ch x usr 命令更改用户属性
在 AC 环境中有效
cminder12901cn
在 AC 环境中有效
使用命令 chusr、chxusr、 editusr、editxusr、 newusr 和 newxusr 可更改用户属性,并根据需要在 CA ControlMinder 数据库中定义记录用户。
这些命令与下列命令同义:
- chusrcu
- chxusrcxu
- editusreu
- editxusrexu
- newusrnu
- newxusrnxu
这意味着,例如,命令 cu 与命令 chusr 相同。
所有这些命令结构相同,仅在范围方面有所不同。 按如下方式使用这些命令:
- 对内部用户使用 chusr、editusr 和 newusr 命令。 这些命令之间的区别如下所示:
- chusr 命令修改一个或多个 USER 记录。
- editusr 命令创建或修改一个或多个 USER 记录。
- newusr 命令创建一个或多个 USER 记录。
注意:这些命令还存在于本机环境中,但操作方式有所不同。 - 对企业用户使用 chxusr、editxusr 和 newxusr 命令。 这些命令之间的区别如下所示:
- chxusr 命令修改一个或多个 XUSER 记录。
- editxusr 命令创建或修改一个或多个 XUSER 记录。
- newxusr 命令创建一个或多个 XUSER 记录。
USER 和 XUSER 类记录对于所有属性来说都相同,只是在企业用户存储中定义属性时,XUSER 记录不会重新定义属性。
执行这些命令时,即使用户当前已登录到系统中,您所做的更改也会立即修改用户记录。
所需授权
要创建 CA ControlMinder 用户,至少必须满足下列条件之一:
- 您具有 ADMIN 属性。
- 在 ADMIN 类中的 USER 或 XUSER 记录的访问控制列表中为您分配了 CREATE 权限。
要添加或修改用户,至少必须满足下列条件之一:
- 您具有 ADMIN 属性。
- 用户记录在一个组的范围内,您在该组中具有 GROUP-ADMIN 属性,并且您拥有与该记录所有者相同的权限。
- 用户记录在一个组的范围内,您在该组中具有 GROUP-AUDITOR 属性,并且您想要指定 audit 参数。
- 您是组的所有者。
- 在 ADMIN 类中的 USER 或 XUSER 记录的 Access Control 列表中为您分配了 MODIFY(对于 ch[x]usr)或 CREATE(对于 edit[x]usr)权限。
{{chusr|cu}|chxusr|cxu}|{editusr|eu}|{editxusr|eu}|{newusr|nu}| {newxusr|nxu}} \
{userName|(userName [,userName...])}\ [{admin | admin-}] \ [audit({none | all | {[success][failure][loginsuccess]|[loginfail]|[trace]|[interactive]}})] \ [{auditor | auditor-}] \ [{category(categoryName) | category-(categoryName)}] \ [{comment(string) | comment-}] \ [country(string)] \ [email(emailAddress)] \ [enable] \ epwasown(password) \ [{expire[(date)] | expire-}] \ [fullname (fullName)] [{gowner(groupName)] \ [{grace(nLogins) | grace-}] \ [{ign_hol | ign_hol-}] \ [{inactive(nDays) | inactive-}] \ [{interval(nDays) | interval-}] \ [{label(labelName) | label-}] \ [{level(number) | level-}] \ [location(string)] \ [{logical|logical-}] \ [{maxlogins(nLogins) | maxlogins-}] \ [{min_life(nDays) | min_life-}] \ [{notify(mailAddress) | notify-}] \ [{operator | operator-}] \ [organization(string)] \ [org_unit(string) \ [owner({userName | groupName})] \ [password(string)] \ [phone(string)] \ [{pmdb(pmdbName) | pmdb-}] \ [{profile(groupName) | profile-}] \ [pwasown(string)] \ [{pwmanager | pwmanager-}] \ [regular] \ [{restrictions( \[days({anyday|weekdays|[mon] [tue] [wed] [thu] [fri] [sat] [sun]})] \[time({anytime|startTime:endTime})]) |restrictions-}] \ [{resume[(date)] | resume-}] \ [{server | server-}] \ [{suspend[(date)] | suspend-}] \ [nt|nt( ] \[admin|admin-] \[comment('comment')|comment- ] \[country('country-name')] \[expire|expire(mm/dd/yy[@hh:mm])|expire-] \[flags({account-flags)|-account-flags})] \[homedir(any-string)] \[homedrive(home-drive)] \[location(any-string)] \[logonserver(server-name)] \[name(full_name)] \[organization(name)] \[org_unit(name)] \[password(user's temporary password)] \[pgroup(primary-group)] \[phone(any-string)] \[privileges(privilege-list)] \[restrictions(days(day-data) time(hhmm:hhmm|anytime) )] \[script(logon-script-path)] \[workstations(workstations-list)] )] \ [unix({ [gecos(string)] \[homedir(path)] \[pgroup(groupName)] \[shellprog(fileName)] \[userid(number)]}]
- 管理为用户分配 ADMIN 属性。 具有 ADMIN 属性的用户可以发出带有除 audit 参数以外所有参数的所有 selang 命令。 您必须具有 ADMIN 属性才能使用 admin 参数。
- admin-删除用户的 ADMIN 属性。 CA ControlMinder 会验证是否至少有一个用户具有 ADMIN 属性。不能将此参数与 new[x]usr 命令一起使用。
- 审核指定哪些受 CA ControlMinder 保护的用户资源活动记录到审核日志中。 要指定多个事件类型,请用空格或逗号分隔事件类型的名称。 audit 属性如下所示:
- allCA ControlMinder 记录所有用户活动。 监视的活动有:failure、loginfail、loginsuccess、success、interactive 和 trace。
- failureCA ControlMinder 记录失败的访问尝试。
- loginfailCA ControlMinder 记录失败的登录尝试。
- loginsuccessCA ControlMinder 记录成功的登录。
- noneCA ControlMinder 不记录任何用户活动。
- successCA ControlMinder 记录成功的访问。
- interactiveCA ControlMinder 记录交互式会话。
- traceCA ControlMinder 记录由于该用户操作而显示在跟踪文件中的每一条消息。
- 审核员为用户分配 AUDITOR 属性。 具有 AUDITOR 属性的用户可以审核系统资源的使用,并且能够控制是否记录在 CA ControlMinder 授权检查过程中检测到的对任何受 CA ControlMinder 保护资源的访问以及对数据库的访问。 有关授予具有 AUDITOR 属性的用户权限的详细信息,请参阅适用于您操作系统的《端点管理指南》。
- auditor-从用户记录中删除 AUDITOR 属性。不能将此参数与 new[x]usr 命令一起使用。
- auth_type指定身份验证方法。仅由 SSO 使用。不能将此参数用于企业用户。
- category(categoryName[, categoryName...])为用户分配一个或多个安全类别。
- category-(categoryName[, categoryName...])从用户记录中删除一个或多个安全类别。不能将此参数与 new[x]usr 命令一起使用。
- comment(commentString)为用户记录分配注释。
- commentString指定注释。commentString是最多为 255 个字符的字母数字字符串。 如果commentString包含空格,用单引号将整个字符串引起来。
- comment-从用户记录中删除注释。不能将此参数与 new[x]usr 命令一起使用。
- country(countryName)指定用户所在的国家/地区。 在授权过程中不使用该国家/地区。
- countryName定义国家/地区。 该参数是最多为 19 个字符的字母数字字符串。 如果字符串包含空格,用单引号将整个字符串引起来。
- email(emailAddress)定义用户的电子邮件地址。
- emailAddress定义用户的电子邮件地址。限制:最多 128 个字符
- enable启用因任何原因被禁用的用户的登录。不能将此参数与 new[x]usr 命令一起使用。
