上一主题: chfile 命令-修改文件记录下一主题: chres 命令 - 修改资源记录

selang 参考指南selang 命令selang 命令参考ch[x]grp 命令 - 更改组属性

ch[x]grp 命令 - 更改组属性

在 AC 环境中有效

使用命令 chgrp、chxgrp、editgrp、editxgrp、newgrp 和 newxgrp 可以更改组属性,还可以在 CA ControlMinder 数据库中创建组(如有必要)。

这些命令均具有同义词,具体如下:

这些命令的结构相同,只是范围在以下方面有所不同:

所需授权

要创建新的 CA ControlMinder 组,至少必须满足下列条件之一:

要添加或修改组,至少必须满足下列条件之一:

要删除由字符串定义属性的任何记录属性,请键入属性,后面紧跟 ‑(减号)或 ()(空圆括号)。

注意:只有在组用作配置文件组时,某几个参数才相关。 配置文件组不能为企业组。

admin

为组分配 ADMIN 属性。 所在组具有 ADMIN 属性的用户可以发出带有除 audit 参数以外所有参数的所有 selang 命令。 您必须具有 ADMIN 属性才能使用 admin 参数。

admin‑

从组中删除 ADMIN 属性。 (CA ControlMinder 可确保至少一个用户具有 ADMIN 属性。)

不能将此参数与 new[x]grp 命令一起使用。

audit(mode)

打开该命令的跟踪审核。 审核模式为:none、all、success、failure、loginsuccess、loginfail、trace、interactive。

审核‑

关闭该命令的跟踪审核。

auditor

为组分配 AUDITOR 属性。 所在组具有 AUDITOR 属性的用户可以审核系统资源的使用,并且能够控制是否记录在 CA ControlMinder 授权检查过程中检测到的对任何受 CA ControlMinder ‑保护资源的访问以及对数据库的访问。 有关授予具有 AUDITOR 属性的用户的权限的详细信息,请参阅适用于您的操作系统的《端点管理指南》

auditor‑

从组记录中删除 AUDITOR 属性。

不能将此参数与 new[x]grp 命令一起使用。

comment(string)

向组记录添加最多为 255 个字母数字字符(单字节)的注释字符串。 如果字符串中包含空格,请用单引号将整个字符串引起。 该字符串将替换以前添加的任何现有字符串。

注意:在德语中,只记录 128 个字符。

comment‑

从组记录中删除注释字符串(如果有)。 该参数仅与 chgrp 或 editgrp 命令一起使用。

expire(date)

设置组成员帐号的过期日期。 如果未指定日期,当用户当前未登录时,用户帐号会立即过期。 如果用户已登录,则帐号在用户注销时过期。 该参数仅适用于配置文件组。

用下面的格式指定到期日期和可选时间:
mm/dd/yy [yy][@HH:MM] 年份可以是 2 位数或 4 位数。

注意:不能通过用恢复日期指定 resume 参数来启用过期的用户记录。 请使用 expire‑ 参数来启用过期的用户记录。

expire‑

对于 newgrp 命令,它定义不具有到期日期的用户帐户。 对于 chgrp 和 editgrp 命令,它从用户帐号删除过期日期。 该参数仅适用于配置文件组。

gowner(groupName)

将 CA ControlMinder 用户或组指定为组记录的所有者。 指定多个组名时,请用括号括起名称,并用空格或逗号分隔组名。 如果将组添加到数据库并忽略该参数,您便是组记录的所有者。

grace(numberOfGraceLogins)

设置在挂起用户之前允许的最大登录次数。 宽限登录次数必须介于 0 和 255 之间。 达到宽限登录次数后,将拒绝用户访问系统,并且用户必须与系统管理员联系以选择新密码。 如果将宽限设置为零,用户便不能登录。 该参数仅适用于配置文件组。

grace‑

删除组的宽限登录设置。 该参数仅与 chgrp 或 editgrp 命令一起使用。 该参数仅适用于配置文件组。

groupName

指定要为其创建或要更改属性的组名。 对于命令 new[x]grp,每个组名必须是唯一的,并且当前在数据库中不存在。 不过,组和用户可以共享同一名称。

history

指定已存储密码的数目。 可以使用 history‑ 删除历史记录文件。

homedir(fullPath|nohomedir)

