下列資訊適用於網域管理者。 如果要在本端帳戶無權查詢網域使用者帳戶群組成員資格的 Windows 網域上安裝 IBM MQ ,請使用此資訊來建立並設定 IBM® MQ 服務的特殊網域帳戶。
關於此作業
當您將本端使用者新增至 mqm
群組時,可讓該使用者在系統上管理 IBM MQ 。 此作業說明如何使用 Windows 網域使用者 ID 來執行相同的動作。
IBM MQ 具有一個元件,在安裝時由 IBM MQ 建立的本端使用者帳戶下作為 Windows 服務執行,它會檢查執行 IBM MQ 服務的帳戶是否能夠查詢網域帳戶的群組成員資格,並具有管理 IBM MQ的權限。 如果無法查詢群組成員資格,則服務進行的存取權檢查將失敗。
可以設定執行 Windows Active Directory 的 Windows 網域控制站,以便本端帳戶無權查詢網域使用者帳戶的群組成員資格。 這會阻止 IBM MQ 完成其檢查,且存取會失敗。 如果您在以這種方式設定的網域控制站上使用 Windows ,則必須改用具有必要許可權的特殊網域使用者帳戶。
網路上的每一個 IBM MQ 安裝都必須配置為以具有必要權限的網域使用者帳戶來執行其服務,以檢查在網域上定義的使用者是否已獲授權存取佇列管理程式或佇列。 通常,此特殊帳戶透過網域群組 DOMAIN\Domain mqm的成員資格具有 IBM MQ 管理者權限。 網域群組由安裝程式自動巢套在正在安裝 IBM MQ 之系統的本端 mqm 群組下。
重要事項: 必須將此特殊網域使用者帳戶的使用者 ID 及密碼詳細資料提供給
IBM MQ 安裝程式,以便在安裝產品之後,他們可以使用此資訊來配置
IBM MQ 服務。 如果安裝程式繼續並配置不含特殊帳戶的
IBM MQ ,則
IBM MQ 的許多或所有部分將無法運作,視所涉及的特定使用者帳戶而定,如下所示:
- 與在其他電腦上以 Windows 網域帳戶執行之佇列管理程式的 IBM MQ 連線可能會失敗。
- 一般錯誤包括AMQ8066: Local mqm group not found和AMQ8079: Access was denied when attempting to retrieve group membership information
for user 'abc@xyz'.
對於具有將管理 IBM MQ之使用者名稱的每一個網域,您必須重複下列程序的步驟 1 及 8 ,以在每一個網域上建立 IBM MQ 的帳戶。
程序
以 IBM MQ 已知的特殊名稱建立網域群組 (請參閱 4) ,並授權此群組的成員查詢任何帳戶的群組成員資格。
- 以有網域管理者權限的帳戶身分登入網域控制器。
- 從「開始」功能表中,開啟 Active Directory 使用者和電腦。
- 在導覽窗格中尋找網域名稱,用滑鼠右鍵按一下它並選取 新建群組。
- 在 群組名稱 欄位中鍵入群組名稱。
附註: 偏好的群組名稱為
Domain mqm
。 請按原樣鍵入內容。
- 呼叫群組
Domain mqm
會修改網域工作站或伺服器上「 準備 IBM MQ
」精靈的行為。 它會導致 準備 IBM MQ
精靈自動將群組 Domain mqm
新增至網域中 IBM MQ 的每一個新安裝上的本端 mqm
群組。
- 可以在不含任何 Domain mqm 廣域群組的網域中安裝工作站或伺服器。 如果您這樣做,則必須使用與 Domain
mqm 群組相同的內容來定義群組。 您必須讓該群組或其成員的使用者成為本端 mqm 群組的成員,無論 IBM MQ 安裝在網域中的任何位置。 您可以將網域使用者放入多個群組中。 建立多個網域群組,每個群組對應於您想要單獨管理的安裝集。 根據網域使用者管理的安裝,將網域使用者分割成不同的網域群組。 將每一個網域群組新增至不同 IBM MQ 安裝架構的本端 mqm 群組。 網域群組中僅隸屬於特定本端 mqm 群組的網域使用者可以針對該安裝建立、管理及執行佇列管理程式。
- 在網域中的工作站或伺服器上安裝 IBM MQ 時指定的網域使用者必須是
Domain mqm
群組的成員,或與 Domain mqm
群組具有相同內容所定義的替代群組的成員。
- 保持按一下 廣域 作為 群組範圍,或將它變更為 通用。 點選安全作為群組類型。 按一下確定。
- 請遵循下列步驟,根據 Windows 版本的網域控制站,將許可權指派給群組:
在
Windows Server 2012、
Windows Server 2012 R2和
Windows Server 2016上:
