selang リファレンス ガイド › selang コマンド › AC 環境の selang コマンド › ch[x]usr コマンド - ユーザ プロパティの変更

ch[x]usr コマンド - ユーザ プロパティの変更

AC 環境で有効

chusr、chxusr、editusr、editxusr、newusr、および newxusr の各コマンドは、CA ControlMinder データベース内でユーザのプロパティを変更するため、および必要に応じて、ユーザ レコードを定義するために使用します。

各コマンドには以下のような省略形があります。

• chusr - cu
• chxusr - cxu
• editusr - eu
• editxusr - exu
• newusr - nu
• newxusr - nxu

たとえば、コマンド cu はコマンド chusr と同一です。

これらのコマンドはすべて構造は同じですが、対象のみが異なります。 それぞれ、以下のように使い分けます。

• chusr、editusr、および newusr コマンドは、内部ユーザを対象に使用します。 これらのコマンド間の相違点は以下のとおりです。
  • chusr コマンドは、1 つ以上の USER レコードを変更します。
  • editusr コマンドは、1 つ以上の USER レコードを作成または変更します。
  • newusr コマンドは、1 つ以上の USER レコードを作成します。

    注： このコマンドはネイティブ環境にもありますが、動作が異なります。

• chxusr、editxusr、および newxusr コマンドは、エンタープライズ ユーザを対象に使用します。 これらのコマンド間の相違点は以下のとおりです。
  • chxusr コマンドは、1 つ以上の XUSER レコードを変更します。
  • editxusr コマンドは、1 つ以上の XUSER レコードを作成または変更します。
  • newxusr コマンドは、1 つ以上の XUSER レコードを作成します。

USER クラスと XUSER クラスのレコードはすべてのプロパティがまったく同じです。相違点は、エンタープライズ ユーザ ストアに定義されているプロパティが、XUSER レコードでは再定義されないことです。

これらのコマンドを実行すると、対象ユーザが現在システムにログイン中であっても、行われた変更によりユーザ レコードはただちに変更されます。

必要な権限

CA ControlMinder ユーザを作成するには、以下の条件が少なくとも 1 つ満たされている必要があります。

• ADMIN 属性が割り当てられていること
• ADMIN クラスの USER または XUSER レコードのアクセス制御リストに CREATE アクセス権が割り当てられていること

ユーザを追加または変更するには、以下の条件が少なくとも 1 つ満たされている必要があります。

• ADMIN 属性が割り当てられていること
• ユーザ レコードが、GROUP‑ADMIN 属性が割り当てられているグループの有効範囲に含まれており、レコードの所有者と同じ権限が与えられていること
• ユーザ レコードが、GROUP‑AUDITOR 属性が割り当てられているグループの有効範囲に含まれており、audit パラメータが指定されること
• グループの所有者であること
• ADMIN クラスの USER または XUSER レコードのアクセス制御リストに MODIFY アクセス権（ch[x]usr の場合）または CREATE アクセス権（edit[x]usr の場合）が割り当てられていること

  {{chusr|cu}|chxusr|cxu}|{editusr|eu}|{editxusr|eu}|{newusr|nu}| {newxusr|nxu}} ¥
  

  {userName|(userName [,userName...])} ¥
  [{admin | admin‑}] ¥
  [audit({none | all | {[success][failure][loginsuccess]|[loginfail]|[trace]|[interactive]}})] ¥
  [{auditor | auditor‑}] ¥
  [{category(categoryName) | category‑(categoryName)}] ¥
  [{comment(string) | comment‑}] ¥
  [country(string)] ¥
  [email(emailAddress)] ¥
  [enable] ¥
  epwasown(password) ¥
  [{expire[(date)] | expire‑}] ¥
  [fullname (fullName)]
  [{gowner(groupName)] ¥
  [{grace(nLogins) | grace‑}] ¥
  [{ign_hol | ign_hol‑}] ¥
  [{inactive(nDays) | inactive‑}] ¥
  [{interval(nDays) | interval‑}] ¥
  [{label(labelName) | label‑}] ¥
  [{level(number) | level‑}] ¥
  [location(string)] ¥
  [{logical|logical-}] ¥
  [{maxlogins(nLogins) | maxlogins‑}] ¥
  [{min_life(nDays) | min_life‑}] ¥
  [{notify(mailAddress) | notify‑}] ¥
  [{operator | operator‑}] ¥
  [organization(string)] ¥
  [org_unit(string) ¥
  [owner({userName | groupName})] ¥
  [password(string)] ¥
  [phone(string)] ¥
  [{pmdb(pmdbName) | pmdb‑}] ¥
  [{profile(groupName) | profile‑}] ¥
  [pwasown(string)] ¥
  [{pwmanager | pwmanager‑}] ¥
  [regular] ¥
  [{restrictions( ¥
  

