針對 IBM MQ 建立並設定 Windows 網域帳戶

下列資訊適用於網域管理者。如果 IBM® MQ 將安裝在 Windows 網域上，而本端帳戶無權查詢網域使用者帳戶的群組成員資格，請使用此資訊給 IBM MQ 服務建立並設定特殊網域帳戶。

1. 以 IBM MQ（請參閱1.d）能夠辨識的特殊名稱建立一個網域群組，並授權給該群組的成員，使之能夠查詢任何帳戶的群組成員資格：
   1. 以有網域管理者權限的帳戶身分登入網域控制器。
   2. 從「開始」功能表中，開啟 Active Directory 使用者和電腦。
   3. 在導覽窗格中找出網域名稱，用滑鼠右鍵按一下網域名稱，然後選取新增群組。
   4. 在群組名稱欄位中鍵入群組名稱。
      註： 偏好的群組名稱為 Domain mqm。請按原樣鍵入內容。

      • 呼叫群組 Domain mqm 會修改網域工作站或伺服器上「準備 IBM MQ」精靈的行為。這將導致「準備 IBM MQ」精靈自動將群組 Domain mqm 新增至網域中 IBM MQ 的每個新安裝上的本端 mqm 群組。
      • 可以在不含任何 Domain mqm 廣域群組的網域中安裝工作站或伺服器。如果您這樣做，則必須定義內容和 Domain mqm 群組相同的群組。必須使該群組或者隸屬於該群組的使用者、本端 mqm 群組的成員（不管是安裝到網域中的哪個 IBM MQ）。您可以將網域使用者放入多個群組中。建立多個網域群組，每個群組對應於您想要單獨管理的安裝集。根據網域使用者管理的安裝，將網域使用者分割成不同的網域群組。新增每個網域群組或者多個網域群組至不同 IBM MQ 安裝的本端 mqm 群組。網域群組中僅隸屬於特定本端 mqm 群組的網域使用者可以針對該安裝建立、管理及執行佇列管理程式。
      • 您在網域中的工作站或伺服器上安裝 IBM MQ 時指定的網域使用者必須隸屬於 Domain mqm 群組，或者隸屬於使用和 Domain mqm 群組相同的內容來定義的替代群組。
   5. 點選廣域作為群組範圍，或者將其變更為通用。點選安全作為群組類型。按一下確定。
   6. 遵循下列步驟，根據 Windows 版本的網域控制站給群組指派權限：
      在 Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 上：

      1. 在「伺服器管理程式」中，按一下工具，然後從清單框中選取 Active Directory 使用者和電腦。
      2. 選取視圖 > 進階特性。
      3. 展開您的網域名稱，然後按一下使用者。
      4. 在「使用者」視窗中，用滑鼠右鍵按一下 Domain mqm > 內容。
      5. 在安全標籤上，按一下進階 > 新增...。
      6. 按一下選取原則，然後鍵入 Domain mqm，並按一下檢查名稱 > 確定。

         名稱欄位已預先填入字串 Domain mqm (domain name\Domain mqm)。

      7. 在套用至清單中，選取後代使用者物件。
      8. 在權限清單中，選取讀取群組成員資格及讀取 groupMembershipSAM 勾選框。
      9. 按一下確定 > 套用 > 確定 > 確定。
      在 Windows Server 2008 和 Windows 2008 R2 上：

      1. 在「伺服器管理程式」導覽樹狀結構中，按一下使用者。
      2. 在「伺服器管理程式」動作列中，按一下檢視 > 進階特性。
      3. 在「使用者」視窗中，用滑鼠右鍵按一下 Domain mqm > 內容。
      4. 在安全標籤上，按一下進階 > 新增，然後鍵入 Domain mqm 並按一下檢查名稱 > 確定。

         名稱欄位已預先填入字串 Domain mqm (domain name\Domain mqm)

      5. 按一下內容。在套用至清單中，選取後代使用者物件。
      6. 在權限清單中，選取讀取群組成員資格及讀取 groupMembershipSAM 勾選框。
      7. 按一下確定 > 套用 > 確定 > 確定。
2. 建立一或多個帳戶，將它們新增到群組中：
   1. 在 Active Directory 使用者和電腦中，以您所選擇的名稱建立一個使用者帳戶，並將它加入 Domain mqm（或者隸屬於本端 mqm 群組的群組）群組中。
   2. 請針對所有要建立的帳戶重複這個步驟。
3. 對有使用者名稱將管理 IBM MQ 的每個網域重複步驟 1 及 2，以為每個網域上的 IBM MQ 建立帳戶。
4. 使用這些帳戶配置每一個 IBM MQ 安裝：
   1. 對每一個 IBM MQ 安裝使用相同的網域使用者帳戶（如步驟 1 中所建立），或者給每一個安裝建立個別的帳戶，並新增每個帳戶至 Domain mqm 群組（或者隸屬於本端 mqm 群組的群組）。
   2. 當您建立了一或多個帳戶時，請提供一個帳戶給配置 IBM MQ 安裝的每一位人員。他們必須將帳戶詳細資料（網域名稱、使用者名稱和密碼）輸入「準備 IBM MQ 精靈」中。將已存在於同一個網域的帳戶作為它們的安裝使用者 ID。
   3. 當您在網域中的任何系統上安裝 IBM MQ 時，IBM MQ 安裝程式會偵測 LAN 上是否存在 Domain mqm 群組，並自動將其新增至本端 mqm 群組。（本端 mqm 群組會在安裝期間建立，其所包含的所有使用者帳戶皆有權管理 IBM MQ）。因此 Domain mqm 群組的所有成員將有權管理此系統上的 IBM MQ。
   4. 但您仍須為每個安裝提供網域使用者帳戶（於步驟 1 中建立），並將 IBM MQ 配置成使用該帳戶進行查詢。帳戶詳細資料必須輸入至安裝結束時自動執行的「準備 IBM MQ」精靈（您也可以隨時從開始功能表執行此精靈）。
5. 設定密碼期限：
   • 如果所有的 IBM MQ 使用者僅使用一個帳戶，請考慮將帳戶的密碼設為永不到期，否則當密碼到期的同時，IBM MQ 的所有實例也會停止運作。
   • 若您讓每位 IBM MQ 使用者各自擁有自己的帳戶，雖然建立及管理的使用者帳戶比較多，但當密碼到期時，只會有一個 IBM MQ 實例停止運作。

   您如有設定密碼期限，告知用者 IBM MQ 會在密碼即將到期時發出訊息，提醒使用者已到期，並提供如何重設的說明。

6. 如果要使用 Windows 網域帳戶作為 IBM MQ 服務的使用者 ID，請完成下列步驟：
   1. 按一下開始 > 執行...。 鍵入指令 secpol.msc 並按一下確定。
   2. 開啟安全設定 > 本機原則 > 使用者權限指派。 在原則清單中，用滑鼠右鍵按一下以服務方式登入 > 內容。
   3. 按一下新增使用者或群組...。 鍵入您從網域管理者取得的使用者名稱，然後按一下檢查名稱。
   4. 如果收到 Windows 安全視窗提示，請鍵入具有足夠權限的帳戶使用者或管理者的使用者名稱及密碼，然後按一下確定 > 套用 > 確定。 關閉「本機安全性原則」視窗。
   註： 依預設，會啟用「使用者帳戶控制 (UAC)」。UAC 特性會限制使用者可以對某些作業系統機能執行的動作，即使這些使用者隸屬於「管理者」群組。您必須採取適當的步驟才能克服此限制。