上一主题: policydeploy -restore 函数-还原所有策略下一主题: policydeploy -upgrade 函数-升级或降级策略版本

参考指南实用程序policydeploy 实用程序-管理企业策略部署policydeploy -store 函数-存储策略

policydeploy -store 函数-存储策略

此函数可将指定策略存储在该命令指定的 DMS 节点上或本地 CA ControlMinder 数据库中。 除非使用 -silent 选项,否则您需要在提示下确认此操作。

如果 DMS 上未存储任何指定策略的先前版本,则将创建该策略的版本 1 (name#01)。 如果存在该策略的先前版本,则将创建该策略的新版本 (name#last_version+1)。 您存储的策略版本是自动确定的。 需要更新某个策略时,必须存储该策略的新版本,其中包含已进行必要修改的策略部署和取消部署规则。

此函数的格式如下:

policydeploy -store name -ds file1 [-uds file2] [-dms list] [-desc description] [-prereq list] [-silent]
-desc description

(可选)定义策略的业务说明。

-dms list

(可选)指定要使用的 DMS 节点的列表(用逗号分隔)。 部署或取消部署策略时,这些是要将操作报告至的 DMS 节点。 存储策略时,这些是存储策略的 DMS 节点。

如果未使用此选项指定 DMS 节点,则此实用程序将使用在本地 CA ControlMinder 数据库中指定的 DMS 节点的列表。 要指定数据库中 DMS 节点的列表,您需要在使用 dmsmgr 创建新 DMS 后发出以下 selang 命令:

so dms+(new_dms_name)

注意:如果您在安装过程中没有指定 DMS 节点,或您希望在端点替换或添加已注册的 DMS,则需要发出同样的命令。 但是,如果指定在安装过程中创建高级策略管理服务器,则 DMS 将添加到数据库,无需手动运行以上命令。

-ds file1

指定包含部署规则的文件的路径名。 这些是构建策略所必需的命令。 使用 -getrules 选项时,实用程序会创建此文件。

重要说明! 策略部署不支持设置用户密码的命令。 不要将这类命令包含在您的部署脚本文件中。 本地 selang 命令虽然受支持,但这些命令不会在偏差报告中出现。

-prereq list

(可选)定义在可以部署此策略之前必须部署的策略的列表(用逗号分隔)。

重要说明! 如果尝试部署从属策略时未部署先决条件策略,则部署任务的状态将更改为挂起先决条件,且该部署将在部署所有先决条件策略后恢复。 同样,如果您尝试取消部署作为另一个已部署策略的先决条件的策略,则部署任务的状态将更改为挂起从属,且该部署将在取消部署所有从属策略后恢复。

-silent

(可选)不显示所请求操作的确认提示。

-store name

将指定策略存储在指定 DMS 节点上或本地 CA ControlMinder 数据库中。

注意:策略名称不能包含 #(井号)字符,该字符已保留用于表示策略版本号而保留,并自动进行添加。

-uds file2

定义包含取消部署策略所需规则的文件的路径名。 这些是取消部署该策略所必需的命令。 使用 -getrules 选项时,实用程序会创建此文件。

CA ControlMinder 取消部署策略时,如果未存储任何策略取消部署脚本,CA ControlMinder 将计算删除该策略所需的命令。

示例:存储 IIS 5 保护策略

以下示例展示了如何存储用于保护 Internet 信息服务 (IIS) 5 Web 服务器安全的策略。 这是我们在 DMS 上第一次存储此策略。

注意:在此示例中,selang 命令是针对 Windows 操作系统上的资源的,不过此步骤在 UNIX 中同样适用。

  1. 使用以下 IIS 脚本保存名为 IIS5.selang 的文件: 
    # IIS5 deployment script
eu inet_pers owner(nobody)
er FILE c:\InetPub\wwwroot\* defaccess(none) owner(nobody)
authorize FILE c:\InetPub\wwwroot\* uid(inet_pers) access(all)
er FILE c:\InetPub\wwwroot\scripts defaccess(none) owner(nobody)
er FILE *.asp defaccess(none) owner(nobody)
authorize FILE *.asp uid(inet_pers) via(pgm(inetinfo.exe)) access(read, execute)

    这些是部署 IIS 5 保护策略必需的命令。

  2. 使用以下脚本保存名为 IIS5_rm.selang 的文件: 
    # IIS5 undeployment script
ru inet_pers
rr FILE c:\InetPub\wwwroot\* 
rr FILE c:\InetPub\wwwroot\scripts 
rr FILE *.asp

    以上是取消对在步骤 1 中创建的 IIS 5 保护策略的部署所需的命令。

  3. 打开命令提示符窗口,运行 policydeploy 实用程序: 
    policydeploy -store IIS5 -ds IIS5.selang -uds IIS5_rm.selang -desc "IIS5 web server security policy" -silent

    此操作将通过在 IIS5.selang 和 IIS5_rm.selang 中定义的脚本,将策略 IIS5(GPOLICY 对象)和该策略的第一个版本(IIS5#01 POLICY 对象)存储在 DMS 上。