- epwasown(password)更改用户密码,就如同用户更改其自己的密码一样。 该密码更改不是管理更改,因此不会自动使该密码到期。注意:该命令仅供内部使用。 该命令在纯文本中设置密码,指定为 /etc/shadow 或 passwd 文件的参数。
- expire(dateTime)设置用户帐户的到期日期。 如果未指定日期,帐户会立即到期,如果用户处于登录状态,帐户将在注销后到期。如果用户记录中有此属性的值,则该值会覆盖 GROUP 记录中的值。注意:使用 expire- 参数可以启用到期的用户记录;不需要使用 resume 参数执行该操作。
- dateTime定义日期和时间,时间为可选。 采用下列格式:mm/dd/[yy]yy[@HH:MM]可以使用两位数或四位数指定年份。
- expire-对于 new[x]usr 命令,定义没有到期日期的用户帐户。对于 ch[x]usr 和 edit[x]usr 命令,从用户帐户中删除到期日期。
- flags(accountFlags|-accountFlags)指定用户帐户的特有属性。 有关有效标志值列表的信息,请参阅附录“Windows 值”。要从用户记录中删除标志,请在accountFlags前加上减号 (-)。
- fullname(fullName)指定用户的全名。
- fullName定义全名。 全名是最多为 255 个字符的字母数字字符串。 如果fullName包含空格,用单引号将整个字符串引起来。
- gecos(string)为用户指定注释字符串。 用单引号将字符串引起。
- gowner(groupName)将 CA ControlMinder 组分配为用户记录的所有者。 如果有足够的安全级别和安全类别权限,那么用户记录的组所有者对该记录有无限制的访问权限。 用户记录的所有者始终有更新和删除用户记录的权限。
- grace(nLogins)定义允许的用户宽限登录次数。达到宽限登录次数后,用户无法访问系统,用户必须与系统管理员联系以选择新密码。 在 grace 设置为零的情况下用户无法登录。如果用户记录中有此参数的值,则该值会覆盖 GROUP 记录中的值。如果未指定此参数,且用户的配置文件组包含此参数的值,则使用 GROUP 记录中的值。 如果 USER 和 GROUP 记录都不包含值,则使用 CA ControlMinder 全局宽限登录设置。
- nLogins定义宽限登录次数。 输入 0 到 255 之间的整数。
注意:在宽限值达到 0 之前,该用户应更改密码。 如果已达宽限登录值,则请联系系统管理员选择新的密码。
- grace-删除用户的宽限登录设置。 改为使用 CA ControlMinder 全局宽限登录设置。不能将此参数与 newusr 命令一起使用。
- homedir(path)指定用户主目录的完整路径。 如果path以斜线结尾,CA ControlMinder 会将userName连接到路径。
- homedrive(drive)指定用户主目录的驱动器。
- ign_hol为用户分配 IGN_HOL 属性。 具有 IGN_HOL 属性的用户可以在假日记录中定义的任何时间段内登录。
- ign_hol-删除用户的 IGN_HOL 属性。
- inactive(nDays)指定系统将用户状态更改为非活动之前必须经过的天数。 达到相应的天数后,用户将无法登录。注意:在用户记录中,非活动用户没有任何标记。 要识别非活动用户,必须将“上次访问时间”值与“非活动天数”值进行比较。
- nDays定义天数。nDays为零或正整数。 如果nDays为零,则效果与使用 inactive- 参数相同。
- inactive-将用户的状态从非活动更改为活动。不能将此参数与 newusr 命令一起使用。
- interval(nDays)定义从设置或更改密码起到系统提示用户输入新密码时必须间隔的天数。 输入零或正整数。 如果nDays为零,CA ControlMinder 将禁用密码间隔检查,且密码不会到期。 这意味着不使用 setoptions 命令设置的默认值。 仅对安全要求低的用户将nDays设置为零。达到nDays时,CA ControlMinder 会通知用户密码已到期。 用户可以继续使用该密码,直到达到宽限登录次数。 达到宽限登录次数后,将拒绝用户访问系统,用户必须与系统管理员联系以获取新密码。
- interval-取消用户的密码时间间隔设置。 如果用户的配置文件组中有此参数的值,则使用该值。 否则,将使用 setoptions 命令设置的默认值。不能将此参数与 new[x]usr 命令一起使用。
- label(labelName)为用户分配安全标签。
- label-从用户记录中删除安全标签。不能将此参数与 new[x]usr 命令一起使用。
- level(levelNumber)将安全标签分配给用户记录。levelNumber是 0 到 255 之间的整数。
- level-从用户记录中删除安全级别。不能将此参数与 newusr 命令一起使用。
- localapps由 CA SSO 使用。
- location(locationString)指定用户的位置。 在授权过程中不使用该位置。
- locationString定义位置。locationString是最多为 47 个字符的字母数字字符串。 如果locationString包含空格,用单引号将整个字符串引起来。
