Die Sicherheitsanforderungen sind von der Verwaltungsaufgabe abhängig, die Sie ausführen möchten.
Die folgenden Tabellen enthalten eine Zusammenfassung der Anforderungen für die Verwaltungsaufgaben. Sie zeigen, welche Gruppenzugehörigkeit erforderlich ist, wenn Sie eine lokale Sicherheitsdomäne verwenden, die auf Ihrem lokalen System definiert ist.
Domänenbenutzer in einer Domäne mit mehreren Workstations oder aus Domänen, die eine transitive Windows-Vertrauensstellung bei der lokalen Domäne innehaben, können diese Verwaltungsaufgaben ebenfalls ausführen. Sie müssen die in den Tabellen angegebenen Gruppenzugehörigkeitsanforderungen erfüllen. Eine Möglichkeit zur Einrichtung dieser Gruppenzugehörigkeit besteht darin, den Domänenbenutzer einer Domänengruppe hinzuzufügen, der wiederum Mitglied der lokalen Gruppe ist. Im Abschnitt Sicherheit in einer Windows-Domänenumgebung finden Sie ein Beispiel der Sicherheitseinrichtung mithilfe von Domänengruppen.
Task | Befehl | Berechtigung |
---|---|---|
Erstellen, Löschen oder Migrieren eines Brokers | mqsicreatebroker mqsideletebroker mqsimigratecomponents |
|
Ändern eines Brokers | mqsichangebroker |
|
Hinzufügen oder Entfernen einer Brokerinstanz | mqsiaddbrokerinstance mqsiremovebrokerinstance |
|
Sichern oder Wiederherstellen eines Brokers | mqsibackupbroker mqsirestorebroker |
|
Starten oder Überprüfen eines Brokers | mqsistart mqsicvp |
|
Stoppen eines Brokers | mqsistop |
|
Erstellen oder Löschen einer Ausführungsgruppe | mqsicreateexecutiongroup mqsideleteexecutiongroup |
|
Starten oder Stoppen eines Nachrichtenflusses | mqsistartmsgflow mqsistopmsgflow |
|
Erstellen oder Löschen eines konfigurierbaren Service | mqsicreateconfigurableservice mqsideleteconfigurableservice |
|
Auflisten von Brokern | mqsilist |
|
Anzeigen von Brokereigenschaften | mqsireportbroker mqsireportproperties mqsireportflowmonitoring mqsireportflowstats mqsireportflowuserexits mqsireportresourcestats |
|
Ändern von Eigenschaften | mqsichangeproperties mqsichangeflowmonitoring mqsichangeflowstats mqsichangeflowuserexits mqsichangeresourcestats |
|
Festlegen und Aktualisieren von Kennwörtern | mqsisetdbparms |
|
Melden oder Aktualisieren eines Brokermodus | mqsimode |
|
Implementieren eines Objekts auf einem Broker | mqsideploy |
|
Neuladen eines Brokers, von Ausführungsgruppen oder der Sicherheit | mqsireload mqsireloadsecurity |
|
Durchführen eines Trace für einen Broker | mqsichangetrace mqsireporttrace mqsireadlog mqsiformatlog |
|
Hinzufügen der Gruppe mqbrkrs | mqsisetsecurity |
|
Installieren, Deinstallieren oder Auflisten von .NET-Assemblys im Global Assembly Cache | mqsiAssemblyInstall |
|
Verwaltung des globalen Cache | mqsicacheadmin |
|
Ausführen von Befehlen, für die höhere Berechtigungen erforderlich sind | mqsicommandconsole |
|
Einrichten symbolischer Links, die für koordinierte Transaktionen benötigt werden | mqsimanagexalinks |
|
Packen einer BAR-Datei | mqsipackagebar |
|
Erstellen oder Ändern eines Webbenutzeraccounts | mqsiwebuseradmin |
|
Benutzeraktion1 | Verwendeter Befehl | Lokale Domäne (WORKSTATION) |
---|---|---|
Broker ausführen (WebSphere MQ-Direktaufruf inaktiviert) (Servicebenutzer-ID)2 |
|
|
Broker ausführen (WebSphere MQ-Direktaufruf aktiviert) (Servicebenutzer-ID)2 |
|
|
WebSphere Message Broker Toolkit ausführen3 |
|
|
Dies ist selbst dann der Fall, wenn Sie mit dem Attribut –w im Befehl mqsicreatebroker eine andere Position als die Standardposition festgelegt haben oder mit dem Attribut –e im Befehl mqsicreatebroker einen Broker mit mehreren Instanzen erstellen. Wenn diese Berechtigungen manuell geändert werden, müssen Sie immer sicherstellen, dass die Gruppe mqbrkrs über den entsprechenden Zugriff auf diese Positionen verfügt.
setmqaut -m MB8BROKER -n TEST_INPUT -t queue -g mqbrkrs +get +inq
setmqaut -m MB8BROKER -n TEST_OUTPUT -t queue -g mqbrkrs +put +inq +setall
Auf Windows-Plattformen muss die Servicebenutzer-ID nicht mehr zur Gruppe Administratoren gehören.
Als einzige Voraussetzung muss die Servicebenutzer-ID ein Mitglied der Gruppe mqbrkrs sein. Darüber hinaus kann der Account LocalSystem als Servicebenutzer-ID verwendet werden, indem im Befehl mqsicreatebroker LocalSystem für den Parameter –i angegeben wird.
In diesem Fall müssen Sie den Parameter –a (Kennwort) in der Befehlszeile eingeben, wobei der eingegebene Wert ignoriert wird.