start devcalc 命令启动策略偏差计算
在 AC 环境中有效
cminder12901cn
在 AC 环境中有效
Start devcalc 命令启动策略偏差计算并发送偏差状态。 偏差数据存储在本地策略偏差数据文件 (deviation.dat) 中,并将策略偏差状态通过一个或多个设置的 DH 发送至 DMS。 要检索实际偏差数据,您需要运行 get devcalc 命令。
注意:
您不需要手工运行偏差计算器。 如果您使用高级策略管理,policyfetcher 会为您定期执行该操作。 如果您启用了企业报告,报告代理也会定期执行该操作。 有关策略偏差计算的详细信息,请参阅《企业管理指南》
。要运行 start devcalc 命令,计算机必须具有 terminal 访问权限,并执行对 DEVCALC 子层管理类的访问权限。
此命令格式如下:
start devcalc [params("-pn name#xx -strict -nonotify -precise")]
- -nonotify(可选)指定 devcalc不通过 DH 将偏差状态发送到 DMS。注意:偏差计算命令 policyfetcher 运行在 devcalc_command 配置设置中有所定义,默认情况下,使用该选项避免两次发送偏差状态。
- -pnname#xx(可选)定义用逗号分隔的策略对象 (策略版本),则偏差计算器应计算之间的差异列表。 如果未指定策略,则偏差计算器将计算在本地主机上部署的所有策略的差异。
- -strict(可选)与本地 HNODE 对象关联的策略和相关联的第一个可用 DMS 上的 HNODE 对象进行比较。通常情况下,偏差计算器仅检查本地主机上的偏差。 如果指定此选项,则偏差计算器还将本地策略与列表中第一个可用 DMS 上的策略进行比较。 包括以下内容:
- 与代表本地主机的 HNODE 对象关联的策略的列表。
- 每个与 HNODE 对象关联的 POLICY 对象的策略状态。
- 每个与 HNODE 对象关联的 POLICY 对象的策略签名。
当您需要验证偏差计算结果时,请使用该选项。注意:如果您有大量端点同时运行偏差计算,DMS 将负载过重。 我们建议您配置端点以使用 DMS 列表或将分为较小的层级结构的层次结构中,使用这些较小的层级结构中该选项。 - -precise(可选)指定偏差报告还显示端点数据库中存在、但在策略中找不到的已添加对象、属性和值。 默认情况下,该报告仅显示缺失的项和不匹配的项。 当想查看端点数据库上的内容并将其与部署的策略进行比较时,可使用该选项。
示例:启动特定策略的策略偏差计算
以下示例演示如何使用 start devcalc 命令为名为 myPolicy 的策略第二个版本计算策略偏差,并将偏差状态发送到本地
Privileged Identity Manager
数据库中指定的 DMS 列表:AC> start devcalc params("-pn myPolicy#02")