Consideraciones de seguridad para un Gestor de configuración

Durante este procedimiento utilizará el grupo membership que se requiere para:
  • Usuarios que ejecutan mandatos del Gestor de configuración.
  • ID de servicios
  • Acceso a las colas del Gestor de configuración.
Vea si es conveniente realizar una de las siguientes tareas:
  1. Cómo decidir qué cuentas de usuario pueden ejecutar mandatos del Gestor de configuración
  2. Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración
  3. Cómo establecer la seguridad en las colas del Gestor de configuración
  4. Ejecución del Gestor de configuración en un entorno de dominio

Cómo decidir qué cuentas de usuario pueden ejecutar mandatos del Gestor de configuración

Durante esta tarea se decide qué permisos se requieren para los ID de usuario que:
  • Crean, modifican, listan, suprimen, inician y detienen un Gestor de configuración
  • Visualizan, recuperan y modifican información de rastreo.

Responda a las siguientes preguntas:

  1. ¿Está ejecutando mandatos del Gestor de configuración bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: presuponga que su cuenta local se encuentra en una máquina llamada, por ejemplo, WKSTN1. Cuando cree un Gestor de configuración, asegúrese de que su ID de usuario está definido en el dominio local.Cuando cree o inicie un Gestor de configuración, asegúrese de que su ID de usuario es miembro de WKSTN1\Administrators.

      Vaya al apartado Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

  2. ¿Está ejecutando mandatos del Gestor de configuración bajo una cuenta de dominio de Windows?
    1. Sí: presuponga que su máquina llamada, por ejemplo, WKSTN1, es miembro de un dominio llamado DOMAIN1. Cuando cree un Gestor de configuración utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que DOMAIN1\user1 es miembro de WKSTN1\Administrators.

      Vaya al apartado Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

Cómo decidir qué cuenta de usuario utilizar para el ID de servicio del Gestor de configuración

Cuando se establece el ID de servicio con la opción -i en el mandato mqsicreateconfigmgr o en el mandato mqsichangeconfigmgr, se determina el ID de usuario bajo el cual se ejecuta el componente del Gestor de configuración.

Responda a las siguientes preguntas:

  1. ¿Desea que el Gestor de configuración se ejecute bajo una cuenta local de Windows?
    1. No: vaya a la siguiente pregunta.
    2. Sí: asegúrese de que su ID de usuario está definido en el dominio local, de que es miembro de mqbrkrs y de que es miembro de mqm.

      Vaya al apartado Cómo establecer la seguridad en las colas del Gestor de configuración.

  2. ¿Desea que el Gestor de configuración se ejecute bajo una cuenta de dominio de Windows?
    1. Sí: presuponga que su máquina llamada, por ejemplo, WKSTN1, es miembro de un dominio llamado DOMAIN1. Cuando ejecute un Gestor de configuración utilizando, por ejemplo, DOMAIN1\user1, asegúrese de que: DOMAIN1\user1 es miembro de DOMAIN1\Domain mqbrkrs, DOMAIN1\user1 es miembro de WKSTN1\mqm y DOMAIN1\Domain mqbrkrs es miembro de WKSTN1\mqbrkrs. Alternativamente, puede:
      1. Definir user1 en DOMAIN1
      2. Añadir user1 al grupo DOMAIN1\Domain mqm.
      3. Añadir el grupo DOMAIN1\Domain mqm al grupo WKSTN1\mqm
      4. Añadir el grupo DOMAIN1\Domain mqbrkrs al grupo WKSTN1\mqbrkrs

      Vaya al apartado Cómo establecer la seguridad en las colas del Gestor de configuración.

Cómo establecer la seguridad en las colas del Gestor de configuración

Cuando ejecute el mandato , el grupo mqbrkrs obtendrá autorización de acceso sobre las siguientes colas:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
El el intermediario y el Servidor de nombres de usuarios requieren el acceso a las colas del Gestor de configuración.
Si está utilizando la seguridad de la Versión 2.1, los grupos mqbrasgn, mqbrdevt, mqbrops, y mqbrtpic tendrán autorización de acceso a las siguientes colas:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.
Si está utilizando el modelo de seguridad a nivel de objetos de la versión 5.0, cada grupo de usuarios para el que listas de control de accesos (ACL), tendrá autorización de acceso sobre las siguientes colas:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.

Ejecución del Gestor de configuración en un entorno de dominio

Esta tarea explica cuándo se debe establecer la opción de dominio -d.

Conceptos relacionados
Autorización para tareas de configuración
Compatibilidad de dominio

Tareas relacionadas
Consideraciones de seguridad para el área de trabajo

Referencia relacionada
Requisitos de seguridad para plataformas Windows
Mandato mqsicreatebroker
Mandato mqsichangebroker