- logical为用户分配 LOGICAL 属性。 具有 LOGICAL 属性的用户无法登录,仅可用于内部 CA ControlMinder。例如,您可用作资源所有者的用户 nobody 甚至可以防止资源所有者访问资源,该用户在默认情况下是逻辑用户。 这意味着,没有用户可以使用该帐户登录。
- logical-删除用户的 LOGICAL 属性。
- logonserver(server-name)指定用于验证用户登录信息的服务器。 用户登录到域工作站时,CA ControlMinder 会将登录信息传输到服务器,为该用户提供访问工作站的权限。
- maxlogins(nLogins)为用户设置并发登录的最大次数。 0(零)值表示用户可同时从任意数量的终端登录。 如果未指定此参数,将使用全局最大登录设置。注意:如果将 maxlogins 设置为 1,则无法运行 selang。 您必须关闭 CA ControlMinder,将 maxlogins 设置更改为大于 1 的值,例如使用 setpropadm 实用程序进行更改,然后重新启动 CA ControlMinder。
- maxlogins-删除用户的最大登录设置。 改为使用全局设置。不能将此参数与 new[x]usr 命令一起使用。
- min_life(NDays)允许用户再次更改密码之前必须经过的最少天数。 输入正整数。
- min_life-删除用户的 min_life 设置。 如果用户的配置文件组中有此参数的值,则使用该值。 否则,将使用 setoptions 命令设置的默认值。不能将此参数与 new[x]usr 命令一起使用。
- nochngpass指定不允许用户更改其他用户的密码。
- notify(notifyAddress)每次用户登录时向notifyAddress发送一封电子邮件。 通知消息的收件人应频繁登录以响应在每个消息中描述的未经授权的访问尝试。CA ControlMinder 发送通知消息时会在审核日志中写入审核记录。
- notifyAddress定义用户名或电子邮件地址。限制:30 个字符。
- notify-指定在用户登录时,不通知任何人。不能将此参数与 new[x]usr 命令一起使用。
- nt对于 chusr 和 editusr 命令,此参数可更改本地 Windows 系统中用户的定义。对于 newusr 命令,此数将用户添加到本地 Windows 系统中。如果指定了多个参数,请用空格分隔各参数。有关如何在 CA ControlMinder 中的本地 Windows 系统上执行操作的详细信息,请参阅环境命令。nt 选项和 nt 选项下的子选项对企业用户来说都是无效的。
- 运算符为用户分配 OPERATOR 属性。 具有 OPERATOR 属性的用户可以列出数据库中的所有资源记录,并对 CA ControlMinder 定义的所有文件都具有读取权限。具有此属性的用户还可以使用 secons 命令的所有选项。 有关 secons 实用程序的详细信息,请参阅《参考指南》。
- operator-从用户记录中删除 OPERATOR 属性。不能将此参数与 newusr 命令一起使用。
- organization(organizationString)指定用户的组织。 在授权过程中不使用该组织。
- organizationString定义组织。organizationString是最多为 255 个字符的字母数字字符串。 如果organizationString包含空格,用单引号将整个字符串引起来。
- org_unit(org_unitString)指定用户的组织单元。 在授权过程中不使用该组织单元。
- org_unitString定义组织单元。org_unitString是最多为 255 个字符的字母数字字符串。 如果organizationString包含空格,用单引号将整个字符串引起来。
- owner(Name)将 CA ControlMinder 用户或组分配为用户记录的所有者。 有关详细信息,请参阅适用于您操作系统的《端点管理指南》。
- password(string)将密码分配给用户。 指定除空格或逗号以外的任意字符。 如果启用了密码检查,那么该密码只可用于一次登录。 用户下次登录系统时,必须设置新密码。要更改自己的密码,您需要使用setoptions cng_ownpwd或使用 sepass 设置 selang 选项。
- pgroup(groupName)设置用户的主要组 ID。groupName是 UNIX 组的名称。
- phone(phoneString)定义用户的电话号码。 授权过程中不使用该电话号码。
- phoneString定义电话号码。phoneString是最多为 19 个字符的字母数字字符串。 如果phoneString包含空格,用单引号将整个字符串引起来。
- pmdb(pmdbName)指定如果用户使用 sepass 实用程序更改密码,新密码将传播到指定的 PMDB 中。 输入 PMDB 的完全限定名。 密码不会发送至 seos.ini [seos] 区中 parent_pmd or passwd_pmd 标记中定义的“策略模型”中。此选项不能用于企业用户。
