ch[x]usr コマンド - ユーザ プロパティの変更

AC 環境で該当
cminder140jp
AC 環境で該当
chusr、chxusr、editusr、editxusr、newusr、および newxusr の各コマンドは、
Privileged Access Manager Server Control
データベース内でユーザのプロパティを変更するため、および必要に応じて、ユーザ レコードを定義するために使用します。
各コマンドには以下のような省略形があります。
  • chusrcu
  • chxusrcxu
  • editusreu
  • editxusrexu
  • newusrnu
  • newxusrnxu
たとえば、コマンド cu はコマンド chusr と同一です。
これらのコマンドはすべて構造は同じですが、対象のみが異なります。それぞれ、以下のように使い分けます。
  • chusr、editusr、および newusr コマンドは、内部ユーザを対象に使用します。これらのコマンド間の相違点は以下のとおりです。
    • chusr コマンドは、1 つ以上の USER レコードを
      変更
      します。
    • editusr コマンドは、1 つ以上の USER レコードを
      作成または変更
      します。
    • newusr コマンドは、1 つ以上の USER レコードを
      作成
      します。
    注:
    このコマンドはネイティブ環境にもありますが、動作が異なります。
  • chxusr、editxusr、および newxusr コマンドは、エンタープライズ ユーザを対象に使用します。これらのコマンド間の相違点は以下のとおりです。
    • chxusr コマンドは、1 つ以上の XUSER レコードを
      変更
      します。
    • editxusr コマンドは、1 つ以上の XUSER レコードを
      作成または変更
      します。
    • newxusr コマンドは、1 つ以上の XUSER レコードを
      作成
      します。
USER クラスと XUSER クラスのレコードはすべてのプロパティがまったく同じです。相違点は、エンタープライズ ユーザ ストアに定義されているプロパティが、XUSER レコードでは再定義されないことです。
これらのコマンドを実行すると、対象ユーザが現在システムにログイン中であっても、行われた変更によりユーザ レコードはただちに変更されます。
必要な権限
Privileged Access Manager Server Control
ユーザを作成するには、以下の条件が少なくとも 1 つ満たされている必要があります。
  • ADMIN 属性が割り当てられていること
  • ADMIN クラスの USER または XUSER レコードのアクセス制御リストに CREATE アクセス権が割り当てられていること
ユーザを追加または変更するには、以下の条件が少なくとも 1 つ満たされている必要があります。
  • ADMIN 属性が割り当てられていること
  • ユーザ レコードが、GROUPADMIN 属性が割り当てられているグループの有効範囲に含まれており、レコードの所有者と同じ権限が与えられていること
  • ユーザ レコードが、GROUPAUDITOR 属性が割り当てられているグループの有効範囲に含まれており、audit パラメータが指定されること
  • グループの所有者であること
  • ADMIN クラスの USER または XUSER レコードのアクセス制御リストに MODIFY アクセス権(ch[x]usr の場合)または CREATE アクセス権(edit[x]usr の場合)が割り当てられていること
{{chusr|cu}|chxusr|cxu}|{editusr|eu}|{editxusr|eu}|{newusr|nu}| {newxusr|nxu}} \
{userName|(userName [,userName...])}\ [{admin | admin-}] \ [audit({none | all | {[success][failure][loginsuccess]|[loginfail]|[trace]|[interactive]}})] \ [{auditor | auditor-}] \ [{category(categoryName) | category-(categoryName)}] \ [{comment(string) | comment-}] \ [country(string)] \ [email(emailAddress)] \ [enable] \ epwasown(password) \ [{expire[(date)] | expire-}] \ [fullname (fullName)] [{gowner(groupName)] \ [{grace(nLogins) | grace-}] \ [{ign_hol | ign_hol-}] \ [{inactive(nDays) | inactive-}] \ [{interval(nDays) | interval-}] \ [{label(labelName) | label-}] \ [{level(number) | level-}] \ [location(string)] \ [{logical|logical-}] \ [{maxlogins(nLogins) | maxlogins-}] \ [{min_life(nDays) | min_life-}] \ [{notify(mailAddress) | notify-}] \ [{operator | operator-}] \ [organization(string)] \ [org_unit(string) \ [owner({userName | groupName})] \ [password(string)] \ [phone(string)] \ [{pmdb(pmdbName) | pmdb-}] \ [{profile(groupName) | profile-}] \ [pwasown(string)] \ [{pwmanager | pwmanager-}] \ [regular] \ [{restrictions( \[days({anyday|weekdays|[mon] [tue] [wed] [thu] [fri] [sat] [sun]})] \[time({anytime|startTime:endTime})]) |restrictions-}] \ [{resume[(date)] | resume-}] \ [{server | server-}] \ [{suspend[(date)] | suspend-}] \ [nt|nt( ] \[admin|admin-] \[comment('comment')|comment- ] \[country('country-name')] \[expire|expire(mm/dd/yy[@hh:mm])|expire-] \[flags({account-flags)|-account-flags})] \[homedir(any-string)] \[homedrive(home-drive)] \[location(any-string)] \[logonserver(server-name)] \[name(full_name)] \[organization(name)] \[org_unit(name)] \[password(user's temporary password)] \[pgroup(primary-group)] \[phone(any-string)] \[privileges(privilege-list)] \[restrictions(days(day-data) time(hhmm:hhmm|anytime) )] \[script(logon-script-path)] \[workstations(workstations-list)] )] \ [unix({ [gecos(string)] \[homedir(path)] \[pgroup(groupName)] \[shellprog(fileName)] \[userid(number)]}]
  • admin
    ユーザに ADMIN 属性を割り当てます。ADMIN 属性を持つユーザは、audit パラメータ以外のすべてのパラメータを指定して selang のすべてのコマンドを発行できます。admin パラメータを使用するには ADMIN 属性が必要です。
  • admin-
    ユーザから ADMIN 属性を削除します (
    Privileged Access Manager Server Control
    は少なくとも 1 人のユーザが ADMIN 属性を持つことを確認します)。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • audit
    Privileged Access Manager Server Control
    で保護されたリソースに対するどのユーザ アクティビティを監査ログに記録するかを指定します。イベント タイプを複数指定するには、イベント タイプの名前をスペースまたはカンマで区切ります。
    Privileged Access Manager Server Control
    はこれらの属性に基づいてアクティビティを記録します。
    • all
      - すべてのユーザ アクティビティ。監視されるアクティビティは、failure、loginfail、loginsuccess、success、interactive、および trace です。
    • failure
      - 失敗したアクセスの試み。
    • loginfail
      - 失敗したログインの試み。
    • loginsuccess
      - 成功したログイン。
    • none
      - ユーザ アクティビティなし。
    • success
      - 成功したアクセス。
    • interactive
      - 対話式セッション。
    • trace
      - このユーザのアクションに基づいてトレース ファイルに表示されるすべてのメッセージ。
  • auditor
    ユーザに AUDITOR 属性を割り当てます。AUDITOR 属性を持つユーザは、システム リソースの使用状況を監査できます。また、
    Privileged Access Manager Server Control
    の権限チェックで検出された、
    Privileged Access Manager Server Control
    の保護対象であるすべてのリソースへのアクセス、およびデータベースへのアクセスに対するログの記録を制御できます。AUDITOR 属性を持つユーザに与えられる権限の詳細については、お使いの OS に対応する「
    エンドポイント管理ガイド
    」を参照してください。
  • auditor-
    ユーザ レコードから AUDITOR 属性を削除します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • auth_type
    認証方法を指定します。
    SSO でのみ使用されます。
    このパラメータは、エンタープライズ ユーザに対しては使用できません。
  • category(
    categoryName
    [
    , categoryName...