指定用户主目录的完整路径。 如果指定的路径以斜线结尾,则 groupName 将连接到指定的路径。 如果指定 nohomedir,则不会自动设置主目录。

inactive(numInactiveDays)

指定在系统将用户更改为非活动状态之前必须经过的天数。 当达到该天数时,用户便无法登录。 该参数仅适用于配置文件组。

numInactiveDays 输入正整数或零。 如果将 inactive 设置为零,效果与使用 inactive‑ 参数相同。

注意:在用户记录中,不标记非活动用户。 要识别非活动用户,必须将“上次访问时间”值与“空闲日”值进行比较。

非活动‑

将用户的状态从不活动更改为活动。 该参数仅与 chgrp 或 editgrp 命令一起使用。 该参数仅适用于配置文件组。

interval(maximumPasswordChangeInterval)

设置在设置或更改密码之后且在系统提示用户输入新密码之前必须经过的天数。 输入正整数或零。 时间间隔为零可禁用组的密码时间间隔检查,这样,密码便不会过期。 将不使用 setoptions 命令设置的默认值。 仅为安全要求低的用户将时间间隔设置为零。

达到指定的天数时,CA ControlMinder 将通知用户当前的密码已到期。 用户可立即更新密码,或继续使用旧密码,直到达到宽限登录次数。 达到宽限登录次数后,将拒绝用户访问系统,用户必须与系统管理员联系以选择新密码。 该参数仅适用于配置文件组。

interval‑

取消组的密码时间间隔设置。 如果取消,将使用用户记录中的任何值。 否则,将使用 setoptions 命令设置的默认值。 该参数仅与 chgrp 或 editgrp 命令一起使用。 该参数仅适用于配置文件组。

maxlogins(maximumNumberOfLogins)

设置用户可同时登录的最多终端数。 0(零)值表示用户可同时从任意数量的终端登录。 如果未指定该参数,将使用用户记录中的任意值。 否则,将使用全局最大登录设置。 该参数仅适用于配置文件组。

注意:如果将 maxlogins 设置为 1,则无法运行 selang。 必须关闭 CA ControlMinder,将 maxlogins 设置更改为大于 1 的值,然后再次启动 CA ControlMinder。

maxlogins‑

删除组的最大登录设置。 如果未指定该参数,将使用用户记录中的任意值。 否则,将使用全局最大登录设置。 该参数仅与 chgrp 或 editgrp 命令一起使用。 该参数仅适用于配置文件组。

mem(GroupName) | mem+(GroupName)

将成员组(或子组)添加到 CA ControlMinder 中的组。 必须已在 CA ControlMinder 中定义了成员组 (GroupName)。 如果要添加多个成员组,请用逗号分隔组名。 如果组名包含空格,请用引号将它引起。

注意:要将用户添加到内部组,请使用 join[x] 命令。

此选项仅适用于内部组。

mem‑(GroupName)

从该组删除成员组。 必须已在 CA ControlMinder 中定义了成员组 (GroupName)。 如果要删除多个成员组,请用逗号分隔组名。 如果组名包含空格,请用引号将它引起。

注意:要将用户从内部组删除,请使用 join[x]- 命令。

此选项仅适用于内部组。

min_life(minimumPasswordChangeInterval)

在允许用户再次更改密码之前必须经过的最少天数。 该参数仅适用于配置文件组。

min_life‑

删除组的 min_life 设置。 如果未指定该参数,且在用户记录中设置了 min_life 参数,则将使用该用户记录中的值。 否则,将使用全局 min_life 设置。 该参数仅与 chgrp 或 editgrp 命令一起使用。 该参数仅适用于配置文件组。

name(fullname)

指定组的全名。 输入最多为 47 个字符的字母数字字符串。 如果字符串中包含任何空格,请用单引号将整个字符串引起。

nt(nt-group-attributes)

(仅适用于 Windows)向本地 Windows 系统中添加组定义,或更改其中的组定义。

comment('comment')

将注释字符串添加到本地记录中。 如果以前向记录添加了注释字符串,则此处指定的新字符串将替换现有字符串。

comment 是字母数字字符串,最多为 255 个字符。 如果字符串中包含任何空格,请用单引号将整个字符串引起。

operator

为组分配 OPERATOR 属性。 所在组具有 OPERATOR 属性的用户可以列出数据库中的所有资源记录,并对 CA ControlMinder 定义的所有文件拥有读取权限。

