[Windows]

Criando e configurando contas de domínio do Windows para o IBM MQ

As informações a seguir são destinadas aos Administradores de Domínio. Use essas informações para criar e configurar uma conta de domínio especial para o serviço IBM® MQ se o IBM MQ será instalado em um domínio do Windows no qual as contas locais não tenham a autoridade para consultar a associação ao grupo das contas do usuário do domínio.

Sobre Esta Tarefa

Ao incluir um usuário local no grupo mqm, isso permite que o usuário administre o IBM MQ no sistema. Esta tarefa descreve como fazer o mesmo usando os IDs do usuário do domínio do Windows.

O IBM MQ tem um componente em execução como um serviço do Windows em uma conta do usuário local criada pelo IBM MQ na instalação que verifica se a conta na qual os serviços do IBM MQ são executados tem a capacidade de consultar as associações ao grupo de contas de domínio e a autoridade para administrar o IBM MQ. Sem a capacidade de consultar as associações ao grupo, as verificações de acesso feitas pelos serviços falham.

Os controladores de domínio do Windows que executam o Windows Active Directory podem ser configurados para que as contas locais não tenham a autoridade para consultar a associação ao grupo das contas do usuário do domínio. Isso evita que o IBM MQ conclua as verificações, e o acesso falha. Se você estiver usando o Windows em um controlador de domínio que foi configurado desse modo, uma conta do usuário do domínio especial com as permissões necessárias deverá ser usada como alternativa.

Cada instalação do IBM MQ na rede deve ser configurada para executar seu serviço em uma conta do usuário do domínio que tenha a autoridade necessária para verificar se os usuários definidos nos domínios estão autorizados a acessar gerenciadores de filas ou filas. Geralmente, esta conta especial tem os direitos de administrador do IBM MQ por meio da associação do grupo de domínio DOMAIN\Domain mqm. O grupo de domínio é aninhado automaticamente pelo programa de instalação sob o grupo mqm local do sistema no qual o IBM MQ está sendo instalado.

Importante: O instalador do IBM MQ deve receber os detalhes do ID do usuário e da senha dessa conta do usuário do domínio especial para que possa usar essas informações para configurar o serviço IBM MQ após a instalação do produto. Se um instalador continuar e configurar o IBM MQ sem uma conta especial, muitas ou todas as partes do IBM MQ não funcionarão, dependendo das contas de usuário em particular envolvidas, da seguinte maneira:
  • As conexões do IBM MQ com os gerenciadores de filas em execução nas contas de domínio do Windows em outros computadores podem falhar.
  • Erros típicos incluem AMQ8066: Grupo mqm local não encontrado e AMQ8079: O acesso foi negado ao tentar recuperar informações da associação de grupos para o usuário 'abc@xyz'.

Deve-se repetir as etapas 1 e 2 do procedimento a seguir para cada domínio que tenha nomes de usuários que administrarão o IBM MQ para criar uma conta para o IBM MQ em cada domínio.

Procedimento

  1. Crie um grupo de domínios com um nome especial que seja conhecido para o IBM MQ (consulte 1.d) e forneça aos membros desse grupo a autoridade para consultar a associação ao grupo de qualquer conta:
    1. Inicie sessão no controlador de domínio como uma conta com autoridade de administrador de domínio.
    2. No menu iniciar, abra Usuários e Computadores do Active Directory.
    3. Localize o nome de domínio na área de janela de navegação, clique com o botão direito do mouse nele e selecione Novo Grupo.
    4. Digite um nome do grupo no campo Nome do Grupo.
      Nota: O nome do grupo preferencial é Domain mqm. Digite-o exatamente conforme mostrado.
      • Chamar o grupo de Domain mqm modifica o comportamento do Assistente Preparar o IBM MQ em uma estação de trabalho ou um servidor do domínio. Ele faz com que o Assistente Preparar o IBM MQ inclua automaticamente o grupo Domain mqm no grupo mqm local em cada nova instalação do IBM MQ no domínio.
      • É possível instalar estações de trabalho ou servidores em um domínio sem o grupo global Domain mqm. Se fizer isso, você deverá definir um grupo com as mesmas propriedades que o grupo Domain mqm. Você deve tornar esse grupo ou seus usuários membros do grupo mqm local sempre que o IBM MQ estiver instalado em um domínio. É possível colocar usuários do domínio em diversos grupos. Crie diversos grupos de domínio, cada grupo correspondendo a um conjunto de instalações que você deseja gerenciar separadamente. Divida os usuários do domínio, de acordo com as instalações que eles gerenciam, em diferentes grupos de domínios. Inclua cada grupo de domínios ou grupos no grupo mqm local de diferentes instalações do IBM MQ. Somente usuários do domínio nos grupos de domínios que são membros de um grupo mqm local específico podem criar, administrar e executar gerenciadores de filas para essa instalação.
      • O usuário do domínio que você nomeia ao instalar o IBM MQ em uma estação de trabalho ou um servidor em um domínio deve ser um membro do grupo Domain mqm ou de um grupo alternativo definido com as mesmas propriedades que o grupo Domain mqm.
    5. Deixe Global clicado como o Escopo de Grupo ou altere-o para Universal. Deixe Segurança clicado como o Tipo de Grupo. Clique em OK.
    6. Siga estas etapas para designar permissões para o grupo com base na versão do Windows do controlador de domínio:
      No Windows Server 2012, no Windows Server 2012 R2 e no Windows Server 2016:
      1. No Server Manager, clique em Ferramentas, em seguida, selecione Usuários e computadores do Active Directory na caixa de listagem.
      2. Selecione Visualização > Recursos avançados.
      3. Expanda seu nome de domínio e, em seguida, clique em Usuários.
      4. Na janela Usuários, clique com o botão direito em Domain mqm > Propriedades.
      5. Na guia Segurança, clique em Avançado > Incluir....
      6. Clique em Selecionar princípio, em seguida, digite Domain mqm e clique em Verificar nomes > OK.

