创建和设置 IBM MQ 的 Windows 域帐户

下列信息是针对域管理员的。如果要在本地帐户无权查询域用户帐户的组成员资格的 Windows 域上安装 IBM® MQ，那么请使用以下信息为 IBM MQ 服务创建和设置特定的域帐户。

1. 使用 IBM MQ 已知的特定名称创建域组（请参阅 1.d），并为此组的成员提供查询任何帐户的组成员资格的权限：
   1. 使用具有域管理员权限的帐户登录到域控制器。
   2. 从“开始”菜单打开“Active Directory 用户和计算机”。
   3. 在导航窗格中找到域名，右键单击它，然后选择新建组。
   4. 在组名字段中输入组名。
      注： 首选的组名是 Domain mqm。完全按照所示进行输入。

      • 调用组 Domain mqm 会修改域工作站或服务器上“准备 IBM MQ 向导”的行为。这会导致“准备 IBM MQ 向导”每次在域中新安装 IBM MQ 时自动将组 Domain mqm 添加到本地 mqm 组中。
      • 您可以在没有 Domain mqm 全局组的域中安装工作站或服务器。如果要这样做，那么必须定义一个与 Domain mqm 组具有相同属性的组。您必须使该组或作为该组成员的用户成为 IBM MQ 安装在域中时本地 mqm 组的成员。您可以将域用户分为多个组。创建多个域组，每个组对应一组要单独管理的安装。根据域用户管理的安装，将域用户分为不同域组。将每个域组添加到不同 IBM MQ 安装的本地 mqm 组中。只有域组中作为特定本地 mqm 组成员的域用户才可以创建、管理和运行此安装的队列管理器。
      • 您在域中的工作站或服务器上安装 IBM MQ 时指定的域用户必须是 Domain mqm 组的成员，或者所定义的与 Domain mqm 组具有相同属性的替代组的成员。
   5. 单击全局，将其保留为组作用域，或将其更改为通用。单击安全性，将其保留为组类型。单击确定。
   6. 执行以下步骤以根据域控制器的 Windows 版本为组分配权限：
      在 Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 上：

      1. 在 Server Manager 中，单击工具，然后从列表框中选择 Active Directory 用户和计算机。
      2. 选择视图 > 高级功能。
      3. 展开域名，然后单击用户。
      4. 在“用户”窗口中，右键单击 Domain mqm > 属性。
      5. 在安全性选项卡上，单击高级 > 添加...。
      6. 单击选择原则，然后输入 Domain mqm，单击检查名称 > 确定。

         将使用字符串 Domain mqm (domain name\Domain mqm) 预填充名称字段。

      7. 在应用于列表中，选择后代用户对象。
      8. 在许可权列表中，选择读取组成员资格和读取组成员资格 SAM 复选框。
      9. 单击确定 > 应用 > 确定 > 确定。
      在 Windows Server 2008 和 Windows 2008 R2 上：

      1. 在 Server Manager 导航树中，单击用户。
      2. 在 Server Manager 操作栏中，单击视图 > 高级功能。
      3. 在“用户”窗口中，右键单击 Domain mqm > 属性。
      4. 在安全性选项卡上，单击高级 > 添加，然后输入 Domain mqm，并单击检查名称 > 确定。

         将使用字符串 Domain mqm (domain name\Domain mqm) 预填充名称字段

      5. 单击属性。 在应用于列表中，选择后代用户对象。
      6. 在许可权列表中，选择读取组成员资格和读取组成员资格 SAM 复选框。
      7. 单击确定 > 应用 > 确定 > 确定。
2. 创建一个或多个帐户，并将它们添加到组中：
   1. 在 Active Directory 用户和计算机中，使用您选择的名称创建一个用户帐户并将其添加至组 Domain mqm（或属于本地 mqm 组的组）中。
   2. 对要创建的所有帐户重复这些步骤。
3. 针对具有将管理 IBM MQ 的用户名的每个域重复步骤 1 和 2，以在每个域中创建 IBM MQ 帐户。
4. 使用这些帐户配置每个 IBM MQ 安装：
   1. 或者将同一域用户帐户（按照步骤 1 进行创建）用于 IBM MQ 的每个安装，或者针对每个安装创建单独的帐户，并将它们添加至 Domain mqm 组（或属于本地 mqm 组的组）中。
   2. 当您创建了一个或多个帐户时，为配置 IBM MQ 安装的每个人员提供一个帐户。他们必须在“准备 IBM MQ 向导”中输入帐户详细信息（域名、用户名和密码）。为他们提供存在于同域中的帐户来作为他们的安装用户标识。
   3. 在此域中的任何系统上安装 IBM MQ 时，IBM MQ 安装程序都会检测 LAN 中是否存在 Domain mqm 组，并自动将它添加至本地 mqm 组中。（本地 mqm 组是在安装期间创建的；其中的所有用户帐户都有权管理 IBM MQ）。因此，“Domain mqm”组中的所有成员都有权在此系统上管理 IBM MQ。
   4. 但是，您仍需要为每个安装提供域用户帐户（按照步骤 1 进行创建），并将 IBM MQ 配置为在查询时加以使用。必须在“准备 IBM MQ 向导”中输入帐户详细信息，此向导在安装结束时自动运行（您也可在任何时候从开始菜单运行此向导）。
5. 设置密码到期期限：
   • 如果对所有 IBM MQ 用户只使用一个帐户，那么应考虑使帐户的密码决不会到期，否则，在密码到期的同时，IBM MQ 的所有实例都会停止工作。
   • 如果为每个 IBM MQ 用户提供他们自己的用户帐户，那么您将创建和管理多个用户帐户，但当密码到期时，只有一个 IBM MQ 实例停止工作。

   如果您将密码设置为存在到期限制，请提醒用户在每次密码到期时都会收到来自 IBM MQ 的消息 - 消息将提醒密码已到期并描述如何进行重置。

6. 要使用 Windows 域帐户作为 IBM MQ 服务的用户标识，请完成以下步骤：
   1. 单击开始 > 运行...。 输入命令 secpol.msc 并单击确定。
   2. 打开安全设置 > 本地策略 > 用户权利指派。 在策略列表中，右键单击作为服务登录 >属性。
   3. 单击添加用户或组...。 输入从域管理员处获取的用户的名称，然后单击检查名称。
   4. 如果出现 Windows 安全窗口提示，请输入具有足够权限的帐户用户或管理员的用户名和密码，然后单击确定>应用>确定。 关闭“本地安全策略”窗口。
   注： 缺省情况下，启用“用户帐户控制 (UAC)”。UAC 功能会限制用户在某些操作系统工具上执行的操作，即使他们是管理员组的成员。您必须采取相应的步骤才能克服此限制。