policydeploy -store 函数-存储策略

此函数将指定策略存储在由该命令指定的 DMS 节点上或本地的 CA ControlMinder 数据库中。 除非您使用 -silent 选项,否则您需要在提示符下确认此操作。
cminder12901cn
此函数将指定策略存储在由该命令指定的 DMS 节点上或本地的 CA ControlMinder 数据库中。 除非您使用 -silent 选项,否则您需要在提示符下确认此操作。
如果在 DMS 上未存储指定策略的任何先前版本,将创建该策略的版本 1 (
name
#01)。 如果存在该策略的先前版本,将创建该策略的新版本 (
name
#
last_version+1
)。 您存储的策略版本是自动确定的。 当您需要更新某个策略时,您必须存储该策略的包含所需已修改策略部署和取消部署规则的新版本。
此函数的格式如下:
policydeploy -store name -ds file1 [-uds file2] [-dms list] [-desc description] [-prereq list] [-silent]
  • -desc
    description
    (可选)定义策略的业务说明。
  • -dms
    list
    (可选)指定要使用的 DMS 节点的逗号分隔列表。 在部署或取消部署策略时,这些是将操作报告到的 DMS 节点。 当您存储策略时,这些是存储该策略的 DMS 节点。
    如果您未使用该选项指定 DMS 节点,该实用程序将使用在本地 CA ControlMinder 数据库中指定的 DMS 节点的列表。 要在数据库中指定 DMS 节点的列表,您需要在使用 dmsmgr 创建新 DMS 后发出以下 selang 命令:
    so dms+(new_dms_name)
    注意:
    如果在安装期间未指定 DMS 节点,或如果您希望在端点上替换或添加已注册的 DMS,则需要发出相同的命令。 但是,当您在安装期间指定创建高级策略管理服务器时,DMS 将添加到数据库,您并不需要手动运行以上命令。
  • -ds
    file1
    指定包含部署规则的文件的路径名称。 这些是构建策略所需的命令。 使用 -getrules 选项时,实用程序会创建此文件。
    重要信息!
    策略部署不支持设置用户密码的命令。 在您的部署脚本文件中不要包括这类命令。 本地 selang 命令受支持,但是不会显示在偏差报告中。
  • -prereq
    list
    (可选)定义在可以部署此策略之前必须部署的策略的逗号分隔列表。
    重要信息!
    如果未部署先决条件策略,则当您尝试部署依存策略时,该部署任务的状态将更改为“
    挂起先决条件策略
    ”,该部署会在所有先决条件策略部署后恢复。 同样,如果您尝试取消部署作为另一个已部署策略的先决条件的策略,部署任务的状态将更改为“
    挂起依存策略
    ”,并且部署将在所有依存策略取消部署后重新开始。
  • -silent
    (可选)不显示所请求操作的确认提示。
  • -store
    name
    将指定的策略存储在指定的 DMS 节点上或本地 CA ControlMinder 数据库中。
    注意:
    策略名称不能包含 #(井字号)字符,该字符被保留用于表示策略版本号,会自动添加。
  • -uds
    file2
    定义包含取消部署该策略所需的规则的文件路径名称。 这些是取消部署该策略所需的命令。 使用 -getrules 选项时,实用程序会创建此文件。
    CA ControlMinder 取消部署策略时,如果没有存储策略取消部署脚本,CA ControlMinder 将计算删除该策略所需的命令。
示例:存储 IIS 5 保护策略
以下示例展示了如何存储用于保护 Internet 信息服务 (IIS) 5 Web 服务器安全的策略。 这是我们第一次在 DMS 上存储该策略。
注意:
此示例中的 selang 命令用于 Windows 操作系统上的资源,但在 UNIX 上也适用相同的步骤。
  1. 使用以下 IIS 脚本保存名为 IIS5.selang 的文件:
    # IIS5 deployment script eu inet_pers owner(nobody) er FILE c:\InetPub\wwwroot\* defaccess(none) owner(nobody) authorize FILE c:\InetPub\wwwroot\* uid(inet_pers) access(all) er FILE c:\InetPub\wwwroot\scripts defaccess(none) owner(nobody) er FILE *.asp defaccess(none) owner(nobody) authorize FILE *.asp uid(inet_pers) via(pgm(inetinfo.exe)) access(read, execute)
    这些是部署 IIS 5 保护策略所需的命令。
  2. 使用以下脚本保存名为 IIS5_rm.selang 的文件:
    # IIS5 undeployment script ru inet_pers rr FILE c:\InetPub\wwwroot\* rr FILE c:\InetPub\wwwroot\scripts rr FILE *.asp
    以上是取消对在步骤 1 中创建的 IIS 5 保护策略的部署所需的命令。
  3. 打开命令提示符窗口,运行 policydeploy 实用程序:
    policydeploy -store IIS5 -ds IIS5.selang -uds IIS5_rm.selang -desc "IIS5 web server security policy" -silent
    这会使用在 IIS5.selang 和 IIS5_rm.selang 中定义的脚本在 DMS 上存储策略 IIS5(GPOLICY 对象)和该策略的第一版本(IIS5 #01 POLICY 对象)。