Sicherheitsüberlegungen für einen Konfigurationsmanager

Für diese Sicherheitsüberlegungen muss die Gruppenzugehörigkeit festgelegt werden für:
  • die Benutzer, die Konfigurationsmanagerbefehle ausführen
  • die Service-IDs
  • den Zugriff auf die Warteschlangen des Konfigurationsmanagers.

Dem Konfigurationsmanager selbst wird auch eine ACL zugeordnet. Benutzer oder Gruppen, die mit vollständigen Zugriffsrechten zur ACL des Konfigurationsmanagers gehören, gehören damit automatisch auch mit vollständigen Zugriffsrechten zu allen anderen ACLs. Die Zugehörigkeit mit vollständigen Zugriffsrechten zur ACL des Konfigurationsmanagers ermöglicht es Benutzern oder Gruppen, die ACLs für jedes Objekt (einschließlich des Konfigurationsmanagers) zu ändern.

Lesen Sie hierzu die entsprechenden Abschnitte in dieser Liste:

  1. Benutzerkonten festlegen, die Befehle des Konfigurationsmanagers ausführen können
  2. Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird
  3. Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten
  4. Konfigurationsmanager in einer Domänenumgebung ausführen

Benutzerkonten festlegen, die Befehle des Konfigurationsmanagers ausführen können

Sie müssen entscheiden, welche Berechtigungen Benutzer-IDs benötigen, die
  • einen Konfigurationsmanager erstellen, ändern, anzeigen, löschen, starten und stoppen
  • Traceinformationen anzeigen, abrufen und ändern

Beantworten Sie folgende Fragen:

  1. Führen Sie Konfigurationsmanager-Befehle unter einem lokalen Windows-Konto aus?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Angenommen, Ihr lokales Konto befindet sich auf einem PC mit der Bezeichnung WKSTN1. Bei der Erstellung eines Konfigurationsmanagers müssen Sie sicherstellen, dass die Benutzer-ID in der lokalen Domäne definiert ist.Wenn Sie einen Konfigurationsmanager erstellen oder starten, müssen Sie sicherstellen, dass Ihre Benutzer-ID zu WKSTN1\Administratoren gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird.

  2. Führen Sie Konfigurationsmanager-Befehle unter einem Windows-Domänenkonto aus?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Beim Erstellen eines Konfigurationsmanagers beispielsweise unter Verwendung von DOMAIN1\user1 müssen Sie sicherstellen, dass DOMAIN1\user1 zu WKSTN1\Administrators gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird.

Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird

Wenn Sie im Befehl mqsicreateconfigmgr oder mqsichangeconfigmgr die Service-ID über die Option -i setzen, legen Sie damit die Benutzer-ID fest, unter der der Prozess der Konfigurationsmanager-Komponente ausgeführt wird.

Beantworten Sie folgende Fragen:

  1. Soll der Konfigurationsmanager unter einem lokalen Windows-Konto ausgeführt werden?
    1. Nein: Weiter mit der nächsten Frage.
    2. Beginn der ÄnderungJa: Stellen Sie sicher, dass Ihre Benutzer-ID über die folgenden Kenndaten verfügt.
      • Sie ist in Ihrer lokalen Domäne definiert.
      • Sie ist Mitglied von mqbrkrs.
      • Sie ist Mitglied von mqm.
      • Sie ist Mitglied von 'Administrators'.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten.

      Ende der Änderung
  2. Soll der Konfigurationsmanager unter einem Windows-Domänenkonto ausgeführt werden?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Wenn Sie einen Konfigurationsmanager ausführen (z. B. 'DOMAIN1\user1') stellen Sie Folgendes sicher:
      1. 'DOMAIN1\user1' ist ein Mitglied von 'DOMAIN1\Domain mqbrkrs'.
      2. 'DOMAIN1\user1' ist ein Mitglied von 'WKSTN1\mqm'.
      3. 'DOMAIN1\Domain mqbrkrs' ist ein Mitglied von 'WKSTN1\mqbrkrs'.
      4. Beginn der Änderung'DOMAIN1\user1' ist ein Mitglied von 'WKSTN1\Administrators'. Ende der Änderung

      Führen Sie alternativ hierzu folgende Schritte aus:

      1. Definieren Sie 'user1' in 'DOMAIN1'.
      2. Fügen Sie 'user1' der Gruppe 'DOMAIN1\Domain mqm' hinzu.
      3. Beginn der ÄnderungFügen Sie 'user1' der Gruppe 'DOMAIN1\Domain mqbrkrs' hinzu. Ende der Änderung
      4. Fügen Sie die Gruppe 'DOMAIN1\Domain mqm' der Gruppe 'WKSTN1\mqm' hinzu.
      5. Fügen Sie die Gruppe 'DOMAIN1\Domain mqbrkrs' der Gruppe 'WKSTN1\mqbrkrs' hinzu.
      6. Beginn der ÄnderungFügen Sie 'user1' der Gruppe 'WKSTN1\Administrators' hinzu. Ende der Änderung

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten.

Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten

Durch die Ausführung des Befehls erhält die Gruppe mqbrkrs Zugriff auf die folgenden Warteschlangen:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
Der Broker und der Benutzernamensserver benötigen Zugriff auf die Warteschlangen des Konfigurationsmanagers.
Alle Gruppen bzw. Benutzer, für die ACLs erstellt werden, erhalten die Zugriffsberechtigung auf die folgenden Warteschlangen:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.

Konfigurationsmanager in einer Domänenumgebung ausführen

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
ap03984_