    ])
    1 つ以上のセキュリティ カテゴリをユーザに割り当てます。
  • category-(
    categoryName
    [,
    categoryName...
    ])
    ユーザ レコードから 1 つ以上のセキュリティ カテゴリを削除します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • comment(
    commentString
    )
    ユーザ レコードにコメントを追加します。
    • commentString
      コメントを指定します。
      commentString
      は最大 255 文字の英数字の文字列です。
      commentString
      に空白文字が含まれる場合は、文字列全体を一重引用符で囲みます。
  • comment-
    ユーザ レコードからコメントを削除します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • country(
    countryName
    )
    ユーザの国名を指定します。国は、認証プロセスでは使用されません。
    • countryName
      国を定義します。このパラメータは最大 19 文字の英数字から成る文字列です。文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
  • email(
    emailAddress)
    ユーザの電子メール アドレスを定義します。
    • emailAddress
      ユーザの電子メール アドレスを定義します。
      制限:
      128 文字以下
  • enable
    何らかの理由で無効になっているユーザのログインを有効にします。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • epwasown(
    password
    )
    ユーザが自分のパスワードを変更するように、ユーザのパスワードを変更します。このパスワード変更は管理上の変更でなく、従って、パスワードが自動的に失効することはありません。
    注:
    このコマンドは内部使用のみです。このコマンドは、/etc/shadow (パスワード ファイル)への引数として指定されるように平文テキストでパスワードを設定します。
  • expire(
    dateTime
    )
    ユーザ アカウントが失効する日付を設定します。日付の指定がない場合、アカウントはただちに失効します。ユーザがログイン中の場合は、ユーザがログアウトした時点で失効します。
    このプロパティの値がユーザ レコードに指定されている場合は、ユーザ レコードの値が GROUP クラスのレコードの値より優先されます。
    注:
    expire- パラメータを使用して、失効したユーザ レコードを有効にします。これを行うのに、resume パラメータは使用しません。
    • dateTime
      日付と、オプションで時刻を指定します。これは、以下の形式です:
      mm
      /
      dd
      /[
      yy
      ]
      yy
      [@
      HH:MM
      ]
      年は、2 桁または 4 桁で指定できます。
  • expire-
    new[x]usr コマンドの場合は、有効期限のないユーザ アカウントを定義します。
    ch[x]usr コマンドおよび edit[x]usr コマンドの場合は、ユーザ アカウントから有効期限を削除します。
  • flags(
    accountFlags|-accountFlags
    )
    ユーザ アカウントの特定の属性を指定します。有効なフラグ値の詳細については、付録「Windows の値」を参照してください。
    ユーザ レコードからフラグを削除するには、
    accountFlags
    の前にマイナス記号(-)を付けます。
  • fullname(
    fullName
    )
    ユーザのフル ネームを指定します。
    • fullName
      フル ネームを指定します。これは最大 255 文字の英数字から成る文字列です。
      fullName
      に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
  • gecos(
    string
    )
    ユーザのコメント文字列を指定します。文字列は一重引用符で囲みます。
  • gowner(
    groupName
    )
    ユーザ レコードの所有者として
    Privileged Access Manager Server Control
    グループを割り当てます。ユーザ レコードのグループ所有者には、ユーザ レコードに対する無制限のアクセス権が与えられます。ただし、前提として、グループ所有者のセキュリティ レベルとセキュリティ カテゴリに適切な権限が設定されている必要があります。ユーザ レコードのグループ所有者は、ユーザ レコードをいつでも更新および削除することができます。
  • grace(
    nLogins
    )
    ユーザに許可する猶予ログイン回数を定義します。
    猶予ログイン回数に達するとユーザはシステムにアクセスできなくなるため、システム管理者に連絡して新しいパスワードを設定する必要があります。猶予ログイン回数が 0 に設定されている場合、ユーザはログインできません。
