Tworzenie i konfigurowanie kont domeny systemu Windows dla produktu IBM MQ

Poniższe informacje są przeznaczone dla administratorów domeny. Należy skorzystać z tych informacji, aby utworzyć i skonfigurować specjalne konto domeny dla usługi IBM® MQ, jeśli produkt IBM MQ ma zostać zainstalowany w domenie systemu Windows, w której konta lokalne nie mają uprawnienia do odpytywania kont użytkowników należących do domeny o przypisania do grup.

O tym zadaniu

Dodanie użytkownika lokalnego do grupy mqm umożliwia mu administrowanie produktem IBM MQ w systemie. W tym zadaniu opisano, jak uzyskać tę możliwość przy użyciu identyfikatorów użytkowników należących do domeny Windows.

Produkt IBM MQ zawiera komponent uruchamiany jako usługa systemu Windows w ramach konta lokalnego użytkownika utworzonego przez produkt IBM MQ podczas instalacji. Ten komponent sprawdza, czy konto, w ramach którego są uruchamiane usługi IBM MQ, ma możliwość odpytywania kont domeny o przypisania do grup i ma uprawnienie do administrowania produktem IBM MQ. Brak możliwości odpytywania o przypisania do grup powoduje, że operacje sprawdzania możliwości uzyskania dostępu wykonywane przez usługi nie powiodą się.

Kontrolery domeny systemu Windows z uruchomioną usługą Windows Active Directory można skonfigurować w taki sposób, aby konta lokalne nie miały uprawnienia do odpytywania kont użytkowników należących do domeny o przypisania do grup. To uniemożliwia produktowi IBM MQ wykonywanie operacji sprawdzania i próby uzyskania dostępu kończą się niepowodzeniem. Jeśli na kontrolerze domeny działa skonfigurowany w ten sposób system Windows, należy użyć specjalnego konta użytkownika domeny z wymaganymi uprawnieniami.

Każda instalacja produktu IBM MQ w sieci musi zostać skonfigurowana pod kątem uruchamiania jego usługi w ramach takiego konta użytkownika należącego do domeny, które ma uprawnienie do sprawdzania, czy użytkownicy zdefiniowani w domenach mają uprawnienia dostępu do menedżerów kolejek lub kolejek. Zazwyczaj to specjalne konto ma prawa administratora produktu IBM MQ wynikające z przypisania do grupy domeny DOMAIN\Domain mqm. Grupa domeny jest automatycznie zagnieżdżana przez program instalacyjny w lokalnej grupie mqm systemu, w którym jest instalowany produkt IBM MQ.

Ważne: Instalator produktu IBM MQ wymaga podania identyfikatora użytkownika i hasła specjalnego konta użytkownika należącego do domeny, co umożliwia skonfigurowanie usługi IBM MQ po zainstalowaniu produktu. Jeśli instalator będzie kontynuować działanie i skonfiguruje produkt IBM MQ bez specjalnego konta, wiele części produktu IBM MQ (lub nawet wszystkie) nie będzie działać. Będzie to zależne od tego, które konkretnie konta użytkowników są wymagane, na przykład:

Połączenia produktu IBM MQ z menedżerami kolejek działającymi w ramach kont domeny systemu Windows na innych komputerach mogą nie powieść się.
Typowe błędy to AMQ8066: Nie znaleziono lokalnej grupy mqm oraz AMQ8079: Nastąpiła odmowa dostępu podczas próby pobrania informacji na temat przypisań do grup dla użytkownika abc@xyz.

Należy powtórzyć kroki 1 i 2 poniższej procedury w przypadku każdej domeny zawierającej nazwy użytkowników, którzy będą administrować produktem IBM MQ, aby w każdej domenie utworzyć konto dla produktu IBM MQ.

