企业管理指南 › 集中管理策略 › 变量 › 使用变量的准则

使用变量的准则

当使用变量时，应当遵守以下准则：

• 您不能删除被其他变量或策略使用的变量。
• 变量可以有多个值。 您可以添加和删除变量值。
• 变量可以进行嵌套。 例如，下列规则定义了名为 ac_data 且包含内置的 <!AC_ROOT_PATH> 变量的变量：

  editres ACVAR ac_data value("<!AC_ROOT_PATH>\data")
  

  当具有 CA Access Control 默认安装的 Windows 端点编译该规则时，会创建以下规则：

  editres ACVAR ac_data value("C:\Program Files\CA\AccessControl\data")
  

• 每个变量只能有一种类型，例如，您无法定义既是静态变量又是注册表值变量的变量。
• 您不能部署包含未定义变量的策略。 如果您使用未定义的变量部署策略，CA Access Control 会将该策略的部署状态更改为“部署挂起”。 要部署该策略，您必须定义此未定义的变量，然后重新部署该策略。

  注意：要找到策略中未定义的变量，请查看该策略的 DEPLOYMENT 对象。 不管您已经启用还是禁用了策略验证，CA Access Control 都会检查未定义的变量。

• CA Access Control 无法解析组合了 CA Access Control 变量和 Windows 系统变量的规则。 例如，CA Access Control 无法解析定义了名为 var1 的变量的以下规则：

  editres ACVAR var1 value("%SYSTEMROOT%\temp")
  

  要创建将 %SYSTEMROOT% 定义为 CA Access Control 变量且保护 %SYSTEMROOT%\temp 的策略，请使用以下规则：

  editres ACVAR var1 value("SYSTEMROOT") type(osvar)
  editres ACVAR var2 value("<!var1>\temp")
  

• CA Access Control 无法解析相互依赖的变量。 例如，CA Access Control 无法解析以下示例中的变量 var1 和 var2：

  editres ACVAR var1 value("<!var2>")
  editres ACVAR var2 value("<!var1>")
  

• 当使用斜线来定义变量中的目录时，对于 Windows 和 UNIX 端点，CA Access Control 会按照正确的方向解析斜线。
• 如果使用 selang 规则来定义变量，则必须使用策略将规则部署到端点。 如果使用 selang 规则在端点上直接更新 CA Access Control 数据库，CA Access Control 则无法编译这些规则。 例如，如果您已经在端点上定义名为 jboss_home 的变量，而您直接使用下列的 selang 规则更新数据库：

  editres FILE <!jboss_home> audit(all)
  

  CA Access Control 会无法编译该规则，而是在数据库中创建命名 <!jboss_home> 的 FILE 对象。