        O campo Nome é preenchido com a sequência Domain mqm (domain name\Domain mqm).

      7. Na lista Aplica-se a, selecione Objetos de usuário descendentes.
      8. Na lista Permissões, selecione as caixas de seleção Ler associação ao grupo e Ler groupMembershipSAM.
      9. Clique em OK > Aplicar > OK > OK.
      No Windows Server 2008 e Windows 2008 R2:
      1. Na árvore de navegação do Gerenciador do Servidor, clique em Usuários.
      2. Na barra de ação do Gerenciador do Servidor, clique em Visualizar > Recursos Avançados.
      3. Na janela Usuários, clique com o botão direito em Domain mqm > Propriedades.
      4. Na guia Segurança, clique em Avançado > Incluir, em seguida, digite Domain mqm e clique em Verificar nomes > OK.

        O campo Nome é previamente preenchido com a sequência Domain mqm (domain name\Domain mqm)

      5. Clique em Propriedades. Na lista Aplicar a, selecione Objetos do Usuário Descendentes.
      6. Na lista Permissões, selecione as caixas de seleção Ler associação ao grupo e Ler groupMembershipSAM.
      7. Clique em OK > Aplicar > OK > OK.
  2. Criar uma ou mais contas e incluí-las no grupo:
    1. Em Usuários e Computadores do Active Directory, crie uma conta do usuário com um nome de sua escolha e a inclua no grupo Domain mqm (ou um grupo que é um membro do grupo mqm local).
    2. Repita esta etapa para todas as contas que deseja criar.
    Atenção: Não é possível usar um domínio de usuário denominado mqm no Windows.
  3. Repita as Etapas 1 e 2 para cada domínio que tenha nomes de usuário que administrarão o IBM MQ, para criar uma conta para o IBM MQ em cada domínio.
  4. Utilize as contas para configurar cada instalação do IBM MQ:
    1. Use a mesma conta do usuário do domínio (conforme criada na Etapa 1) para cada instalação do IBM MQ ou crie uma conta separada para cada uma, incluindo cada uma no grupo Domain mqm (ou um grupo que é um membro do grupo mqm local).
    2. Depois de criar a(s) conta(s), forneça-a(s) para cada pessoa que está configurando uma instalação do IBM MQ. Elas devem inserir os detalhes da conta (nome de domínio, nome do usuário e senha) no Assistente Preparar o IBM MQ. Conceda a elas a conta que existe no mesmo domínio que seu ID de usuário de instalação.
    3. Quando você instala o IBM MQ em qualquer sistema no domínio, o programa de instalação do IBM MQ detecta a existência do grupo Domain mqm na LAN e o inclui automaticamente no grupo mqm local. (O grupo mqm local é criado durante a instalação; todas as contas de usuário contidas nele têm autoridade para gerenciar o IBM MQ). Assim, todos os membros do grupo Domain mqm terão autoridade para gerenciar IBM MQ neste sistema.
    4. No entanto, ainda será necessário fornecer uma conta de usuário de domínio (criada na Etapa 1) para cada instalação e configurar o IBM MQ para utilizá-la ao fazer consultas. Os detalhes da conta devem ser inseridos no Assistente Preparar o IBM MQ que é executado automaticamente no término da instalação (o assistente também pode ser executado a qualquer momento por meio do menu Iniciar).
  5. Definir os períodos de expiração de senhas:
    • Se você utiliza apenas uma conta para todos os usuários do IBM MQ, defina a senha da conta para nunca expirar, caso contrário, todas as instâncias do IBM MQ deixarão de funcionar ao mesmo tempo quando ela expirar.
    • Se você conceder a cada usuário do IBM MQ sua própria conta, terá mais contas de usuário para criar e gerenciar, mas apenas uma instância do IBM MQ deixará de funcionar por vez quando a senha expirar.

    Se você configurar a senha para expirar, avise os usuários de que eles receberão uma mensagem do IBM MQ sempre que a senha expirar - a mensagem avisa que a senha expirou e descreve como reconfigurá-la.

  6. Para usar uma conta de domínio do Windows como o ID do usuário para o serviço do IBM MQ, conclua as etapas a seguir:
    1. Clique em Iniciar > Executar....
      Digite o comando secpol.msc e, então, clique em OK.
    2. Abra Configurações de Segurança > Políticas Locais > Designações de Direitos do Usuário.
      Na lista de políticas, clique com o botão direito do em Efetuar logon como um serviço > Propriedades.
    3. Clique em Incluir Usuário ou Grupo....
      Digite o nome do usuário obtido por meio do administrador do domínio e clique em Verificar nomes.
    4. Se solicitado por uma janela de segurança do Windows digite o nome de usuário e a senha de um usuário da conta ou administrador com autoridade suficiente e, em seguida, clique em OK > Aplicar > OK.
      Feche a janela Política de Segurança Local.
    Nota: O Controle de Conta do Usuário (UAC) é ativado por padrão. O UAC restringe as ações que os usuários podem executar em certas instalações do sistema operacional, mesmo se eles forem membros do grupo de Administradores. Você deve executar as etapas apropriadas para superar essa restrição.