アクション ルールの構造はエントリ ルールに似ていますが、機能の点では異なります。 アクション ルールは、アクションを実行するタイミングを定義します。 たとえば、あるユーザの部門が「販売」に変ったときにポリシーでアクションを実行する場合には、「Department = Sales」の場合を定義するアクション ルールを作成します。
また、1 つのエントリ ルールを一致させる代わりに、いくつかのアクション ルールを一致させることもできます。 最も高い優先度(0 が最高)を持つアクション ルールのみが使用されます。
アクション ルールには、1 つ以上のアクションが含まれており、それらのアクションは[追加アクション]と[削除アクション]に分けられます。
次のフィールドでアクション ルールを定義します。
アクション ルールについて、わかりやすい名前を定義します。 一意の名前を指定する必要があります。
アクション ルールの意味を定義します。
一致する基準を指定します。
いくつかのアクション ルールが一致した場合に、どのアクション ルールを実行するかを定義します。 このフィールドは、デフォルトのアクションを定義する場合に有用です。 たとえば複数のルール(1 つの部門ごとに 1 つのルール)がある場合は、条件がなく、優先度の低い(他のルールが 5 の場合は 10 など)ルールを追加することによって、デフォルトを設定できます。 部門のルールがいずれも一致しない場合は、デフォルトのルールが使用されます。
ルールが一致したときに、実行するアクションのリストを定義します。 たとえば、ユーザの部門が、条件で設定された部門と一致した場合に特定の Active Directory グループを追加する、というルールを設定できます。 アクション ルールの動作は、[一度実行]の設定に基づいて変わります。 一度実行するようにポリシーを設定すると、ルールが初めて一致したときに、関連するアクションが実行されます。 それ以降のルールが一致しても、アクションが再度実行されることはありません。 前述の例では、Active Directory グループがユーザに一度だけ追加されます。 [一度実行]が設定されていない場合は、ルールが一致するたびにアクションが実行されます。 このフィールドは、値を強制的に設定する場合に重要です。
ルールが一致しない場合に実行するアクションのリストを定義します。 たとえば、前述の例では、部門に基づいて、Active Directory グループをユーザに追加しました。 部門が変わると、削除アクションによって、Active Directory グループが削除されます。
|
Copyright © 2014 CA.
All rights reserved.
|
|