    このパラメータの値がユーザ レコードに指定されている場合は、ユーザ レコードの値が GROUP クラスのレコードの値より優先されます。
    このパラメータを指定しない場合でも、ユーザのプロファイル グループにこのパラメータの値が含まれている場合は、GROUP クラスのレコードの値が使用されます。USER クラスのレコードにも GROUP クラスのレコードにも値が含まれていない場合は、
    Privileged Access Manager Server Control
    のグローバル猶予ログイン設定が使用されます。
    • nLogins
      猶予ログイン回数を指定します。0 ~ 255 の整数を入力してください。
    注:
    猶予ログイン回数の値が 0 に達する前に、パスワードを変更する必要があります。猶予ログイン回数の値に達っしてしまった場合、システム管理者に連絡して新しいパスワードを選択してください。
  • grace-
    ユーザの猶予ログイン設定を削除します。代わりに、
    Privileged Access Manager Server Control
    のグローバル猶予ログイン設定が使用されます。
    このパラメータは、newusr コマンドでは使用できません。
  • homedir(
    path
    )
    ユーザのホーム ディレクトリの完全パスを指定します。
    path
    の最後にスラッシュを付けると、
    Privileged Access Manager Server Control
    によってパスに
    userName
    が自動的に追加されます。
  • homedrive(
    drive
    )
    ユーザのホーム ディレクトリのドライブを指定します。
  • ign_hol
    ユーザに IGN_HOL 属性を割り当てます。IGN_HOL 属性を持つユーザは、holiday レコードに定義された期間中にログインできます。
  • ign_hol-
    IGN_HOL 属性をユーザから削除します。
  • inactive(
    nDays
    )
    ユーザのステータスが非アクティブに変更されるまでの経過日数を指定します。指定した日数に達すると、ユーザはログインできなくなります。
    注:
    非アクティブ ユーザはユーザ レコードにマークが設定されません。アクティブでないユーザを識別するには、Inactive Days 値と Last Accessed Time 値を比較する必要があります。
    • nDays
      日数を指定します。
      nDays
      には、0 または正の整数を指定します。
      nDays
      を 0 に設定した結果は、inactive- パラメータを指定した場合と同じになります。
  • inactive-
    ユーザのステータスを非アクティブからアクティブに変更します。
    このパラメータは、newusr コマンドでは使用できません。
  • interval(
    nDays
    )
    パスワードの設定または変更後、ユーザに対して新しいパスワードの入力を促すメッセージが表示されるまでの経過日数を定義します。0 または正の整数を指定します。
    nDays
    が 0 の場合、
    Privileged Access Manager Server Control
    はパスワード期間のチェックを無効にするため、パスワードは失効しません。つまり、setoptions コマンドで設定したデフォルト値は使用されません。
    nDays
    を 0 に設定するのは、セキュリティ要件が厳しくないユーザに限定してください。
    nDays
    が経過すると、
    Privileged Access Manager Server Control
    により現在のパスワードが期限切れであることがユーザに通知されます。通知を受けたユーザは、猶予ログイン回数に達するまでパスワードを引き続き使用することができます。猶予ログイン回数に達するとシステムへのアクセスを拒否されるため、ユーザはシステム管理者に連絡して新しいパスワードを取得する必要があります。
  • interval-
    ユーザのパスワード期間の設定を取り消します。このパラメータの値がユーザのプロファイル グループに含まれている場合は、その値が使用されます。それ以外の場合は、setoptions コマンドで設定したデフォルト値が使用されます。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • label(
    labelName
    )
    ユーザにセキュリティ ラベルを割り当てます。
  • label-
    ユーザ レコードからセキュリティ ラベルを削除します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • level(
    levelNumber
    )
    ユーザ レコードにセキュリティ レベルを割り当てます。
    levelNumber
    は、0 ~ 255 の整数です。
  • level-
    ユーザ レコードからセキュリティ レベルを削除します。
    このパラメータは、newusr コマンドでは使用できません。
  • localapps
    CA SSO で使用されます。
  • location(
    locationString
    )
    ユーザの所在地を指定します。所在地は、認証プロセスでは使用されません。
    • locationString
