Db2 サーバー製品のインストールに必要なユーザー・アカウント (Windows)
インストール・タスクを開始するには、インストールのユーザー・アカウントを持っていなければなりません。 インストール中に、1 つ以上のセットアップ・ユーザー・アカウント ( Db2 Administration Server (DAS) ユーザー・アカウントや Db2 インスタンス・ユーザー・アカウントなど) を作成することもできます。
インストール・ユーザー・アカウントとは、インストールを実行するユーザーのアカウントです。 インストール・ユーザー・アカウントは、Db2 セットアップ・ウィザードの実行に先立って定義する必要があります。 セットアップ・ユーザー・アカウントは、インストールの前に定義することもできますし、Db2 セットアップ・ウィザードで作成することもできます。
すべてのユーザー・アカウント名は、ご使用のシステムの命名規則と Db2 のユーザー、ユーザー ID、およびグループ命名規則に従ったものでなければなりません。
Db2 命名規則で指定されていない、英語以外の文字を含むインストール・ユーザー・アカウントを使用すると、Db2 のインストールは失敗します。
Windows での拡張セキュリティー
Db2 データベース製品は、拡張された Windows セキュリティーを提供します。 拡張セキュリティー・フィーチャーを選択する場合は、Db2 データベース製品を管理するユーザーを Db2ADMNS グループに追加するか、使用するユーザーを Db2USERS グループに追加しなければなりません。
これらの 2 つの新しいグループは、 Db2 インストーラーによって作成されます。 インストール中に、新しい名前を指定するか、デフォルト名を受け入れることができます。
このセキュリティー機能を有効にするには、 Db2 のインストール時に 「 Db2 オブジェクトのオペレーティング・システム・セキュリティーを有効にする」 パネルの 「オペレーティング・システム・セキュリティーを有効にする」 チェック・ボックスを選択します。 「Db2 管理者グループ」フィールドと「Db2 ユーザー・グループ」フィールドで、デフォルト値を受け入れます。 デフォルトのグループ名は DB2ADMNS と DB2USERS です。 既存のグループ名と競合する場合、グループ名を変更するようプロンプトが出されます。 必要な場合は、独自のグループ名を指定できます。
Db2 サーバー・ユーザー・アカウント
- インストール・ユーザー・アカウント
- ローカルまたはドメイン・ユーザー・アカウントは、インストールを実行するために必要です。 ユーザー・アカウントは通常、インストールを実行するコンピューターの管理者 グループに属していなければなりません。
あるいは、非管理者ユーザー・アカウントを使用できます。 この代替方法では、Windows 管理者グループのメンバーが最初に Windows の昇格された特権設定を構成して、管理者以外のユーザー・アカウントがインストールを実行できるようにする必要があります。
Windows オペレーティング・システムでは、非管理者はインストールを実行できますが、 Db2 セットアップ ・ウィザードによって管理資格情報の入力を求めるプロンプトが出されます。
インストール・ユーザー・アカウントには、「ネットワーク経由でこのコンピュータへアクセス」というユーザー権限が必要です。
インストール時にドメイン・アカウントを作成するか検査する必要がある場合は、インストール・ユーザー ID が、ドメイン上のドメイン管理者グループに属していなければなりません。
すべての製品に関するサービス・ログオン・アカウントとして標準装備の LocalSystem アカウントを使用することもできます。
- Db2 インストーラーによって与えられるユーザー権利
- Db2 インストール・プログラムは、「プログラムのデバッグ」というユーザー権利は与えません。 Db2 インストーラーが与えるユーザー権利は、以下のとおりです。
- オペレーティング・システムの一部として機能
- トークン・オブジェクトの作成
- メモリー内のページのロック
- サービスとしてログオン
- クォータの増加
- プロセス・レベル・トークンの置換
- Db2 Administration Server (DAS) のユーザー・アカウント
- Db2 Administration Server (DAS) では、ローカル・ユーザー・アカウントまたはドメイン・ユーザー・アカウントが必要です。重要: Db2 Administration Server (DAS) はバージョン 9.7 で非推奨になっており、将来のリリースで除去される可能性があります。 DAS は、 Db2 pureScale® 環境ではサポートされていません。 リモート管理のためには、Secure Shell プロトコルを使用するソフトウェア・プログラムを使用してください。 詳しくは、 Db2 Administration Server (DAS) が非推奨になった を参照してください。
応答ファイルのインストールを実行する場合は、 応答ファイルの中でローカル・システム・アカウントを指定することもできます。 詳しくは、 db2\windows\samples ディレクトリーにあるサンプル応答ファイルを参照してください。
LocalSystem アカウントは、 Db2 Enterprise Server Edition 以外のすべての製品で使用でき、 Db2 セットアップ ・ウィザードを使用して選択できます。
