Sicherheitsanforderungen für Windows-Plattformen

Die Sicherheitsanforderungen sind von der Verwaltungsaufgabe abhängig, die Sie ausführen möchten.

Die folgende Tabelle enthält eine Zusammenfassung der Anforderungen für die Verwaltungsaufgaben. Sie zeigt, welche Gruppenzugehörigkeit erforderlich ist, wenn Sie eine auf dem lokalen System SALONE definierte lokale Sicherheitsdomäne, eine primäre Domäne mit dem Namen PRIMARY bzw. eine vertraute Domäne mit dem Namen TRUSTED verwenden. Bei den Inhalten in dieser Tabelle wird davon ausgegangen, dass der Konfigurationsmanager und der Benutzernamensserver mit der gleichen Sicherheitsdomäne erstellt wurden.

Benutzeraktion Lokale Domäne (SALONE) Primäre Domäne (PRIMARY) / Windows-Einzeldomäne (PRIMARY) Vertraute Domäne (TRUSTED) / Übergeordnete/untergeordnete Windows-Domäne in Domänenstruktur (TRUSTED)
Erstellen eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder einer Datenbank (mitmqsicreatedb)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von Administratoren
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
Ändern eines Brokers, Konfigurationsmanagers, Benutzernamensserver, DatabaseInstanceMgr
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von Administratoren
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von SALONE\Administratoren
Löschen eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder einer Datenbank (mitmqsideletedb)
  • Mitglied von Administratoren
  • Mitglied von SALONE\Administratoren
  • Mitglied von SALONE\Administratoren
Beginn der ÄnderungStarten eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder DatabaseInstanceMgr oder Ausführen des Prüfbefehls mqsicvpEnde der Änderung Beginn der Änderung
  • Mitglied von Administratoren
Ende der Änderung
Beginn der Änderung
  • Mitglied von SALONE\Administratoren
Ende der Änderung
Beginn der Änderung
  • Mitglied von SALONE\Administratoren
Ende der Änderung
Auflisten eines Brokers, Konfigurationsmanagers, Benutzernamensserver oder DatabaseInstanceMgr
  • Muss in SALONE definierte Benutzer-ID sein
  • Benutzer-ID muss über die Berechtigung zum Abfragen der Werte unter dem Eintrag WebSphereMQIntegrator in der Registry verfügen.
  • Mitglied von mqbrkrs bei Ausgabe des Befehls mqsilist Brokername Name_der_Ausführungsgruppe
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Benutzer-ID muss über die Berechtigung zum Abfragen der Werte unter dem Eintrag WebSphereMQIntegrator in der Registry verfügen.
  • Mitglied von PRIMARY\Domain mqbrkrs bei Ausgabe des Befehls mqsilist Brokername Name_der_Ausführungsgruppe
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Benutzer-ID muss über die Berechtigung zum Abfragen der Werte unter dem Eintrag WebSphereMQIntegrator in der Registry verfügen.
  • Mitglied von TRUSTED\Domain mqbrkrs bei Ausgabe des Befehls mqsilist Brokername Name_der_Ausführungsgruppe
Trace-Informationen ändern, anzeigen oder abrufen
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
Benutzernamensserver ausführen (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
DatabaseInstanceMgr ausführen (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Muss zur Gruppe PRIMARY\Domain mqbrkrs gehören
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Muss zur Gruppe TRUSTED\Domain mqbrkrs gehören
Konfigurationsmanager ausführen (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Mitglied von mqm
  • Mitglied von Administratoren
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Mitglied von SALONE\mqm 1
  • Mitglied von SALONE/Administratoren
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
  • Mitglied von SALONE\mqm2
  • Mitglied von SALONE/Administratoren
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
Broker ausführen (WebSphere MQ-Direktaufruf inaktiviert) (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
Broker ausführen (WebSphere MQ-Direktaufruf aktiviert) (Servicebenutzer-ID)
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Mitglied von mqm
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Mitglied von SALONE\mqm
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
  • Mitglied von SALONE\mqm
