Os requisitos de segurança dependem da tarefa administrativa que você deseja desempenhar.
As tabelas a seguir resumem os requisitos para tarefas administrativas. Elas mostram qual associação ao grupo é necessária se você estiver usando um domínio de segurança local definido no sistema local.
Usuários de domínio em um domínio com diversas estações de trabalho ou de domínios que estão em um relacionamento confiável transitivo do Windows com o domínio local, também podem executar essas tarefas administrativas. Eles precisam preencher os requisitos de associação ao grupo especificados nas tabelas. Uma maneira de configurar essa associação ao grupo é incluindo o usuário do domínio em um grupo de domínios que, por sua vez, é um membro do grupo local. Para obter um exemplo de como configurar a segurança usando grupos de domínios, consulte Segurança em um Ambiente de Domínio do Windows.
Tarefa | Comando | Autorização |
---|---|---|
Criar, excluir ou migrar um broker | mqsicreatebroker mqsideletebroker mqsimigratecomponents |
|
Alterar um broker | mqsichangebroker |
|
Incluir ou remover uma instância do broker | mqsiaddbrokerinstance mqsiremovebrokerinstance |
|
Fazer backup ou restaurar um broker | mqsibackupbroker mqsirestorebroker |
|
Iniciar um broker ou verificar um broker | mqsistart mqsicvp |
|
Parar um broker | mqsistop |
|
Criar ou excluir um grupo de execução | mqsicreateexecutiongroup mqsideleteexecutiongroup |
|
Iniciar ou parar um fluxo de mensagens | mqsistartmsgflow mqsistopmsgflow |
|
Criar ou excluir um serviço configurável | mqsicreateconfigurableservice mqsideleteconfigurableservice |
|
Listar brokers | mqsilist |
|
Mostrar propriedades do broker | mqsireportbroker mqsireportproperties mqsireportflowmonitoring mqsireportflowstats mqsireportflowuserexits mqsireportresourcestats |
|
Alterar propriedades | mqsichangeproperties mqsichangeflowmonitoring mqsichangeflowstats mqsichangeflowuserexits mqsichangeresourcestats |
|
Configurar e atualizar senhas | mqsisetdbparms |
|
Relatar ou atualizar um modo de broker | mqsimode |
|
Implementar um objeto em um Broker | mqsideploy |
|
Recarregar um broker, grupos de execução ou segurança | mqsireload mqsireloadsecurity |
|
Rastrear um broker | mqsichangetrace mqsireporttrace mqsireadlog mqsiformatlog |
|
Incluir o grupo mqbrkrs | mqsisetsecurity |
|
Instalar, desinstalar ou listar conjuntos .NET no Global Assembly Cache | mqsiAssemblyInstall |
|
Administração de cache global | mqsicacheadmin |
|
Executar comandos que requerem privilégios elevados | mqsicommandconsole |
|
Configurar links simbólicos necessários para transações coordenadas | mqsimanagexalinks |
|
Empacotar um arquivo BAR | mqsipackagebar |
|
Criar ou modificar uma conta do usuário da web | mqsiwebuseradmin |
|
O usuário está...1 | Comando Utilizado | Domínio Local (WORKSTATION) |
---|---|---|
Executando um broker (atalho do WebSphere MQ desligado) (ID do usuário do serviço)2 |
|
|
Executando um broker (atalho do WebSphere MQ ligado) (ID do usuário do serviço)2 |
|
|
Executando um WebSphere Message Broker Toolkit3 |
|
|
Isso acontece mesmo se você configurar um local que não é o padrão, com o sinalizador –w no comando mqsicreatebroker, ou usar o sinalizador –e no comando mqsicreatebroker para criar um broker com diversas instâncias. Se essas permissões forem alteradas manualmente, você deve assegurar que o grupo mqbrkrs tenha o acesso apropriado a esses locais.
setmqaut -m MB8BROKER -n TEST_INPUT -t queue -g mqbrkrs +get +inq
setmqaut -m MB8BROKER -n TEST_OUTPUT -t queue -g mqbrkrs +put +inq +setall
Em todas as plataformas Windows, não há mais nenhum requisito para o ID do usuário do serviço ser um membro do grupo Administradores.
O único requisito é que o ID de usuário de serviço seja um membro do grupo mqbrkrs. Além disso, a conta LocalSystem pode ser utilizada como o ID do usuário do serviço especificando-se LocalSystem para o parâmetro –i no comando do mqsicreatebroker.
Nesse caso, você deve inserir o parâmetro –a (senha) na linha de comandos, mas o valor inserido será ignorado.