如果企业帐户(用户或组)具有相关联的数据库规则,然后被循环使用(删除然后使用相同名称创建),则可能看起来旧的数据库规则仍然适用于新帐户。 但是,由于 CA ControlMinder 授权基于 SID,这些规则不再适用,您需要为新组创建新规则。 可以创建新规则之前,您需要解析循环帐户。
要解析循环企业帐户,请打开命令提示符,然后运行以下命令:
secons -checkSID -users secons -checkSID -groups
CA ControlMinder 处理它所具有的所有企业用户帐户(XUSER 记录),然后处理所有组帐户(XGROUP 记录),并标识 SID 与企业帐户的 SID 不同的帐户。 它使用以下命名约定在 CA ControlMinder 中重命名这些帐户:SID (accountName)
现在您可以为循环帐户创建新规则了。
注意:当用户登录或尝试访问资源时,将以此种方式解析循环用户帐户。 我们建议当您创建企业帐户时,将 secons -checkSID 命令作为排定任务运行。
示例:循环组帐户
公司 ABCD 在其企业存储中有个名为 interns 的组。 该组有九位成员,他们在从事 productA 的工作。 管理员使 CA ControlMinder 知道该组并为组成员分配访问文件所需的访问权限,如下所示:
nxg interns owner(msmith) auth file c:\products\productA\materials\* xgid(interns) access(all) auth file c:\HR\interns\* xgid(interns) access(read)
当 interns 在 ABCD 的使用期满后,企业存储管理员会删除该组。 三个月后会在企业存储中创建一个名称相同的新 interns 组,该组中有六位成员。 CA ControlMinder 数据库中的旧规则仍存在,因此看起来好像是新的 interns 组继承了旧组的权限。 但是,这些规则适用于旧的 interns 组,而 CA ControlMinder 管理员需要为新组创建新的规则。
要执行此操作,管理员需要识别并解析循环 interns 帐户,如下所示:
secons -checkSID -groups interns
此命令将 XGROUP 资源及参考该资源的任何访问规则重命名为“SID (domain\interns)”。 现在,管理员可以为从事 productB 工作的新 interns 组创建新的规则:
nxg interns owner(msmith) auth file c:\products\productB\materials\* xgid(interns) access(all) auth file c:\HR\interns\* xgid(interns) access(read)
注意:有关 secons 实用程序的详细信息,请参阅《参考指南》。
|
版权所有 © 2013 CA。
保留所有权利。
|
|