Windows アカウントの構成

注: 現在、WebSphere MQ のインストールまたは構成を行っており、 使用する特別なアカウントをドメイン管理者に割り当ててもらう必要がある場合は、 次のようにして、このページ全体を管理者に送信してください。
  • このページを右クリックし、「すべて選択」をクリックします。
  • もう一度右クリックし、「コピー」をクリックします。
  • ご使用の E メール・アプリケーションでメールの本文に貼り付けます。

WebSphere MQ には、WebSphere MQ にアクセスしようとするユーザー・アカウントが 許可されているかどうかを検査するコンポーネント (Windows サービスとして実行される) があります。 検査の一部として、このサービスは、アカウントがどのグループのメンバーであるかを照会する必要があります。 サービス自体は、インストール時に WebSphere MQ によって作成された ローカル・ユーザー・アカウント (MUSR_MQADMIN) の下で実行されます。

ネットワークのドメイン・コントローラーで Windows 2000 または Windows 2003 を使用する場合、 ローカル・ユーザー・アカウントがそのドメイン・ユーザー・アカウントのグループ・メンバーを 照会する権限を持たないように設定できます。この場合、WebSphere MQ は検査を完了することが できないため、アクセスは失敗します。この問題に対処するには、次のようにします。
  • ネットワーク上の各 WebSphere MQ のインストールを、必要な権限を (作成方法については 下記の手順を参照) 持つドメイン・ユーザー・アカウントの下でサービスを実行するように構成する必要があります。
  • 注: インストーラーが続行され、特別なアカウントがなくても WebSphere MQ が 構成された場合、使用された特定のユーザー・アカウントによっては、WebSphere MQ の多くまたはすべての部分が 動作しません。その例を以下に示します。
    • Windows 2000 または Windows 2003 ドメイン・ユーザー・アカウントを使用して現在ログオンされている インストーラーはデフォルト構成を完了できないため、ポストカードと API エクササイザーが動作しません。
    • 他のコンピューターの Windows 2000 または Windows 2003 ドメイン・アカウント下で実行 されているキュー・マネージャーへの WebSphere MQ 接続は、失敗する可能性があります。
    • 一般的なエラーには、「AMQ8066: ローカル mqm グループが見つかりませんでした」や 「AMQ8079: ユーザー「abc@xyz」のグループ・メンバーシップ情報を検索しようとしてアクセスが拒否されました」があります。
この後に続く詳細な説明に従うと、ドメイン管理者は以下を行うことができます。
  1. グローバルまたは汎用ドメイン・グループを作成し、このグループのメンバーに、 任意のアカウントのグループ・メンバーを照会できる権限を与える。
  2. 1 つ以上のユーザー・アカウントを作成し、グループに追加する。
  3. 各ドメインごとにステップ 2 からステップ 4 までを繰り返す。
  4. このアカウントを使用して WebSphere MQ の各インストールを構成する。
  5. パスワードの有効期間を設定する。
以下はドメイン管理者のための情報です。 WebSphere MQ をインストールするユーザー名を持つ各ドメインごとに下記のステップ 2 から 4 までを繰り返し、 各ドメインに WebSphere MQ のアカウントを作成します。
  1. WebSphere MQ が認識できる特別な名前のドメイン・グループを作成し、このグループのメンバーに、 任意のアカウントのグループ・メンバーを照会できる権限を与えます。
    Windows 2000 Server では次のようにします。
    1. ドメイン管理者権限を持つアカウントとしてドメイン・コントローラーにログオンします。
    2. 「スタート」メニューから、「Active Directory Users and Computers (アクティブ ディレクトリ ユーザーとコンピュータ)」を開きます。
    3. 左側のナビゲーション・ペインでドメイン名を探し、 それを右クリックして「New Group (新規グループ)」を選択します。
    4. domain mqm と入力します (WebSphere MQ によって認識および使用されるため、 正確にこれと同じストリングを使用する)。
    5. 「Group scope (グループ有効範囲)」で、 「Global (グローバル)」または「Universal (汎用)」の いずれかを選択します。
    6. 「Group type (グループ タイプ)」「Security (セキュリティ)」を選択し、「OK」をクリックします。
    7. 左側のナビゲーション・ペインでドメイン名を探し、これを右クリックして 「Delegate Control... (制御を委任する...)」を選択してから、 「Next (次へ)」をクリックします。
    8. 「Selected Groups and Users (選択したグループおよびユーザー)」で「Add (追加)」を 押し、「domain mqm」を選択してから「Add (追加)」をクリックします。 「OK」をクリックします。
    9. 「domain mqm」を選択して、「Next (次へ)」をクリックします。
    10. 「Create a custom task to delegate (委任するカスタム タスクを作成)」を 選択し、「Next (次へ)」をクリックします。
    11. 「Only the following objects in the folder (フォルダの次のオブジェクトのみ)」を選択し、 アルファベット順リストで「User Objects (ユーザー オブジェクト)」にチェック・マークを付けます。 「Next (次へ)」をクリックします。
    12. 「Property-specific (プロパティ固有)」にチェック・マークを付け、 リスト (2 番目の単語のアルファベット順になっている) から以下のオプションを選択します。
      • 「Read Group Membership (グループ メンバーシップを読み取る)」
