セキュリティー要件は、実行する管理用タスクによって異なります。
以下の表は、さまざまな管理用タスクに対応する要件を要約したものです。 この表は、ローカル・システムに定義されたローカル・セキュリティー・ドメインを使用する場合に、どのグループ・メンバーシップが必要であるかを示しています。
マルチワークステーション・ドメインのドメイン・ユーザー、または、ローカル・ドメインと Windows の推移性の信頼の関係にあるドメインのドメイン・ユーザーも、これらの管理タスクを実行できます。 彼らは、表に指定されているグループ・メンバーシップ要件を満たす必要があります。 このグループ・メンバーシップをセットアップする 1 つの方法は、ドメイン・ユーザーを、ローカル・グループのメンバーであるドメイン・グループに追加することです。 ドメイン・グループを使用してセキュリティーをセットアップする方法の例については、Windows ドメイン環境でのセキュリティーを参照してください。
タスク | コマンド | 許可 |
---|---|---|
ブローカーの作成、削除、またはマイグレーション | mqsicreatebroker mqsideletebroker mqsimigratecomponents |
|
ブローカーの変更 | mqsichangebroker |
|
ブローカー・インスタンスの追加または削除 | mqsiaddbrokerinstance mqsiremovebrokerinstance |
|
ブローカーのバックアップまたはリストア | mqsibackupbroker mqsirestorebroker |
|
ブローカーの開始またはブローカーの検証 | mqsistart mqsicvp |
|
ブローカーの停止 | mqsistop |
|
実行グループの作成または削除 | mqsicreateexecutiongroup mqsideleteexecutiongroup |
|
メッセージ・フローの開始または停止 | mqsistartmsgflow mqsistopmsgflow |
|
構成可能サービスの作成または削除 | mqsicreateconfigurableservice mqsideleteconfigurableservice |
|
ブローカーのリスト | mqsilist |
|
ブローカー・プロパティーの表示 | mqsireportbroker mqsireportproperties mqsireportflowmonitoring mqsireportflowstats mqsireportflowuserexits mqsireportresourcestats |
|
プロパティーの変更 | mqsichangeproperties mqsichangeflowmonitoring mqsichangeflowstats mqsichangeflowuserexits mqsichangeresourcestats |
|
パスワードの設定および更新 | mqsisetdbparms |
|
ブローカー・モードのレポートまたは更新 | mqsimode |
|
ブローカーへのオブジェクトのデプロイ | mqsideploy |
|
ブローカー、実行グループ、またはセキュリティーの再ロード | mqsireload mqsireloadsecurity |
|
ブローカーのトレース | mqsichangetrace mqsireporttrace mqsireadlog mqsiformatlog |
|
mqbrkrs グループの追加 | mqsisetsecurity |
|
グローバル・アセンブリー・キャッシュに対する .NET アセンブリーのインストール、アンインストール、またはリスト | mqsiAssemblyInstall |
|
グローバル・キャッシュ管理 | mqsicacheadmin |
|
管理者特権を必要とするコマンドの実行 | mqsicommandconsole |
|
整合トランザクションで必要なシンボリック・リンクのセットアップ | mqsimanagexalinks |
|
BAR ファイルのパッケージ | mqsipackagebar |
|
Web ユーザー・アカウントの作成および変更 | mqsiwebuseradmin |
|
ユーザーの実行内容 1 | 使用するコマンド | ローカル・ドメイン (WORKSTATION) |
---|---|---|
ブローカーの実行 (WebSphere MQ ファースト・パスはオフ) (サービス・ユーザー ID) 2 |
|
|
ブローカーの実行 (WebSphere MQ ファースト・パスはオン) (サービス・ユーザー ID) 2 |
|
|
WebSphere Message Broker Toolkit の実行3 |
|
|
この動作は、mqsicreatebroker コマンドの -w フラグでデフォルト以外の場所を設定した場合や、mqsicreatebroker コマンドの -e フラグを使用してマルチインスタンス・ブローカーを作成する場合でも同じです。 そのような許可を手動で変更する場合は、該当する場所に対する適切なアクセス権限が常に mqbrkrs グループになければなりません。
setmqaut -m MB8BROKER -n TEST_INPUT -t queue -g mqbrkrs +get +inq
setmqaut -m MB8BROKER -n TEST_OUTPUT -t queue -g mqbrkrs +put +inq +setall
どの Windows プラットフォームでも、サービス・ユーザー ID を Administrators グループのメンバーにしなければならないという要件はなくなりました。
唯一の要件は、サービス・ユーザー ID を mqbrkrs グループのメンバーにするという要件です。 さらに、mqsicreatebroker コマンドの -i パラメーターで LocalSystem を指定すれば、LocalSystem アカウントをサービス・ユーザー ID として使用できるようになります。
この場合、コマンド行で –a (パスワード) パラメーターを入力する必要がありますが、入力した値は無視されます。