzare lo stesso account utente del dominio (creato nel passo 1) per tutte le installazioni di IBM MQ oppure creare un account separato per ogni installazione, aggiungendo ognuno di essi al gruppo Domain mqm (o a un gruppo che fa parte del gruppo mqm locale).
    2. Una volta creati gli account, assegnarne uno a ogni persona che sta configurando un'installazione di IBM MQ. Gli utenti devono immettere i dettagli degli account (nome dominio, nome utente e password) nella procedura guidata Prepara IBM MQ. Assegnare a tali persone un account che esiste nello stesso dominio degli ID utente di installazione.
    3. Quando si installa IBM MQ su un qualsiasi sistema sul dominio, il programma di installazione di IBM MQ rileva la presenza del gruppo Domain mqm nella LAN e lo aggiunge automaticamente al gruppo mqm locale. Il gruppo locale mqm viene creato durante l'installazione; tutti gli account utente del gruppo hanno l'autorizzazione per gestire IBM MQ. Pertanto tutti i membri del gruppo Dominio mqm avranno le autorizzazioni necessarie per gestire IBM MQ su questo sistema.
    4. Tuttavia, è necessario comunque fornire un account utente del dominio (fare riferimento al passo 1) per ogni installazione e configurare IBM MQ in modo da utilizzare questo account per le query. I dettagli dell'account devono essere immessi nella procedura guidata Prepara IBM MQ che viene eseguita automaticamente alla fine del processo di installazione (la procedura guidata può essere eseguita in qualsiasi momento dal menu Start).
  5. Impostare i periodi di scadenza password:
    • Se si utilizza soltanto un unico account per tutti gli utenti di IBM MQ, non impostare alcuna scadenza per la password altrimenti, una volta raggiunto questo valore, tutte le istanze di IBM MQ non funzioneranno più.
    • Se si assegna a ogni utente di IBM MQ il proprio account utente, sarà necessario creare e gestire più account ma in questo caso, soltanto un'istanza di IBM MQ verrà arrestata alla scadenza della password.

    Se si imposta un valore per la scadenza della password, sarà necessario avvisare gli utenti che ogni volta che la password scade verrà visualizzato un messaggio di avvertenza di IBM MQ.

  6. Per utilizzare un account di dominio Windows come ID utente per il servizio IBM MQ, completare la seguente procedura:
    1. Fare clic su Avvia > Esegui.... Immettere il comando secpol.msc e fare clic su OK.
    2. Aprire Impostazioni di sicurezza > Politiche locali > Assegnazione diritti utente. Nell'elenco delle politiche, fare clic con il tasto destro del mouse su Accedi come servizio >Proprietà.
    3. Fare clic su Aggiungi utente o gruppo. Immettere il nome dell'utente ottenuto dall'amministratore del dominio e fare clic su Controlla nomi.
    4. Se richiesto da una finestra di sicurezza di Windows, immettere il nome utente e la password di un utente o un amministratore dell'account con l'autorità necessaria e fare clic su OK>Applica>OK. Chiudere la finestra Politica di sicurezza locale.
    Nota: Il controllo dell'account utente (UAC) è abilitato per impostazione predefinita. La funzione UAC limita le azioni che gli utenti possono eseguire su alcune funzioni del sistema operativo, anche se sono dei membri del gruppo di amministratori. È necessario prendere le misure appropriate per risolvere questa limitazione.

Attività Attività

Feedback

Timestamp icon Ultimo aggiornamento: Monday, 21 January 2019
https://www.ibm.com/docs/SSFKSJ_9.0.0/com.ibm.mq.wizard_help.doc/com.ibm.mq.wizard_help.doc/q008840_.htm wq10840_ wq10830_