- 在「伺服器管理程式」中,按一下工具,然後從清單框中選取 Active Directory 使用者和電腦。
- 選取 檢視 > 進階特性。
- 展開您的網域名稱,然後按一下使用者。
- 在「 使用者 」視窗中,用滑鼠右鍵按一下 。
- 在 安全 標籤上,按一下 。
- 按一下 選取原則,然後鍵入 Domain mqm ,並按一下 。
名稱欄位已預先填入字串 Domain mqm (domain name\Domain mqm)。
- 在套用至清單中,選取後代使用者物件。
- 在權限清單中,選取讀取群組成員資格及讀取 groupMembershipSAM 勾選框。
- 按一下確定 > 套用 > 確定 > 確定。
在
Windows Server 2008 和
Windows 2008 R2:
- 在「伺服器管理程式」導覽樹狀結構中,按一下使用者。
- 在「伺服器管理程式」動作列中,按一下 。
- 在「 使用者 」視窗中,用滑鼠右鍵按一下 。
- 在 安全 標籤上,按一下 ,然後鍵入 Domain mqm ,並按一下 。
名稱欄位已預先填入字串 Domain mqm (domain name\Domain mqm)
- 按一下內容。 在套用至清單中,選取後代使用者物件。
- 在權限清單中,選取讀取群組成員資格及讀取 groupMembershipSAM 勾選框。
- 按一下確定 > 套用 > 確定 > 確定。
建立一個以上帳戶,並將它們新增至群組。
- 開啟 Active Directory 使用者和電腦。
- 使用您選擇的名稱來建立一個以上使用者帳戶。
在 伺服器管理程式 導覽樹狀結構中,用滑鼠右鍵按一下 使用者 ,以建立新的使用者帳戶。
- 將每一個新帳戶新增至群組 Domain mqm 或隸屬於本端 mqm 群組的群組。
注意: 您無法在 Windows上使用名為 mqm 的使用者網域。
在每一個網域上建立 IBM MQ 的帳戶。
- 針對具有將管理 IBM MQ之使用者名稱的每一個網域,重複步驟區段 1 及 8 。
使用帳戶來配置 IBM MQ的每一個安裝。
- 使用相同的網域使用者帳戶 (如步驟 1 中所建立) 針對 IBM MQ的每一個安裝,或為每一個安裝建立個別帳戶,並將每一個帳戶新增至 Domain mqm 群組 (或作為本端 mqm 群組成員的群組)。
- 當您已建立一或多個帳戶時,請提供一個帳戶給每一個配置 IBM MQ安裝的人員。 他們必須在「準備 IBM MQ 」精靈中輸入帳戶詳細資料 (網域名稱、使用者名稱及密碼)。 將已存在於同一個網域的帳戶作為它們的安裝使用者 ID。
- 當您在網域上的任何系統上安裝 IBM MQ 時, IBM MQ 安裝程式會偵測 LAN 上是否存在 Domain mqm 群組,並自動將它新增至本端 mqm 群組。 (安裝期間會建立本端 mqm 群組; 其中的所有使用者帳戶都有權管理 IBM MQ )。 因此,
Domain mqm
群組的所有成員將有權管理此系統上的 IBM MQ 。
- 不過,您仍需要提供網域使用者帳戶 (如步驟 1 中所建立) 針對每一個安裝,並配置 IBM MQ 以在進行其查詢時使用它。 帳戶詳細資料必須輸入到安裝結束時自動執行的「準備 IBM MQ 」精靈中 (該精靈也可以隨時從 開始 功能表執行)。
設定密碼期限。
- 選項(I):
- 如果您只對 IBM MQ的所有使用者使用一個帳戶,請考量讓帳戶的密碼永不到期,否則當密碼到期時, IBM MQ 的所有實例都會停止運作。
- 如果您為 IBM MQ 的每一位使用者提供自己的使用者帳戶,則您將有更多使用者帳戶可建立及管理,但在密碼到期時,只有一個 IBM MQ 實例會停止運作。
如果您將密碼設為到期,請警告使用者每次到期時都會看到來自 IBM MQ 的訊息-該訊息會警告密碼已過期,並說明如何重設密碼。
使用 Windows 網域帳戶作為 IBM MQ 服務的使用者 ID。
- 按一下 。
鍵入指令 secpol.msc
並按一下確定。
- 開啟 。
在原則清單中,用滑鼠右鍵按一下 。
- 按一下 新增使用者或群組 ...。
鍵入您從網域管理者取得的使用者名稱,然後按一下 檢查名稱。
- 如果由「 Windows 安全」視窗提示,請鍵入具有足夠權限之帳戶使用者或管理者的使用者名稱及密碼,然後按一下 。
關閉「本機安全性原則」視窗。
附註: 依預設會啟用「使用者帳戶控制 (UAC)」。 UAC 特性會限制使用者可以對某些作業系統機能執行的動作,即使這些使用者隸屬於「管理者」群組。 您必須採取適當的步驟才能克服此限制。