selang リファレンス ガイド › selang コマンド › AC 環境の selang コマンド › chres コマンド - リソース レコードの変更

chres コマンド - リソース レコードの変更

AC 環境で有効

chres、editres、および newres コマンドを使用して、CA ControlMinder クラスに属するリソース レコードに対する作業を行います。 これらのコマンドは構造が同じですが、以下の点のみ異なっています。

• chres コマンドは、1 つ以上のリソースを変更します。
• editres コマンドは、1 つ以上のリソースを作成または変更します。
• newres コマンドは、1 つ以上のリソースを作成します。

注： このコマンドはネイティブ Windows 環境にもありますが、動作が異なります。

newres コマンドを使用してリソースを追加するには、以下の条件が少なくとも 1 つ満たされている必要があります。

• ADMIN 属性が割り当てられていること
• ADMIN クラスにあるリソース クラスのレコードの ACL に CREATE アクセス権限が設定されていること
• seos.ini ファイルのトークン use_unix_file_owner が yes に設定されている場合、UNIX のファイルの所有者がそのファイルを新しいリソースとして CA ControlMinder に定義できること

chres または editres コマンドを使用してリソースを追加または変更するには、リソースに対する適切な権限が必要です。 CA ControlMinder では、以下の条件をこの順序でチェックします。

1. ADMIN 属性が割り当てられていること
2. GROUPADMIN 属性で管理者権限を与えられたグルーの有効範囲内に、目的のリソース レコードが含まれていること
3. レコードの所有者であること
4. ADMIN クラスにあるリソース クラスのレコードのアクセス制御リストに MODIFY アクセス権限（chres の場合）または CREATE アクセス権限（editres の場合）が割り当てられていること

注： リソース名の最大文字数は、シングル バイト文字で 255 文字です。

次の表は、chres、editres、および newres コマンドを使用して管理できる各クラスに対して使用できるコマンド パラメータの一覧です。

{{chres|cr}|{editres|er}|{newres|nr}} className resourceName ¥

[ac_id(id)] ¥
[audit({none|all|success|failure})] ¥
[calendar[-](calendarName)] ¥
[category[-](categoryName)] ¥
[cmd+(selang_command_string)|cmd-] ¥
[comment(string)|comment‑] ¥
[container[-](containerName)] ¥
[dates(time‑period)] ¥
[dh_dr{-|+}(dh_dr)] ¥
[disable|disable-] ¥
[defaccess(accessAuthority)] ¥
[filepath(filePaths)] ¥
[flags[-|+](flagName)] ¥
[gacc(access‑value)] ¥
[gowner(groupName)] ¥
[host(host-name)|host-] ¥
[label(labelName)|label‑] ¥
[level(number)|level‑] ¥
[mask(inetAddress)|match(inetAddress)] ¥
[mem(resourceName)|mem‑(resourceName)] ¥
[node_alias{-|+}(alias)] ¥
[node_ip{-|+}(ip)] ¥
[notify(mailAddress)|notify‑] ¥
[of_class(className)]  ¥
[owner({userName | groupName})] ¥
[{password | password‑}] ¥
[policy(name(policy-name) {{deviation+|dev+}|{deviation-|dev-}})] ¥
[policy(name(policy-name) status(policy-status) {updator|updated_by}(user-name))] ¥
[{restrictions([days({anyday|weekdays|{[mon] [tue] [wed] ¥

[thu] [fri] [sat] [sun]}})] ¥
[time({anytime|startTime:endTime}) ¥

|restrictions‑}] ¥
[targuid(userName)] ¥
[trust | trust‑] ¥
[value{+|-}(value)] ¥
[warning | warning‑]

ac_id(id)

ローカル CA ControlMinder データベースおよび DMS に保存されるエンドポイント（HNODE オブジェクト）の一意の ID を定義します。 CA ControlMinder ではこの ID を使用して HNODE を識別し、エンドポイントの IP アドレスや名前の変更が拡張ポリシー管理機能に影響しないようにします。CA ControlMinder によるエンドポイントのトレースは引き続き可能です。

audit

ログに記録するアクセス イベントを指定します。 以下のいずれかの属性を指定します。

• all - 許可されたアクセスと不正アクセスの試みの両方がログに記録されます。
• failure - 不正アクセスの試みがログに記録されます デフォルト値です。
• none - レコードは一切ログ ファイルに記録されません。
• success - 許可されたアクセスの試みがログに記録されます

calendar(calendarName)

Unicenter TNG の時間帯制限を表す Unicenter NSM カレンダ レコードを指定します。 CA ControlMinder では、これらのオブジェクトのリストを管理目的にのみ使用し、オブジェクトの保護は行いません。 複数のカレンダを割り当てる場合は、各カレンダ名をスペースまたはカンマで区切ります。

calendar‑(calendarName)

リソース レコードから 1 つ以上の Unicenter NSM カレンダ レコードを削除します。 このパラメータは chres コマンドまたは editres コマンドでのみ使用できます。

category(categoryName [,categoryName...])

