Configuración de cuentas de Windows

Nota: Si actualmente está instalando o configurando WebSphere MQ y necesita que el administrador del dominio le proporcione una cuenta especial, envíe esta página al administrador, del modo siguiente:
  • Pulse el botón derecho del ratón sobre esta página y pulse Seleccionar todo
  • Pulse de nuevo el botón derecho del ratón y pulse Copiar
  • Pegar en el cuerpo de un mensaje en la aplicación de correo electrónico

WebSphere MQ tiene un componente que se ejecuta como servicio de Windows y que comprueba si se ha autorizado a alguna cuenta el acceso a WebSphere MQ. Como parte de la comprobación, el servicio debe consultar de qué grupos es miembro la cuenta. El servicio propiamente dicho se ejecuta bajo una cuenta de usuario local (MUSR_MQADMIN) creada por WebSphere MQ durante la instalación.

Si está utilizando Windows 2000 o Windows 2003 en algún controlador de dominio de su red, se puede configurar de modo que las cuentas de usuario locales no tengan autorización para consultar la pertenencia al grupo de las cuentas de usuario de su dominio - esto evitará que WebSphere MQ complete la comprobación y el acceso fallará. Para manejar esto:
  • Cada instalación de WebSphere MQ en la red debe configurarse para ejecutar el servicio bajo una cuenta de usuario de dominio que tenga la autoridad necesaria (consulte las instrucciones siguientes para crear una).
  • Nota: Si un instalador continua igualmente y configura WebSphere MQ sin una cuenta especial, puede que muchas partes de WebSphere MQ no funcionen o no funcionen ninguna, según las cuentas de usuario concretas implicadas, tal y como se indica a continuación:
    • Un instalador que haya iniciado la sesión con una cuenta de usuario de dominio Windows 2000 o Windows 2003 no podrá completar la Configuración por omisión y, Postales y Prácticas con API no funcionarán.
    • Las conexiones de WebSphere MQ con los gestores de colas que se ejecutan con cuentas de dominio Windows 2000 o Windows 2003 en otros sistemas pueden fallar.
    • Entre los errores habituales se incluye "AMQ8066: No se ha encontrado el grupo mqm local" y "AMQ8079: Se ha denegado el acceso al intentar recuperar información de pertenencia a grupos para el usuario 'abc@xyz'".
Las instrucciones detalladas que se incluyen a continuación orientan al administrador de dominio para:
  1. Crear un grupo de dominio global o universal y facilitar a los miembros de este grupo la autoridad para consultar la pertenencia al grupo de cualquier cuenta
  2. Crear una o más cuentas de usuario y añadirlas al grupo
  3. Repetir los pasos del 2 al 4 para cada dominio
  4. Utilizar las cuentas para configurar cada instalación de WebSphere MQ
  5. Establecer los periodos de caducidad de las contraseñas.
La información siguiente está orientada a los Administradores de dominios. Repita los pasos del 2 al 4 a continuación para cada dominio que tenga nombres de usuario que instalarán WebSphere MQ, para crear una cuenta de WebSphere MQ en cada dominio:
  1. Crear un grupo de dominio con un nombre especial conocido para WebSphere MQ y proporcionar a los miembros de este grupo la autoridad para consultar la pertenencia al grupo de cualquier cuenta:
    En Windows 2000 Server:
    1. Inicie sesión en el controlador de dominio como una cuenta con autoridad de administrador de dominio.
    2. Desde el Menú Inicio, abra Usuarios y sistemas de Active Directory.
    3. Encuentre el nombre de dominio en el panel de navegación de la izquierda, púlselo con el botón derecho del ratón y seleccione Nuevo grupo.
    4. Escriba domain mqm (debe utilizarse esta serie de caracteres exacta porque se entiende y se utiliza en WebSphere MQ).
    5. En Ámbito de grupo seleccione Global o Universal.
    6. En Tipo de grupo seleccione Seguridad y pulse Aceptar.
    7. Encuentre el nombre de dominio en el panel de navegación de la izquierda, púlselo con el botón derecho del ratón y seleccione Delegar control... y, a continuación, pulse Siguiente.
    8. En Grupos y usuarios seleccionados, pulse Añadir, seleccione domain mqm y, a continuación, pulse Añadir. Pulse Aceptar.
    9. Seleccione domain mqm y pulse Siguiente.
    10. Seleccione Crear una tarea personalizada para delegar y pulse Siguiente.
    11. Seleccione Sólo los objetos siguientes en la carpeta y compruebe los Objetos de usuario en la lista alfabética. Pulse Siguiente.
