Sicherheit für einen Konfigurationsmanager planen

Während dieser Task wird die Gruppenzugehörigkeit geplant die für Folgendes erforderlich ist:
  • Benutzer, die Konfigurationsmanager-Befehle ausführen
  • Service-IDs
  • Zugriff auf die Warteschlangen des Konfigurationsmanagers

Dem Konfigurationsmanager selbst wird auch eine ACL zugeordnet. Benutzer oder Gruppen, die mit vollständigen Zugriffsrechten zur ACL des Konfigurationsmanagers gehören, gehören damit automatisch auch mit vollständigen Zugriffsrechten zu allen anderen ACLs. Die Zugehörigkeit mit vollständigen Zugriffsrechten zur ACL des Konfigurationsmanagers ermöglicht es Benutzern oder Gruppen, die ACLs für jedes Objekt (einschließlich des Konfigurationsmanagers) zu ändern.

Hier gehören folgende Schritte dazu:

  1. Benutzerkonten festlegen, die Befehle des Konfigurationsmanagers ausführen können
  2. Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird
  3. Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten
  4. Konfigurationsmanager in einer Domänenumgebung ausführen

Benutzerkonten festlegen, die Befehle des Konfigurationsmanagers ausführen können

Sie müssen entscheiden, welche Berechtigungen Benutzer-IDs benötigen, die
  • einen Konfigurationsmanager erstellen, ändern, anzeigen, löschen, starten und stoppen
  • Trace-Informationen anzeigen, abrufen und ändern

Beantworten Sie folgende Fragen:

  1. Führen Sie Konfigurationsmanager-Befehle unter einem lokalen Windows-Benutzerkonto aus?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Angenommen, Ihr lokales Konto befindet sich auf einem PC mit der Bezeichnung WKSTN1. Bei der Erstellung eines Konfigurationsmanagers müssen Sie sicherstellen, dass die Benutzer-ID in der lokalen Domäne definiert ist.Stellen Sie beim Erstellen oder Starten eines Konfigurationsmanagers sicher, dass Ihre Benutzer-ID Mitglied von WKSTN1\Administratoren ist.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird.

  2. Führen Sie Konfigurationsmanager-Befehle unter einem Windows-Domänenkonto aus?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Stellen Sie beim Erstellen eines Konfigurationsmanagers mit Hilfe von beispielsweise 'DOMAIN1\user1' sicher, dass 'DOMAIN1\user1' ein Mitglied von WKSTN1\Administratoren ist.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird.

Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird

Wenn Sie im Befehl mqsicreateconfigmgr oder mqsichangeconfigmgr die Service-ID über die Option -i setzen, legen Sie damit die Benutzer-ID fest, unter der der Prozess der Konfigurationsmanager-Komponente ausgeführt wird.

Beantworten Sie folgende Fragen:

  1. Soll Ihr Konfigurationsmanager unter einem lokalen Windows-Benutzerkonto ausgeführt werden?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Stellen Sie sicher, dass die Benutzer-ID in der lokalen Domäne definiert ist und zu den Gruppen mqbrkrs und mqm gehört.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten.

  2. Soll der Konfigurationsmanager unter einem Windows-Domänenkonto ausgeführt werden?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Wird ein Konfigurationsmanager beispielsweise unter DOMAIN1\user1 ausgeführt, müssen Sie sicherstellen, dass DOMAIN1\user1 zu den Gruppen DOMAIN1\Domain mqbrkrs und WKSTN1\mqm gehört, und dass DOMAIN1\Domain mqbrkrs ebenfalls zur Gruppe WKSTN1\mqbrkrs gehört. Ebenso haben Sie auch folgende Möglichkeit:
      1. Definieren Sie user1 in DOMAIN1.
      2. Fügen Sie user1 der Gruppe DOMAIN1\Domain mqm hinzu.
      3. Fügen Sie die Gruppe DOMAIN1\Domain mqm der Gruppe WKSTN1\mqm hinzu.
      4. Fügen Sie die Gruppe DOMAIN1\Domain mqbrkrs der Gruppe WKSTN1\mqbrkrs hinzu.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten.

Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten

Durch die Ausführung des Befehls erhält die Gruppe mqbrkrs Zugriff auf die folgenden Warteschlangen:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
Der Broker und der Benutzernamensserver benötigen Zugriff auf die Warteschlangen des Konfigurationsmanagers.
Alle Gruppen bzw. Benutzer, für die ACLs erstellt werden, erhalten die Zugriffsberechtigung auf die folgenden Warteschlangen:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.

Konfigurationsmanager in einer Domänenumgebung ausführen

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 18.05.2006
ap03984_