Procedura

Utwórz grupę domeny o specjalnej nazwie rozpoznawanej przez produkt IBM MQ (patrz: 1.d), a następnie nadaj członkom tej grupy uprawnienie do odpytywania kont o przypisania do grup:
1. Zaloguj się w kontrolerze domeny, używając konta z uprawnieniem administratora domeny.
2. W menu Start otwórz pozycję Użytkownicy i komputery usługi Active Directory.
3. Na panelu nawigacyjnym znajdź nazwę domeny, kliknij ją prawym przyciskiem myszy i wybierz opcję Nowa grupa.
4. Wpisz nazwę grupy w polu Nazwa grupy.
  Uwaga: Preferowana nazwa grupy to Domain mqm. Należy wpisać ją dokładnie w takiej postaci.
  - Nadanie grupie nazwy Domain mqm powoduje zmianę zachowania kreatora Kreator przygotowania produktu IBM MQ na stacji roboczej lub serwerze domeny. Powoduje, że kreator Kreator przygotowania produktu IBM MQ automatycznie dodaje grupę Domain mqm do lokalnej grupy mqm w każdej nowej instalacji produktu IBM MQ w domenie.
  - Istnieje możliwość zainstalowania stacji roboczych lub serwerów w domenie bez grupy globalnej Domain mqm. W takim przypadku należy zdefiniować grupę o właściwościach takich samych jak właściwości grupy Domain mqm. Należy przypisać tę grupę lub należących do niej użytkowników do lokalnej grupy mqm za każdym razem, gdy produkt IBM MQ zostanie zainstalowany w domenie. Użytkowników należących do domeny można umieścić w wielu grupach. Należy utworzyć wiele grup domeny – każda ma odpowiadać zestawowi instalacji, którym chcesz osobno zarządzać. Użytkowników należących do domeny należy podzielić na różne grupy należące do domeny odpowiednio do instalacji, którymi zarządzają. Każdą z grup należących do domeny należy dodać do lokalnej grupy mqm różnych instalacji produktu IBM MQ. Tylko użytkownicy należący do domeny będący członkami grup należących do domeny, które są elementami konkretnej lokalnej grupy mqm, mogą tworzyć i uruchamiać menedżery kolejek dla tej instalacji oraz zarządzać nimi.
  - Użytkownik należący do domeny wyznaczony podczas instalowania produktu IBM MQ na stacji roboczej lub serwerze w domenie musi należeć do grupy Domain mqm lub alternatywnej grupy zdefiniowanej z użyciem właściwości takich samych jak właściwości grupy Domain mqm.
5. Pozostaw ustawienie Globalny wybrane w przypadku opcji Zasięg grupy lub zmień je na ustawienie Uniwersalny. Pozostaw ustawienie Zabezpieczenia wybrane w przypadku opcji Typ grupy. Kliknij przycisk OK.
6. Aby przypisać uprawnienia do grupy na podstawie wersji systemu Windows kontrolera domeny, wykonaj następujące kroki:
  W systemach Windows Server 2012, Windows Server 2012 R2 i Windows Server 2016:
  1. W menedżerze serwera kliknij przycisk Narzędzia, a następnie wybierz opcję Użytkownicy i komputery Active Directory w polu listy.
  2. Wybierz opcję Widok > Funkcje zaawansowane.
  3. Rozwiń nazwę domeny, a następnie kliknij opcję Użytkownicy.
  4. W oknie Użytkownicy kliknij prawym przyciskiem myszy pozycję Domain mqm, a następnie wybierz opcję Właściwości.
  5. Na karcie Zabezpieczenia kliknij opcję Zaawansowane > Dodaj....
  6. Kliknij przycisk Wybierz regułę, a następnie wpisz łańcuch Domain mqm i kliknij przycisk Sprawdź nazwy > OK.
    W polu Nazwa pojawi się łańcuch Domain mqm (nazwa domeny\Domain mqm).
  7. Na liście Zastosuj do wybierz opcję Podrzędne obiekty użytkownika.
  8. Na liście Uprawnienia zaznacz pole wyboru Odczyt przypisania do grup i Odczyt groupMembershipSAM.
  9. Kliknij przycisk OK > Zastosuj > OK > OK.
  W systemach Windows Server 2008 i Windows 2008 R2:
  1. W drzewie nawigacyjnym menedżera serwera kliknij opcję Użytkownicy.
  2. Na pasku działań menedżera serwera kliknij opcję Widok > Funkcje zaawansowane.
  3. W oknie Użytkownicy kliknij prawym przyciskiem myszy pozycję Domain mqm, a następnie wybierz opcję Właściwości.
  4. Na karcie Zabezpieczenia kliknij opcję Zaawansowane > Dodaj, a następnie wpisz łańcuch Domain mqm i kliknij przycisk Sprawdź nazwy > OK.
    W polu Nazwa pojawi się łańcuch Domain mqm (nazwa domeny\Domain mqm).
  5. Kliknij opcję Właściwości. Na liście Zastosuj do wybierz opcję Podrzędne obiekty użytkownika.
  6. Na liście Uprawnienia zaznacz pole wyboru Odczyt przypisania do grup i Odczyt groupMembershipSAM.
  7. Kliknij przycisk OK > Zastosuj > OK > OK.
