Создание и настройка учетных записей домена Windows для IBM MQ

Следующая информация предназначена для администратора домена. Рассмотрена процедура создания и настройки специальной учетной записи домена для службы IBM® MQ, если IBM MQ планируется установить в домене Windows, в котором локальные учетные записи не обладают правами на запрос членства учетных записей домена в группах.

Об этой задаче

При добавлении локального пользователя в группу mqm этому пользователю предоставляются права для администрирования IBM MQ в системе. Эта задача описывает ту же процедуру с использованием ИД пользователей домена Windows.

В состав IBM MQ входит компонент, работающий в качестве службы Windows от имени локальной учетной записи, создаваемой IBM MQ в ходе установки. Он проверяет, обладает ли учетная запись, от имени которой работают службы IBM MQ, правами на запрос членства учетных записей домена в группах, а также правами на администрирование IBM MQ. Без возможности запрашивать членство в группах служба не сможет проверять права доступа.

Контроллеры доменов Windows в Windows Active Directory можно настроить таким образом, чтобы локальным учетным записям пользователей было запрещено запрашивать членство в группе его учетных записей пользователей домена. В этом случае IBM MQ не может выполнить проверку и доступ запрещается. Если Windows применяется в контроллере домена с такой конфигурацией, то следует использовать специальную учетную запись домена с требуемыми правами доступа.

Каждый экземпляр IBM MQ в сети должен быть настроен для выполнения своей службы от имени учетной записи пользователя домена с необходимыми правами доступа для проверки доступа пользователей пользователей домена к администраторам очередей или очередям. Как правило, специальная учетная запись обладает правами администратора IBM MQ за счет членства в группе домена DOMAIN\Domain mqm. Группа домена автоматически наследуется программой установки в локальной группе mqm системы, в которой установлен продукт IBM MQ.

Важное замечание: В программе установки IBM MQ необходимо указать идентификационные данные специальной учетной записи пользователя домена, поскольку эта информация требуется для настройки службы IBM MQ после установки продукта. Если при выполнении программы установки IBM MQ будет настроен без специальной учетной записи, многие или все компоненты IBM MQ не будут работать в зависимости от задействованных учетных записей пользователей, а именно:

Могут не работать соединения IBM MQ с администраторами очередей, запущенными с учетными записями домена Windows на других компьютерах.
Типичные ошибки - AMQ8066: Локальная группа mqm не найдена и AMQ8079: Доступ отклонен при попытке получения информации о принадлежности группы для пользователя 'abc@xyz'.

Шаги 1 и 2 из следующей процедуры необходимо повторить для каждого домена, содержащего имена пользователей, которые должны администрировать IBM MQ, чтобы создать учетную запись для IBM MQ в каждом домене.

