執行 Windows Server 2000 或更新版本的網域控制站可以設定為 IBM® MQ 無法使用本端帳戶來檢查那些網域上定義的使用者是否已獲授權存取佇列管理程式或佇列。 在此情況下,您必須為 IBM MQ 提供要使用的特殊網域使用者帳戶。
開始之前
附註: 如果您要安裝或配置
IBM MQ,且需要網域管理者為您提供要使用的特殊帳戶,請將整個頁面傳送給管理者,如下所示:
- 用滑鼠右鍵按一下這個頁面,並按一下全選
- 再按一下滑鼠右鍵,然後按一下複製
- 貼到您電子郵件應用程式中的附註內文中
關於此作業
IBM MQ 具有以 Windows 服務形式執行的元件,可檢查任何嘗試存取 IBM MQ 的使用者帳戶是否已獲授權。 在檢查中,服務程式必須查詢帳戶屬於哪些群組。 服務本身在安裝時以 IBM MQ 所建立的本端使用者帳戶執行。
如果您在網路上的任何網域控制站上使用
Windows 2000、
Windows 2003或更新版本,則可以設定它,讓本端使用者帳戶無權查詢其網域使用者帳戶的群組成員資格-這會阻止
IBM MQ 完成其檢查,且存取失敗。 若要處理這種狀況,請完成下列步驟:
- 網路上的每一個 IBM MQ 安裝都必須配置為在具有必要權限的網域使用者帳戶下執行其服務 (請參閱 指示 ,以建立一個)。
附註: 如果安裝程式在沒有特殊帳戶的情況下繼續並配置
IBM MQ ,則
IBM MQ 的許多或所有部分將無法運作,視所涉及的特定使用者帳戶而定,如下所示:
- 與在 Windows™ 2000 或 Windows 2003 或更新版本下執行之佇列管理程式的 IBM MQ 連線,其他電腦上的網域帳戶可能會失敗。
- 一般錯誤包括AMQ8066: Local mqm group not found和AMQ8079: Access was denied when attempting to retrieve group membership information
for user 'abc@xyz'.
下列詳述是引導網域管理者:
- 建立廣域或通用網域群組,並讓這個群組中的成員有權查詢任何帳戶的群組成員資格
- 建立一或多個使用者帳戶,並將它們新增到群組中
- 針對每一個網域重複步驟 2 到 4
- 使用帳戶來配置 IBM MQ 的每一個安裝
- 設定密碼期限。
以下資訊適用於網域管理者。 針對具有必須安裝 IBM MQ之使用者名稱的每一個網域,重複步驟 2-4 ,以在每一個網域上建立 IBM MQ 的帳戶:
如需相關資訊,請參閱 管理 IBM MQ。
程序
- 以 IBM MQ 已知的特殊名稱建立網域群組,並授權此群組的成員查詢任何帳戶的群組成員資格:
- Windows Server 2012 和 Windows Server 2012 R2
- 以有網域管理者權限的帳戶身分登入網域控制器。
- 開啟
- 在導覽窗格中找出網域名稱,用滑鼠右鍵按一下網域名稱,然後選取新增群組
- 類型 Domain mqm (必須使用此確切字串,因為 IBM MQ瞭解並使用它)。
- 在群組範圍中,選取廣域或通用
- 在群組類型中,選取安全,然後按一下確定
- 在「伺服器管理程式」中,按一下工具,然後從清單框中選取 Active Directory 使用者和電腦。
- 選取
- 展開您的網域名稱,然後按一下使用者
- 在「 使用者 」視窗中,用滑鼠右鍵按一下
- 按一下
- 按一下 選取原則,然後鍵入 Domain mqm 並按一下
名稱欄位已預先填入字串 Domain mqm (domain name\Domain mqm)
- 在套用至清單中,選取後代使用者物件
- 在權限清單中,選取讀取群組成員資格及讀取 groupMembershipSAM 勾選框。
- 按一下 。
- Windows Server 2008 和 Windows Server 2008 R2
- 以有網域管理者權限的帳戶身分登入網域控制器。
- 開啟
- 在導覽窗格中找出網域名稱,用滑鼠右鍵按一下網域名稱,然後選取新增群組
- 類型 Domain mqm (必須使用此確切字串,因為 IBM MQ瞭解並使用它)。
- 在群組範圍中,選取廣域或通用
- 在群組類型中,選取安全,再按一下確定
- 在「伺服器管理程式」動作列中,按一下
- 在「 使用者 」視窗中,用滑鼠右鍵按一下
- 按一下 , 然後鍵入 Domain mqm ,並按一下
名稱欄位已預先填入字串 Domain mqm (domain name\Domain mqm)
- 按一下內容。 在套用至清單中,選取後代使用者物件
- 在權限清單中,選取讀取群組成員資格及讀取 groupMembershipSAM 勾選框。
- 按一下確定 > 套用 > 確定 > 確定。
