Considerando a Segurança para o workbench

Durante esta tarefa você considerará os fatores para decidir quais usuários poderão executar ações no workbench.

Considere o seguinte:

  1. Você está executando com o conhecimento de domínio ativado?
  2. Você Está Executando com o Conhecimento de Domínio Desativado?
  3. Protegendo o Canal Entre o workbench e o Configuration Manager

Certifique-se de que todos os IDs de usuários que irão executar o workbench não tenham mais que oito caracteres de comprimento.

Você está executando com o conhecimento de domínio ativado?

É recomendado que você execute com o conhecimento de domínio ativado. Com esta opção, as informações sobre o domínio de um usuário do workbench são seguidas do ID do usuário ao Configuration Manager para aumentar a segurança. Suponha que você esteja executando o workbench em uma máquina denominada WKSTN1, a qual é membro de um domínio denominado DOMAIN1. Os usuários de DOMAIN2 também desejam utilizar o workbench. Execute as seguintes etapas:

  1. Quando estiver utilizando o modelo de função de Definição de Usuário, inclua IDs de usuário do domínio, por exemplo DOMAIN1\user1 e DOMAIN2\user2, aos grupos locais: WKSTN1\mqbrasgn, WKSTN1\mqbrdevt, WKSTN1\mqbrops e WKSTN1\mqbrtpic. É possível aninhar a associação nos grupos. Por exemplo, adicione DOMAIN1\user1 ao grupo global DOMAIN1\authusers e, em seguida, adicione DOMAIN1\authusers a WKSTN1\mqbrops.

    Quando estiver utilizando o modelo de nível de Objeto e estiver usando segurança de ACL, inclua quaisquer usuários/grupos do domínio aos nomes de grupos locais que irá utilizar em suas ACLs.

  2. Quando criar o Configuration Manager:
    1. Não defina a opção -d. O Configuration Manager verificará os grupos locais quanto à participação nos grupos de usuários.
    2. Defina a opção -l como 2. Isto indica o conhecimento do domínio.

Quando iniciar o workbench, ele enviará automaticamente as informações de domínio de seu ID do usuário ao Configuration Manager. Ative o conhecimento do domínio no Configuration Manager para acessar informações do domínio.

Você Está Executando com o Conhecimento de Domínio Desativado?

Você pode definir o conhecimento do domínio para desativado, mas executar com esta opção significa que as informações do domínio do usuário do workbench não serão seguidas de informações sobre id do usuário, reduzindo a segurança. Portanto, recomenda-se que você execute com o conhecimento de domínio ativado.

Para definir o conhecimento de domínio para desativado, responda às seguintes perguntas:

  1. Seus usuários do workbench são extraídos de um domínio local?
    1. Não: Vá para a próxima pergunta.
    2. Sim: Você pode omitir a opção -d do comando mqsicreateconfigmgr ou defini-la com o nome da máquina local. Defina também a opção -l como 2.

      Para o modelo de função de Definição de Usuário, certifique-se de que os usuários do workbench sejam membros dos grupos locais: mqbrasgn, mqbrdevt, mqbrops e mqbrtpic.

      Com o modelo de nível de Objeto, se você estiver utilizando a segurança de ACL, deverá incluir quaisquer usuários aos grupos locais que irá utilizar em suas ACLs.

      Vá para Protegendo o Canal Entre o workbench e o Configuration Manager.

  2. Seus usuários do workbench são extraídos de outro domínio?
    1. Sim: Assegure-se de definir a opção -d no comando mqsicreateconfigmgr para determinar o domínio que o Configuration Manager utiliza para obter a participação do grupo de usuários. Defina também a opção -l em 2.
      Com o modelo de função de Definição de Usuário, as tarefas que um usuário pode executar dependem da participação desse usuário nos grupos globais:
      • domain mqbrasgn
      • domain mqbrdevt
      • domain mqbrops
      • domain mqbrtpic.
      Para obter informações adicionais sobre as autorizações conferidas pela participação nesses grupos, consulte Requisitos de Segurança para Plataformas Windows.

      Com o modelo de nível de Objeto, se você estiver utilizando a segurança de ACL, inclua quaisquer usuários/grupos do domínio aos grupos locais que irá utilizar em suas ACLs.

Para segurança adicional, execute com o conhecimento de domínio e as saídas de segurança ativados. Para obter informações adicionais sobre saídas de segurança, consulte Saídas de Segurança.

Vá para Protegendo o Canal Entre o workbench e o Configuration Manager

Protegendo o Canal Entre o workbench e o Configuration Manager

Crie e ative um par de saídas de segurança para execução nas extremidades do workbench e do Configuration Manager da conexão. Utilize essas saídas para verificar usuários do workbench com o gerenciador de segurança do Windows na máquina do Configuration Manager.
Para obter informações adicionais sobre a criação e ativação de saídas de segurança, consulte Saídas de Segurança.

Conceitos relacionados
Saídas de Segurança
Segurança para Recursos de Tempo de Execução

Tarefas relacionadas
Utilizando Saídas de Segurança

Referências relacionadas
Requisitos de Segurança para Plataformas Windows
Permissões de ACL
Comando mqsicreatebroker
Comando mqsichangebroker