  [days({anyday|weekdays|[mon] [tue] [wed] [thu] [fri] [sat] [sun]})] ¥
  [time({anytime|startTime:endTime})]
  ) |restrictions‑}] ¥
  

  [{resume[(date)] | resume‑}] ¥
  [{server | server‑}] ¥
  [{suspend[(date)] | suspend‑}] ¥
  [nt|nt( ] ¥
  

  [admin|admin-] ¥
  [comment('comment')|comment- ] ¥
  [country('country-name')] ¥
  [expire|expire(mm/dd/yy[@hh:mm])|expire-] ¥
  [flags({account-flags)|-account-flags})] ¥
  [homedir(any-string)] ¥
  [homedrive(home-drive)] ¥
  [location(any-string)] ¥
  [logonserver(server-name)] ¥
  [name(full_name)] ¥
  [organization(name)] ¥
  [org_unit(name)] ¥
  [password(user's temporary password)] ¥
  [pgroup(primary-group)] ¥
  [phone(any-string)] ¥
  [privileges(privilege-list)] ¥
  [restrictions(days(day-data) time(hhmm:hhmm|anytime) )] ¥
  [script(logon-script-path)] ¥
  [workstations(workstations-list)] )] ¥
  

  [unix({ [gecos(string)] ¥
  

  [homedir(path)] ¥
  [pgroup(groupName)] ¥
  [shellprog(fileName)] ¥
  [userid(number)]}]
  

admin

ユーザに ADMIN 属性を割り当てます。 ADMIN 属性を持つユーザは、audit パラメータ以外のすべてのパラメータを指定して selang のすべてのコマンドを発行できます。 admin パラメータを使用するには ADMIN 属性が必要です。

admin‑

ユーザから ADMIN 属性を削除します （CA ControlMinder は少なくとも 1 人のユーザが ADMIN 属性を持つことを確認します）。

このパラメータは、new[x]usr コマンドでは使用できません。

audit

CA ControlMinder で保護されたリソースに対するどのユーザ アクティビティを監査ログに記録するかを指定します。 イベント タイプを複数指定するには、イベント タイプの名前をスペースまたはカンマで区切ります。 audit の属性は以下のとおりです。

• all - すべてのユーザ アクティビティがログに記録されます。 監視されるアクティビティは、failure、loginfail、loginsuccess、success、interactive、および trace です。
• failure - 失敗したアクセスの試みがログに記録されます。
• loginfail - 失敗したログインの試みがログに記録されます。
• loginsuccess - 成功したログインがログに記録されます。
• none - ユーザ アクティビティはログに一切記録されません。
• success - 成功したアクセスがログに記録されます。
• interactive - CA ControlMinder は対話式セッションをログに記録します。
• trace - このユーザのアクションに基づいて、トレース ファイルに表示されるすべてのメッセージがログに記録されます。

auditor

ユーザに AUDITOR 属性を割り当てます。 AUDITOR 属性を持つユーザは、システム リソースの使用状況を監査できます。また、CA ControlMinder の権限チェックで検出された、CA ControlMinder の保護対象であるすべてのリソースへのアクセス、およびデータベースへのアクセスに対するログの記録を制御できます。 AUDITOR 属性を持つユーザに与えられる権限の詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。

auditor‑

ユーザ レコードから AUDITOR 属性を削除します。

このパラメータは、new[x]usr コマンドでは使用できません。

auth_type

認証方法を指定します。

SSO でのみ使用されます。

このパラメータは、エンタープライズ ユーザに対しては使用できません。

category(categoryName[, categoryName...])

1 つ以上のセキュリティ カテゴリ セキュリティ カテゴリは、CATEGORY クラスにあるレコードの名前です。 セキュリティ カテゴリは、アクセサとリソースに割り当てることができます。 リソースに割り当てられているすべてのセキュリティ カテゴリにアクセサが割り当てられている場合のみ、そのアクセサはリソースにアクセスできます。をユーザに割り当てます。

category‑(categoryName[, categoryName...])

