関連付けられたデータベース ルールを持つエンタープライズ アカウント(ユーザまたはグループ)が再利用(つまり、削除されてから、同じ名前で作成)された場合、古いデータベース ルールが新規アカウントにも適用されると思うユーザもいるでしょう。 しかし、CA ControlMinder の許可は SID に基づいているので、これらのルールは適用されません。新規ユーザ/グループ用の新規ルールを作成する必要があります。 新規ルールを作成するには、事前に再利用アカウントを解決しておく必要があります。
再利用エンタープライズ アカウントを解決するには、コマンド プロンプトを開き、以下のコマンドを実行します。
secons -checkSID -users secons -checkSID -groups
CA ControlMinder は、所有しているすべてのエンタープライズ ユーザ アカウント(XUSER レコード)を確認してから、すべてのグループ アカウント(XGROUP レコード)を確認し、エンタープライズ アカウントの SID とは異なる SID を持つアカウントを識別します。 CA ControlMinder で、命名規則 SID (accountName) に従って、これらのアカウントの名前を変更します。
これで、再利用アカウントの新規ルールを作成できます。
注: 再利用ユーザ アカウントは、ユーザがログインしたり、リソースにアクセスしようとしたときに、このように解決されます。 エンタープライズ アカウントを作成する場合は、secons -checkSID コマンドを、スケジュール タスクとして実行することをお勧めします。
例: 再利用グループ アカウント
ABCD 社のエンタープライズ ストアに、interns というグループがあります。 このグループには、9 人のメンバが所属し、productA に取り組んでいます。 管理者は、以下のように、このグループを CA ControlMinder に認識させ、グループのメンバがアクセスする必要があるファイルへのアクセス許可をこのグループに割り当てます。
nxg interns owner(msmith) auth file c:¥products¥productA¥materials¥* xgid(interns) access(all) auth file c:¥HR¥interns¥* xgid(interns) access(read)
interns が ABCD 社での就労期間を完了すると、エンタープライズ ストア管理者はこのグループを削除します。 3 か月後、6 人のメンバから成る新しい interns グループがエンタープライズ ストアに同じ名前で作成されます。 CA ControlMinder データベース内の古いルールはまだ存在するので、新しい interns グループはこの古いルールの許可を継承するように思われます。 しかし、これらのルールは古い interns グループに適用されるものなので、CA ControlMinder 管理者は新規グループ用の新規ルールを作成する必要があります。
このためには、管理者は、以下のように interns 再利用アカウントを識別して解決する必要があります。
secons -checkSID -groups interns
これにより、XGROUP リソースの名前と、このリソースへのアクセス ルール参照の名前が、「SID (domain¥interns)」に変更されます。 これで、管理者は、productB に取り組む新規 interns グループ用の新規ルールを作成できます。
nxg interns owner(msmith) auth file c:¥products¥productB¥materials¥* xgid(interns) access(all) auth file c:¥HR¥interns¥* xgid(interns) access(read)
注: secons ユーティリティの詳細については、「リファレンス ガイド」を参照してください。
|
Copyright © 2013 CA.
All rights reserved.
|
|