Los requisitos de seguridad dependen de la tarea administrativa que desea realizar.
En las tablas siguientes se resumen los requisitos para las tareas administrativas. Muestran la pertenencia a grupo que es necesaria si se utiliza un dominio de seguridad local definido en el sistema local.
Los usuarios de dominio en un dominio de varias estaciones de trabajo, o de dominios que se encuentran en relación de confianza transitiva con Windows, también pueden realizar estas tareas administrativas. Deben cumplir los requisitos de pertenencia a grupos especificados en las tablas. Una manera de configurar esta pertenencia a grupos es añadiendo el usuario de dominio a un grupo de dominios que a su vez es miembro del grupo local. Para ver un ejemplo sobre cómo configurar la seguridad mediante grupos de dominios, consulte Seguridad en un entorno de dominio Windows.
Tarea | Mandato | Autorización |
---|---|---|
Crear, suprimir o migrar un intermediario | mqsicreatebroker mqsideletebroker mqsimigratecomponents |
|
Cambiar un intermediario | mqsichangebroker |
|
Añadir o eliminar una instancia de intermediario | mqsiaddbrokerinstance mqsiremovebrokerinstance |
|
Hacer copia de seguridad o restaurar un intermediario | mqsibackupbroker mqsirestorebroker |
|
Iniciar un intermediario o verificar un intermediario | mqsistart mqsicvp |
|
Detener un intermediario | mqsistop |
|
Crear o suprimir un grupo de ejecución | mqsicreateexecutiongroup mqsideleteexecutiongroup |
|
Iniciar o detener un flujo de mensajes | mqsistartmsgflow mqsistopmsgflow |
|
Crear o suprimir un servicio configurable | mqsicreateconfigurableservice mqsideleteconfigurableservice |
|
Listar intermediarios | mqsilist |
|
Mostrar propiedades de intermediario | mqsireportbroker mqsireportproperties mqsireportflowmonitoring mqsireportflowstats mqsireportflowuserexits mqsireportresourcestats |
|
Cambiar propiedades | mqsichangeproperties mqsichangeflowmonitoring mqsichangeflowstats mqsichangeflowuserexits mqsichangeresourcestats |
|
Establecer y actualizar contraseñas | mqsisetdbparms |
|
Informar o actualizar una modalidad de intermediario | mqsimode |
|
Desplegar un objeto en un intermediario | mqsideploy |
|
Volver a cargar un intermediario, grupos de ejecución o seguridad | mqsireload mqsireloadsecurity |
|
Rastrear un intermediario | mqsichangetrace mqsireporttrace mqsireadlog mqsiformatlog |
|
Añadir el grupo mqbrkrs | mqsisetsecurity |
|
Instalar, desinstalar o listar ensamblados .NET en la Caché de ensamblados global | mqsiAssemblyInstall |
|
Administración de la memoria caché global | mqsicacheadmin |
|
Ejecutar mandatos que requieren privilegios elevados | mqsicommandconsole |
|
Configurar enlaces simbólicos necesarios para transacciones coordinadas | mqsimanagexalinks |
|
Empaquetar un archivo BAR | mqsipackagebar |
|
Crear o modificar una cuenta de usuario web | mqsiwebuseradmin |
|
El usuario está...1 | Mandato utilizado | Dominio local (WORKSTATION) |
---|---|---|
Ejecutando un intermediario (vía de acceso rápida de WebSphere MQ desactivada) (ID de usuario de servicio)2 |
|
|
Ejecutando un intermediario (vía de acceso rápida de WebSphere MQ activada) (ID de usuario de servicio)2 |
|
|
Ejecutando un WebSphere Message Broker Toolkit3 |
|
|
Esto ocurre aunque establezca una ubicación que no sea la predeterminada, con el distintivo –w en el mandato mqsicreatebroker o utilice el distintivo –e en el mandato mqsicreatebroker para crear un intermediario de varias instancias. Si estos permisos se cambian manualmente, siempre tendrá que asegurarse de que el grupo mqbrkrs tenga acceso a estas ubicaciones.
setmqaut -m MB8BROKER -n TEST_INPUT -t queue -g mqbrkrs +get +inq
setmqaut -m MB8BROKER -n TEST_OUTPUT -t queue -g mqbrkrs +put +inq +setall
En todas las plataformas de Windows, ya no es necesario que el ID de usuario de servicio sea un miembro del grupo Administradores.
El único requisito es que el ID de usuario de servicio sea miembro del grupo mqbrkrs. Además, la cuenta LocalSystem se puede utilizar como ID de usuario de servicio especificando LocalSystem para el parámetro –i en el mandato mqsicreatebroker.
En este caso, debe especificar el parámetro –a (contraseña) en la línea de mandatos pero se hará caso omiso del valor entrado.