  • Beginn der ÄnderungMuss über die Berechtigung Als Dienst anmelden in der lokalen Sicherheitsrichtlinie von Windows verfügenEnde der Änderung
Löschen, Verknüpfen oder Auflisten von WebSphere MQ Publish/Subscribe-Brokern
  • Muss in SALONE definierte Benutzer-ID sein
  • Mitglied von mqbrkrs
  • Muss in PRIMARY definierte Benutzer-ID sein
  • Mitglied von PRIMARY\Domain mqbrkrs
  • Muss in TRUSTED definierte Benutzer-ID sein
  • Mitglied von TRUSTED\Domain mqbrkrs
Ausführen eines Message Brokers Toolkit3
  • Muss in SALONE4 definierte Benutzer-ID sein. Beispiel: SALONE\User1 ist gültig, PRIMARY\User2 und TRUSTED\User3 sind ungültig.
  • Unabhängig davon, ob die Domänenüberprüfung aktiviert ist, müssen Benutzer-IDs Mitglieder von beliebigen, auf SALONE erstellten lokalen ACL-Gruppen sein, wenn Message Brokers Toolkit-ACLs verwendet werden.
  • Unabhängig davon, ob die Domänenüberprüfung aktiviert ist, müssen Benutzer-IDs Mitglieder von beliebigen, auf SALONE erstellten lokalen ACL-Gruppen sein, wenn Message Brokers Toolkit-ACLs verwendet werden.
Publish/Subscribe-Anwendungen ausführen
  • Muss in SALONE definierte Benutzer-ID sein. Beispiel: SALONE\User1 ist gültig, PRIMARY\User2 und TRUSTED\User3 sind ungültig.
  • Muss in PRIMARY definierte Benutzer-ID sein. Beispiel: PRIMARY\User2 ist gültig, SALONE\User1 und TRUSTED\User3 sind ungültig.
  • Muss in TRUSTED definierte Benutzer-ID sein. Beispiel: TRUSTED\User3 ist gültig, SALONE\User1 und PRIMARY\User2 sind ungültig.
Hinweise:
  1. Bei Ausführung in einer primären Domäne können Sie auch folgende Aktionen ausführen:
    • Definieren Sie die Benutzer-ID in der Domäne PRIMARY.
    • Fügen Sie diese ID zu der Gruppe PRIMARY\Domain mqm hinzu.
    • Fügen Sie die Gruppe PRIMARY\Domain mqm zu der Gruppe SALONE\mqm hinzu.
  2. Bei Ausführung in einer vertrauenswürdigen Domäne können Sie auch folgende Aktionen ausführen:
    • Definieren Sie die Benutzer-ID in der Domäne TRUSTED.
    • Fügen Sie diese ID zu der Gruppe TRUSTED\Domain mqm hinzu.
    • Fügen Sie die Gruppe TRUSTED\Domain mqm zu der Gruppe SALONE\mqm hinzu.
  3. Für alle Benutzer von Message Brokers Toolkit ist ein Lesezugriff auf das WebSphere MQ Java-Unterverzeichnis \lib des Ausgangsverzeichnisses WebSphere MQ erforderlich (die Standardposition lautet X:\Programmdateien \WebSphere MQ, dabei ist X das Laufwerk, auf dem sich das Betriebssystem befindet). Dieser Zugriff ist durch WebSphere MQ auf Benutzer beschränkt, die zur lokalen Gruppe mqm gehören. Diese Einschränkung wird von WebSphere Message Broker außer Kraft gesetzt; alle Benutzer erhalten Lesezugriff auf dieses Unterverzeichnis.
  4. Wenn in der vom Konfigurationsmanager verwendeten Domäne eine gültige Benutzer-ID (z. B. PRIMARY\User4) definiert ist, kann ein in einer anderen Domäne definierter Benutzer (z. B. DOMAIN2\User4) mit den Berechtigungen von Benutzer PRIMARY\User4 auf das Message Brokers Toolkit zugreifen.
Es gelten auch die folgenden allgemeinen Hinweise:
  1. Stellen Sie sicher, dass die Servicebenutzer-ID über die erforderlichen Zugriffsberechtigungen für die relevanten Verzeichnisse in der Produktverzeichnisstruktur verfügt (z. B. Schreibzugriff auf das Protokollverzeichnis). Wenn Sie für eine beliebige Komponente einen anderen Arbeitspfad als der Standardarbeitspfad festgelegt haben, müssen Sie sicherstellen, dass die Servicebenutzer-ID über die entsprechenden Zugriffsberechtigungen für diesen Standort verfügt.
  2. Wenn Sie einen Konfigurationsmanager mit einer bestimmten Benutzer-ID und einen Broker mit einer anderen Benutzer-ID auf einem anderen Computer ausführen, wird möglicherweise eine Fehlernachricht angezeigt, wenn Sie versuchen, Nachrichtenflüsse und Nachrichtengruppen im Broker zu implementieren. So vermeiden Sie diesen Fehler:
    • Stellen Sie sicher, dass die Benutzer-ID des Brokers ein Mitglied der Gruppen mqm und mqbrkrs ist.
    • Definieren Sie die Benutzer-ID für den Broker auf dem Computer, auf dem der Konfigurationsmanager aktiv ist.
    • Definieren Sie die Benutzer-ID für den Konfigurationsmanager auf dem Computer, auf dem der Broker aktiv ist.
    • Stellen Sie sicher, dass alle Benutzer-IDs in Kleinbuchstaben geschrieben wurden, damit sie auf den verschiedenen Systemen kompatibel sind.