      • 「Read Group MembershipSAM (グループ MembershipSAM を読み取る) 」
    13. 「OK」をクリックして各ウィンドウを閉じます。
    Windows 2003 Server では次のようにします。
    1. ドメイン管理者権限を持つアカウントとしてドメイン・コントローラーにログオンします。
    2. 「スタート」メニューから、「Active Directory Users and Computers (アクティブ ディレクトリ ユーザーとコンピュータ)」を開きます。
    3. 左側のナビゲーション・ペインでドメイン名を探し、 それを右クリックして「New Group (新規グループ)」を選択します。
    4. domain mqm と入力します (WebSphere MQ によって認識および使用されるため、 正確にこれと同じストリングを使用する)。
    5. 「Group scope (グループ有効範囲)」で、 「Global (グローバル)」または「Universal (汎用)」の いずれかを選択します。
    6. 「Group type (グループ タイプ)」「Security (セキュリティ)」を選択し、「OK」をクリックします。
    7. 「Advanced Features (拡張機能)」モードで「Active Directory Users and Computers (アクティブ ディレクトリ ユーザーとコンピュータ)」を表示します。
    8. 左側パネルでドメイン名を探し、そのドメイン名を右クリックしてから「Properties (プロパティ)」をクリックします。
    9. 「Security (セキュリティ)」タブをクリックします。
    10. 「Advanced (拡張)」をクリックします。
    11. 「Add (追加)」をクリックしてから、domain mqm と入力し、 「OK」をクリックします。 新しいダイアログが表示されます。
    12. 「Properties (プロパティ)」タブをクリックします。
    13. 「Apply onto (適用先)」ボックスで、表示を「User objects (ユーザー オブジェクト)」に変更します。
    14. 次のオプションの「allow (許可)」チェック・ボックスを選択します。
      • 「Read Group Membership (グループ メンバーシップを読み取る)」
      • 「Read Group MembershipSAM (グループ MembershipSAM を読み取る) 」
    15. 「OK」をクリックして各ウィンドウを閉じます。
  2. 1 つ以上のアカウントを作成して、グループに追加します。
    1. 「Active Directory Users and Computers (アクティブ ディレクトリ ユーザーとコンピュータ)」で、 選択した名前を使用してユーザー・アカウントを作成し、グループ「domain mqm」に追加します。
    2. 作成するすべてのアカウントについて繰り返します。
  3. WebSphere MQ をインストールするユーザー名を持つ各ドメインごとにステップ 1 と 2 を繰り返し、 各ドメインに WebSphere MQ のアカウントを作成します。
  4. このアカウントを使用して WebSphere MQ の各インストールを構成します。
    1. WebSphere MQ の各インストールに同じドメイン・ユーザー・アカウント (上のステップ 1 で作成) を 使用するか、または各インストールごとに別のアカウントを作成して、「domain mqm」グループに追加します。
    2. アカウントを作成したら、WebSphere MQ のインストールを構成する各ユーザーにアカウントを割り当てます。 このユーザーは、「Prepare WebSphere MQ Wizard (WebSphere MQ 準備ウィザード)」に アカウントの詳細 (ドメイン名、ユーザー名、およびパスワード) を入力する必要があります。 インストールを行うユーザー ID と同じドメインに存在するアカウントを割り当ててください。
    3. ドメイン上のコンピューターに WebSphere MQ をインストールすると、 WebSphere MQ インストール・プログラムは LAN 上に「domain mqm」グループがあることを検出し、 そのグループをローカル「mqm」グループに自動的に追加します。(ローカル「mqm」グループは インストール時に作成されます。その中のすべてのユーザー・アカウントが WebSphere MQ を使用する権限を 持っています)。したがって、「domain mqm」グループのすべてのメンバーが、 このコンピューター上の WebSphere MQ を使用する権限を持ちます。
    4. ただし、各インストールごとにドメイン・ユーザー・アカウント (上のステップ 1 で作成) を 指定して、照会のときに WebSphere MQ がそのアカウントを使用するように構成しなければなりません。 インストールの最後に自動的に実行される 「WebSphere MQ 準備ウィザード」にアカウントの詳細を 入力する必要があります (ウィザードは、好きなときに「スタート」メニューから実行することもできます)。
  5. パスワードの有効期間を設定します。
    • WebSphere MQ のすべてのユーザーに対して 1 つのアカウントのみを使用する場合は、アカウントの パスワードが有効期限切れにならないようにしてください。そうしないと、パスワードの有効期限が 切れると同時に、WebSphere MQ のすべてのインスタンスが動作を停止してしまいます。
    • WebSphere MQ の各ユーザーに、それぞれ独自のユーザー・アカウントを割り当てる場合は、 より多くのアカウントを作成して管理することになりますが、パスワードの有効期限が 切れたときに、WebSphere MQ の 1 つのインスタンスしか動作を停止しません。
    パスワードに有効期限を設定する場合は、パスワードの有効期限が切れるたびに WebSphere MQ から メッセージが表示されることをユーザーに知らせておきます。メッセージには、パスワードの有効期限が 切れたこと、およびパスワードを再設定する方法が示されます。

詳しくは、「システム管理 」を参照してください。