      所在地を指定します。
      locationString
      は最大 47 文字の英数字から成る文字列です。
      locationString
      に空白文字が含まれる場合は、文字列を一重引用符で囲みます。
  • logical
    ユーザに LOGICAL 属性を割り当てます。LOGICAL 属性が割り当てられたユーザはログインすることができず、
    Privileged Access Manager Server Control
    内部でのみ使用されます。
    たとえば、リソースの所有者であってもリソースへのアクセスを阻止するために、リソースの所有者として使用するユーザ nobody は、デフォルトの論理ユーザです。これは、ユーザがこのアカウントを使用してログインすることができないことを意味します。
  • logical-
    ユーザから LOGICAL 属性を削除します。
  • logonserver(
    server-name
    )
    ユーザのログイン情報を確認するサーバを指定します。ユーザがドメイン ワークステーションにログインすると、
    Privileged Access Manager Server Control
    によってログイン情報がサーバに送信され、サーバによってユーザがワークステーションを使用することが許可されます。
  • maxlogins(
    nLogins
    )
    ユーザの最大同時ログイン数を設定します。値 0(ゼロ)は、同時に任意の数の端末からログインできることを意味します。このパラメータを指定しない場合は、グローバルな最大ログイン回数の設定が使用されます。
    注:
    maxlogins を 1 に設定すると、selang を実行できません。この場合、
    Privileged Access Manager Server Control
    を停止し、setpropadm ユーティリティなどを使用して maxlogins の設定を 2 以上の値に変更し、
    Privileged Access Manager Server Control
    を再起動する必要があります。
  • maxlogins-
    ユーザの最大ログイン数の設定を削除します。代わりに、グローバルな設定が使用されます。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • min_life(
    nDays
    )
    ユーザがパスワードを再度変更できるまでの最短経過日数を指定します。正の整数を入力します。
  • min_life-
    ユーザの min_life 設定を削除します。このパラメータの値がユーザのプロファイル グループに含まれている場合は、その値が使用されます。それ以外の場合は、setoptions コマンドで設定したデフォルト値が使用されます。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • nochngpass
    ユーザが別のユーザのパスワードを変更できないように指定します。
  • notify(
    notifyAddress
    )
    ユーザがログインするたびに、
    notifyAddress
    宛に電子メールを送信します。通知メッセージを受け取るユーザは、頻繁にログインして、各メッセージに示された不正なアクセスの試みに対処する必要があります。
    Privileged Access Manager Server Control
    は通知メッセージを送信するたびに、監査ログに監査レコードを書き込みます。
    • notifyAddress
      ユーザ名または電子メール アドレスを指定します。
      制限:
      30 文字。
  • notify-
    ユーザがログインしたときに誰にも通知を行わないように指定します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • nt
    chusr コマンドおよび editusr コマンドの場合、このパラメータは、ローカル Windows システムのユーザ定義を変更します。
    newusr コマンドの場合、このパラメータはユーザをローカル Windows システムに追加します。
    複数の引数を指定する場合は、各引数をスペースで区切ります。
    ローカル Windows システムを
    Privileged Access Manager Server Control
    内で操作する方法の詳細については、environment コマンドの説明を参照してください。
    nt オプションと nt オプションのサブオプションは、エンタープライズ ユーザに対しては無効です。
  • operator
    ユーザに OPERATOR 属性を割り当てます。OPERATOR 属性を持つユーザは、データベースのすべてのリソース レコードを一覧表示できます。また、このユーザには
    Privileged Access Manager Server Control
    で定義されたすべてのファイルに対する読み取り権限が与えられます。
    この属性を持つユーザは、secons コマンドのすべてのオプションも使用できます。secons ユーティリティの詳細については、「
    リファレンス ガイド
    」を参照してください。
  • operator-
    ユーザ レコードから OPERATOR 属性を削除します。
    このパラメータは、newusr コマンドでは使用できません。
