ch x grp 命令更改组属性
在 AC 环境中有效
cminder12901cn
在 AC 环境中有效
使用 chgrp、chxgrp、editgrp、editxgrp、newgrp 和 newxgrp 命令可更改组属性,并根据需要在数据库中创建组。
这些命令与下列命令同义:
- chgrpcg
- chxgrpcxg
- editgrpeg
- editxgrpexg
- newgrpng
- newxgrpnxg
这些命令结构相同,仅在范围方面有如下不同:
- chgrp、editgrp 和 newgrp 命令处理 GROUP 类中的记录。 这些命令可用于在不参考企业用户存储的情况下创建或修改组。 这些命令之间的区别如下所示:
- chgrp 命令修改GROUP 类中的一个或多个记录。
- editgrp 命令在 GROUP 类中创建或修改一个或多个记录。
- newgrp 命令在 GROUP 组中创建一个或多个记录。
注意:这些命令还存在于本机环境中,但操作方式有所不同。 - chxgrp、editxgrp 和 newxgrp 命令处理 XGROUP 类中的记录。 这些命令用于创建或修改企业用户存储中定义的组。 它们之间的差异如下所示:
- chxgrp 命令修改XGROUP 类中的一个或多个记录。
- editxgrp 命令在 XGROUP 类中创建或修改一个或多个记录。
- newxgrp 命令在 XGROUP 类中创建一个或多个记录。
所需授权
要创建新组,至少必须满足下列条件之一:
- 您具有 ADMIN 属性。
- 在 ADMIN 类中的 GROUP 或 XGROUP 记录访问控制列表中为您分配了 CREATE 权限。
要添加或修改组,至少必须满足下列条件之一:
- 您具有 ADMIN 属性。
- 该组记录在您具有 GROUP-ADMIN 属性的组范围内。
- 您是组的所有者。
- 在 ADMIN 类的 GROUP 或 XGROUP 记录访问控制列表中为您分配了 MODIFY(对于 ch[x]usr)或 CREATE(对于 edit[x]usr)权限。
{{chgrp|cg}|{chxgrp|cxg}|{editgrp|eg}|{editxgrp|exg}|{newgrp|ng}|{newxgrp|nxg}} groupName ...
[{admin | admin-}] \ [audit(none|all|success|failure|loginsuccess|loginfail|trace|interactive)|audit-] \ [{auditor | auditor-}] \ [comment(string)|comment-] \ [expire[(mm/dd/yy[yy[@hh:mm])]|expire-] \ [gowner(groupName)] \ [homedir(fullPath|nohomedir)] \ [inactive(numInactiveDays)|inactive-] \ [maxlogins(maximumNumberOfLogins)|maxlogins-] \ [mem(groupName)|mem+(groupName)|mem-(groupName)]\ [name('fullName')] \ [nt[(comment(comment))] [{operator | operator-}] \ [owner(userName|groupName)] \ [parent(groupName)|parent-] \ [password( \[history(numberStoredPasswords)|history-] \[interval(maximumPasswordChangeInterval)|interval-] \[min_life(minimumPasswordChangeInterval)|min_life-] \[rules( \ [alpha(minimumAlphaCharacters)] \ [alphanum(minimumAlphanumericCharacters)] \ [bidirectional|bidirectional-] \ [grace(numberOfGraceLogins)] \ [min_len(minimumPasswordLength)] \ [max_len(maximumPasswordLength)] \ [lowercase(minimumLowercaseCharacters)] \ [max_rep(maxRepetitiveCharacters)] \ [namechk|namechk-] \ [numeric(minimumNumericCharacters)] \ [oldpwchk|oldpwchk-] \ [special(minimumSpecialCharacters)] \ [uppercase(minimumUppercaseCharacters)] \ [use_dbdict|use_dbdict-] \)|rules-] \)] \ [pmdb(PolicyModelName)|pmdb-] \ [{pwmanager | pwmanager-}] \ [restrictions( \[days({anyday|weekdays|{[mon] [tue] [wed] \ [thu] [fri] [sat] [sun]}})] \[time(anytime|startTime:endTime) \ |restrictions-] \ [resume[(mm/dd/yy[yy][@hh:mm])]|resume-] \ [{server | server-}] \ [shellprog(fullPath)] \ [supgroup(superiorGroup)|supgroup-] \ [suspend[(mm/dd/yy[yy][@hh:mm])]|suspend-] \ [unix[( \[appl(quotedString)] \[groupid(groupidNumber)] \[userlist(userName...)] \ )]] \
要删除由字符串定义属性的任何记录属性,请键入属性,后面紧跟 -(减号)或 ()(空圆括号)。
注意:
仅当组功能为配置文件组时某些参数才相关。 配置文件组不能为企业组。- 管理为组分配 ADMIN 属性。 所在组具有 ADMIN 属性的用户可以发出带有除 audit 参数以外所有参数的所有 selang 命令。 您必须具有 ADMIN 属性才能使用 admin 参数。
- admin-从组中删除 ADMIN 属性。 请注意保留至少具有一个 ADMIN 属性的用户。不能将此参数与 new[x]grp 命令一起使用。
- audit(mode)-打开此命令的跟踪审核。 审核模式为:none、all、success、failure、loginsuccess、loginfail、trace、interactive。
- audit-关闭此命令的跟踪审核。
- 审核员为组分配 AUDITOR 属性。 所在组具有 AUDITOR 属性的用户可以审核系统资源的使用,并且能够控制是否记录在授权检查过程中检测到的对任何受保护资源的访问以及对数据库的访问。 有关授予具有 AUDITOR 属性的用户权限的详细信息,请参阅适用于您操作系统的《端点管理指南》。
- auditor-从组记录中删除 AUDITOR 属性。不能将此参数与 new[x]grp 命令一起使用。
- comment(string)向组记录中添加备注字符串,最多为 255 个字母数字字符(单字节)。 如果字符串包含空格,请用单引号将整个字符串引起来。 该字符串将替换以前添加的任何现有字符串。注意:在德语中,仅记录 128 个字符。
- comment-从组记录中删除备注字符串(如果有的话)。 仅对 chgrp 或 editgrp 命令使用此参数。
- expire(date)设置组成员帐号的到期日期。 如果不指定日期,那么如果用户当前未登录,用户帐号将立即到期。 如果用户已登录,帐户将在注销后到期。 此参数仅适用于配置文件组。采用格式mm/dd/yy[@HH:MM]指定到期日期和可选时间。 年份可以是 2 位或 4 位数字。注意:不能通过用恢复日期指定 resume 参数来启用到期的用户记录。 请使用 expire- 参数来启用到期的用户记录。
- expire-对于 newgrp 命令,定义没有过期日期的用户帐户。 对于 chgrp 和 editgrp 命令,删除用户帐号的过期日期。 此参数仅适用于配置文件组。
- gowner(groupName)将用户或组分配为组记录的所有者。 指定多个组名称时,请将组名放在括号中,并以空格或逗号分隔这些组名。 如果将组添加到数据库并省略此参数,则您为组记录的所有者。
- grace(numberOfGraceLogins)设置在挂起用户之前所允许的最多登录次数。 宽限登录次数必须介于 0 和 255 之间。 达到宽限登录次数后,将拒绝用户访问系统,用户必须与系统管理员联系以选择新密码。 在 grace 设置为零的情况下用户无法登录。 此参数仅适用于配置文件组。
- grace-删除组的宽限登录设置。 仅对 chgrp 或 editgrp 命令使用此参数。 此参数仅适用于配置文件组。
- groupName指定您正在创建或要更改其属性的组的名称。 对于 new [x] grp 命令,每个组名必须是唯一的并且当前不得存在于数据库中。 但是,组和用户可以共享相同的名称。
- history指定存储的密码数量。 可以使用 history- 删除历史记录文件。