ユーザ レコードから 1 つ以上のセキュリティ カテゴリを削除します。

このパラメータは、new[x]usr コマンドでは使用できません。

comment(commentString )

ユーザ レコードにコメントを追加します。

commentString

コメントを指定します。 commentString は最大 255 文字の英数字の文字列です。 commentString に空白文字が含まれる場合は、文字列全体を一重引用符で囲みます。

comment‑

ユーザ レコードからコメントを削除します。

このパラメータは、new[x]usr コマンドでは使用できません。

country(countryName)

ユーザの国名を指定します。 国は、認証プロセスでは使用されません。

countryName

国を定義します。 このパラメータは最大 19 文字の英数字から成る文字列です。 文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。

email(emailAddress)

ユーザの電子メール アドレスを定義します。

emailAddress

ユーザの電子メール アドレスを定義します。

制限： 128 文字以下

enable

何らかの理由で無効になっているユーザのログインを有効にします。

このパラメータは、new[x]usr コマンドでは使用できません。

epwasown(password)

ユーザが自分のパスワードを変更するように、ユーザのパスワードを変更します。 このパスワード変更は管理上の変更でなく、従って、パスワードが自動的に失効することはありません。

注： このコマンドは内部使用のみです。 このコマンドは、 /etc/shadow （パスワード ファイル）への引数として指定されるように平文テキストでパスワードを設定します。

expire(dateTime)

ユーザ アカウントが失効する日付を設定します。 日付の指定がない場合、アカウントはただちに失効します。ユーザがログイン中の場合は、ユーザがログアウトした時点で失効します。

このプロパティの値がユーザ レコードに指定されている場合は、ユーザ レコードの値が GROUP クラスのレコードの値より優先されます。

注： expire‑ パラメータを使用して、失効したユーザ レコードを有効にします。これを行うのに、resume パラメータは使用しません。

dateTime

日付と、オプションで時刻を指定します。 形式は以下のとおりです。
mm/dd/[yy]yy[@HH:MM]

年は、2 桁または 4 桁で指定できます。

expire‑

new[x]usr コマンドの場合は、有効期限のないユーザ アカウントを定義します。

ch[x]usr コマンドおよび edit[x]usr コマンドの場合は、ユーザ アカウントから有効期限を削除します。

flags(accountFlags|-accountFlags)

ユーザ アカウントの特定の属性を指定します。 有効なフラグ値の詳細については、付録「Windows の値」を参照してください。

ユーザ レコードからフラグを削除するには、accountFlags の前にマイナス記号（-）を付けます。

fullname(fullName)

ユーザのフル ネームを指定します。

fullName

フル ネームを指定します。 最大 255 文字の英数字から成る文字列です。 fullName に空白が含まれる場合は、文字列全体を一重引用符で囲みます。

gecos(string)

ユーザのコメント文字列を指定します。 文字列は一重引用符で囲みます。

gowner(groupName)

ユーザ レコードの所有者として CA ControlMinder グループを割り当てます。 ユーザ レコードのグループ所有者には、ユーザ レコードに対する無制限のアクセス権が与えられます。ただし、前提として、グループ所有者のセキュリティ レベルとセキュリティ カテゴリに適切な権限が設定されている必要があります。 ユーザ レコードのグループ所有者は、ユーザ レコードをいつでも更新および削除することができます。

grace(nLogins)

ユーザに許可する猶予ログイン回数を定義します。

猶予ログイン回数に達するとユーザはシステムにアクセスできなくなるため、システム管理者に連絡して新しいパスワードを設定する必要があります。 猶予ログイン回数が 0 に設定されている場合、ユーザはログインできません。

このパラメータの値がユーザ レコードに指定されている場合は、ユーザ レコードの値が GROUP クラスのレコードの値より優先されます。

このパラメータを指定しない場合でも、ユーザのプロファイル グループにこのパラメータの値が含まれている場合は、GROUP クラスのレコードの値が使用されます。 USER クラスのレコードにも GROUP クラスのレコードにも値が含まれていない場合は、CA ControlMinder のグローバル猶予ログイン設定が使用されます。

nLogins

猶予ログイン回数を指定します。 0 ～ 255 の整数を入力してください。

注： 猶予ログイン回数の値が 0 に達する前に、パスワードを変更する必要があります。 猶予ログイン回数の値に達っしてしまった場合、システム管理者に連絡して新しいパスワードを選択してください。

grace‑

ユーザの猶予ログイン設定を削除します。 代わりに、CA ControlMinder のグローバル猶予ログイン設定が使用されます。

このパラメータは、newusr コマンドでは使用できません。

homedir(path)