- pmdb-从用户记录中删除 PMDB 属性。不能将此参数与 new[x]usr 命令一起使用。
- privileges(privilege-list)将特定权限添加到 Windows 用户记录或在 privList 前面加减号 (-) 时,删除指定的权限。不能将此参数与 newusr 命令一起使用。
- profile(groupName)将用户分配到配置文件组。 可以从配置文件组中获取下列值:
- 审核
- auth_type
- expire
- grace
- inactive
- interval
- maxlogins
- min_life
- password rules
- pmdb
- pwd_autogen
- pwd_policy
- pwd_sync
- restrictions (days, time)
- 恢复
- 挂起
- unix (homedir, shellprog)
- profile-从配置文件组中删除用户。不能将此参数与 new[x]usr 命令一起使用。
- pwmanager为用户分配 PWMANAGER 属性。 具有此属性的用户可以更改数据库中用户的密码。 有关详细信息,请参阅适用于您操作系统的《端点管理指南》。
- pwmanager-从用户记录中删除 PWMANAGER 属性。不能将此参数与 new[x]usr 命令一起使用。
- pwasown(string)替换密码,就如同由用户进行更改一样。 指定此参数会更新数据库中最后一次更改的时间和日期。 宽限登录被终止。
- regular重置记录的 OBJ_TYPE 属性,并因此删除用户的授权属性。
- restrictions(Days] [Time])指定用户可在一周的哪几天和一天的哪个时间登录。 这些限制存储在 [X]USER 记录的 DAYTIME 属性中。如果您省略Days而指定Time,时间限制将应用至记录中已定义的任意周内限制。如果您省略Time而指定Days,Days时间限制将应用至记录中已定义的任意周内限制。如果既指定Days也指定Time,则只允许用户在指定天数的指定时间段访问系统。
- Days指定用户可以登录的日子。 指定Days时,您可以使用以下关键字:
- anyday允许用户在任何一天访问文件。
- weekdays只允许用户在周一到周五的工作日时间访问资源。
- Mon、Tue、Wed、Thu、Fri、Sat、Sun只允许用户在指定的日子访问资源。 您可以按任何顺序指定天数。 如果指定多个天数,请使用空格或逗号分隔各天。
- Time指定用户可以登录的时间段。 Time 参数采用以下子参数:
- anytime允许用户在一天中的任意时间访问资源。
- startTime:endTime只允许在指定时间段内访问资源。startTime和endTime的格式均为hhmm,其中hh是小时(00 至 23),mm是分钟(00 至 59)。 请注意,2400 是无效的时间值,请改用 0000。startTime必须早于endTime。注意:CA ControlMinder 使用处理器所在的时区。 您必须考虑到用户所登录的终端是否与处理器所在时区不同。
- restrictions-([days] [time])删除限制用户登录的所有限制。
- resume([dateTime])启用由于指定 suspend 参数而禁用的用户记录。 如果既指定 suspend 参数又指定 resume 参数,则恢复日期必须晚于挂起日期。 如果省略dateTime,在执行 chusr 命令时,用户记录会立即恢复。 有关详细信息,请参阅适用于您操作系统的《端点管理指南》。以 [m]m/[d]d/yy[@HH:MM]格式输入dateTime。
- resume-从用户记录中删除恢复日期和时间(如果使用)。 因此,用户状态从活动(启用)更改为挂起。不能将此参数与 new[x]usr 命令一起使用。
- script(logon-script-path)指定用户登录时自动运行的文件位置。 此参数是可选的。 通常,该登录脚本对工作环境进行配置。 您还可以使用 profile 参数设置用户的工作环境。
- server将 SERVER 属性设置为开启。 此属性允许代表当前用户运行的进程询问其他用户的授权。 有关详细信息,请参阅适用于您操作系统的《端点管理指南》。
- server-将 SERVER 属性设置为关闭。不能将此参数与 new[x]usr 命令一起使用。
- shellprog(fileName)指定初始程序或 shell 的完整路径,初始程序或 shell 在用户调用登录命令或 su 命令之后执行。fileName是字符型字符串。此选项不能用于企业用户。
- suspend([dateTime])禁用用户记录,但在数据库中对其进行定义。 用户不得使用禁用的用户帐户登录到系统。如果指定dateTime,则在指定日期禁用用户记录。 如果省略dateTime,则在执行 ch[x]usr 命令时立即禁用用户记录。以mm/dd/yy[@HH:MM]格式输入dateTime。
- suspend-从用户记录中删除挂起日期,将用户状态从禁用更改为启用(活动)。不能将此参数与 new[x]usr 命令一起使用。