所在组具有该属性的成员还可以使用 secons 命令的所有选项。 有关 secons 实用程序的详细信息,请参阅《参考指南》

operator‑

从组记录中删除 OPERATOR 属性。

不能将此参数与 new[x]grp 命令一起使用。

owner(Name)

将 CA ControlMinder 用户或组指定为组记录的所有者。 如果将组添加到数据库并且省略该参数,则您便是所有者。 有关详细信息,请参阅适用于您的操作系统的《端点管理指南》

parent(groupName)

将现有 CA ControlMinder 组指定为组记录的父组。 有关父子关系的详细信息,请参阅适用于您的操作系统的《端点管理指南》

父项‑

删除组与其父组之间的链接。 该参数仅与 chgrp 或 editgrp 命令一起使用。

password

将密码分配到该组。

password‑

取消该组的密码需要。

pmdb(PolicyModelName)

指定当组中的用户通过实用工具 sepass 更改密码时将新密码传播给指定的策略模型。 输入 PMDB 的完全限定名称。

密码将发送到在 seos.ini 的 [seos] 部分的 parent_pmd 或 passwd_pmd 标记中定义的策略模型。 该参数仅适用于配置文件组。

pmdb‑

从组记录中删除 PMDB 属性。 该参数仅与 chgrp 或 editgrp 命令一起使用。 该参数仅适用于配置文件组。

pwmanager

为组分配 PWMANAGER 属性。 所在组具有该属性的成员可以更改数据库中的用户的密码。 有关详细信息,请参阅适用于您的操作系统的《端点管理指南》

pwmanager‑

从组记录中删除 PWMANAGER 属性。

不能将此参数与 new[x]grp 命令一起使用。

restrictions(days(dayData) time(timeData))

指定组成员可以在一周的哪几天以及一天的哪几个小时登录系统。

如果在用户登录时,登录时间到期,CA ControlMinder 不会强制用户退出系统。 另外,登录限制不适用于批处理作业;用户可在任何时候运行后台进程。 该参数仅适用于配置文件组。

如果省略 days 参数而指定 time 参数,则时间限制将应用于记录中已经指出的任何“工作日”限制。 如果省略 time 而指定 days,则日期限制将应用于记录中已经指出的任何时间限制。 如果同时指定 days 和 time,则只允许组成员在指定日期的指定时间段访问系统。

days(dayData)

指定用户可以登录系统的日期。 days 参数可使用下列子参数:

  • anyday - 允许用户在任何一天登录。
  • weekdays - 仅允许用户在工作日(星期一至星期五)登录。
  • mon tue wed thu fri sat sun - 只允许用户在指定日期登录。 您可以按任何顺序指定日期。 如果指定多个日期,请使用空格或逗号分隔各日期。
time(timeData)

指定用户可以登录系统的时间段。 time 参数可使用下列子参数:

  • anytime - 允许用户在一天中的任何时间登录。
  • startTime:endTime - 只允许用户在指定时间段登录。 startTimeendTime 的格式均为 hhmm,其中 hh 是采用 24 小时表示法的小时(00 至 23),而 mm 是分钟(00 至 59)。 请注意,2400 是无效的时间值。 如果 endTime 是小于 startTime 的数字,则认为该时间段已延长至午夜以后。 否则,便认为该时间段在同一日。

    注意:CA ControlMinder 使用处理器所在位置的时区。 如果用户在处于与处理器不同时区的终端上登录,您必须将此因素考虑在内。

限制‑

从组记录中删除任何限制用户登录系统的能力的限制。 如果未指定该参数,并在用户记录中设置了 restrictions 参数,将使用用户记录中的值。 该参数仅与 chgrp 或 editgrp 命令一起使用。 该参数仅适用于配置文件组。

resume(date)

启用通过指定挂起参数禁用的用户记录 用以下格式输入日期和(可选)时间:mm /dd/yy[@HH:MM]