ユーザのホーム ディレクトリの完全パスを指定します。 path の最後にスラッシュを付けると、パスに userName が自動的に追加されます。

homedrive(drive)

ユーザのホーム ディレクトリのドライブを指定します。

ign_hol

ユーザに IGN_HOL 属性を割り当てます。 IGN_HOL 属性を持つユーザは、holiday レコードに定義された期間中にログインできます。

ign_hol‑

IGN_HOL 属性をユーザから削除します。

inactive(nDays)

ユーザのステータスが非アクティブに変更されるまでの経過日数を指定します。 指定した日数に達すると、ユーザはログインできなくなります。

注： 非アクティブ ユーザはユーザ レコードにマークが設定されません。 アクティブでないユーザを識別するには、Inactive Days 値と Last Accessed Time 値を比較する必要があります。

nDays

日数を指定します。 nDays には、0 または正の整数を指定します。 nDays を 0 に設定した結果は、inactive‑ パラメータを指定した場合と同じになります。

inactive‑

ユーザのステータスを非アクティブからアクティブに変更します。

このパラメータは、newusr コマンドでは使用できません。

interval(nDays)

パスワードの設定または変更後、ユーザに対して新しいパスワードの入力を促すメッセージが表示されるまでの経過日数を定義します。 0 または正の整数を指定します。 nDays が 0 の場合、パスワード期間のチェックが無効になり、パスワードが失効しません。 つまり、setoptions コマンドで設定したデフォルト値は使用されません。 nDays を 0 に設定するのは、セキュリティ要件が厳しくないユーザに限定してください。

nDays が経過すると、現在のパスワードが期限切れであることがユーザに通知されます。 通知を受けたユーザは、猶予ログイン回数に達するまでパスワードを引き続き使用することができます。 猶予ログイン回数に達するとシステムへのアクセスを拒否されるため、ユーザはシステム管理者に連絡して新しいパスワードを取得する必要があります。

interval‑

ユーザのパスワード期間の設定を取り消します。 このパラメータの値がユーザのプロファイル グループに含まれている場合は、その値が使用されます。 それ以外の場合は、setoptions コマンドで設定したデフォルト値が使用されます。

このパラメータは、new[x]usr コマンドでは使用できません。

label(labelName)

ユーザにセキュリティ ラベル セキュリティ ラベルは、SECLABEL クラスにあるレコードの名前です。 セキュリティ ラベルによって、セキュリティ ラベルと複数のセキュリティ カテゴリを 1 つにまとめることができます。 セキュリティ ラベルをアクセサまたはリソースに割り当てると、そのセキュリティ ラベルに関連付けられたセキュリティ レベルとセキュリティ カテゴリの組み合わせが、アクセサまたはリソースに設定されます。 セキュリティ ラベルは、アクセサまたはリソースに設定された特定のセキュリティ レベルおよびセキュリティ カテゴリよりも優先されます。を割り当てます。

label‑

ユーザ レコードからセキュリティ ラベルを削除します。

このパラメータは、new[x]usr コマンドでは使用できません。

level(levelNumber)

ユーザ レコードにセキュリティ レベル セキュリティ レベルは、ユーザおよびリソースに割り当てることのできる 0 から 255 までの整数です。 リソースのアクセス制御リストでユーザにアクセス権限が付与されていても、アクセサのセキュリティ レベルがリソースのセキュリティ レベルより低い場合、そのアクセサはそのリソースにアクセスできません。を割り当てます。

levelNumber は、0 ～ 255 の整数です。

level‑

ユーザ レコードからセキュリティ レベルを削除します。

このパラメータは、newusr コマンドでは使用できません。

localapps

eTrust SSO で使用されます。

location(locationString)

