エンタープライズ管理ガイド › ポリシーの一元管理 › 変数 › 変数使用のガイドライン

変数使用のガイドライン

変数を使用する場合は、以下のガイドラインに準拠する必要があります。

• 別の変数またはポリシーが使用している変数を削除することはできません。
• 変数は複数の値を持つことができます。 変数値は追加または削除できます。
• 変数は入れ子にすることができます。 たとえば、以下のルールは、名前が「ac_data」で、組み込み変数、<!AC_ROOT_PATH> を含む変数を定義します。

  editres ACVAR ac_data value("<!AC_ROOT_PATH>¥data")
  

  デフォルトの CA ControlMinder がインストールされている Windows エンドポイントがこのルールをコンパイルすると、以下のルールが作成されます。

  editres ACVAR ac_data value("C:¥Program Files¥CA¥AccessControl¥data")
  

• 各変数は、タイプを 1 つのみ持つことができます。たとえば、同時に性的変数でありレジストリ値変数である変数を定義することはできません。
• 未定義の変数が含まれているポリシーはデプロイできません。 未定義の変数が含まれているポリシーをデプロイすると、CA ControlMinder によってポリシーのデプロイメント ステータスが［デプロイの一時停止中］に変更されます。 ポリシーデプロイするためには、未定義の変数を定義し、ポリシーを再デプロイする必要があります。

  注： ポリシーのどの変数が未定義か検出するには、ポリシーの DEPLOYMENT オブジェクトを確認します。 ユーザがポリシー検証を有効にしたか無効にしたかどうかにかかわらず、CA ControlMinder は未定義の変数がないかどうかの確認を行います。

• CA ControlMinder は、CA ControlMinder の変数と Windows のシステム変数が組み合わされたルールを解決できません。 たとえば、CA ControlMinder は、「var1」という名前の変数を定義する以下のルールを解決できません。

  editres ACVAR var1 value("%SYSTEMROOT%¥temp")
  

  %SYSTEMROOT% を CA ControlMinder 変数として定義し、%SYSTEMROOT%¥temp を保護するポリシーを作成するには、以下のルールを使用します。

  editres ACVAR var1 value("SYSTEMROOT") type(osvar)
  editres ACVAR var2 value("<!var1>¥temp")
  

• CA ControlMinder は、相互に依存する変数を解決できません。 たとえば、CA ControlMinder は、以下の例の変数「var1」および「var2」を解決できません。

  editres ACVAR var1 value("<!var2>")
  editres ACVAR var2 value("<!var1>")
  

• 変数内でディレクトリを定義するためにスラッシュが使用されている場合、CA ControlMinder は Windows および UNIX のエンドポイントで正しい方向になるように、スラッシュを解決します。
• selang ルールを使用して変数を定義する場合、エンドポイントにルールをデプロイするポリシーを使用する必要があります。 selang ルールを使用してエンドポイント上の CA ControlMinder データベースを直接更新すると、CA ControlMinder はルールをコンパイルできません。 たとえば、エンドポイント上で「jboss_home」という名の変数を定義していて、以下の selang ルールでデータベースを直接更新する場合：

  editres FILE <!jboss_home> audit(all)
  

  CA ControlMinder はルールをコンパイルできませんが、代わりに、<!jboss_home> という名前の FILE オブジェクトをデータベース内に作成します。