Utwórz co najmniej jedno konto użytkownika i dodaj je do grupy:
1. W obszarze Użytkownicy i komputery usługi Active Directory utwórz konto użytkownika o wybranej przez siebie nazwie, a następnie dodaj je do grupy Domain mqm (lub grupy należącej do lokalnej grupy mqm).
2. Powtórz tę czynność dla wszystkich tworzonych kont.
Ostrzeżenie: Nie można użyć domeny użytkownika o nazwie mqm w systemie Windows.
Powtórz kroki 1 i 2 w przypadku każdej domeny zawierającej nazwy użytkowników, którzy będą administrować produktem IBM MQ, aby utworzyć konto dla produktu IBM MQ w każdej domenie.
Użyj tych kont do skonfigurowania poszczególnych instalacji produktu IBM MQ:
1. Użyj tego samego konta użytkownika należącego do domeny (utworzonego wcześniej w kroku 1) w przypadku wszystkich instalacji produktu IBM MQ lub utwórz osobne konta dla poszczególnych instalacji i dodaj każde z nich do grupy Domain mqm (lub grupy należącej do lokalnej grupy mqm).
2. Po utworzeniu kont przypisz jedno konto każdej osobie konfigurującej instalację produktu IBM MQ. Te osoby muszą wprowadzić szczegółowe informacje o koncie (nazwę domeny, nazwę użytkownika i hasło) w kreatorze Kreator przygotowania produktu IBM MQ. Konto powinno istnieć w tej samej domenie, w której znajduje się ID użytkownika instalacji.
3. Podczas instalowania produktu IBM MQ w dowolnym systemie w domenie program instalacyjny produktu IBM MQ wykrywa istnienie grupy Domain mqm w sieci LAN i automatycznie dodaje ją do lokalnej grupy mqm. Lokalna grupa mqm jest tworzona podczas instalacji i wszystkie należące do niej konta użytkowników mają uprawnienia do zarządzania produktem IBM MQ. Dzięki temu wszyscy członkowie grupy Domain mqm będą mieć uprawnienie do zarządzania produktem IBM MQ w tym systemie.
4. Jednak konto użytkownika należącego do domeny (utworzone wcześniej w kroku 1) nadal należy podawać w przypadku każdej instalacji. Trzeba również skonfigurować produkt IBM MQ w taki sposób, aby używał tego konta przy wykonywaniu zapytań. Szczegółowe informacje o koncie należy wprowadzić w kreatorze Kreator przygotowania produktu IBM MQ, który jest uruchamiany automatycznie na zakończenie procesu instalacji (można go także uruchomić w dowolnym czasie z poziomu menu Start).
Ustaw okresy ważności haseł:
- Jeśli dla wszystkich użytkowników produktu IBM MQ ma być używane tylko jedno konto, zalecane jest ustawienie nieograniczonego czasu ważności hasła dla tego konta. W przeciwnym razie wszystkie instancje produktu IBM MQ przestaną działać w tym samym momencie, gdy hasło utraci ważność.
- Jeśli każdy użytkownik produktu IBM MQ otrzyma własne konto użytkownika, konieczne będzie utworzenie większej liczby kont i zarządzanie nimi, ale w momencie utraty ważności danego hasła przestanie działać tylko jedna instancja produktu IBM MQ.
Jeśli zostanie ustawiony termin ważności hasła, należy uprzedzić użytkowników, że po każdej utracie ważności hasła będzie wyświetlany komunikat produktu IBM MQ. Komunikat ten będzie zawierać informacje o utracie ważności hasła i o tym, w jaki sposób należy je zresetować.
Aby używać konta domeny systemu Windows jako identyfikatora użytkownika dla usługi IBM MQ, wykonaj następujące kroki:
1. Kliknij kolejno opcje Start > Uruchom....
  Wpisz komendę secpol.msc i kliknij przycisk OK.
2. Otwórz gałąź Ustawienia zabezpieczeń > Zasady lokalne > Przypisywanie praw użytkownika.
  Na liście zasad kliknij prawym przyciskiem myszy pozycję Logowanie w trybie usługi, a następnie wybierz opcję Właściwości.
3. Kliknij przycisk Dodaj użytkownika lub grupę....
  Wpisz nazwę użytkownika uzyskaną od administratora domeny, a następnie kliknij przycisk Sprawdź nazwy.
4. Jeśli zostanie wyświetlone okno Zabezpieczenia systemu Windows, wpisz nazwę użytkownika i hasło, które są przypisane do konta użytkownika lub konta administratora posiadającego wystarczające uprawnienia, a następnie kliknij kolejno przyciski OK > Zastosuj > OK.
  Zamknij okno Zasady zabezpieczeń lokalnych.
Uwaga: Kontrola UAC (User Account Control) jest domyślnie włączona. Funkcja UAC ogranicza działania, które użytkownicy mogą wykonywać za pomocą niektórych funkcji systemu operacyjnego, nawet jeśli są oni członkami grupy Administratorzy. Należy podjąć odpowiednie kroki, aby znieść to ograniczenie.