ユーザの所在地を指定します。 所在地は、認証プロセスでは使用されません。

locationString

所在地を指定します。 locationString は最大 47 文字の英数字から成る文字列です。 locationString に空白文字が含まれる場合は、文字列を一重引用符で囲みます。

logical

ユーザに LOGICAL 属性を割り当てます。 LOGICAL 属性が割り当てられたユーザはログインすることができず、CA ControlMinder 内部でのみ使用されます。

たとえば、リソースの所有者であってもリソースへのアクセスを妨げるために、リソースの所有者として使用するユーザ nobody は、デフォルトの論理ユーザです。 これは、ユーザがこのアカウントを使用してログインすることができないことを意味します。

logical‑

ユーザから LOGICAL 属性を削除します

logonserver(server-name)

ユーザのログイン情報を確認するサーバを指定します。 ユーザがドメイン ワークステーションにログインすると、この引数で指定したサーバにログイン情報が送られ、ユーザがワークステーションを使用することが許可されます。

maxlogins(nLogins)

ユーザの最大同時ログイン 同時ログインとは、1 人のユーザが複数の端末から同時に 1 つのシステムにログインして開始した複数のセッションのことです。数を設定します。 値 0（ゼロ）は、同時に任意の数の端末からログインできることを意味します。 このパラメータを指定しない場合は、グローバルな最大ログイン回数の設定が使用されます。

注： maxlogins を 1 に設定すると、selang を実行できません。 この場合、CA ControlMinder を停止し、setpropadm ユーティリティなどを使用して maxlogins の設定を 2 以上の値に変更し、CA ControlMinder を再起動する必要があります。

maxlogins‑

ユーザの最大ログイン数の設定を削除します。 代わりに、グローバルな設定が使用されます。

このパラメータは、new[x]usr コマンドでは使用できません。

min_life(nDays)

ユーザがパスワードを再度変更できるまでの最短経過日数を指定します。 正の整数を入力します。

min_life‑

ユーザの min_life 設定を削除します。 このパラメータの値がユーザのプロファイル グループに含まれている場合は、その値が使用されます。 それ以外の場合は、setoptions コマンドで設定したデフォルト値が使用されます。

このパラメータは、new[x]usr コマンドでは使用できません。

nochngpass

ユーザが別のユーザのパスワードを変更できないように指定します。

notify(notifyAddress)

ユーザがログインするたびに、notifyAddress 宛に電子メールを送信します。 通知メッセージを受け取るユーザは、頻繁にログインして、各メッセージに示された不正なアクセスの試みに対処する必要があります。

通知メッセージが送信されるたびに、監査ログに監査レコードが書き込まれます。

notifyAddress

ユーザ名または電子メール アドレスを指定します。

制限： 30 文字。

notify‑

ユーザがログインしたときに誰にも通知を行わないように指定します。

このパラメータは、new[x]usr コマンドでは使用できません。

nt

chusr コマンドおよび editusr コマンドの場合、このパラメータは、ローカル Windows システムのユーザ定義を変更します。

newusr コマンドの場合、このパラメータはユーザをローカル Windows システムに追加します。

複数の引数を指定する場合は、各引数をスペースで区切ります。

ローカル Windows システムを CA ControlMinder 内で操作する方法の詳細については、environment コマンドの説明を参照してください。

nt オプションと nt オプションのサブオプションは、エンタープライズ ユーザに対しては無効です。

operator

ユーザに OPERATOR 属性を割り当てます。 OPERATOR 属性を持つユーザは、データベースのすべてのリソース レコードを一覧表示できます。また、このユーザには CA ControlMinder で定義されたすべてのファイルに対する読み取り権限が与えられます。

この属性を持つユーザは、secons コマンドのすべてのオプションも使用できます。 secons ユーティリティの詳細については、「リファレンス ガイド」を参照してください。

operator‑

ユーザ レコードから OPERATOR 属性を削除します。

このパラメータは、newusr コマンドでは使用できません。

organization(organizationString)

ユーザの組織を指定します。 組織は、認証プロセスでは使用されません。

organizationString

組織を指定します。 organizationString は最大 255 文字の英数字から成る文字列です。 organizationString に空白文字が含まれる場合は、文字列を一重引用符で囲みます。

org_unit(org_unitString)

ユーザの組織単位を指定します。 組織単位は、認証プロセスでは使用されません。

org_unitString

組織単位を指定します。 org_unitString は最大 255 文字の英数字から成る文字列です。 organizationString に空白文字が含まれる場合は、文字列を一重引用符で囲みます。

owner(Name)

