DB2 Version 9.7 für Linux, UNIX und Windows

Einrichten erweiterter Zugriffsrechte unter Windows vor der Installation eines DB2-Produkts (Windows)

Bei der üblichen Installationsmethode für ein DB2-Produkt unter Windows wird das Benutzerkonto eines Administrators verwendet. DB2-Produkte können aber auch von einem Mitglied ohne Administratorkonto installiert werden. Hierzu muss ein Windows-Administrator die Funktion für die erweiterten (erhöhten) Zugriffsrechte unter Windows einrichten.

In diesem Abschnitt wird beschrieben, wie ein Windows-Administrator erweiterte Zugriffsrechte für einen Computer einrichten kann, um Installationen mit einem Benutzerkonto ohne Administratorberechtigung zuzulassen. Die zugehörige Task zum Erteilen von DB2-Administratorberechtigungen mit Grant für Benutzer ohne Administratorberechtigung wird ebenfalls behandelt.

Diese Task wird in der Regel von einem Windows-Administrator ausgeführt, um einer anderen Person ohne Administratorkonto die Installation eines DB2-Produkts zu ermöglichen. Die Rolle dieser Person besteht unter Umständen nur in der Installation von DB2-Produkten und ggf. im Anschluss an die Installation auch noch in der Verwaltung der DB2-Produkte.

Bevor Sie diese Vorgehensweise verwenden, beachten Sie die folgenden Einschränkungen für die Installation ohne Administratorberechtigung mithilfe von erweiterten Zugriffsrechten:

• Benutzer ohne Administratorberechtigung können Fixpacks bzw. Add-on-Produkte nur installieren oder ein Upgrade von DB2-Produkten nur durchführen, wenn vorherige Installationen oder Upgrades ebenfalls vom selben Benutzer ohne Administratorberechtigung durchgeführt wurden.
• Benutzer ohne Administratorberechtigung können ein DB2-Produkt nicht deinstallieren. Unter Windows Vista (oder einem neueren Betriebssystem) können diese Benutzer ohne Administratorberechtigung ein DB2-Produkt deinstallieren.

Bei dieser Vorgehensweise wird der Gruppenrichtlinien-Editor von Windows verwendet.

1. Klicken Sie Start -> Ausführen an und geben Sie gpedit.msc ein. Das Fenster Gruppenrichtlinie wird geöffnet.
2. Klicken Sie 'Computerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten –> Windows Installer' an.
3. Aktivieren Sie die folgenden Gruppenrichtlinieneinstellungen:
   • Immer mit erhöhten Rechten installieren (verbindlich)
   • Benutzersteuerung bei Installationen zulassen (verbindlich)
   • Windows Installer deaktivieren (anschließend auf Niemals setzen)
   • Patchverwendung für Programme mit erhöhter Sicherheit zulassen (optional)
   • Verwenden von Medienquelle für Benutzer mit erhöhten Rechten aktivieren (optional)
   • Durchsuchen für Benutzer mit erhöhten Rechten aktivieren (optional für Neuinstallationen, verbindlich für Fixpack-Upgrades)
4. Aktivieren Sie die erweiterten Zugriffsrechte für das Benutzerkonto, das bei der Installation verwendet werden soll.
   1. Klicken Sie Benutzerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten –> Windows Installer an.
   2. Aktivieren Sie die Gruppenrichtlinieneinstellung Immer mit erhöhten Rechten installieren (verbindlich).
5. Definieren Sie das Benutzerkonto, mit dem das DB2-Produkt installiert wird.
   • Entscheiden Sie, mit welchem Benutzerkonto das DB2-Produkt installiert werden soll. Sofern erforderlich, erstellen Sie dieses Konto.
   • Geben Sie diesem Konto den Schreibzugriff für das Laufwerk, auf dem die Installation geplant ist.
6. Optional: Führen Sie die zusätzlichen Schritte für die Installation von Fixpacks aus:
   • Stellen Sie den Lesezugriff auf das Verzeichnis sqllib\cfg bereit.
   • Stellen Sie sicher, dass allowlockdownpatch aktiviert ist (wie in der SDK-Dokumentation des Windows-Installationsprogramms beschrieben), da Fixpackinstallationen als untergeordnete Upgrades für das Produkt betrachtet werden.
7. Aktualisieren Sie die Sicherheitsrichtlinie des Computers auf eine der folgenden Weisen:
   • Führen Sie einen Warmstart des PCs durch.
   • Geben Sie in der Befehlszeile gpupdate.exe ein.

Mit dieser Vorgehensweise richten Sie Ihren Computer mit erweiterten Zugriffsrechten ein und Sie definieren ein Benutzerkonto, das DB2-Serverprodukte, -Clients und -Fixpacks installieren kann.

Nach Abschluss der DB2-Installation gilt Folgendes:

• Jeder beliebige Benutzer in der Berechtigungsgruppe SYSADM (Systemverwaltung) bzw. SYSCTRL (Systemsteuerung), die in der Datenbankmanagerkonfiguration für die Instanz definiert ist, kann innerhalb der DB2-Instanz DB2-Datenbanken erstellen und verwenden.
• Nur ein Benutzer mit lokaler Administratorberechtigung kann DB2-Instanzdienstprogramme wie db2icrt, db2idrop, db2iupdt oder db2iupgrade ausführen.
• Die Berechtigungsvoraussetzungen für die Ausführung des Befehls db2start bzw. db2stop sind in den Abschnitten zum Befehl START DATABASE MANAGER bzw. zum Befehl STOP DATABASE MANAGER definiert.

Verwenden von 'regedit' anstelle des Windows-Gruppenrichtlinieneditors

Anstelle des Windows-Gruppenrichtlinieneditors können Sie den Befehl 'regedit' verwenden.

1. Fügen Sie im Registry-Bereich HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows den Schlüssel Installer hinzu.

2. Bearbeiten Sie den Schlüssel Installer mit den folgenden Werten:
   • Geben Sie für AlwaysInstallElevated den Wert REG_DWORD=1 ein.
   • Geben Sie für AllowLockdownBrowse den Wert REG_DWORD=1 ein.
   • Geben Sie für AllowLockdownMedia den Wert REG_DWORD=1 ein.
   • Geben Sie für AllowLockdownPatch den Wert REG_DWORD=1 ein.
   • Geben Sie für DisableMSI den Wert REG_DWORD=0 ein.
   • Geben Sie für EnableUserControl den Wert REG_DWORD=1 ein.

3. Fügen Sie im Registry-Bereich HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows den Schlüssel Installer hinzu.

4. Bearbeiten Sie den Schlüssel Installer mit den folgenden Werten:

   • Geben Sie für AlwaysInstallElevated den Wert REG_DWORD=1 ein.

Entfernen der erweiterten Zugriffsrechte

Die von Ihnen erteilten erweiterten Zugriffsrechte können Sie nun bei Bedarf zurücknehmen. Entfernen Sie hierzu den Registrierungsschlüssel Installer unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows.

Erteilen von DB2-Verwaltungsberechtigungen für einen Benutzer ohne Administratorberechtigung

Jetzt verfügen nur Mitglieder der Windows-Administratorengruppe über DB2-Verwaltungsberechtigungen. Der Windows-Administrator hat die Möglichkeit, dem Benutzer ohne Administratorberechtigung, der das DB2-Produkt installiert hat, DB2-Berechtigungen wie z. B. SYSADM, SYSMAINT oder SYSCTRL mit Grant zu erteilen.