policydeploy -assign 函数-分配或取消分配策略

此函数可将指定策略分配到一个或多个主机或主机组,或者从一个或多个主机或主机组取消对指定策略的分配。
cminder12901cn
此函数可将指定策略分配到一个或多个主机或主机组,或者从一个或多个主机或主机组取消对指定策略的分配。
此函数的格式如下:
policydeploy -assign[-] name -hnode|-ghnode list [-dms list]
  • -assign
    name
    将指定策略分配到一个或多个主机或主机组。
  • -assign-
    name
    从一个或多个主机或主机组取消对指定策略的分配。
  • -dms
    list
    (可选)指定要使用的 DMS 节点的逗号分隔列表。 在部署或取消部署策略时,这些是将操作报告到的 DMS 节点。 当您存储策略时,这些是存储该策略的 DMS 节点。
    如果您未使用该选项指定 DMS 节点,该实用程序将使用在本地 CA ControlMinder 数据库中指定的 DMS 节点的列表。 要在数据库中指定 DMS 节点的列表,您需要在使用 dmsmgr 创建新 DMS 后发出以下 selang 命令:
    so dms+(new_dms_name)
    注意:
    如果在安装期间未指定 DMS 节点,或如果您希望在端点上替换或添加已注册的 DMS,则需要发出相同的命令。 但是,当您在安装期间指定创建高级策略管理服务器时,DMS 将添加到数据库,您并不需要手动运行以上命令。
  • -ghnode
    list
    定义希望将该策略分配给的主机组(GHNODE 对象)的逗号分隔列表。
  • -hnode
    list
    定义要将该策略分配给的主机(HNODE 对象)的逗号分隔列表。
示例:分配 IIS 5 保护策略
以下示例展示了如何分配用于保护 Internet 信息服务 (IIS) 5 Web 服务器安全的策略。 我们将复查该策略和最新版(第四版)的 IIS5 策略,然后将该策略分配到名为 IIS5Servers 的主机组。 策略 IIS5 存储在 crDMS@cr_host.company.com DMS 节点上。
  1. 使用 selang 连接到 DMS:
    hosts crDMS@cr_host.company.com
    您现在可以通过 selang 查询我们的 DMS。
  2. 如果您不能确定该策略的最终版本,请发出以下 selang 命令以查找该策略的所有版本:
    sr GPOLICY IIS5
    selang 窗口列出 IIS5 策略的属性,包括最终策略,这是您可以分配的该策略的最新版本(最终)。
  3. 发出以下 selang 命令以查看策略部署和取消部署脚本:
    sr RULESET IIS5#04
    selang 窗口显示 IIS5#04 RULESET 对象,包括与 IIS5 策略第四版本相关的部署和取消部署规则。
  4. 在命令提示符窗口中,运行 policydeploy 实用程序:
    policydeploy -assign IIS5 -ghnode IIS5Servers
    这会将 IIS5 策略分配给 IIS5Servers 逻辑主机组中的所有主机,并依次在这些主机上部署 IIS5 策略的第四版本。
示例:取消对 IIS 5 保护策略的分配
以下示例展示了如何从在上个示例中为其分配了 IIS 5 策略的 Web 服务器取消对该策略的分配。
在命令提示符窗口中,运行 policydeploy 实用程序:
policydeploy -assign- IIS5 -ghnode IIS5Servers
这会从 IIS5Servers 逻辑主机组中的所有主机取消分配 IIS5 策略,并依次取消部署在这些主机上部署的 IIS5 策略版本。