リソース レコードに 1 つ以上のセキュリティ カテゴリ セキュリティ カテゴリは、CATEGORY クラスにあるレコードの名前です。 セキュリティ カテゴリは、アクセサとリソースに割り当てることができます。 リソースに割り当てられているすべてのセキュリティ カテゴリにアクセサが割り当てられている場合のみ、そのアクセサはリソースにアクセスできます。を割り当てます。

CATEGORY クラスがアクティブでない場合に category パラメータを指定すると、データベース内のリソースの定義が更新されます。ただし、更新されたカテゴリの割り当ては、CATEGORY クラスが再度アクティブになるまでは有効になりません。

category‑(categoryName [,categoryName...])

リソース レコードから 1 つ以上のセキュリティ カテゴリを削除します。

指定したセキュリティ カテゴリは、CATEGORY クラスがアクティブかどうかに関係なく、リソース レコードから削除されます。 このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。

className

リソースが属するクラスの名前を指定します。 CA ControlMinder に定義されているリソース クラスを一覧表示するには、find コマンドを実行します。

cmd+(selang_command_string)

ポリシーを定義する selang コマンドのリストを指定します。 これが、ポリシーのデプロイに使用するコマンドです。 例を以下に示します。

editres RULESET IIS5#02 cmd+("nr FILE /inetpub/* defaccess(none) owner(nobody)")

cmd-

ポリシー デプロイ コマンド リストを RULESET オブジェクトから削除します。

comment(string)

最大 255 文字の英数字から成る文字列をリソース レコードに追加します。 文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。 以前に定義した既存の文字列は、この文字列に置き換えられます。

注： SUDO クラスの場合、この文字列は特別な意味を持ちます。 SUDO レコードの定義の詳細については、「CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。

comment‑

リソース レコードからコメントを削除します。 このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。

container(containerName)

CONTAINER（汎用グループ化クラス）のオブジェクトを表します。

containerName は、CONTAINER クラスに定義された 1 つ以上の CONTAINER クラスのレコードの名前です。 CONTAINER クラスのレコードを複数割り当てる場合は、名前をスペースまたはカンマで区切ります。

container‑(containerName)

リソース レコードから 1 つ以上の CONTAINER クラスのレコードを削除します。 このパラメータは chres コマンドまたは editres コマンドでのみ使用できます。

dates(time‑period)

休日などユーザがログインできない期間を 1 つ以上定義します。 複数の期間を指定する場合は、各期間をスペースで区切ります。 以下の形式を使用します。

mm/dd[/yy[yy]][@hh:mm][-mm/dd] [/yy[yy]][@hh:mm]

特定の年を指定しない場合、または 1990 年より前の年を指定した場合、期間または休日は毎年適用されると見なされます。 年は、98 または 1998 のように、2 桁または 4 桁で指定できます。

開始時刻を指定しない場合、その日の開始時刻（午前 0 時）が使用されます。終了時刻を指定しない場合、その日の終了時刻（午前 0 時）が使用されます。 時間および分の形式は hh:mm で指定します。hh は24時間表記の時間（00から23）、mm は分（00から59）を表します。

時間（例： 12/25@14:00-12/25@17:00）を指定せずに、月と日のみ（12/25）を指定すると、その日1日が休日と見なされます。

休日を迎えるタイム ゾーンとは異なるタイム ゾーンでコマンドを発行する場合は、指定する期間をユーザのローカル時間に変換します。 たとえば、ニューヨークにいて、ロサンゼルスが半日の休日となる場合、「09/14/98@18:00-09/14/98@20:00」と入力する必要があります。 このように指定すると、ロサンゼルスにいるユーザは午後 3 時から午後 5 時までの間ログインできなくなります。

defaccess([accessAuthority])

