Windows-Konten konfigurieren

Anmerkung: Wenn Sie gerade WebSphere MQ installieren oder konfigurieren und von Ihrem Domänenadministrator ein besonderes Konto benötigen, senden Sie diese Seite an Ihren Administrator, indem Sie wie folgt vorgehen:
  • Klicken Sie mit der rechten Maustaste auf diese Seite, und wählen Sie Alles auswählen aus.
  • Klicken Sie nochmals mit der rechten Maustaste, und wählen Sie Kopie aus.
  • Fügen Sie die kopierten Daten in den Textbereich Ihrer E-Mail ein.

WebSphere MQ verfügt über eine Komponente, die als Windows-Dienst ausgeführt wird. Diese prüft alle Benutzerkonten, die auf WebSphere MQ zugreifen, ob die nötige Berechtigung vorliegt. Im Rahmen der Überprüfung muss der Dienst abfragen, zu welchen Gruppen das Konto gehört. Der Dienst selbst wird unter einem lokalen Benutzerkonto (MUSR_MQADMIN) ausgeführt, das von WebSphere MQ bei der Installation erstellt wurde.

Wenn Sie Windows 2000 oder Windows 2003 auf einem Domänencontroller in Ihrem Netzwerk verwenden, kann der Dienst so konfiguriert werden, dass lokale Benutzerkonten nicht dazu berechtigt sind, die Gruppenmitgliedschaft ihrer Domänenbenutzerkonten abzufragen. Dadurch wird verhindert, dass WebSphere MQ die Überprüfung vollständig durchführt, und der Zugriff schlägt fehl. Dieses Problem kann folgendermaßen gelöst werden:
  • Jede Installation von WebSphere MQ im Netzwerk muss so konfiguriert werden, dass ihr Dienst unter einem Domänenbenutzerkonto ausgeführt wird, das die erforderliche Berechtigung besitzt (Anweisungen dazu siehe unten).
  • Anmerkung: Wenn ein Installationsprogramm trotzdem fortfährt und WebSphere MQ ohne ein besonderes Konto konfiguriert, werden viele oder sogar alle Komponenten von WebSphere MQ nicht funktionieren. Dies hängt von den jeweiligen Benutzerkonten ab, wie nachfolgend aufgeführt:
    • Ein Installationsprogramm, das über ein Windows 2000- oder Windows 2003-Domänenbenutzerkonto angemeldet ist, wird die Standardkonfiguration nicht beenden können. Außerdem werden die Postcard-Anwendung und das API-Testprogramm nicht funktionieren.
    • WebSphere MQ-Verbindungen zu WS-Managern, die unter Windows 2000 oder Windows 2003-Domänenbenutzerkonten auf anderen Computern ausgeführt werden, können fehlschlagen.
    • Typische Fehler in diesem Zusammenhang sind "AMQ8066: Lokale MQM-Gruppe nicht gefunden" und "AMQ8079: Es konnten keine Informationen über die Gruppenzugehörigkeit für Benutzer 'abc@xyz' abgerufen werden".
Die folgenden Anweisungen sind für einen Domänenadministrator bestimmt:
  1. Erstellen Sie eine globale oder allgemeine Domänengruppe, und geben Sie den Mitgliedern dieser Gruppe die Berechtigung, die Gruppenzugehörigkeit eines jeden Kontos abzufragen.
  2. Erstellen Sie ein oder mehrere Benutzerkonten, und fügen Sie diese der Gruppe hinzu.
  3. Wiederholen Sie Schritt 2 bis 4 für jede Domäne.
  4. Verwenden Sie die Konten, um jede Installation von WebSphere MQ zu konfigurieren.
  5. Legen Sie den Gültigkeitszeitraum für das Kennwort fest.
Folgende Informationen gelten für Domänenadministratoren. Wiederholen Sie Schritt 2 bis 4 unten für jede Domäne, die Benutzernamen aufweist, mit denen WebSphere MQ installiert werden kann. So wird in jeder Domäne ein Konto für WebSphere MQ erstellt:
  1. Erstellen Sie eine Domänengruppe mit einem bestimmten Namen, der WebSphere MQ bekannt ist. Geben Sie den Mitgliedern dieser Gruppe die Berechtigung, die Gruppenzugehörigkeit eines jeden Kontos abzufragen:
    Auf einem Windows 2000-Server:
    1. Melden Sie sich am Domänencontroller über ein Konto mit Domänenadministratorberechtigung an.
    2. Öffnen Sie vom Startmenü aus Active Directory-Benutzer und -Computer.
