如何创建和部署策略

内容
cminder12901cn
内容
安全管理员或系统管理员使用
Privileged Identity Manager
企业控制台中央策略管理功能在整个企业内创建和分配安全策略。
Privileged Identity Manager
安全策略允许您控制对资源的访问和设置端点访问权限。
可通过
Privileged Identity Manager
企业控制台界面超出本地操作系统可用范围的对用户、组和资源实施自定义安全策略。 该界面通过使用在每个主机上显示部署进程状态的向导,使您可以对企业范围的策略进行分配。
以下图表提供如何创建和部署策略的高级概述:
How to create and deploy a policy
请执行以下操作:
查看先决条件
管理要求
在部署映射服务器 (DMS) 上存储策略需要以下权限:
用于管理 DMS 的计算机或用于运行 policydeploy 的计算机的 DMS 终端权限(TERMINAL 类)。
  • DMS 子管理权限(POLICY, GPOLICY 和 RULESET 类)。
将策略分配给主机或主机组需要以下权限:
用于管理 DMS 的计算机上的 DMS 终端权限。
  • DMS 子管理权利(DEPLOYMENT、GDEPLOYMENT、POLICY、GPOLICY、HNODE 以及 GHNODE 类)。
注意:
有关端点权限和子管理权限的更多信息,请参阅
适用于 UNIX 的端点管理指南
适用于 Windows 的端点管理指南
创建并在 DMS 上存储策略版本
创建的每个策略都将被存储在 DMS 上并自动获得版本号。 第一次存储策略时,策略会收到版本号“01”。 例如:首次存储策略
myPolicy
时,
Privileged Identity Manager
企业控制台将创建名为
myPolicy
的 GPOLICY 对象和名为
myPolicy#01
的 POLICY 对象。 在 DMS 上存储现有策略时,最新的策略存储版本会加一以创建新策略版本。 例如,在存储
myPolicy
的第 28 个版本时,
Privileged Identity Manager
企业控制台将创建名为
myPolicy#28
的 POLICY 对象。
请按下列步骤操作:
  1. (可选)使用 selang 部署命令创建脚本文件。
    重要信息!
    策略部署不支持设置用户密码的命令。 在您的部署脚本文件中不要包括这类命令。 支持本地 selang 命令,但是不会在偏差报告中显示。
  2. (可选)使用 selang 取消部署命令创建脚本文件。
  3. Privileged Identity Manager
    企业控制台的“策略管理”选项卡中,单击“策略”和“策略任务”。
    左边的任务菜单策略树展开。
  4. 单击“创建策略”。
    此时将显示“创建策略: 策略搜索”屏幕。
    注意:
    要创建现有策略的新版本,请单击“修改策略”,并搜索要修改的策略。
  5. 选中“创建类型为‘策略’的新对象”,然后单击“确定”。
    “创建策略任务”页面和“常规”选项卡出现。
  6. 完成“常规信息区”框中的以下字段:
    • 名称
      定义策略的名称(GPOLICY 对象)。 策略名称必须在 DMS(此规则得到实施)和您的企业(此规则不被实施)中唯一。 使用先前的现有名称无法将策略部署在主机上。
      注意:
      如果策略名称在 DMS 上不唯一,则无法部署策略。
    • 说明
      (可选)定义策略的业务说明(自由文本)。 使用此字段记录策略的目的和帮助您识别策略的其他信息。
  7. 单击“策略脚本”选项卡,使用以下方式之
    ,提供部署和取消部署脚本:
    • 将部署和取消部署脚本键入适当的字段。
      如果未创建带有部署命令的脚本文件,请使用该选项。
    • 从现有的 selang 脚本文件加载命令:
      1. 单击“浏览”,找到包含要使用的 selang 脚本的文件。
      2. 单击“加载”使用选定的文件内容填充脚本。
  8. (可选)向此策略版本提供说明。
    使用策略说明以便提供有关用于此策略版本的部署脚本的特定信息。
  9. (可选)选择“最终确定提交”。
    此选项指定可以部署新策略版本。 如果未完成创建部署脚本,请取消选定此选项。
    注意:
    如果不选择此选项,您可以修改部署脚本,而不创建新版本的策略。 然而,您无法部署未最终确定的策略版本。
  10. 单击“策略依存关系”选项卡,然后单击“添加”。
    将显示“添加成员”对话框。
  11. 选择要添加的策略先决条件,然后单击“选择”。
    “添加成员”对话框关闭,您选择的策略即被添加到“成员”。
  12. 单击“提交”。
    任务提交。 如果任务成功,将出现一则消息,表示已创建新策略版本。
    注意:
    如果没有成功创建策略,其原因则在审核日志记录中说明。
最终确定策略
一旦创建策略,请使用“修改策略”功能的“策略脚本”选项卡查看脚本并最终确定策略版本。
注意:
您无法部署未最终确定的策略版本。
请按下列步骤操作:
  1. Privileged Identity Manager
    企业控制台的“策略管理”选项卡中,单击“策略”和“策略任务”。
    策略任务树即在左边出现。
  2. 单击“修改策略”。
    此时出现“修改策略: 策略搜索”页面。
  3. 定义搜索范围,然后单击“搜索”。
    将显示与搜索范围匹配的策略列表。
  4. 选择要查看的策略,然后单击“选择”。
    此时出现“修改策略: PolicyName”页面。 页面包含显示策略属性的选项卡:
  5. 单击“策略脚本”选项卡。
    “最终确定提交”框出现在左侧“部属脚本”字段下面。
  6. 单击“最终确定提交”复选框,然后单击“提交”。
    “修改策略:策略名称”出现,确认操作。
注意:
您可以使用“策略脚本”字段中的详细信息来查看策略规则。
将策略分配到主机
您可以将最新的最终确定策略版本分配给特定主机或主机组,以便实施策略规则。 一旦分配,将会自动部署策略,且您可以监控 DMS 的策略状态。
注意:
此过程不适用于登录和配置策略。 有关登录策略的更多信息,请参阅
管理 UNAB 登录授权
部分。 有关配置策略的更多信息,请参阅
配置UNAB 主机或主机组
部分。
请按下列步骤操作:
  1. Privileged Identity Manager
    企业控制台的“策略管理”选项卡中,单击“策略”和“策略任务”。
    策略任务树即在左边出现。
  2. 单击策略任务树中的“分配”和“分配策略”。
    此时显示“分配策略”向导。
  3. 完成此向导,然后在阅读完摘要后单击“完成”。
    “分配策略”、“任务已完成”字段出现,表示策略已在主机上部署,且已实施策略规则。
注意:
您也可以使用 policydeploy 实用工具来执行该任务。 有关 policydeploy 实用工具的详细信息,请参阅《
参考指南
》。
验证策略部署
一旦创建和部署策略,您可以查看每个策略版本的策略部署状态。
请按下列步骤操作:
  1. Privileged Identity Manager
    企业控制台的“策略管理”选项卡中,单击“策略”和“策略任务”。
    左边的任务菜单策略树展开。
  2. 单击菜单树中的“创建部署”和“部署审核”。
    此时出现“部署审核”页面。
  3. 在“部署”框“策略”字段中输入策略名,然后单击“执行”。
    选定的策略在“部署结果”框中显示。
  4. 单击策略名。
    策略部署详细信息出现在策略名下面。 部署状态列在“状态”列中。