- homedir(fullPath|nohomedir)指定用户主目录的完整路径。 如果指定的路径以斜线结束,groupname将连接到指定的路径。 如果您指定 nohomedir,那么不会自动设置主目录。
- inactive(numInactiveDays)指定系统将用户将状态更改为非活动状态之前必须经过的天数。 达到相应的天数后,用户将无法登录。 此参数仅适用于配置文件组。对numInactiveDays输入正整数或零。 如果将 inactive 设置为零,效果与使用 inactive- 参数相同。注意:在用户记录中,非活动用户没有任何标记。 要识别非活动用户,必须将“上次访问时间”值与“非活动天数”值进行比较。
- inactive-将用户的状态从非活动更改为活动。 仅对 chgrp 或 editgrp 命令使用此参数。 此参数仅适用于配置文件组。
- interval(maximumPasswordChangeInterval)设置从设置或更改密码起到系统提示用户输入新密码时必须间隔的天数。 输入正整数或零。 时间间隔为零将禁用组的密码时间间隔检查,以使密码不过期。 不使用 setoptions 命令设置的默认值。 仅对安全要求低的客户将间隔设置为零。到达指定天数后,用户密码将过期。 用户可立即更新密码或继续使用旧密码,直至达到宽限登录次数。 达到宽限登录次数后,将拒绝用户访问系统,用户必须与系统管理员联系以选择新密码。 此参数仅适用于配置文件组。
- interval-取消组的密码时间间隔设置。 如果取消,则使用用户记录中的任何值。 否则,将使用 setoptions 命令设置的默认值。 仅对 chgrp 或 editgrp 命令输入此参数。 此参数仅适用于配置文件组。
- maxlogins(maximumNumberOfLogins)设置用户可同时登录的最多终端数。 0(零)值表示用户可同时从任意数量的终端登录。 如果未指定此参数,将使用用户记录中的任何值。 否则,将使用全局最大登录设置。 此参数仅适用于配置文件组。注意:如果将 maxlogins 设置为 1,则无法运行 selang。 必须关闭Privileged Identity Manager,将 maxlogins 设置更改为大于 1 的值,然后重新启动Privileged Identity Manager。
- maxlogins-删除组的最大登录设置。 如果未指定此参数,将使用用户记录中的任何值。 否则,将使用全局最大登录设置。 仅对 chgrp 或 editgrp 命令使用此参数。 此参数仅适用于配置文件组。
- mem(GroupName) | mem+(GroupName)将成员组(或子组)添加到组中。 必须已定义了成员组(GroupName)。 如果要添加多个成员组,请用逗号分隔组名。 如果组名中包含空格,请使用引号将空格引起来。注意:要将用户添加到内部组,请使用 join [x] 命令。此选项仅适用于内部组。
- mem-(GroupName)从该组中删除成员组。 必须已定义了成员组 (GroupName)。 如果要删除多个成员组,请用逗号分隔组名。 如果组名中包含空格,请使用引号将空格引起来。注意:要从内部组中删除用户,请使用 join [x]-命令。此选项仅适用于内部组。
- min_life(minimumPasswordChangeInterval)允许用户再次更改密码之前必须经过的最少天数。 此参数仅适用于配置文件组。
- min_life-删除组的 min_life 设置。 如果未指定此参数且在用户记录中设置了 min_life 参数,将使用用户记录中的值。 否则,将使用全局 min_life 设置。 仅对 chgrp 或 editgrp 命令使用此参数。 此参数仅适用于配置文件组。
- name(fullname)指定组的全名。 输入包含最多 47 字符的字母数字字符串。 如果字符串包含任何空格,用单引号将字符串引起来。
- nt(nt-group-attributes)(仅 Windows)在本地 Windows 系统中添加或更改组定义。
- comment('comment')将注释字符串添加到本地记录中。 如果先前将注释字符串添加到记录中,那么在此指定的新字符串会替换现有字符串。注释为包含最多 255 个字符的字母数字字符串。 如果字符串包含任何空格,用单引号将整个字符串引起来。
- 运算符为组分配 OPERATOR 属性。 所在组具有 OPERATOR 属性的用户可以列出数据库中的所有资源记录,并对定义的所有文件拥有读取权限。所在组具有该属性的成员还可以使用 secons 命令的所有选项。 有关 secons 实用程序的详细信息,请参阅《参考指南》。
- operator-从组记录中删除 OPERATOR 属性。不能将此参数与 new[x]grp 命令一起使用。
- owner(Name)将用户或组分配为组记录的所有者。 如果将组添加到数据库并省略此参数,则您为所有者。 有关详细信息,请参阅适用于您操作系统的《端点管理指南》。