指定したリソースのデフォルトのアクセス権限を指定します。 デフォルトのアクセス権限とは、リソースのアクセス制御リストに含まれていないアクセサがリソースへのアクセスを要求した場合に与えられる権限です。 デフォルトのアクセス権限は、データベースに定義されていないユーザにも適用されます。 有効なアクセス権限値はクラスによって異なります。

accessAuthority を省略すると、CA ControlMinder では、UACC クラスにあるリソースのクラスを表すレコードの UACC プロパティに指定された、暗黙のアクセス権が割り当てられます。

dh_dr{+|-}(dh_dr)

このエンドポイントが惨事復旧に使用する分散ホストを定義します。

filepath(filePaths)

1 つ以上の絶対ファイル パスを定義します。それぞれが有効なカーネル モジュールである必要があります。 複数のファイル パスはコロン（:）で区切ります。

flags(flagName)

リソースを trusted にする方法およびリソースのステータスが trusted であるかどうかをチェックする方法を定義します。 有効なフラグは、Ctime、Mtime、Mode、Size、Device、Inode、Crc、および Own/All/None です。

gacc(access‑value)

頻繁に開かれる保護されたファイルに対するプログラムからのアクセス速度を向上させます。

gowner(groupName)

リソース レコードの所有者として CA ControlMinder グループを割り当てます。 リソース レコードのグループ所有者には、リソースに対する無制限のアクセス権が与えられます。ただし、前提として、グループ所有者のセキュリティ レベル、セキュリティ ラベル、およびセキュリティ カテゴリに、リソースへのアクセスを許可する適切な権限が設定されている必要があります。 リソースのグループ所有者には、リソース レコードを更新および削除する許可が常に与えられます。 詳細については、「CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。

label(labelName)

リソース レコードにセキュリティ ラベル セキュリティ ラベルは、SECLABEL クラスにあるレコードの名前です。 セキュリティ ラベルによって、セキュリティ ラベルと複数のセキュリティ カテゴリを 1 つにまとめることができます。 セキュリティ ラベルをアクセサまたはリソースに割り当てると、そのセキュリティ ラベルに関連付けられたセキュリティ レベルとセキュリティ カテゴリの組み合わせが、アクセサまたはリソースに設定されます。 セキュリティ ラベルは、アクセサまたはリソースに設定された特定のセキュリティ レベルおよびセキュリティ カテゴリよりも優先されます。を割り当てます。

label‑

リソース レコードからセキュリティ ラベルを削除します。 このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。

level(number)

リソース レコードにセキュリティ レベル セキュリティ レベルは、ユーザおよびリソースに割り当てることのできる 0 から 255 までの整数です。 リソースのアクセス制御リストでユーザにアクセス権限が付与されていても、アクセサのセキュリティ レベルがリソースのセキュリティ レベルより低い場合、そのアクセサはそのリソースにアクセスできません。を割り当てます。 1 ～ 255 の正の整数を入力します。

level‑

リソースからセキュリティ レベルをすべて削除します。 このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。

mask (IPv4‑address) match (IPv4‑address)

mask パラメータと match パラメータは、HOSTNET レコードにのみ適用されます。 これらは、HOSTNET レコードを作成するときに必要です。また、レコードを変更するときにオプションで必要です。

mask と match を組み合わせて使用すると、HOSTNET レコードで定義されるホストのグループを定義できます。 ホスト IP アドレスと mask アドレスの AND によって match アドレスが生成される場合、ホストは HOSTNET レコード グループのメンバです。

たとえば、mask(255.255.255.0) および match(192.16.133.0) と指定した場合、IP アドレスが 192.16.133.0 ～ 192.16.133.255 の範囲にあるホストはこのグループのメンバです。

mask パラメータと match パラメータには、IPv4 アドレスを指定する必要があります。

mem(resourceName)

メンバ リソースをリソース グループに追加します。 複数のメンバ リソースを追加する場合は、名前をカンマで区切ります。

mem パラメータは、以下のクラスのリソース レコードとのみ組み合わせて使用できます。

• CONTAINER。 このクラスでは、他のリソース クラスに属するオブジェクトのグループを定義します。
• GFILE。 このクラスには、ファイルのグループを定義するリソース レコードが含まれています。
• GHOST。 このクラスには、ホストのグループを定義するリソース レコードが含まれています。
• GSUDO。 このクラスには、コマンドのグループを定義するリソース レコードが含まれています。
• GTERMINAL。 このクラスには、端末のグループを定義するリソース レコードが含まれています。
• GPOLICY。 このクラスには、論理ポリシーを定義するリソース レコードが含まれています。
• GHNODE。 このクラスには、ホスト グループを定義するリソース レコードが含まれています。
• GDEPLOYMENT。 このクラスには、ポリシー デプロイを定義するリソース レコードが含まれています。

mem パラメータは、適切なタイプのレコードをリソース グループに追加するため、たとえば FILE レコードを GFILE クラスのリソース グループに追加するために使用します。

