管理ガイドカスタム ロールおよびカスタム ポリシー › ユーザ: Win-Admin のデータ アクセスを制限するシナリオ

前のトピック: 例: 管理者以外のユーザへのアーカイブ管理の許可

次のトピック: 手順 1: Win-Admin ユーザの作成

ユーザ: Win-Admin のデータ アクセスを制限するシナリオ

ユーザが表示できるレポートを、指定したタグが付いたレポートに制限できます。 また、そのレポート上に表示できるデータを、指定したイベント ソースから生成されたデータに制限できます。 特定のタグが付いたレポートへのアクセスの制限は、アクセス ポリシーを使用して行います。 特定の CA Enterprise Log Manager サーバに返されたイベントへのデータ アクセスの制限は、アクセス フィルタを使用して行います。 アクセス フィルタが定義されている場合、ロールの割り当ては任意です。 すなわち、ユーザを新規作成し、ロールを割り当てずに、アクセス フィルタを使用して、そのユーザのデータ アクセスを制限できます。

米国に 4 つのデータ センターを持つ ABC 社のシナリオを考えます。管理者は、ヒューストン地域の管理者に、ヒューストン地域のドメイン コントローラによって処理される Windows イベントへの読み取りアクセス権を与える必要があるとします。 ヒューストン ドメイン コントローラにインストールされた CA Enterprise Log Manager サーバによって処理される Windows イベントは、ホスト名が文字列「ABC-HOU-WDC」で始まるソースから送信されます。

この例では、Win-Admin というユーザを作成し、このユーザが「システム アクセス」タグが付いたデータのみを表示できるようにし、これらのレポート上のデータを、既知の命名規則で始まるホスト名が付いたイベント ソースからのイベントに制限する方法を、順を追って説明します。

この例では、以下の各手順の詳細を説明します。

  1. 新規ユーザ Win-Admin を作成します。
  2. Win-Admin に CA Enterprise Log Manager への基本的なアクセス権を付与します。 CALM アプリケーション アクセス ポリシーにこの ID を追加します。
  3. Win-Admin のレポートへのアクセス権を、「システム アクセス」というタグが付いたものに制限します。 レポートが保存されている EEM フォルダを指定し、calmTag が「システム アクセス」と等しいことを指定するフィルタを備えた、AppObject への読み取りアクセス権に関するスコープ ポリシーを作成します。 ポリシーをテストします。
  4. Win-Admin が表示できるデータが、Win-Admin の地域のドメイン コントローラによって生成されたデータに制限されます。 Win-Admin が表示できるクエリおよびレポートのデータを、「ABC-HOU-WDC」で始まるホスト名を持つイベント ソースからの Windows イベントに制限するアクセス フィルタを作成し、「Win-Admin データ アクセス」と名前を付けます。
  5. Win-Admin ユーザとして CA Enterprise Log Manager にログオンし、ポリシーによって提供されるアクセスを評価します。
  6. アクセス制限が厳しすぎて、意図したタスクをユーザが実行できない場合は、追加のポリシーを使用してアクセス権を拡張します。

詳細情報:

手順 1: Win-Admin ユーザの作成

手順 3: Win-Admin システム アクセス ポリシーの作成

手順 4: Win-Admin データ アクセス フィルタの作成

手順 6: 許可されたアクションの拡張