- Windows Server 2003
- 以有網域管理者權限的帳戶身分登入網域控制器。
- 在開始功能表中,開啟 Active Directory 使用者和電腦。
- 在導覽窗格中找出網域名稱,用滑鼠右鍵按一下網域名稱,然後選取新增群組。
- 類型 Domain mqm (必須使用此確切字串,因為 IBM MQ瞭解並使用它)。
- 在群組範圍中,選取廣域或通用。
- 在群組類型中,選取安全,再按一下確定。
- 在進階特性模式中,檢視 Active Directory 使用者和電腦。
- 找出網域名稱,並用滑鼠右鍵按一下網域名稱,然後按一下內容。
- 按一下安全標籤。
- 按一下進階。
- 按一下新增,然後鍵入 Domain mqm,並按一下確定。 此時會顯示一個新對話框。
- 按一下內容標籤。
- 在套用至框中,將視圖變更為使用者物件。
- 針對下列選項,選取容許勾選框:
- Read Group Membership(讀取群組成員資格)
- Read Group MembershipSAM(讀取群組成員資格 SAM)
- 按一下確定,關閉每一個視窗。
- Windows Server 2000
- 以有網域管理者權限的帳戶身分登入網域控制器。
- 從「開始」功能表中,開啟 Active Directory 使用者和電腦。
- 在導覽窗格中找出網域名稱,用滑鼠右鍵按一下網域名稱,然後選取新增群組。
- 類型 Domain mqm (必須使用此確切字串,因為 IBM MQ瞭解並使用它)。
- 在群組範圍中,選取廣域或通用。
- 在群組類型中,選取安全,再按一下確定。
- 在導覽窗格中找出網域名稱,用滑鼠右鍵按一下網域名稱,然後選取委派控制,並按下一步。
- 在「選取的群組」及「使用者」中,按新增,選取 Domain mqm,然後按一下新增。 按一下確定。
- 選取 Domain mqm,然後按下一步。
- 選取建立要委派的自訂作業,然後按下一步
- 選取只有資料夾中的下列物件,在按字母順序列出的清單中,勾選使用者物件。 按下一步。
- 勾選內容特有的,然後從清單中選取下列選項(依第二個單字的字母順序):
- Read Group Membership(讀取群組成員資格)
- Read Group MembershipSAM(讀取群組成員資格 SAM)
- 按一下確定,關閉每一個視窗。
- 建立一或多個帳戶,將它們新增到群組中:
- 在 Active Directory 使用者和電腦中,使用您選擇的名稱建立使用者帳戶,並將它新增至群組Domain mqm.
- 請針對所有要建立的帳戶重複這個步驟。
- 針對具有必須安裝 IBM MQ之使用者名稱的每一個網域重複步驟 1 及 2 ,以在每一個網域上建立 IBM MQ 的帳戶。
- 使用帳戶來配置 IBM MQ的每一個安裝:
- 對每一個 IBM MQ安裝使用相同的網域使用者帳戶 (如先前步驟 1 中所建立) ,或為每一個安裝建立個別帳戶,並將每一個帳戶新增至Domain mqm群組。
- 當您已建立帳戶時,請將帳戶提供給每一個配置 IBM MQ安裝的人員,他們必須在 Prepare IBM MQ Wizard中輸入帳戶詳細資料 (網域名稱、使用者名稱及密碼)。 將已存在於同一個網域的帳戶作為它們的安裝使用者 ID。
- 當您在網域上的任何電腦上安裝 IBM MQ 時, IBM MQ 安裝程式會偵測是否存在Domain mqmLAN 上的群組,並自動將它新增至本端 "mqm" 群組。 (安裝期間會建立本端 "mqm" 群組; 其中的所有使用者帳戶都有權使用 IBM MQ)。 因此,所有成員Domain mqm群組具有在此電腦上使用 IBM MQ 的權限。
- 不過,您仍需要為每一個安裝提供網域使用者帳戶 (如先前在步驟 1 中所建立) ,並將 IBM MQ 配置成在進行查詢時使用它。 帳戶詳細資料必須輸入到安裝結束時自動執行的 Prepare IBM MQ Wizard 中 (也可以從開始功能表隨時執行精靈)。
- 此帳戶必須具有「以服務方式執行」的使用者權限。 按一下 並鍵入 secpol.msc。 按兩下 , 並新增網域使用者。 按一下 。
- 設定密碼期限:
- 如果您只對所有 IBM MQ 使用者使用一個帳戶,請考量讓該帳戶的密碼永不到期,否則 IBM MQ 的所有實例都會在密碼到期時同時停止運作。
- 如果您為 IBM MQ 的每一位使用者提供自己的使用者帳戶,則您將有更多使用者帳戶可建立及管理,但在密碼到期時一次只有一個 IBM MQ 實例停止運作。
如果您將密碼設為到期,請警告使用者每次到期時都會看到來自 IBM MQ 的訊息-該訊息會警告密碼已過期,並說明如何重設密碼。
![[Windows]](ngwin.gif)