DAS は、GUI ツールをサポートするために使用される特殊 Db2 管理サービスで、ローカルおよびリモート Db2 サーバー上の管理作業を援助します。 DAS にはユーザー・アカウントが割り振られており、それは、 DAS サービスの開始時のコンピューターへの DAS サービスのログオンに使われます。
DAS ユーザー・アカウントは、Db2 をインストールする前に作成することもできますし、Db2 セットアップ・ウィザードで作成することもできます。 Db2 セットアップ・ウィザードで新規ドメイン・ユーザー・アカウントを作成する場合は、インストールを実行するために使用するユーザー・アカウントが、ドメイン・ユーザー・アカウントを作成する権限を持っている必要があります。 ユーザー・アカウントは、インストールを実行するコンピューターの管理者 グループに属していなければなりません。 このアカウントには、以下のユーザー権限が付与されます。
- オペレーティング・システムの一部として機能
- プログラムのデバッグ
- トークン・オブジェクトの作成
- メモリー内のページのロック
- サービスとしてログオン
- 割り当て量の増加 (Windows Server 2003 オペレーティング・システム上のプロセスのメモリー割り当て量の調整)
- プロセス・レベル・トークンの置換
拡張セキュリティーが有効になっていると、DB2ADMNS グループにこれらのすべての特権が与えられます。 その場合は、そのグループにユーザーを追加するだけで十分であり、それらの特権を明示的に追加する必要はありません。 ただしその場合でも、各ユーザーは、ローカル管理者グループのメンバーになっている必要があります。
「プログラムのデバッグ」特権は、 Db2 グループ検索でアクセス・トークンを使用することが明示的に指定されている場合にのみ必要です。
ユーザー・アカウントがインストール・プログラムによって作成される場合は、 そのユーザー・アカウントにこれらの特権が付与されます。 また、ユーザー・アカウントが既存の場合は、このアカウントにもこれらの特権が付与されます。 インストール時に特権が付与される場合、これらの特権の一部は、 これらの特権が付与されたアカウントによる最初のログオン時かリブート時にのみ有効になります。
ご使用の環境内のそれぞれの Db2 データベース・システム上の DAS ユーザーに、 SYSADM 権限を与えることをお勧めします。 そうすれば、必要であれば、それが他のインスタンスを開始したり停止したりすることができます。 デフォルトでは、管理者 グループに参加しているユーザーには SYSADM 権限があります。
- Db2 インスタンス・ユーザー・アカウント
- ユーザー・アカウントは、インストールを実行するコンピューターの管理者 グループに属していなければなりません。
インスタンスは Windows サービスとして実行され、サービスはユーザー・アカウントのセキュリティー・コンテキストで実行されるため、 Db2 インスタンスにはローカル・ユーザー・アカウントまたはドメイン・ユーザー・アカウントが必要です。 ドメイン・ユーザー・アカウントを使用してインスタンスに対してデータベース操作 (データベースの作成など) を実行する場合、 Db2 サービスは、ユーザーのグループ・メンバーシップを認証および検索するためにドメインにアクセスする必要があります。 デフォルトでは、ドメインでドメインの照会ができるのはドメイン・ユーザーだけであるため、サービスはドメイン・ユーザーのセキュリティー・コンテキストで実行される必要があります。 ローカル・ユーザー・アカウントまたは LocalSystem アカウントを使用して実行されている Db2 サービスに対して、ドメイン・ユーザー・アカウントを使用してデータベース操作を実行すると、エラーが生じます。
また、組み込みの LocalSystem アカウントを使用して、 Db2 Enterprise Server Editionを除くすべての製品のインストールを実行することもできます。
Db2 インスタンス・ユーザー・アカウントは、Db2 をインストールする前に作成することもできますし、Db2 セットアップ・ウィザードで作成することもできます。 Db2 セットアップ・ウィザードで新規ドメイン・ユーザー・アカウントを作成する場合は、インストールを実行するために使用するユーザー・アカウントが、ドメイン・ユーザー・アカウントを作成する権限を持っている必要があります。 このアカウントには、以下のユーザー権限が付与されます。- オペレーティング・システムの一部として機能
- プログラムのデバッグ
- トークン・オブジェクトの作成
- クォータの増加
- メモリー内のページのロック
- サービスとしてログオン
- プロセス・レベル・トークンの置換
拡張セキュリティーが有効になっていると、DB2ADMNS グループにこれらのすべての特権が与えられます。 その場合は、そのグループにユーザーを追加するだけで十分であり、それらの特権を明示的に追加する必要はありません。 ただしその場合でも、各ユーザーは、ローカル管理者グループのメンバーになっている必要があります。
「プログラムのデバッグ」特権は、 Db2 グループ検索でアクセス・トークンを使用することが明示的に指定されている場合にのみ必要です。
ユーザー・アカウントがインストール・プログラムによって作成される場合は、 そのユーザー・アカウントにこれらの特権が付与されます。 また、ユーザー・アカウントが既存の場合は、このアカウントにもこれらの特権が付与されます。 インストール時に特権が付与される場合、これらの特権の一部は、 これらの特権が付与されたアカウントによる最初のログオン時かリブート時にのみ有効になります。