- unix对于 chusr 和 editusr 命令,此参数可更改本地 UNIX 系统中用户的定义。对于 newusr 命令,此参数将用户添加到本地 UNIX 系统中。如果指定了多个参数,请用空格分隔各参数。有关如何在 CA ControlMinder 中的本地 UNIX 系统上执行操作的详细信息,请参阅本章中的环境命令。unix 选项和 unix 选项下的子选项对企业用户来说是无效的。
- userid(number)设置用户的唯一数字 ID (UID),用于唯一的任意访问控制。number为十进制数字。 默认情况下,不接受小于 100 的数字。 有关不包括的数字的详细信息,请参阅附录《参考指南》中的 AllowedGidRange 标记。
- userName|(userName[,userName...])定义一个或多个用户名。 每个用户名必须唯一。使用 newusr 命令时,userName会为 CA ControlMinder 标识新用户。 如果您使用 newusr 命令且用户已定义到本地环境中,CA ControlMinder 会将此用户名用作对应于该用户的 USER 记录。 但是,通常情况下,您应当充分利用 CA ControlMinder 功能的优势来使用企业用户,而不使用 newusr 为已存在于本地环境中的用户名创建 USER 记录。 使用 chgxusr 命令更改该用户的 CA ControlMinder 属性。有时,您可能需要不是本地登录名的 CA ControlMinder 用户名。 在这种情况下,登录命令无法让该用户工作,但其他命令则可以,例如 sesu 命令。注意:在 UNIX 上,包含斜线的用户名在指定userName时使用两条斜线。
示例
- 用户 Bob 希望将 FINANCIAL 类别添加到 Jim 的记录中,将 Jim 的安全级别更改为 155,并将 Jim 的系统访问权限限制在工作日的上午 8:00 并将其访问该系统的权限限制在工作日的上午 8:00 到晚上 8:00 之间。
- 用户 Bob 具有 ADMIN 属性。
- 为 CA ControlMinder 定义了用户 Jim。
- 为 CA ControlMinder 定义了 FINANCIAL 类别。
chuxsr Jim category(FINANCIAL) level(155) restrictions \ (days(weekdays)time(0800:2000)) - 用户 admin 希望挂起用户 Joel,Joel 将从 1995 年 8 月 5 日开始休假三周。
- 用户 admin 具有 ADMIN 属性。
- 为 CA ControlMinder 定义了用户 Joel。
- 今天的日期是 1994 年 8 月 3 日。
chxusr Joel suspend(8/5/95) resume(8/26/95) - 用户 Security2 希望删除用户 Bill 的 AUDITOR 属性,并想审核 Bill 的所有活动。
- 用户 Security2 具有 ADMIN 和 AUDITOR 属性。
- 为 CA ControlMinder 定义了用户 Bill。
chxusr Bill auditor audit(all) - 用户 Rob 希望更改存储在用户 Mary 的记录中的注释。
- 用户 Rob 是 Mary 的用户记录的所有者。
chxusr Mary comment ('Administrator of the SALES group') - 管理用户 Sally 希望删除存储在用户 Jared 的记录中的国家/地区名称和位置属性。
- 用户 Sally 是 Jared 的用户记录的所有者。
chxusr Jared country() location() - 用户 Bob 希望为 CA ControlMinder 定义用户 Peter 和 Joe。
- 用户 Bob 具有 ADMIN 属性。
- 没有为 CA ControlMinder 定义用户 Peter 和 Joe。
- 以下默认值适用:
- owner(Bob)
- audit(failure,loginfailure)
newusr (Peter Joe) - 用户 Bob 希望为 CA ControlMinder 定义用户 Jane,并分配 payroll 作为所有组。
- 用户 Bob 具有 ADMIN 属性。
- 没有为 CA ControlMinder 定义用户 Jane。
- 用户 Jane 的全名是 JG Harris。
- audit(failure,loginfailure)
newusr Jane owner(payroll) name('J.G. Harris') - 用户 Bob 希望为 CA ControlMinder 定义安全类别为 NewEmploye、安全级别为三级的用户JohnD。 只允许 JohnD 在工作日的上午 8:00 到下午 6:00 之间使用系统
- 用户 Bob 具有 ADMIN 属性。
- 为 CA ControlMinder 定义了 NewEmployee 类别。
- 新用户的全名为 John Doe。
- 以下默认值适用:
- owner(Bob)
- audit(failure)
newusr JohnD name('John Doe') category(NewEmployee) level(3) \ restrictions(days(weekdays) time(0800:1800))