  • organization(
    organizationString
    )
    ユーザの組織を指定します。組織は、認証プロセスでは使用されません。
    • organizationString
      組織を指定します。
      organizationString
      は最大 255 文字の英数字から成る文字列です。
      organizationString
      に空白文字が含まれる場合は、文字列を一重引用符で囲みます。
  • org_unit(
    org_unitString
    )
    ユーザの組織単位を指定します。組織単位は、認証プロセスでは使用されません。
    • org_unitString
      組織単位を指定します。
      org_unitString
      は最大 255 文字の英数字から成る文字列です。
      organizationString
      に空白文字が含まれる場合は、文字列を一重引用符で囲みます。
  • owner(
    Name
    )
    ユーザ レコードの所有者として
    Privileged Access Manager Server Control
    ユーザまたはグループを割り当てます。詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
  • password(
    string
    )
    ユーザにパスワードを割り当てます。スペースまたはカンマ以外の任意の文字を指定します。パスワード チェックが有効になっている場合、指定したパスワードでログインできるのは 1 回のみです。次回システムにログインする際に、ユーザは新しいパスワードを設定する必要があります。
    自分のパスワードを変更するには、
    setoptions cng_ownpwd
    を使用して selang オプションを設定するか、sepass を使用する必要があります。
  • pgroup(
    groupName
    )
    ユーザのプライマリ グループ ID を設定します。
    groupName
    には UNIX グループの名前を指定します。
  • phone(
    phoneString
    )
    ユーザの電話番号を定義します。電話番号は、認証プロセスでは使用されません。
    • phoneString
      電話番号を指定します。
      phoneString
      は最大 19 文字の英数字から成る文字列です。
      phoneString
      に空白文字が含まれる場合は、文字列を一重引用符で囲みます。
  • pmdb(
    pmdbName
    )
    ユーザが sepass ユーティリティを使用してパスワードを変更した場合、指定された PMDB に新しいパスワードを伝達するように指定します。PMDB の完全修飾名を入力します。このパスワードは、seos.ini の [seos] セクションにある parent_pmd トークンまたは passwd_pmd トークンに定義されている Policy Model には送信されません。
    このオプションは、エンタープライズ ユーザに対しては使用できません。
  • pmdb-
    ユーザ レコードから PMDB 属性を削除します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • privileges(
    privilege-list
    )
    Windows のユーザ レコードに特定の権限を追加します。privList の前にマイナス記号(-)を付けた場合は、指定した権限を削除します。
    このパラメータは、newusr コマンドでは使用できません。
  • profile(
    groupName
    )
    ユーザをプロファイル グループに割り当てます。次の値をプロファイル グループから取得できます。
    • audit
    • auth_type
    • expire
    • grace
    • inactive
    • interval
    • maxlogins
    • min_life
    • password rules
    • pmdb
    • pwd_autogen
    • pwd_policy
    • pwd_sync
    • restrictions (days, time)
    • resume
    • suspend
    • unix (homedir, shellprog)
  • profile-
    ユーザをプロファイル グループから削除します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • pwmanager
    ユーザに PWMANAGER 属性を割り当てます。この属性を持つユーザは、データベースにあるユーザのパスワードを変更できます。詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
  • pwmanager-
    ユーザ レコードから PWMANAGER 属性を削除します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • pwasown(
    string
    )
    ユーザが変更した場合と同じようにパスワードを置き換えます。このパラメータを指定すると、データベースを最後に変更した日時が更新され、猶予ログインが終了します。
  • regular