    12. Compruebe Específico de las propiedades y, a continuación, seleccione en la lista (en orden alfabético a partir de la segunda palabra) las opciones siguientes:
      • Leer pertenencia a grupo
      • Leer Group MembershipSAM
    13. Pulse Aceptar para cerrar cada ventana.
    En Windows 2003 Server:
    1. Inicie sesión en el controlador de dominio como una cuenta con autoridad de administrador de dominio.
    2. Desde el Menú Inicio, abra Usuarios y sistemas de Active Directory.
    3. Encuentre el nombre de dominio en el panel de navegación de la izquierda, púlselo con el botón derecho del ratón y seleccione Nuevo grupo.
    4. Escriba domain mqm (debe utilizarse esta serie de caracteres exacta porque se entiende y se utiliza en WebSphere MQ).
    5. En Ámbito de grupo seleccione Global o Universal.
    6. En Tipo de grupo seleccione Seguridad y pulse Aceptar.
    7. Ver Usuarios y sistemas de Active Directory en modalidad Características avanzadas.
    8. Encuentre el nombre de dominio en el panel izquierdo, pulse el nombre de dominio con el botón derecho del ratón y, a continuación, pulse Propiedades.
    9. Pulse el separador Seguridad.
    10. Pulse Avanzadas.
    11. Pulse Añadir, escriba domain mqm y pulse Aceptar. Se visualiza un nuevo diálogo.
    12. Pulse el separador Propiedades.
    13. En el recuadro Aplicar a, modifique la vista a Objetos de usuario.
    14. Seleccione el recuadro de selección Permitir para las opciones siguientes:
      • Leer pertenencia a grupo
      • Leer Group MembershipSAM
    15. Pulse Aceptar para cerrar cada ventana.
  2. Crear una o más cuentas y añadirlas al grupo
    1. En Usuarios y sistemas de Active Directory, cree una cuenta de usuario con un nombre de su elección y añádalo a un grupo "domain mqm".
    2. Repita para todas las cuentas que desee crear.
  3. Repita los pasos 1 y 2 para cada dominio que tenga nombres de usuario que instalarán WebSphere MQ, para crear una cuenta de WebSphere MQ en cada dominio.
  4. Utilice las cuentas para configurar cada instalación de WebSphere MQ:
    1. Utilice la misma cuenta de usuario de dominio (como se creó en el Paso 1 anterior) para cada instalación de WebSphere MQ o cree una cuenta independiente para cada una, añadiendo cada una al grupo "domain mqm".
    2. Cuando haya creado las cuentas, dé una a cada persona que esté configurando una instalación de WebSphere MQ, que debe entrar los detalles de la cuenta (nombre de dominio, usuario y contraseña) al asistente de Preparación de WebSphere MQ. Facilite la cuenta que existe en el mismo dominio que la identificación de usuario que están instalando.
    3. Cuando instala WebSphere MQ en cualquier sistema del dominio, el programa de instalación de WebSphere MQ detecta la existencia del grupo "domain mqm" en la LAN y la añade automáticamente al grupo local "mqm". (El grupo local "mqm" se crea durante la instalación; todas las cuentas de usuario incluidas tienen autorización para utilizar WebSphere MQ). Por lo tanto, todos los miembros del grupo "domain mqm" tendrán autorización para utilizar WebSphere MQ en este sistema.
    4. Sin embargo, todavía necesita facilitar una cuenta de usuario de dominio (como se creó en el Paso 1 anterior) para cada instalación y configure WebSphere MQ para utilizarlo al realizar las consultas. Los detalles de la cuenta deben entrarse en el asistente de Preparación de WebSphere MQ que se ejecuta automáticamente al final de la instalación (el asistente también se puede ejecutar en cualquier momento desde el menú Inicio).
  5. Establezca los periodos de caducidad de la contraseña:
    • Si utiliza sólo una cuenta para todos los usuarios de WebSphere MQ, considere la posibilidad de establecer una contraseña de la cuenta que no caduque nunca, si no, todas las instancias de WebSphere MQ dejarán de funcionar al mismo tiempo cuando caduque la contraseña.
    • Si facilita a cada usuario de WebSphere MQ su propia cuenta de usuario y contraseña, tendrá más cuentas de usuario a crear y administrar, pero sólo una instancia de WebSphere MQ dejará de funcionar en el momento que caduque la contraseña.
    Si establece la caducidad de la contraseña, advierta a los usuarios que verán un mensaje de WebSphere MQ cada vez que caduque - el mensaje avisa de que la contraseña ha caducado y describe cómo restablecerla.

Para obtener más información, consulte la Guía de Administración del sistema.