注： CONTAINER リソースに対して mem パラメータを使用する場合、of_class パラメータも併用する必要があります。

メンバ リソースとリソース グループがどちらも CA ControlMinder にすでに定義されている必要があります。 リソース グループを作成するには、目的のクラスのリソースを作成します。 たとえば、以下のコマンドを実行すると GFILE リソース グループが作成されます。

newres GFILE myfiles

mem‑(resourceName)

リソース グループからメンバ リソースを削除します。 複数のメンバ リソースを削除する場合は、各リソース名をスペースまたはカンマで区切ります。 このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。

node_alias{-|+}(alias)

エンドポイントの別名を定義します。

エンドポイントの別名を定義すると、CA ControlMinder で拡張ポリシー管理コマンドを実際のエンドポイントに別名を使用して送信できるようになります。

node_ip[-|+](ip)

ホストの IP アドレスを定義します。 拡張ポリシー管理では、エンドポイントの名前と併せて IP アドレスを使用して、必要なエンドポイントを特定します。

notify(mailAddress)

リソース レコードが示すリソースへのアクセスが実行されるたびに通知メッセージを送信するよう CA ControlMinder に指示します。 ユーザ名またはユーザの電子メール アドレスを入力します。また、別名が指定されている場合は、メール グループの電子メール アドレスも入力できます。

通知は、ログ ルーティング システムがアクティブな場合にのみ行われます。 通知メッセージは、ログ ルーティング システムの設定に基づいて、ユーザの画面またはメールボックスに送信されます。

通知メッセージが送信されるたびに、監査ログに監査レコードが書き込まれます。 監査レコードのフィルタ処理および表示の詳細については、「CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。

通知メッセージの受信者は、頻繁にログインして、各メッセージに示された不正アクセスの試みに対処する必要があります。

制限： 30 文字。

notify‑

リソース レコードが示すリソースへのアクセスが成功した場合、誰にも通知を行わないように指定します。 このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。

of_class(className)

mem パラメータを使用して CONTAINER クラスに追加するレコードのリソース タイプを指定します。

owner(Name)

リソース レコードの所有者として CA ControlMinder ユーザまたはグループを割り当てます。 リソース レコードの所有者には、リソースに対する無制限のアクセス権が与えられます。ただし、前提として、所有者のセキュリティ レベル、セキュリティ ラベル、およびセキュリティ カテゴリに、リソースへのアクセスを許可する適切な権限が設定されている必要があります。 リソースの所有者には、リソース レコードを更新および削除する権限が常に与えられます。 詳細については、「A Access Control for UNIX エンドポイント管理ガイド」を参照してください。

password

SUDO クラスの場合に、sesudo コマンドを実行するには元のユーザのパスワードが必要であることを指定します。

password‑

password パラメータを取り消します。その結果、元のユーザのパスワードを指定しなくても sesudo コマンドを実行できるようになります。 このパラメータは chres コマンドまたは editres コマンドでのみ使用できます。 これまでに password パラメータが使用されていない場合、このパラメータは必要ありません。

policy(name(name#xx) status(status) updated_by(name)) | policy(name(name#xx) deviation{+|-})

ノードのサブスクライバを伝達ツリーに追加し、ステータスを指定します。 または、既存のポリシー バージョンを更新し、ポリシー偏差があるかどうかを指定します。 ポリシー ステータスを更新するときは、updated_by プロパティを更新する必要があります。 これは、ポリシー ステータスを変更したユーザの名前を表す文字列です。

ポリシー ステータスは、Transferred、Deployed、Undeployed、Failed、SigFailed、Queued、UndeployFailed、TransferFailed のいずれかです。

policy-[(name(name#xx))]

ノードから名前付きポリシー バージョンを削除します。 ポリシーの指定がない場合は、このノードにデプロイされたすべてのポリシーが削除されます。

resourceName

変更または追加するリソース レコードの名前を指定します。 複数のリソースを変更または追加する場合は、リソース名のリストを丸かっこで囲み、各リソース名をスペースまたはカンマで区切ります。 リソース名は、少なくとも 1 つ指定する必要があります。