Процедура

Создайте группу домена со специальным именем, которое известно программе IBM MQ (см. 1.d), и предоставьте членам этой группы права на запрос членства в группе любой учетной записи:
1. Войдите в контроллер домена с учетной записью, имеющей права администратора домена.
2. В меню Пуск разверните Активные пользователи каталогов и компьютеры.
3. На панели навигации найдите имя домена, щелкните на нем правой кнопкой и выберите пункт Создать группу.
4. В поле Имя группы введите имя группы.
  Прим.: Предпочитаемое имя группы: Domain mqm. Введите его в точности как показано.
  - Вызов группы Domain mqm изменяет алгоритм работы Мастер подготовки IBM MQ на рабочей станции или на сервере домена. Мастер подготовки IBM MQ автоматически добавляет группу Domain mqm в локальную группу mqm во всех новых экземплярах IBM MQ в домене.
  - Рабочие станции или серверы можно установить в домене без глобальной группы Domain mqm. В этом случае необходимо создать группу со свойствами группы Domain mqm. Эту группу или ее участников необходимо добавить в локальную группу mqm в случае установки IBM MQ в домене. Пользователей домена можно добавить в несколько групп. Создайте несколько групп домена, соответствующих отдельно управляемым экземплярам. Распределите пользователей домена между несколькими группами домена с учетом управляемых экземпляров. Добавьте группы домена в локальную группу mqm разных экземпляров IBM MQ. Только пользователи домена из групп домена, входящих в состав конкретной локальной группы mqm, обладают правами на создание, администрирование и запуск администраторов очередей в соответствующем экземпляре.
  - Пользователь домена, указанный в ходе установки IBM MQ на рабочей станции или на сервере в домене, должен быть участником группы Domain mqm или альтернативной группы, свойства которой совпадают со свойствами группы Domain mqm.
5. В поле Область действия группы оставьте значение Глобальная или выберите значение Универсальная. В поле Тип группы оставьте значение Защита. Нажмите кнопку OK.
6. Выполните следующие действия, чтобы присвоить права доступа группе с учетом версии Windows контроллера домена:
  В Windows Server 2012, Windows Server 2012 R2 и Windows Server 2016:
  1. В окне Администратор серверов выберите Инструменты, затем выберите Пользователи и компьютеры Active Directory.
  2. Выберите Показать > Расширенные функции.
  3. Разверните имя домена и выберите Пользователи.
  4. В окне Пользователи щелкните правой кнопкой мыши на записи Domain mqm > Свойства.
  5. На вкладке Защита выберите Дополнительно > Добавить....
  6. Выберите Выбрать субъект и введите Domain mqm, затем выберите Проверить имена > OK.
    В поле Имя указана строка Domain mqm (имя домена\Domain mqm).
  7. В списке Применяется к выберите Дочерние объекты пользователей.
  8. В списке Права доступа включите переключатели Чтение принадлежности группы и Чтение принадлежности группы SAM.
  9. Выберите OK > Применить > OK > OK.
  В Windows Server 2008 и Windows 2008 R2 выполните следующие действия:
  1. В дереве навигации администратора сервера выберите Пользователи.
  2. На панели действий Администратор сервера выберите Показать > Расширенные функции.
  3. В окне Пользователи щелкните правой кнопкой мыши на записи Domain mqm > Свойства.
  4. На вкладке Защита выберите Дополнительно > Добавить, затем введите Domain mqm и нажмите Проверить имена > OK.
    В поле Имя указана строка Domain mqm (имя домена\Domain mqm)
  5. Выберите Свойства. В списке Применить к выберите Дочерние объекты пользователей.
  6. В списке Права доступа включите переключатели Чтение принадлежности группы и Чтение принадлежности группы SAM.
  7. Выберите OK > Применить > OK > OK.
Создайте одну или несколько учетных записей и добавьте их в группу:
1. В разделе Пользователи и компьютеры Active Directory создайте учетную запись пользователя с именем по вашему выбору и добавьте ее в группу Domain mqm (или в группу, которая входит в состав локальной группы mqm).
2. Повторите действия для всех учетных записей, которые вы хотите создать.
Внимание: В Windows нельзя использовать домен с именем mqm.
Повторите шаги 1 и 2 для каждого домена, содержащего имена пользователей, которые должны администрировать IBM MQ, чтобы создать учетную запись для IBM MQ в каждом домене.
С помощью учетных записей настройте все установленные версии IBM MQ:
1. Либо используйте одну и ту же учетную запись пользователя домена (созданную на шаге 1) для всех установленных версий IBM MQ, или создайте отдельную учетную запись для каждой установленной версии, добавив ее в группу Domain mqm (или в группу, входящую в состав локальной группы mqm).
2. После создания учетной записи (записей) присвойте ее каждому пользователю, выполняющему настройку установленной копии IBM MQ. Пользователи должны будут ввести данные учетной записи (имя домена, имя пользователя и пароль) в Мастер подготовки IBM MQ. Предоставьте им учетную запись, которая существует в том же домене, что и ИД устанавливающего пользователя.
3. При установке продукта IBM MQ в любой системе в домене программа установки IBM MQ обнаружит наличие группы Domain mqm в LAN и автоматически добавит ее в локальную группу mqm. (Локальная группа mqm создается во время установки; все входящие в ее состав учетные записи пользователей имеют права на управление IBM MQ). Таким образом, все члены группы Domain mqm будут иметь права на управление IBM MQ в этой системе.
4. Однако, вы по-прежнему должны предоставить учетную запись пользователя домена (созданную на шаге 1) для каждой копии установки и настроить IBM MQ на использование этой учетной записи при создании запросов. Необходимо ввести данные учетной записи во время работы Мастер подготовки IBM MQ, который запускается автоматически в конце установки (его также можно запустить в любой момент из меню Пуск).
Задайте сроки действия паролей:
- Если для всех пользователей IBM MQ применяется только одна учетная запись, установите для пароля бесконечный срок действия, иначе по его истечении все экземпляры IBM MQ перестанут работать одновременно.
- При предоставлении каждому пользователю IBM MQ отдельной учетной записи потребуется создать и настроить несколько учетных записей пользователей, однако при истечении срока действия пароля прекратит работу только один экземпляр IBM MQ.
Если вы установили срок действия пароля, предупредите пользователей, что по его истечении они получат сообщение от IBM MQ; это сообщение предупреждает, что срок действия пароля истек, и содержит инструкции по сбросу пароля.
Для применения учетной записи домена Windows в качестве ИД пользователя службы IBM MQ выполните следующие действия:
1. Выберите Пуск > Выполнить....
  Введите команду secpol.msc и нажмите кнопку OK.
2. Выберите Параметры безопасности > Локальные политики > Назначение прав доступа пользователей.
  В списке политик щелкните правой кнопкой на записи Вход от имени службы > Свойства.
3. Выберите Добавить пользователя или группу....
  Введите имя пользователя, полученное от администратора домена, и нажмите кнопку Проверить имена.
4. При необходимости введите в окне Защита Windows идентификационные данные пользователя или администратора с достаточными правами доступа и нажмите кнопки OK > Применить > OK.
  Закройте окно Локальная политика безопасности.
Прим.: Функция Управление учетными записями пользователей (UAC) включена по умолчанию. Функция UAC ограничивает действия пользователей для определенных средств операционной системы, даже если эти пользователи входят в состав группы Администраторы. Для обхода этого ограничения потребуется выполнить дополнительные действия.