ユーザ レコードの所有者として CA ControlMinder ユーザまたはグループを割り当てます。 詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。

password(string)

ユーザにパスワードを割り当てます。 スペースまたはカンマ以外の任意の文字を指定します。 パスワード チェックが有効になっている場合、指定したパスワードでログインできるのは 1 回のみです。 次回システムにログインする際に、ユーザは新しいパスワードを設定する必要があります。

自分のパスワードを変更するには、setoptions cng_ownpwd を使用して selang オプションを設定するか、sepass を使用する必要があります。

pgroup(groupName)

ユーザのプライマリ グループ ID を設定します。 groupName には UNIX グループの名前を指定します。

phone(phoneString)

ユーザの電話番号を指定します。 電話番号は、認証プロセスでは使用されません。

phoneString

電話番号を指定します。 phoneString は最大 19 文字の英数字から成る文字列です。 phoneString に空白文字が含まれる場合は、文字列を一重引用符で囲みます。

pmdb(pmdbName)

ユーザが sepass ユーティリティを使用してパスワードを変更した場合、指定された PMDB Policy Model データベース（PMDB）はスタンド アロンの CA ControlMinder データベースで、特定のホスト システムに関連付けられている CA ControlMinder データベースと同じタイプのルールを保持します。 マスタ PMDB にルールを適用すると、そのルールは、マスタ PMDB に対して定義されたすべてのサブスクライバ データベースに伝達されます。 に新しいパスワードを伝達するように指定します。 PMDB の完全修飾名を入力します。 このパスワードは、seos.ini の [seos] セクションにある parent_pmd トークンまたは passwd_pmd トークンに定義されている Policy Model には送信されません。

このオプションは、エンタープライズ ユーザに対しては使用できません。

pmdb‑

ユーザ レコードから PMDB 属性を削除します。

このパラメータは、new[x]usr コマンドでは使用できません。

privileges(privilege-list)

Windows のユーザ レコードに特定の権限を追加します。privList の前にマイナス記号（-）を付けた場合は、指定した権限を削除します。

このパラメータは、newusr コマンドでは使用できません。

profile(groupName)

ユーザをプロファイル グループ プロファイル グループは、ユーザ プロパティのデフォルト値が収められている、CA ControlMinder データベースに定義されるグループです。 ユーザをプロファイル グループに割り当てた場合、そのユーザにすでに値が設定されていない限り、プロファイル グループはそのデフォルト値をユーザに提供します。に割り当てます。 次の値をプロファイル グループから取得できます。

• audit
• auth_type
• expire
• grace
• inactive
• interval
• maxlogins
• min_life
• password rules
• pmdb
• pwd_autogen
• pwd_policy
• pwd_sync
• restrictions (days, time)
• resume
• suspend
• unix (homedir, shellprog)

profile‑

ユーザをプロファイル グループから削除します。

このパラメータは、new[x]usr コマンドでは使用できません。

pwmanager

ユーザに PWMANAGER 属性を割り当てます。 この属性を持つユーザは、データベースにあるユーザのパスワードを変更できます。 詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。

pwmanager‑

ユーザ レコードから PWMANAGER 属性を削除します。

このパラメータは、new[x]usr コマンドでは使用できません。

pwasown(string)

ユーザが変更した場合と同じようにパスワードを置き換えます。 このパラメータを指定すると、データベースを最後に変更した日時が更新され、 猶予ログインが終了します。

regular

レコードの OBJ_TYPE プロパティをリセットし、ユーザの権限属性を削除します。

restrictions([Days] [Time])

ユーザがログインできる曜日と時間帯を指定します。 この制限は、[X]USER レコードの DAYTIME プロパティに格納されます。

Days 引数を指定せずに Time 引数を指定した場合、レコードですでに定義されている曜日制限に時間制限が適用されます。

Time 引数を指定せずに Days 引数を指定した場合、レコード内にすでに設定されている Days 制限に対して、指定した曜日制限が適用されます。

Days 引数と Time 引数の両方を指定した場合、ユーザは、指定した曜日の指定した時間帯にのみシステムにアクセスできます。

Days

ユーザがログインできる曜日を指定します。 Days の指定には以下のキーワードを使用できます。

• anyday - ユーザは曜日を問わずファイルにアクセスできます。
• weekdays - ユーザは月曜から金曜までの平日に限りリソースにアクセスできます。
• Mon、Tue、Wed、Thu、Fri、Sat、Sun - ユーザは指定した曜日にのみリソースにアクセスできます。 曜日は任意の順で指定できます。 複数の曜日を指定する場合は、各曜日をスペースまたはカンマで区切ります。