CA ControlMinder では、指定したパラメータに従って、各リソース レコードが個別に処理されます。 リソースの処理中にエラーが発生すると、メッセージが発行され、リストの次のリソースから処理が続行されます。

Note： リソース名で変数を使用する場合、変数名を参照するには次の構文を使用します。<!変数>、例： <!AC_ROOT_PATH>¥bin。 ポリシーの selang ルールでは、変数のみ使用できます。

restrictions([days] [time])

ユーザがファイルにアクセスできる曜日と時間帯を指定します。

days 引数を指定せずに time 引数を指定した場合、レコード内にすでに設定されている曜日制限に対して、指定した時間帯制限が適用されます。 time 引数を指定せずに days 引数を指定した場合、レコード内にすでに設定されている時間帯制限に対して、指定した曜日制限が適用されます。 days 引数と time 引数の両方を指定した場合、ユーザは、指定した曜日の指定した時間帯にのみシステムにアクセスできます。

• [days] には、ユーザがファイルにアクセスできる曜日を指定します。 days 引数には次のサブ引数があります。
  • anyday - ユーザは曜日を問わずファイルにアクセスできます。
  • weekdays - ユーザは月曜から金曜までの平日に限りリソースにアクセスできます。
  • Mon、Tue、Wed、Thu、Fri、Sat、Sun - ユーザは指定した曜日にのみリソースにアクセスできます。 曜日は任意の順で指定できます。 複数の曜日を指定する場合は、各曜日をスペースまたはカンマで区切ります。
• [time] には、ユーザがリソースにアクセスできる時間帯を指定します。 time 引数には次のサブ引数があります。
  • anytime - 特定の曜日の任意の時間帯にリソースにアクセスできます。
  • startTime:endTime - 指定した時間帯にのみリソースにアクセスできます。 startTime および endTime は両方とも hhmm の形式で指定します。hh は 24 時間表記の時間（00から23）、mm は分（00から59）を表します。 2400 は有効な time 値ではないことに注意してください。 startTime が endTime より小さいこと、および両方が同じ日の時間であることが必要です。 端末がホストと異なるタイム ゾーンにある場合は、端末の開始時間と終了時間をホストのローカル時間に相当する時間に変換し、時間の値を調整してください。 たとえば、ホストがニューヨークにあり、端末がロサンゼルスにある場合、ロサンゼルスの端末からのアクセスを午前 8 時から午後 5 時まで許可するには、「time(1100:2000)」と指定します。

restrictions‑([days] [time])

ユーザによるファイルへのアクセスを限定するすべての曜日および時間帯の制限を削除します。

ruleset+(name)

ポリシーに関連付けるルール セットを指定します。

ruleset-(name)

ポリシーからルール セットを削除します。 ルール セットの指定がない場合は、すべてのルール セットがポリシーから削除されます。

signature(hash_value)

ハッシュ値を指定します。 ポリシーの場合は、ポリシーに関連付けられている RULESET オブジェクトのシグネチャを基にします。 ルール セットの場合は、ポリシー デプロイ コマンド リストとポリシー デプロイ解除（削除）コマンド リストを基にします。

subscriber(name(sub_name) status(status))

ノードのサブスクライバを伝達ツリーに追加し、ステータスを指定します。 ステータスは、unknown、available、unavailable、sync のいずれかです。

subscriber-(name(sub_name)) | sub-

サブスクライバ データベースをノードから削除します。 サブスクライバの指定がない場合は、すべてのサブスクライバが削除されます。

targuid(userName)

SUDO クラスに対して、コマンドの実行に権限を借用されるユーザの名前を指定します。 デフォルトでは root ユーザです。

trust

リソースを trusted として指定します。 trust パラメータは、PROGRAM クラスおよび SECFILE クラスのリソースにのみ適用されます。 プログラムが trusted の場合のみ、そのプログラムを実行できます。 詳細については、「A Access Control for UNIX エンドポイント管理ガイド」を参照してください。 このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。

trust‑

リソースを untrusted として指定します。 trust パラメータは、PROGRAM クラスおよび SECFILE クラスのリソースのみに適用されます。 untrusted プログラムは実行できません。 詳細については、「 CA Access Control for UNIX エンドポイント管理ガイド」を参照してください。 このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。

undocmd+(selang_command_string)

