考虑配置管理器的安全性

在该任务中,考虑以下项所需的组成员资格:
  • 执行配置管理器命令的用户
  • 服务标识
  • 配置管理器队列的访问权。

ACL 与配置管理器相关联。 对配置管理器的 ACL 具有完全控制权的用户或组对所有其他的 ACL 也具有完全控制权。对配置管理器的 ACL 的完全控制权也允许用户或组修改任何对象的 ACL,包括配置管理器

考虑以下问题:

  1. 确定哪些用户帐户可以执行配置管理器命令
  2. 确定哪个用户帐户要用于配置管理器服务标识
  3. 在配置管理器的队列上设置安全性
  4. 在域环境中运行配置管理器

确定哪些用户帐户可以执行配置管理器命令

在该任务中,确定该用户标识需要哪些许可权:
  • 创建、更改、列出、删除、启动和停止配置管理器
  • 显示、检索和更改跟踪信息。

回答下列问题:

  1. 您是否在 Windows 本地帐户下执行配置管理器命令?
    1. 否:转至下一个问题。
    2. 是:假设您的本地帐户在名为 WKSTN1 的机器上。创建配置管理器时,确保在您的本地域中定义用户标识。创建或启动配置管理器时,确保您的用户标识是 WKSTN1\Administrators 的成员。

      转至确定哪个用户帐户要用于配置管理器服务标识

  2. 您是否在 Windows 域帐户下执行配置管理器命令?
    1. 是:假设名为 WKSTN1 的计算机是名为 DOMAIN1 的域的成员。 当您使用 DOMAIN1\user1(示例)创建配置管理器时,确保 DOMAIN1\user1 是 WKSTN1\Administrators 的成员。

      转至确定哪个用户帐户要用于配置管理器服务标识

确定哪个用户帐户要用于配置管理器服务标识

mqsicreateconfigmgrmqsichangeconfigmgr 命令上使用 -i 选项设置服务标识的时候,确定配置管理器组件过程运行时所使用的用户标识。

回答下列问题:

  1. 您想要在 Windows 本地帐户下运行配置管理器吗?
    1. 否:转至下一个问题。
    2. 是:确保您的用户标识已在本地域中定义并且是 mqbrkrsmqm 的成员。

      转至在配置管理器的队列上设置安全性

  2. 您想要在 Windows 域帐户下运行配置管理器吗?
    1. 是:假设名为 WKSTN1 的计算机是名为 DOMAIN1 的域的成员。当您使用 DOMAIN1\user1(示例)运行配置管理器时,确保 DOMAIN1\user1 是 DOMAIN1\Domain mqbrkrs 和 WKSTN1\mqm 的成员,并且 DOMAIN1\Domain mqbrkrs 是 WKSTN1\mqbrkrs 的成员。 或者,您可以:
      1. 在 DOMAIN1 中定义 user1
      2. 将 user1 添加到 DOMAIN1\Domain mqm
      3. 将 DOMAIN1\Domain mqm 组添加到 WKSTN1\mqm
      4. 将 DOMAIN1\Domain mqbrkrs 组添加到 WKSTN1\mqbrkrs

      转至在配置管理器的队列上设置安全性

配置管理器的队列上设置安全性

运行 命令时,mqbrkrs 组获得对以下队列的访问权限:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
代理和用户名称服务器需要对配置管理器队列的访问权。
创建了访问控制表(ACL)的每个组或用户获取对以下队列的访问权限:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.

在域环境中运行配置管理器

声明 | 商标 | 下载 | | 支持 | 反馈
Copyright IBM Corporation 1999, 2006 最后更新:2006/05/19
ap03984_