Time

ユーザがログインできる時間帯を指定します。 time 引数には次のサブ引数があります。

• anytime - 特定の曜日の任意の時間帯にリソースにアクセスできます。
• startTime:endTime - 指定した時間帯に限りリソースにアクセスできます。

  startTime と endTime はどちらも hhmm の形式で指定します。hh は時間（00 ～ 23）、mm は分（00 ～ 59）を表します。 2400 は有効な Time 値ではないことに注意してください。代わりに 0000 を使用してください。

  startTime は endTime より小さい必要があります。

  注： CA ControlMinder では、プロセッサのタイム ゾーンを使用します。 プロセッサと異なるタイム ゾーンの端末にログインする際には注意が必要です。

restrictions‑([days] [time])

ユーザによるログインを限定するすべての曜日および時間帯の制限を削除します。

resume([dateTime])

suspend パラメータを指定して無効にしたユーザ レコードを有効にします。 suspend パラメータと resume パラメータの両方を指定する場合、再開日を一時停止日より後に設定する必要があります。 dateTime を省略すると、chusr コマンドの実行直後にユーザ レコードが再開されます。 詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。

dateTime は、[m]m/[d]d/yy[@HH:MM] の形式で指定します。

resume‑

再開日および再開時間（指定されている場合）をユーザ レコードから消去します。 これにより、ユーザのステータスがアクティブ（有効）から一時停止に変更されます。

このパラメータは、new[x]usr コマンドでは使用できません。

script(logon-script-path)

ユーザがログインしたときに自動的に実行されるファイルの場所を指定します。 このパラメータは任意です。 通常は、このログイン スクリプトによって作業環境が設定されます。 ユーザの作業環境の設定には profile パラメータも使用できます。

server

SERVER 属性を設定します。 現在のユーザに代わり実行しているプロセスから、他のユーザの権限をクエリできるようになります。 詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。

server‑

SERVER 属性の設定を解除します。

このパラメータは、new[x]usr コマンドでは使用できません。

shellprog(fileName)

ユーザが login コマンドまたは su コマンドを起動した後に実行される初期プログラムまたはシェルの完全パスを指定します。 fileName には文字列を指定します。

このオプションは、エンタープライズ ユーザに対しては使用できません。

suspend([dateTime])

ユーザ レコードを無効にします。ただし、データベースには定義を残します。 ユーザは、無効にされたユーザ アカウントを使用してシステムにログインすることはできません。

dateTime を指定すると、指定された日にユーザ レコードが無効になります。 dateTime を省略すると、ch[x]usr コマンドの実行直後にユーザ レコードが無効になります。

dateTime は mm/dd/yy[@HH:MM] の形式で指定します。

suspend‑

一時停止日をユーザ レコードから消去し、ユーザのステータスを無効から有効（アクティブ）に変更します。

このパラメータは、new[x]usr コマンドでは使用できません。

unix

chusr コマンドおよび editusr コマンドの場合、このパラメータは、ローカル UNIX システムのユーザ定義を変更します。

newusr コマンドの場合、このパラメータはユーザをローカル UNIX システムに追加します。

複数の引数を指定する場合は、各引数をスペースで区切ります。

ローカル UNIX システムを CA ControlMinder 内で操作する方法の詳細については、この章の environment コマンドの説明を参照してください。

unix オプションと unix オプションのサブオプションは、エンタープライズ ユーザに対しては無効です。

userid(number)

一意の随意アクセス制御に使用するユーザの一意の ID 番号（UID）を設定します。 Number には 10 進数を指定します。 デフォルトでは、100 より小さい数値は使用できません。 除外される数値の詳細については、「リファレンス ガイド」の AllowedGidRange トークンの説明を参照してください。

userName|(userName [,userName...])

