Sicherheit für einen Konfigurationsmanager planen

Während dieser Task wird die Gruppenzugehörigkeit geplant die für Folgendes erforderlich ist:
  • Benutzer, die Konfigurationsmanager-Befehle ausführen
  • Service-IDs
  • Zugriff auf die Warteschlangen des Konfigurationsmanagers

Dem Konfigurationsmanager selbst wird auch eine ACL zugeordnet. Benutzer oder Gruppen, die mit vollständigen Zugriffsrechten zur ACL des Konfigurationsmanagers gehören, gehören damit automatisch auch mit vollständigen Zugriffsrechten zu allen anderen ACLs. Die Zugehörigkeit mit vollständigen Zugriffsrechten zur ACL des Konfigurationsmanagers ermöglicht es Benutzern oder Gruppen, die ACLs für jedes Objekt (einschließlich des Konfigurationsmanagers) zu ändern.

Hier gehören folgende Schritte dazu:

  1. Benutzerkonten festlegen, die Befehle des Konfigurationsmanagers ausführen können
  2. Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird
  3. Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten
  4. Konfigurationsmanager in einer Domänenumgebung ausführen

Benutzerkonten festlegen, die Befehle des Konfigurationsmanagers ausführen können

Sie müssen entscheiden, welche Berechtigungen Benutzer-IDs benötigen, die
  • einen Konfigurationsmanager erstellen, ändern, anzeigen, löschen, starten und stoppen
  • Trace-Informationen anzeigen, abrufen und ändern

Beantworten Sie folgende Fragen:

  1. Führen Sie Konfigurationsmanager-Befehle unter einem lokalen Windows-Konto aus?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Angenommen, Ihr lokales Konto befindet sich auf einem PC mit der Bezeichnung WKSTN1. Bei der Erstellung eines Konfigurationsmanagers müssen Sie sicherstellen, dass die Benutzer-ID in der lokalen Domäne definiert ist.Wenn Sie einen Konfigurationsmanager erstellen oder starten, müssen Sie sicherstellen, dass Ihre Benutzer-ID zu WKSTN1\Administratoren gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird.

  2. Führen Sie Konfigurationsmanager-Befehle unter einem Windows-Domänenkonto aus?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Beim Erstellen eines Konfigurationsmanagers beispielsweise unter Verwendung von DOMAIN1\user1 müssen Sie sicherstellen, dass DOMAIN1\user1 zu WKSTN1\Administrators gehört.

      Weiter mit Abschnitt Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird.

Benutzerkonto festlegen, das für die Service-ID des Konfigurationsmanagers verwendet wird

Wenn Sie im Befehl mqsicreateconfigmgr oder mqsichangeconfigmgr die Service-ID über die Option -i setzen, legen Sie damit die Benutzer-ID fest, unter der der Prozess der Konfigurationsmanager-Komponente ausgeführt wird.

Beantworten Sie folgende Fragen:

  1. Soll der Konfigurationsmanager unter einem lokalen Windows-Konto ausgeführt werden?
    1. Nein: Weiter mit der nächsten Frage.
    2. Ja: Stellen Sie sicher, dass die Benutzer-ID in der lokalen Domäne definiert ist und zu den Gruppen mqbrkrs und mqm gehört.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten.

  2. Soll der Konfigurationsmanager unter einem Windows-Domänenkonto ausgeführt werden?
    1. Ja: Angenommen, Ihr PC mit dem Namen WKSTN1 gehört zur Domäne DOMAIN1. Wird ein Konfigurationsmanager beispielsweise unter DOMAIN1\user1 ausgeführt, müssen Sie sicherstellen, dass DOMAIN1\user1 zu den Gruppen DOMAIN1\Domain mqbrkrs und WKSTN1\mqm gehört, und dass DOMAIN1\Domain mqbrkrs ebenfalls zur Gruppe WKSTN1\mqbrkrs gehört. Ebenso haben Sie auch folgende Möglichkeit:
      1. Definieren Sie user1 in DOMAIN1.
      2. Fügen Sie user1 der Gruppe DOMAIN1\Domain mqm hinzu.
      3. Fügen Sie die Gruppe DOMAIN1\Domain mqm der Gruppe WKSTN1\mqm hinzu.
      4. Fügen Sie die Gruppe DOMAIN1\Domain mqbrkrs der Gruppe WKSTN1\mqbrkrs hinzu.

      Weiter mit Abschnitt Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten.

Sicherheit für die Warteschlangen des Konfigurationsmanagers einrichten

Durch die Ausführung des Befehls erhält die Gruppe mqbrkrs Zugriff auf die folgenden Warteschlangen:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY
  • SYSTEM.BROKER.ADMIN.REPLY
  • SYSTEM.BROKER.SECURITY.QUEUE
  • SYSTEM.BROKER.MODEL.QUEUE.
Der Broker und der Benutzernamensserver benötigen Zugriff auf die Warteschlangen des Konfigurationsmanagers.
Alle Gruppen bzw. Benutzer, für die ACLs erstellt werden, erhalten die Zugriffsberechtigung auf die folgenden Warteschlangen:
  • SYSTEM.BROKER.CONFIG.QUEUE
  • SYSTEM.BROKER.CONFIG.REPLY.

Konfigurationsmanager in einer Domänenumgebung ausführen

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2005 Letzte Aktualisierung: Nov 17, 2005
ap03984_