    レコードの OBJ_TYPE プロパティをリセットし、ユーザの権限属性を削除します。
  • restrictions([
    Days
    ] [
    Time
    ])
    ユーザがログインできる曜日と時間帯を指定します。この制限は、[X]USER レコードの DAYTIME プロパティに格納されます。
    Days
    引数を指定せずに
    Time
    引数を指定した場合、レコードですでに定義されている曜日制限に時間制限が適用されます。
    Time
    引数を指定せずに
    Days
    引数を指定した場合、レコード内にすでに設定されている
    Days
    制限に対して、指定した曜日制限が適用されます。
    Days
    引数と
    Time
    引数の両方を指定した場合、ユーザは、指定した曜日の指定した時間帯にのみシステムにアクセスできます。
    • ユーザがログインできる曜日を指定します。
      Days
      の指定には以下のキーワードを使用できます。
      1. anyday
        - ユーザは曜日を問わずファイルにアクセスできます。
      2. weekdays
        - ユーザは月曜から金曜までの平日に限りリソースにアクセスできます。
      3. Mon
        Tue
        Wed
        Thu
        Fri
        Sat
        Sun
        - ユーザは指定した曜日にのみリソースにアクセスできます。曜日は任意の順で指定できます。複数の曜日を指定する場合は、各曜日をスペースまたはカンマで区切ります。
    • 時間
      ユーザがログインできる時間帯を指定します。time 引数には以下のサブ引数があります。
      1. anytime
        - 特定の曜日の任意の時間帯にリソースにアクセスできます。
      2. startTime
        :
        endTime
        - 指定した時間帯に限りリソースにアクセスできます。
        startTime
        endTime
        はどちらも
        hhmm
        の形式で指定します。
        hh
        は時間(00 ~ 23)、
        mm
        は分(00 ~ 59)を表します。2400 は有効な Time 値ではないことに注意してください。代わりに 0000 を使用してください。
        startTime
        endTime
        より小さい必要があります。
        注:
        Privileged Access Manager Server Control
        では、プロセッサのタイム ゾーンを使用します。プロセッサと異なるタイム ゾーンの端末にログインする際には注意が必要です。
  • restrictions-([days] [time])
    ユーザによるログインを限定するすべての曜日および時間帯の制限を削除します。
  • resume([
    dateTime
    ])
    suspend パラメータを指定して無効にしたユーザ レコードを有効にします。suspend パラメータと resume パラメータの両方を指定する場合、再開日を一時停止日より後に設定する必要があります。
    dateTime
    を省略すると、chusr コマンドの実行直後にユーザ レコードが再開されます。詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
    dateTime
    は、
    [m]m/[d]d/yy[@HH:MM]
    の形式で指定します。
  • resume-
    再開日および再開時間(指定されている場合)をユーザ レコードから消去します。これにより、ユーザのステータスがアクティブ(有効)から一時停止に変更されます。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • script(
    logon-script-path
    )
    ユーザがログインしたときに自動的に実行されるファイルの場所を指定します。このパラメータは任意です。通常は、このログイン スクリプトによって作業環境が設定されます。ユーザの作業環境の設定には profile パラメータも使用できます。
  • server
    SERVER 属性を設定します。現在のユーザに代わり実行しているプロセスから、他のユーザの権限をクエリできるようになります。詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
  • server-
    SERVER 属性の設定を解除します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • shellprog(
    fileName
    )
    ユーザが login コマンドまたは su コマンドを起動した後に実行される初期プログラムまたはシェルの完全パスを指定します。
    fileName
    には文字列を指定します。
    このオプションは、エンタープライズ ユーザに対しては使用できません。
  • suspend([
    dateTime
    ])
    ユーザ レコードを無効にします。ただし、データベースには定義を残します。ユーザは、無効にされたユーザ アカウントを使用してシステムにログインすることはできません。