ポリシー デプロイ解除を定義する selang コマンドのリストを指定します。 これが、デプロイ済みのポリシーの削除（デプロイ解除）に使用するコマンドです。 以下に例を示します。

editres RULESET IIS5#02 undocmd+("rr FILE /inetpub/*")

undocmd-

ポリシー削除コマンド リストを RULESET オブジェクトから削除します。

value+(value)

指定された値を指定された変数（ACVAR オブジェクト）に追加します。

value-(value)

指定された変数（ACVAR オブジェクト）から指定された値を削除します。

warning

アクセサがリソースにアクセスできる権限を持たない場合でもリソースにアクセスできるように指定します。 ただし、監査ログに警告メッセージが書き込まれます。

注：警告モードの場合、 CA ControlMinder では、リソース グループに対する警告メッセージは作成されません。

warning‑

アクセサの権限ではリソースにアクセスできない場合、リソースへのユーザ アクセスを拒否して、警告メッセージを書き込まないように指定します。 このパラメータは chres コマンドまたは editres コマンドにのみ使用できます。

例

• ユーザ admin1 が、端末 tty30 に対して所有者とデフォルト アクセス権を変更し、その端末の使用を平日の通常業務時間内（午前 8 時から午後 6 時）に制限します。
  • ユーザ admin1 には ADMIN 属性が割り当てられているとします。

    chres TERMINAL tty30 owner(admin1) defaccess(read)  restrictions ¥
    (days(weekdays)time(0800:1800))
    

• ADMIN 属性を持つユーザ Sally が、ファイル account.txt の FILE クラス レコードに格納されているグループと所有者のプロパティを削除する操作を実行します。
  • ユーザ Sally は Jared のユーザ レコードの所有者だとします。

    chres FILE /account.txt group() owner()
    

  レコード プロパティが文字列で定義されている場合、レコード プロパティを削除するには、「-」符号または空のかっこ「()」のいずれかを付けてプロパティを入力します。

• ユーザ Bob が、端末 tty190 のコメント フィールドを削除し、その端末へのアクセスが許可されるたびに通知を受け取るように設定します。
  • ユーザ Bob は、CA ControlMinder ユーザで、端末 tty190 の所有者だとします。

    chres TERMINAL tty190 comment‑ notify(Bob@athena)
    

• ユーザ Admin1 が、SURROGATE クラスにあるリソース USER.root のセキュリティ カテゴリのリストに OPERATOR カテゴリを追加します。
  • ユーザ Admin1 に ADMIN 属性が割り当てられているとします。
  • OPERATOR カテゴリがデータベースに定義されているとします。

    chres SURROGATE USER.root category(OPERATOR)
    

• ユーザ admin1 が、/bin/su をグローバルな EXECUTE アクセス権が指定された trusted プログラムとして定義します。
  • ユーザ admin1 には ADMIN 属性が割り当てられているとします。
  • 以下のデフォルト値が適用されるとします。
    • restrictions(days(anyday) time(anytime))
    • owner(admin1)
    • audit(failure)

      newres PROGRAM /bin/su defaccess(x) trust
      

• ユーザ admin1 が、admin1 を含めすべてのユーザがアクセスできない保護されたリソースとしてグループ system にグループ ID の一時変更を定義します。
  • ユーザ admin1 には ADMIN 属性が割り当てられているとします。 ユーザ nobody が CA ControlMinder に定義されているとします。
  • 以下のデフォルト値が適用されるとします。
    • restrictions(days(anyday) time(anytime))
    • audit(failure)

      newres SURROGATE GROUP.system defaccess(n) owner(nobody)
      

• ユーザ SecAdmin が、ProjATerms（端末 T1、T8、および T11 を含む端末のグループ）を定義します。 この端末グループは、PROJECTA グループだけが、平日の通常業務時間内（午前 8 時から午後 6 時）にのみ使用します。
  • ユーザ SecAdmin に ADMIN 属性が割り当てられているとします。
  • 端末 T1、T8、および T11 は CA ControlMinder に定義されているとします。
  • グループ PROJECTA は CA ControlMinder に定義されているとします。
  • audit(failure)

    newres GTERMINAL ProjATerms mem(T1,T8,T11) owner(PROJECTA) ¥
    restrictions(days(weekdays) time(0800:1800)) defaccess(n)
    

詳細情報：

rmres コマンド - リソースの削除

showres コマンド - リソース プロパティの表示

authorize コマンド - リソースに対するアクセス権限の設定

chres コマンド - Windows リソースの変更

find コマンド - データベース レコードの一覧表示

CONTAINER クラス

クラス別アクセス権限