    3. Suchen Sie den Domänennamen im Navigationsteilfenster links, klicken Sie mit der rechten Maustaste darauf, und wählen Sie New Group (Neue Gruppe) aus.
    4. Geben Sie domain mqm ein (es muss genau diese Zeichenfolge sein, da sie von WebSphere MQ verstanden und verwendet wird).
    5. Wählen Sie unter Group scope (Gruppenbereich) entweder Global oder Universal aus.
    6. Wählen Sie unter Group type (Gruppentyp) die Option Security (Sicherheit) aus, und klicken auf OK.
    7. Suchen Sie den Domänennamen im Navigationsteilfenster links, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Delegate Control... (Steuerung delegieren) aus. Klicken Sie anschließend auf Next (Weiter).
    8. Klicken Sie unter 'Selected Groups and Users' (Ausgewählte Gruppen und Benutzer) auf Add (Hinzufügen), und wählen Sie domain mqm aus. Klicken Sie anschließend auf Add (Hinzufügen). Klicken Sie auf OK.
    9. Wählen Sie domain mqm aus, und klicken Sie auf Next (Weiter).
    10. Wählen Sie Create a custom task to delegate (Zu delegierende benutzerdefinierte Task erstellen) aus, und klicken Sie auf Next (Weiter).
    11. Wählen Sie Only the following objects in the folder (Nur folgende Objekte im Ordner) aus, und aktivieren Sie dann User Objects (Benutzerobjekte) in der alphabetischen Liste. Klicken Sie auf Next (Weiter).
    12. Aktivieren Sie Property-specific (Eigentumsspezifisch), und wählen Sie dann aus der Liste folgende Optionen aus (die Liste ist alphabetisch geordnet):
      • Read Group Membership
      • Read Group MembershipSAM
    13. Klicken Sie auf OK, um jedes Fenster zu schließen.
    Auf einem Windows 2003-Server:
    1. Melden Sie sich am Domänencontroller über ein Konto mit Domänenadministratorberechtigung an.
    2. Öffnen Sie vom Startmenü aus Active Directory-Benutzer und -Computer.
    3. Suchen Sie den Domänennamen im Navigationsteilfenster links, klicken Sie mit der rechten Maustaste darauf, und wählen Sie New Group (Neue Gruppe) aus.
    4. Geben Sie domain mqm ein (es muss genau diese Zeichenfolge sein, da sie von WebSphere MQ verstanden und verwendet wird).
    5. Wählen Sie unter Group scope (Gruppenbereich) entweder Global oder Universal aus.
    6. Wählen Sie unter Group type (Gruppentyp) die Option Security (Sicherheit) aus, und klicken auf OK.
    7. Zeigen Sie Active Directory-Benutzer und -Computer im Modus Advanced Features (Erweiterte Komponenten) an.
    8. Suchen Sie den Domänennamen im linken Fenster, und klicken Sie mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf Properties (Eigenschaften).
    9. Klicken Sie auf die Registerkarte Security (Sicherheit).
    10. Klicken Sie auf Advanced (Erweitert).
    11. Klicken Sie auf Add (Hinzufügen), und geben Sie dann domain mqm ein. Klicken Sie auf OK. Ein neuer Dialog wird angezeigt.
    12. Klicken Sie auf die Registerkarte Properties (Eigenschaften).
    13. Ändern Sie unter Apply onto (Anwenden auf) die Ansicht in User objects (Benutzerobjekte).
