CA ControlMinder 与预定义组一起提供。 除 _interactive 和 _network 组之外,按照对其他组的相同方式将用户添加到这些组中。
登录时,如果用户在 _abspath 组,那么该用户必须使用绝对路径名来调用程序。
为 _interactive 组成员的用户仅可进行访问尝试。 如果登录到与他们试图访问的资源相同的主机,用户则为 _interactive 组的成员。 CA ControlMinder 动态并自动管理 _interactive 组的成员身份 -- 您无法更改成员身份。
在修改文件之前,interactive_restricted 组中的用户需要强身份验证。 Interactive_restricted 组的用户可以读取文件并执行指令。 他们无法修改除了他们有权修改的预定义非文件列表之外的任何文件。 消息会提醒用户运行 sepromote 实用程序以在他们需要删除限制时进行身份验证。
这是 _interactive 的补充组。 为 _network 组成员的用户仅可进行访问。 如果正在尝试访问其他主机的资源,而不是资源所属的主机,用户则为 _network 组的成员。 CA ControlMinder 动态并自动管理 _network 组的成员身份 -- 您无法更改成员身份。
对于 _restricted 组的用户,所有文件以及 Windows 注册表项都受到 CA ControlMinder 的保护。 如果文件或 Windows 注册表项没有明晰定义访问规则,那么访问权限由该类(FILE 或 REGKEY)的 _default 记录所覆盖。
注意: _restricted 组中的用户可能没有足够的权限进行操作。 如果您打算向 _restricted 组添加用户,请考虑在开始就使用警告模式。
用户使用 _surrogate 组的成员作为替代时,CA ControlMinder 会在替代操作的审核记录中写入完整跟踪,以最初用户名进行标记。
示例:使用 selang 将用户添加到 _restricted 组
以下 selang 命令将企业用户 john_smith 添加到 _restricted 组:
joinx john_smith group(_restricted)
|
版权所有 © 2013 CA。
保留所有权利。
|
|