- parent(groupName)将现有组分配为组记录的父组。 有关父子关系的详细信息,请参阅适用于您操作系统的《端点管理指南》。
- parent-删除组与其父组之间的链接。 仅对 chgrp 或 editgrp 命令使用此参数。
- password将密码分配至此组。
- password-删除此组的密码需要。
- pmdb(PolicyModelName)指定如果组中的用户使用实用工具 sepass 更改密码,新密码将传播到指定的“策略模型”中。 输入 PMDB 的完全限定名。密码不会发送至 seos.ini [seos] 区中 parent_pmd or passwd_pmd 标记定义的“策略模型”中。 此参数仅适用于配置文件组。
- pmdb-从组记录中删除 PMDB 属性。 仅对 chgrp 或 editgrp 命令使用此参数。 此参数仅适用于配置文件组。
- pwmanager为组分配 PWMANAGER 属性。 所在组具有该属性的成员可以更改数据库中的用户的密码。 有关详细信息,请参阅适用于您操作系统的《端点管理指南》。
- pwmanager-从组记录中删除 PWMANAGER 属性。不能将此参数与 new[x]grp 命令一起使用。
- restrictions(days(dayData) time(timeData))指定每周周几、每日几时允许组成员登录到系统。登录期限到期后,系统不会强制用户离开。 但是,登录限制并不适用于批处理作业 ;用户可以随时运行后台进程。 此参数仅适用于配置文件组。如果您省略 days 参数而指定 time 参数,时间限制将应用至记录中已指出的任意周内限制。 如果您省略 time 而指定 days,则天数限制将应用于记录中已经指出的任何“时间”限制。 如果您既指定 days 又指定 time,则只允许组成员在指定天数的指定时间期间内访问系统。
- days(dayData)指定用户可登录到系统的日子。 Days 参数采用以下子参数:
- anyday- 允许用户在任何一天登录。
- weekdays- 仅允许用户在工作日(星期一至星期五)登录。
- mon tue wed thu fri sat sun- 仅允许用户在指定日登录。 您可以按任何顺序指定天数。 如果指定多个天数,请使用空格或逗号分隔各天。
- time(timeData)指定用户可以登录到系统的时间段。 Time 参数采用以下子参数:
- anytime- 允许用户在一天中的任何时间登录。
- - 仅允许用户在指定时间段内登录。startTime:endTimestartTime和endTime的格式均为hhmm,其中hh为 24 小时制(00 到 23),mm表示分钟(00 到 59)。 请注意,2400 是无效时间值。 如果endTime小于endTime,则认为时间段延长至午夜以后。 否则,则视为发生在同一天。注意:时区后面是处理器。 您必须考虑到用户所登录的终端是否与处理器所在时区不同。
- restrictions-从组记录中删除限制用户登录到系统的任何限制。 如果未指定此参数,但在用户记录中设置了 restrictions 参数,将使用用户记录中的值。 仅对 chgrp 或 editgrp 命令使用此参数。 此参数仅适用于配置文件组。
- resume(date)启用由于指定 suspend 参数而禁用的用户记录。 采用下列格式:mm/dd/yy[@HH:MM]输入日期和可选时间。如果既指定 suspend 参数又指定 resume 参数,则恢复日期必须晚于挂起日期。 如果省略date,则会在执行 chgrp 命令后立即启用用户。 有关详细信息,请参阅适用于您操作系统的《端点管理指南》。 此参数仅适用于配置文件组。
- resume-从组记录中删除恢复日期和时间(如果使用)。 因此,用户状态从活动(启用)更改为挂起。 仅对 chgrp 或 editgrp 命令使用此参数。 此参数仅适用于配置文件组。
- rules指定密码的规则:
- alpha(minimumAlphaCharacters)最小字母数字字符数。
- alphanum(minimumAlphanumericCharacters)最小字符数。
- bidirectional|bidirectional-指定是否使用双向密码加密。 如果启用了双向密码加密,将对每个新密码进行加密,并且可以将密码解密为明文。 这种加密将在更广的范围对新密码和旧密码(密码历史记录)进行比较。 禁用双向加密时,单向密码历史记录加密将被激活,此时无法解密旧密码。注意:您设置的历史记录值必须大于 1 才能使用此功能。重要信息!如果您将 seos.ini 文件标记“passwd_format”([passwd] 部分)设置为“NT”,则在 selang 中创建用户时必须使用“native”选项(而不是 unix)。 例如:nu uSr_1026 native password(uSr_1026)另外,请确保您在本地环境(而不是 unix 环境)中工作,如下:env native chusr usr_1 password(mypassword)
