Considere vários fatores quando estiver decidindo quais usuários podem executar comandos do broker e quais usuários podem controlar a segurança para outros recursos do broker.
Embora a maior parte da segurança para o broker e para recursos do broker seja opcional, talvez você ache apropriado restringir as tarefas que alguns IDs de usuário podem executar. É possível, então, aplicar maior controle para monitorar as alterações.
É possível controlar todas as tarefas de administração do broker ativando a segurança de administração do broker ao criar um broker. Também é possível alterar brokers existentes para ativar a segurança de administração. Esta opção é descrita em Configurando a Segurança de Administração e é independente das opções descritas nesta seção.
Quando você está decidindo quais usuários devem desempenhar as diferentes tarefas, considere as seguintes etapas:
Em um sistema operacional Linux ou UNIX, quando você executa o comando mqsistart com um ID de usuário que seja membro dos grupos mqm e mqbrkrs, o ID do usuário sob o qual você executa o comando mqsistart torna-se o ID do usuário que o processo do componente do broker executa.
Na plataforma Windows, o broker executa em uma conta do usuário de serviço. Para decidir que ID de usuário usar para o ID de serviço do broker, responda as seguintes perguntas:
Observe que, para os casos um e dois acima, o ID de usuário escolhido deve receber o privilégio Efetuar Logon como um Serviço.
Normalmente, isso é feito de forma automática pelo comando mqsichangebroker ou pelo comando mqsichangeproperties quando for especificado um ID de usuário de serviço que não possua esse privilégio.
Entretanto, se desejar fazer isso manualmente antes de executar esses comandos, é possível fazer isso usando a ferramenta Política de Segurança Local no Windows, que você pode acessar selecionando .
Quando você executar o comando mqsicreatebroker, o grupo mqbrkrs local receberá acesso às filas internas cujos nomes comecem com os caracteres SYSTEM.BROKER.
A operação do broker depende das informações no registro do broker, que você deve proteger contra distorção acidental. O registro do broker é armazenado no sistema de arquivos. Configure suas opções de segurança do sistema operacional para que apenas IDs do usuário que são membros do grupo mqbrkrs possam ler a partir de ou gravar no brokername/CurrentVersion e em todas as subchaves.