Brokersicherheitsanforderungen unter Windows XP und Windows Server 2003

Unter Windows XP und Windows Server 2003 muss die Servicebenutzer-ID zur Gruppe mqbrkrs und optional zur Gruppe Administratoren gehören. Als Mitglied der Gruppe Administratoren verfügt die Servicebenutzer-ID über die Berechtigung für den Zugriff auf Registrierungsschlüssel des Brokers, um auf Brokerinformationen zuzugreifen. Wenn die Servicebenutzer-ID nicht zur Gruppe Administratoren gehört, können Sie die Windows-Registry so bearbeiten, dass die Servicebenutzer-ID auf die Registrierungsschlüssel zugreifen kann, ohne über Administratorberechtigungen zu verfügen.

Die Anweisungen für beide Betriebssysteme sind identisch, es sei denn, es wurden Abweichungen angegeben.

  1. Klicken Sie auf Start > Ausführen, geben Sie regedit ein und klicken Sie auf OK. Der Registry-Editor wird geöffnet.
  2. Suchen Sie im linken Teilfenster HKEY_LOCAL_MACHINE\SOFTWARE\IBM\WebSphereMQIntegrator.
  3. Klicken Sie mit der rechten Maustaste auf WebSphereMQIntegrator, und wählen Sie Permissions (Berechtigungen) aus. Das Fenster mit den Berechtigungen für WebSphereMQIntegrator wird geöffnet.
  4. Klicken Sie unter der Liste der Gruppen- oder Benutzernamen auf Hinzufügen. Das Fenster zur Auswahl der Benutzer oder Gruppen wird geöffnet.
  5. Klicken Sie auf Advanced (Erweitert) und anschließend auf Find Now (Jetzt finden), um die aktuellen Benutzer und Gruppen aufzuführen. Wählen Sie in der Liste die Gruppe mqbrkrs aus, um sie zu markieren, und klicken Sie doppelt auf OK.
  6. Klicken Sie im Fenster mit den Berechtigungen für WebSphereMQIntegrator auf Advanced (Erweitert), um spezielle Berechtigungen festzulegen. Das Fenster mit den erweiterten Sicherheitseinstellungen für WebSphereMQIntegrator wird geöffnet.
  7. Markieren Sie mqbrkrs, und klicken Sie auf Edit (Bearbeiten). Das Fenster mit den Berechtigungseinträgen für WebSphereMQIntegrator wird geöffnet.
  8. Wählen Sie Set Value (Wert einrichten), Create Subkey (Unterschlüssel erstellen) und Delete (Löschen) aus, und klicken Sie auf OK.
  9. Stellen Sie sicher, dass unter Windows Server 2003 Allow inheritable permissions (Vererbbare Berechtigungen zulassen) bzw. unter Windows XP Inherit from parent (Von übergeordnetem Element übernehmen) ausgewählt ist, und klicken Sie auf OK.
  10. Klicken Sie auf OK, um die übrigen Fenster zu schließen, und schließen Sie anschließend den Registry-Editor.
Zugehörige Konzepte
Sicherheit für Laufzeitressourcen: Zugriffssteuerungslisten
Zugehörige Tasks
Sicherheit für Domänenkomponenten konfigurieren
Sicherheit für die Brokerdomäne einrichten
Themenspezifische Sicherheit aktivieren
Zugehörige Verweise
Befehl mqsicreateaclentry
Befehl 'mqsideleteaclentry'
mqsilistaclentry-Befehl
Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Letzte Aktualisierung : 2009-02-17 15:29:45

ap08683_