企业管理指南 › 集中管理策略 › 基于策略的高级管理的工作原理

基于策略的高级管理的工作原理

通过基于策略的高级管理，您可以存储、部署和取消部署策略版本，并在以后查看部署状态、部署偏差和部署分布。

基于策略的高级管理的工作原理如下：

1. 创建一个策略。

   每个策略都包含一对 selang 命令脚本。 第一个脚本称为部署脚本，它包含一组用于构建策略的 selang 命令。 第二个脚本称为取消部署脚本，它包含从端点数据库取消部署（删除）策略所需的命令。

2. 使用 CA ControlMinder 企业管理 或 policydeploy 实用工具将策略详细信息存储在 DMS 中，然后，CA ControlMinder 使用自动版本控制来存储策略。

   策略详细信息包括策略说明、部署脚本和取消部署脚本以及策略依存关系。

3. 根据 DMS 上是否已存在策略，CA ControlMinder 将执行以下操作之一：
   • 如果 DMS 上不存在策略名称，CA ControlMinder 会创建第一个版本的策略 (policy_name#01) 和逻辑策略对象（GPOLICY 类），然后将策略版本添加为逻辑策略的成员。
   • 如果 DMS 上已存在策略名称，CA ControlMinder 会将找到的最高策略版本增加一来创建新的策略版本，并将该策略版本添加为逻辑策略（GPOLICY 对象）的成员。
4. 当确定时机恰当时，使用 CA ControlMinder 企业管理 或 policydeploy 实用工具将保存的策略部署到目标数据库上。 CA ControlMinder 在 DMS 上自动创建部署任务（DEPLOYMENT 对象）。

   注意：CA ControlMinder 会部署最新且最终确定的存储策略的版本。 您创建的新策略版本不会自动发送到分配的主机。 您需要将分配的主机手动升级到最新的策略版本。

   注意：在您创建 UNAB 登录和步骤策略后，CA ControlMinder 企业管理 会自动部署这些策略。 您可以仅将 UNAB 登录和配置策略分配给 UNAB 主机。

5. CA ControlMinder 在 DMS 上自动创建部署程序包（GDEPLOYMENT 对象）。

   部署程序包对上一步中创建的所有部署任务分组。

6. DMS 将部署任务发送到分发主机 (DH)。
7. 端点定期检查新策略部署任务（使用 policyfetcher），从 DH 提取挂起的部署任务，并在目标数据库上执行每个规则（部署脚本中指定的 selang 命令）。
8. 端点使用部署任务状态（失败、成功）、失败命令生成的 selang 结果消息和 HNODE 上的策略状态更新 DH。

   注意：如果策略部署出现错误，您可以使用 CA ControlMinder 企业管理 中的部署审核来详细了解失败命令的 selang 输出。 否则，您需要查看策略部署出现错误的计算机上的日志文件。

9. DH 将在存储部署任务状态和策略状态的 DMS 上更新这些信息。

注意：UNAB 登录策略和 UNAB 配置策略与基于策略的高级管理的工作原理不同。