ユーザ名（複数可）を指定します。 各ユーザ名は一意である必要があります。

newusr コマンドを使用すると、CA ControlMinder は userName を新しいユーザとして認識します。 newusr コマンドで指定したユーザが、ネイティブ環境にすでに定義されている場合、そのユーザ名は該当ユーザの USER レコードとして使用されます。 ただし、一般的には、newusr コマンドを使用してネイティブ環境に既存のユーザ名に対する USER レコードを作成するより、CA ControlMinder でエンタープライズ ユーザを使用できることを活用する方が得策です。 目的のユーザの CA ControlMinder プロパティを変更するには、代わりに chgxusr コマンドを使用します。

ネイティブ ログイン名ではない CA ControlMinder ユーザ名を使用する場合が考えられます。 その場合、login コマンドではそのユーザを使用できませんが、sesu などの他のコマンドで使用できます。

注： UNIX でユーザ名に円記号が含まれる場合は、 userName を指定する際に円記号を 2 つ重ねます。

例

• ユーザ Bob が、Jim のレコードに FINANCIAL カテゴリを追加し、Jim のセキュリティ レベルを 155 に変更し、さらに Jim によるシステムへのアクセスを平日の午前 8 時から午後 8 時までに制限します。
  • ユーザ Bob に ADMIN 属性が割り当てられているとします。
  • CA ControlMinder にユーザ Jim が定義されているとします。
  • CA ControlMinder に FINANCIAL カテゴリが定義されているとします。

    chuxsr Jim category(FINANCIAL) level(155) restrictions ¥
    (days(weekdays)time(0800:2000))
    

• ユーザ admin が、1995 年 8 月 5 日から 3 週間の休暇に入る予定のユーザ Joel を一時停止します。
  • ユーザ admin に ADMIN 属性が割り当てられているとします。
  • CA ControlMinder にユーザ Joel が定義されているとします。
  • 現在の日付は 1994 年 8 月 3 日だとします。

    chxusr Joel suspend(8/5/95) resume(8/26/95)
    

• ユーザ Security2 が、ユーザ Bill から AUDITOR 属性を削除し、Bill のすべてのアクティビティを監査します。
  • ユーザ Security2 に ADMIN 属性および AUDITOR 属性が割り当てられているとします。
  • CA ControlMinder にユーザ Bill が定義されているとします。

    chxusr Bill auditor- audit(all)
    

• ユーザ Rob が、ユーザ Mary のレコードに格納されているコメントを変更します。
  • ユーザ Rob が Mary のユーザ レコードの所有者だとします。

    chxusr Mary comment ('Administrator of the SALES group')
    

• ADMIN 属性を持つユーザ Sally が、ユーザ Jared のレコードに格納されている国名および所在地のプロパティを削除します。
  • ユーザ Sally は Jared のユーザ レコードの所有者だとします。

    chxusr Jared country() location()
    

• ユーザ Bob が、ユーザ Peter およびユーザ Joe を CA ControlMinder に定義します。
  • ユーザ Bob に ADMIN 属性が割り当てられているとします。
  • ユーザ Peter およびユーザ Joe が CA ControlMinder に定義されていないとします。
  • 以下のデフォルト値が適用されるとします。
    • owner(Bob)
    • audit(failure,loginfailure)

      newusr (Peter Joe)
      

• ユーザ Bob がユーザ Jane を CA ControlMinder に定義し、Jane を所有するグループとして payroll を割り当てます。
  • ユーザ Bob に ADMIN 属性が割り当てられているとします。
  • CA ControlMinder にユーザ Jane が定義されていないとします。
  • ユーザ Jane のフル ネームは JG Harris だとします。
  • audit(failure,loginfailure)

    newusr Jane owner(payroll) name('J.G. Harris')
    

• ユーザ Bob がユーザ JohnD を CA ControlMinder に定義し、セキュリティ カテゴリ NewEmployee およびセキュリティ レベル 3 を設定します。 JohnD がシステムを使用できる時間帯を、平日の午前 8 時から午後 6 時までのみに設定します。
  • ユーザ Bob に ADMIN 属性が割り当てられているとします。
  • CA ControlMinder に NewEmployee カテゴリが定義されているとします。
  • 新しいユーザのフル ネームは John Doe だとします。
  • 以下のデフォルト値が適用されるとします。
    • owner(Bob)
    • audit(failure)

      newusr JohnD name('John Doe') category(NewEmployee) level(3) ¥
      restrictions(days(weekdays)time(0800:1800))