IBM MQ 用の Windows ドメイン・アカウントの作成とセットアップ
以下の情報は、ドメイン管理者を対象としたものです。 ローカル・アカウントがドメイン・ユーザー・アカウントのグループ・メンバーシップを照会する権限を持たない Windows ドメインに IBM® MQ をインストールする場合、この情報を使用して IBM MQ サービス用の特別ドメイン・アカウントを作成およびセットアップします。
このタスクについて
ローカル・ユーザーを mqm
グループに追加すると、ユーザーはシステム上の IBM MQ を管理できます。
この作業は、Windows ドメイン・ユーザー ID を使用して同じことを行う方法を説明しています。
IBM MQ には、インストール時に IBM MQ によって作成される、ローカル・ユーザー・アカウントで Windows サービスとして実行されるコンポーネントが含まれており、これによって IBM MQ サービスを実行するアカウントにドメイン・アカウントのグループ・メンバーシップを照会する権限があること、および IBM MQ を管理する権限があることが検査されます。グループ・メンバーシップを照会することができない場合、サービスによって実行されるアクセス検査は失敗します。
Windows Active Directory を実行する Windows ドメイン・コントローラーは、ドメイン・ユーザー・アカウントのグループ・メンバーシップを照会する権限をローカル・アカウントに持たせないようにセットアップできます。これによって、 IBM MQ は検査を実行できなくなり、アクセスは失敗します。このようにしてセットアップされたドメイン・コントローラーで Windows を使用する場合、代わりに必要な許可を持つ特別ドメイン・ユーザー・アカウントを使用する必要があります。
ネットワーク上の各 IBM MQ のインストールを、ドメイン上で定義されたユーザーがキュー・マネージャーまたはキューにアクセスする権限を持っていることを検査するのに必要な権限を持つドメイン・ユーザー・アカウントの下でサービスを実行するように構成する必要があります。通常、この特別アカウントには、ドメイン・グループ DOMAIN¥Domain mqm のメンバーシップを通して IBM MQ 管理者権限が与えられます。このドメイン・グループは、IBM MQ のインストール場所となるシステムのローカル mqm グループの下でインストール・プログラムによって自動的にネストされます。
- 他のコンピューター上の Windows ドメイン・ユーザー・アカウントで実行しているキュー・マネージャーとの IBM MQ 接続は失敗する可能性があります。
- 代表的なエラーには、「AMQ8066: Local mqm group not found (ローカル mqm グループが見つかりませんでした)」や「AMQ8079: Access was denied when attempting to retrieve group membership information for user 'abc@xyz' (ユーザー「abc@xyz」のグループ・メンバーシップ情報を検索しようとしてアクセスが拒否されました)」があります。
IBM MQ を管理するユーザー名が属するドメインごとに以下の手順のステップ 1 と 2 を繰り返し、各ドメインに IBM MQ のアカウントを作成する必要があります。