    14. Wählen Sie das Kontrollkästchen allow (erlauben) für die folgenden Optionen aus:
      • Read Group Membership
      • Read Group MembershipSAM
    15. Klicken Sie auf OK, um jedes Fenster zu schließen.
  2. Erstellen Sie ein oder mehrere Konten, und fügen Sie diese der Gruppe hinzu:
    1. Erstellen Sie unter Active Directory-Benutzer und -Computer ein Benutzerkonto mit einem Namen Ihrer Wahl, und fügen Sie es der Gruppe "domain mqm" hinzu.
    2. Wiederholen Sie diesen Vorgang für alle Konten, die Sie erstellen möchten.
  3. Wiederholen Sie Schritt 1 und 2 für jede Domäne, die Benutzernamen aufweist, mit denen WebSphere MQ installiert werden kann. So wird in jeder Domäne ein Konto für WebSphere MQ erstellt.
  4. Konfigurieren Sie mit den Konten jede Installation von WebSphere MQ:
    1. Verwenden Sie dazu entweder für jede Installation von WebSphere MQ dasselbe Domänenbenutzerkonto (wie in Schritt 1 oben erstellt), oder erstellen Sie für jede Installation ein eigenes Konto und fügen es jeweils der Gruppe "domain mqm" hinzu.
    2. Wenn Sie das Konto bzw. die Konten erstellt haben, weisen Sie jeder Person, die eine Installation von WebSphere MQ konfiguriert, eines davon zu. Diese Personen müssen die Kontendetails (Domänenname, Benutzername und Kennwort) in den WebSphere MQ-Vorbereitungsassistenten eingeben. Weisen Sie ihnen jeweils das Konto zu, das sich in derselben Domäne wie ihre Installations-Benutzer-ID befindet.
    3. Wenn Sie WebSphere MQ auf irgendeinem Computer in der Domäne installieren, findet das WebSphere MQ-Installationsprogramm die Gruppe "domain mqm" auf dem LAN und fügt sie der lokalen Gruppe "mqm" automatisch hinzu. (Die lokale Gruppe "mqm" wird während der Installation erstellt; alle in ihr enthaltenen Benutzerkonten haben die Berechtigung, WebSphere MQ zu verwenden). Somit haben alle Mitglieder der Gruppe "domain mqm" die Berechtigung, WebSphere MQ auf diesem Computer zu verwenden.
    4. Sie müssen jedoch immer noch für jede WebSphere MQ-Installation ein Domänenbenutzerkonto zur Verfügung stellen (wie in Schritt 1 oben erstellt) und diese dann so konfigurieren, dass sie das Konto bei Abfragen verwendet. Die Kontendetails müssen in den WebSphere MQ-Vorbereitungsassistenten eingegeben werden, der am Schluss der Installation automatisch ausgeführt wird (der Assistent kann auch zu jeder Zeit vom Startmenü aus ausgeführt werden).
  5. Legen Sie den Gültigkeitszeitraum für das Kennwort fest.
    • Wenn Sie nur ein Konto für alle Benutzer von WebSphere MQ verwenden, müssen Sie darauf achten, dass das Kennwort des Kontos nie abläuft. Andernfalls werden bei Ablauf des Kennworts alle Instanzen von WebSphere MQ zur gleichen Zeit gestoppt.
    • Wenn Sie für jeden Benutzer von WebSphere MQ ein eigenes Benutzerkonto einrichten, müssen zwar einerseits mehr Benutzerkonten erstellt und verwaltet werden, andererseits jedoch wird bei Ablauf eines bestimmten Kennworts immer nur diese eine Instanz von WebSphere MQ gestoppt.
    Wenn Sie ein Ablaufdatum festlegen, müssen Sie die Benutzer darüber unterrichten. WebSphere MQ gibt zu gegebener Zeit eine Warnung aus, die auch Anweisungen darüber enthält, wie neue Kennwörter festgelegt werden können.

Weitere Informationen finden Sie im Handbuch System Administration Guide.