WebSphere MQ 中有個元件會以 Windows 服務程式來執行,
它會檢查試圖存取 WebSphere MQ 的任何使用者帳戶有沒有獲得授權。在檢查中,服務程式必須查詢帳戶屬於哪些群組。
服務程式本身是由當初 WebSphere MQ 在安裝時所建立的本端使用者帳戶 (MUSR_MQADMIN) 來執行。
如果您在網路中的任何網域控制器上使用 Windows 2000 或 Windows 2003,
它可以設定成本端使用者帳戶無權查詢網域使用者帳戶的群組成員資格,
以防 WebSphere MQ 完成檢查而使存取失效。其處理方式如下:
- 網路中所安裝的每個 WebSphere MQ 都必須配置成由有必要權限的網域使用者帳戶來執行其服務程式(請參閱下列指示,以建立一個這種使用者帳戶)。
註: 如果安裝程式仍繼續作業,
且您在沒有使用特殊帳戶下配置 WebSphere MQ,
則如下所示,視所涉及的特定使用者帳戶而定,整個或部分 WebSphere MQ 將會無法運作:
- 目前用 Windows 2000 或 Windows 2003 網域使用者帳戶來登入的安裝程式會無法完成預設配置,
明信片和 API Exerciser 也會無法運作。
- 在其他電腦上採用 Windows 2000 或 Windows 2003 網域帳戶,
來和執行中之佇列管理程式進行 WebSphere MQ 連線可能會失敗。
- 典型錯誤包括「AMQ8066: 找不到本端 mqm 群組」和「AMQ8079: 試圖擷取 'abc@xyz' 使用者的群組成員資格資訊時被拒絕存取」。
下列詳述是引導網域管理者:
- 建立廣域或通用網域群組,並讓這個群組中的成員有權查詢任何帳戶的群組成員資格
- 建立一或多個使用者帳戶,並將它們新增到群組中
- 針對每一個網域重複步驟 2 到 4
- 利用帳戶來配置每一個 WebSphere MQ 安裝環境
- 設定密碼到期時間。
以下資訊適用於網域管理者。只要網域中有使用者名稱要安裝 WebSphere MQ,請重複下面的步驟 2 到 4,
以便在各個網域上建立 WebSphere MQ 的帳戶:
- 以 WebSphere MQ 所能辨識的特殊名稱來建立一個網域群組,
並讓這個群組中的成員有權查詢任何帳戶的群組成員資格:
在 Windows 2000 Server 上:
- 以有網域管理者權限的帳戶身分登入網域控制器。
- 從「開始」功能表中,開啟 Active Directory 使用者和電腦。
- 在左側導覽窗格中找出網域名稱,
按一下滑鼠右鍵,然後選取「新增群組」。
- 輸入 domain mqm(請使用這個精確字串,因為 WebSphere MQ 能夠辨識和使用它)。
- 在群組範圍中,選取廣域
或廣用。
- 在群組類型中,選取安全,再按一下確定。
- 在左側導覽窗格中找出網域名稱,按一下滑鼠右鍵,
然後選取委派控制...,並按下一步。
- 在「選取的群組和使用者」中,按一下新增,
選取 domain mqm,然後按一下新增。
按一下確定。
- 選取 domain mqm,並按下一步。
- 選取建立要委派的自訂作業,然後按下一步
- 選取只有資料夾中的下列物件,在按字母順序列出的清單中,勾選使用者物件。按下一步。
- 勾選內容特有的,然後從清單中選取下列選項(依第二個單字的字母順序):
- Read Group Membership(讀取群組成員資格)
- Read Group MembershipSAM(讀取群組成員資格 SAM)
- 按一下確定,關閉每一個視窗。
在 Windows 2003 Server 上:
- 以有網域管理者權限的帳戶身分登入網域控制器。
- 從「開始」功能表中,開啟 Active Directory 使用者和電腦。
- 在左側導覽窗格中找出網域名稱,
按一下滑鼠右鍵,然後選取「新增群組」。
- 輸入 domain mqm(請使用這個精確字串,因為 WebSphere MQ 能夠辨識和使用它)。
- 在群組範圍中,選取廣域
或廣用。
- 在群組類型中,選取安全,再按一下確定。
- 在進階特性模式下,檢視 Active Directory 使用者和電腦。
- 在左側導覽窗格中找出網域名稱,以滑鼠右鍵按一下網域名稱,
然後選取內容。
- 按一下安全標籤。
- 按一下進階。
- 按一下新增,然後輸入 domain mqm,
並按一下確定。此時會顯示一個新對話框。
- 按一下內容標籤。
- 在套用至框中,將視圖變更為使用者物件。
- 針對下列選項,選取容許勾選框:
- Read Group Membership(讀取群組成員資格)
- Read Group MembershipSAM(讀取群組成員資格 SAM)
- 按一下確定,關閉每一個視窗。
- 建立一或多個帳戶,將它們新增到群組中:
- 在「Active Directory 使用者和電腦」中,以您所選的名稱建立一個使用者帳戶,並將它加入 "domain mqm" 群組中。
- 所有要建立的帳戶都重複這個步驟。
- 只要網域中有使用者名稱要安裝 WebSphere MQ,請重複下面的步驟 1 和 2,
以便在各個網域上建立 WebSphere MQ 的帳戶。
- 利用帳戶來配置每一個 WebSphere MQ 安裝環境:
- 每次安裝 WebSphere MQ 都使用相同網域使用者帳戶(如上述步驟 1 中所建立的),
或每次都建立一個不同的帳戶,再將各帳戶加入 "domain mqm" 群組中。
- 建立好帳戶之後,讓負責配置 WebSphere MQ 安裝環境的每一位人員各有一個帳戶,
以供他們在「準備 WebSphere MQ」精靈中,
能輸入帳戶的詳細資料(網域名稱、使用者名稱和密碼)。
將已存在於同一個網域的帳戶作為它們的安裝使用者 ID。
- 當您將 WebSphere MQ 安裝在網域中的任何電腦上時,WebSphere MQ
安裝程式會偵測 LAN 中有沒有 "domain mqm" 群組,
再自動將該群組加入本端的 "mqm" 群組中。(本端 "mqm" 群組是在安裝期間建立的;
其中的所有使用者帳戶都有權使用 WebSphere MQ)。
因此,"domain mqm" 群組中的所有成員都有權使用這部電腦中的 WebSphere MQ。
- 不過,您仍需要為每項安裝各提供一個網域使用者帳戶(您在上述步驟 1 中所建立的),
並將 WebSphere MQ 配置成在查詢時使用該帳戶。帳戶詳細資料應輸入到「準備 WebSphere MQ」精靈中;此精靈會在安裝結束時
自動執行(您也可以從「開始」功能表隨時執行這個精靈)。
- 設定密碼到期時間:
- 如果所有 WebSphere MQ 使用者只用一個帳戶,請考慮設定密碼為永遠不會到期,否則在密碼到期時,所有 WebSphere MQ 實例都會同時停止運作。
- 如果每位 WebSphere MQ 使用者都有自己的使用者帳戶,您將需要建立和管理較多使用者帳戶,但密碼到期時,只有一個 WebSphere MQ 實例會停止運作。
如果您將密碼設為會到期,請警告使用者每次密碼到期時,WebSphere MQ 都會出現一則訊息 - 這則訊息會警告密碼已經到期並說明如何重設它。
如果需要詳細資訊,請參閱系統管理手冊。