- min_len(minimumPasswordLength)最小密码长度。
- max_len(maximumPasswordLength)最大密码长度。
- lowercase(minimumLowercaseCharacters)最少小写字符数。
- max_rep(maximumRepetitiveCharacters)最大重复字符数。
- namechk|namechk-根据名称检查密码。
- numeric(minimumNumericCharacters)最少数字字符数。
- oldpwchk|oldpwchk-根据旧密码检查密码。
注意:
仅在 Unix 和 Linux 操作系统上有效。special(
minimumSpecialCharacters
)最少特殊字符数。
- uppercase(minimumUppercaseCharacters)最少大写字符数。
- use_dbdict|use_dbdict-指定密码字典。 use_dbdict 将标记设置为db,并且根据Privileged Identity Manager数据库中的词对密码进行比较。 use_dbdict- 将标记设置为文件,并针对 UNIX 或 Windows registry for Windows 在 seos.ini 文件中指定的文件检查密码。
server
将 SERVER 属性设置为开启。 如果当前用户的所在组具有 SERVER 属性,则允许代表当前用户运行的进程询问其他用户的授权。 有关详细信息,请参阅适用于您操作系统的
《端点管理指南》
。server-
将 SERVER 属性设置为关闭。
不能将此参数与 new[x]grp 命令一起使用。
shellprog(fullPath)
指定初始程序或 shell 的完整路径,初始程序或 shell 在用户调用登录命令或 su 命令之后执行。
FullPath
是字符型字符串。supgroup(
Group'sSuperiorGroup
)指定超级组(或父组)。
suspend(
date
)禁用用户记录,但在数据库中对其定义。 采用下列格式:
mm/dd/yy[@HH:MM]
输入日期和可选时间。用户不得使用挂起的用户帐户登录到系统。 如果指定了
date
,则将在指定日期挂起用户记录。 如果省略了 date
,则将在执行 chgrp 命令后立即挂起用户记录。 此参数仅适用于配置文件组。suspend-
从用户记录中删除挂起日期,将用户状态从禁用更改为活动(启用)。 仅对 chgrp 或 editgrp 命令使用此参数。 此参数仅适用于配置文件组。
unix(
groupidNumber
)(仅 UNIX)在 UNIX 上设置组属性或创建组(如果不存在组)。
groupidNumber
为十进制数字。 不能将组 ID 指定为零。 如果忽略编号,则会将最大组的 ID 设置为此编号。 Privileged Identity Manager
在同时添加或修改多个组时以相同方式创建组 ID 编号。 seos.ini 文件中的标识 AllowedGidRange 可能会定义某些不可用的编号。userlist
(userName)
向组分配成员。
UserName
是一个或多个 UNIX 用户的用户名。 分配多个用户时,使用逗号或空格分隔用户名。 对于 chgrp 和 editgrp 命令,在此处指定的成员列表替换当前为组定义的任何成员列表。示例
- 用户 Bob 希望将企业组“Sales”的父组和所有组从 ACCOUNTS 更改为 PAYROLL。chxgrp Sales parent(PAYROLL) owner(PAYROLL)
- 用户 Admin1 希望将组 projectB 的父组从 divisionA 更改为 divisionB,并将组 RESEARCH 分配为新的所有者。Admin1 具有 ADMIN 属性。chxgrp projectB parent(divisionB) owner(RESEARCH)
- 管理用户 Sally 希望删除主目录和组配置文件 NewEmployee 的 shell 程序指定值。Sally 是 NewEmployee 的所有者。editgrp NewEmployee homedir() shellprog()
- 用户 Admin1 希望将组 ProjectA 添加为组 RESEARCH 的子组。 用户 Admin1 将成为 ProjectA 组的所有者。Admin1 具有 ADMIN 属性。默认为所有者 (Admin1)。newgrp ProjectA parent(RESEARCH)