如果同时指定 suspend 参数和 resume 参数,恢复日期必须在挂起日期之后。 如果忽略 date,则在执行 chgrp 命令时将立即启用用户。 有关详细信息,请参阅适用于您的操作系统的《端点管理指南》。 该参数仅适用于配置文件组。

resume‑

从组记录中清除恢复日期和时间(如果已使用)。 因此,用户的状态将从活动(启用)更改为挂起。 该参数仅与 chgrp 或 editgrp 命令一起使用。 该参数仅适用于配置文件组。

规则

为密码指定规则:

alpha(minimumAlphaCharacters)

最少字母字符数。

alphanum(minimumAlphanumericCharacters)

最少字符数。

bidirectional|bidirectional-

指定是否使用双向密码加密。 如果启用双向密码加密,会为每个新密码加密,并可将其解密为明文。 这种加密可使新密码和旧密码(密码历史记录)之间进行更广泛的比较。 禁用双向加密时,会激活单向密码历史记录加密,并且无法解密旧密码。

注意:必须将历史记录设置为比 1 大的值,才能使用该功能。

注意:在 UNIX 上,还必须将配置设置 passwd_format 设置为 NT,才能使用该功能。

重要说明! 如果您将 seos.ini 文件标记“passwd_format”([passwd] 部分)设置为“NT”,则当您用 selang 创建用户时必须使用“native”选项(而不是“unix”)。 例如:

nu uSr_1026 native password(uSr_1026)

另外,请确保您在本地环境(而不是 unix 环境)中工作,如下:

env native
chusr usr_1 password(mypassword)
min_len(minimumPasswordLength)

最小密码长度。

max_len(maximumPasswordLength)

最大密码长度。

lowercase(minimumLowercaseCharacters)

最少小写字母字符数。

max_rep(maximumRepetitiveCharacters)

最多重复字符数。

namechk|namechk-

根据名称检查密码。

numeric(minimumNumericCharacters)

最少数字字符数。

oldpwchk|oldpwchk-

根据旧密码检查密码。

注意:仅在 Unix 和 Linux 操作系统上有效。

special(minimumSpecialCharacters)

最少特殊字符数

uppercase(minimumUppercaseCharacters)

最少大写字母字符数。

use_dbdict|use_dbdict-

设置密码词典。 use_dbdict 将标记设置为 db,并将密码与 CA ControlMinder 数据库中的单词进行比较。 use_dbdict- 将内标识设置为 file 并根据在 UNIX 的 seos.ini 文件或 Windows 的 Windows 注册表中指定的文件检查密码。

server

将 SERVER 属性设置为“on”。 如果当前用户的所在组具有 SERVER 属性,则允许代表当前用户运行的进程询问其他用户的授权。 有关详细信息,请参阅适用于您的操作系统的《端点管理指南》

server‑

将 SERVER 属性设置为“off”。

不能将此参数与 new[x]grp 命令一起使用。

shellprog(fullPath)

指定在用户调用 login 或 su 命令后执行的初始程序或 shell 的完整路径。 FullPath 是字符型字符串。

supgroup(Group’sSuperiorGroup)

指定超级组(或父组)。

suspend(date)

禁用用户记录,但将其保留在数据库中进行定义。 用以下格式输入日期和(可选)时间:mm /dd/yy[@HH:MM]

用户不能使用挂起的用户帐号登录系统。 如果指定 date,将在指定的日期挂起用户记录。 如果省略 date,则在执行 chgrp 命令时立即挂起用户记录。 该参数仅适用于配置文件组。

suspend‑

从用户记录中清除挂起日期,并将用户的状态从禁用更改为活动(启用)。 该参数仅与 chgrp 或 editgrp 命令一起使用。 该参数仅适用于配置文件组。

unix(groupidNumber)

(仅适用于 UNIX)在 UNIX 上设置组属性或创建组(如果尚不存在)。

groupidNumber 是一个十进制数字。 不能将组 ID 指定为零。 如果忽略该数字,CA ControlMinder 将查找最大的当前组 ID,并将该组的 ID 设置为该数字。 CA ControlMinder 在一次添加或修改多个组时以相同方式创建组 ID 编号。 seos.ini 文件中的内标识 AllowedGidRange 可定义某些不可用的数字。

userlist(userName)

为组分配成员。 UserName 是一个或多个 UNIX 用户的用户名。 指定多个用户时,请用逗号或空格分隔用户名。 对于 chgrp 和 editgrp 命令,在此处指定的成员列表将替换当前为组定义的任何成员列表。

示例