    dateTime
    を指定すると、指定された日にユーザ レコードが無効になります。
    dateTime
    を省略すると、ch[x]usr コマンドの実行直後にユーザ レコードが無効になります。
    dateTime
    mm/dd/yy[@HH:MM]
    の形式で指定します。
  • suspend-
    一時停止日をユーザ レコードから消去し、ユーザのステータスを無効から有効(アクティブ)に変更します。
    このパラメータは、new[x]usr コマンドでは使用できません。
  • unix
    chusr コマンドおよび editusr コマンドの場合、このパラメータは、ローカル UNIX システムのユーザ定義を変更します。
    newusr コマンドの場合、このパラメータはユーザをローカル UNIX システムに追加します。
    複数の引数を指定する場合は、各引数をスペースで区切ります。
    ローカル UNIX システムを
    Privileged Access Manager Server Control
    内で操作する方法の詳細については、この章の environment コマンドの説明を参照してください。
    unix オプションと unix オプションのサブオプションは、エンタープライズ ユーザに対しては無効です。
  • userid(
    number
    )
    一意の随意アクセス制御に使用するユーザの一意の ID 番号(UID)を設定します。
    number
    には 10 進数を指定します。デフォルトでは、100 より小さい数値は使用できません。除外される数値の詳細については、「リファレンス ガイド」の AllowedGidRange トークンの説明を参照してください。
  • userName
    |(
    userName
    [,
    userName...
    ])
    ユーザ名(複数可)を指定します。各ユーザ名は一意である必要があります。
    newusr コマンドを使用すると、
    Privileged Access Manager Server Control
    userName
    を新しいユーザとして認識します。newusr コマンドで指定したユーザが、ネイティブ環境にすでに定義されている場合、
    Privileged Access Manager Server Control
    はそのユーザ名を該当ユーザの USER レコードとして使用します。ただし、一般的には、newusr コマンドを使用してネイティブ環境に既存のユーザ名に対する USER レコードを作成するより、
    Privileged Access Manager Server Control
    でエンタープライズ ユーザを使用できることを活用する方が得策です。目的のユーザの
    Privileged Access Manager Server Control
    プロパティを変更するには、代わりに chgxusr コマンドを使用します。
    ネイティブ ログイン名ではない
    Privileged Access Manager Server Control
    ユーザ名を使用する場合が考えられます。その場合、login コマンドではそのユーザを使用できませんが、sesu などの他のコマンドで使用できます。
    注:
    UNIX でユーザ名に円記号が含まれる場合は、
    userName
    を指定する際に円記号を 2 つ重ねます。
  • ユーザ Bob が、Jim のレコードに FINANCIAL カテゴリを追加し、Jim のセキュリティ レベルを 155 に変更し、さらに Jim によるシステムへのアクセスを平日の午前 8 時から午後 8 時までに制限します。午後 8 時までに制限したいとします。
    • ユーザ Bob に ADMIN 属性が割り当てられているとします。
    • Privileged Access Manager Server Control
      にユーザ Jim が定義されているとします。
    • Privileged Access Manager Server Control
      に FINANCIAL カテゴリが定義されているとします。
    chuxsr Jim category(FINANCIAL) level(155) restrictions \ (days(weekdays)time(0800:2000))
  • ユーザ admin が、1995 年 8 月 5 日から 3 週間の休暇に入る予定のユーザ Joel を一時停止します。
    • ユーザ admin に ADMIN 属性が割り当てられているとします。
    • Privileged Access Manager Server Control
      にユーザ Joel が定義されているとします。
    • 現在の日付は 1994 年 8 月 3 日だとします。
    chxusr Joel suspend(8/5/95) resume(8/26/95)
  • ユーザ Security2 が、ユーザ Bill から AUDITOR 属性を削除し、Bill のすべてのアクティビティを監査します。
    • ユーザ Security2 に ADMIN 属性および AUDITOR 属性が割り当てられているとします。
    • Privileged Access Manager Server Control
      にユーザ Bill が定義されているとします。
    chxusr Bill auditor audit(all)
  • ユーザ Rob が、ユーザ Mary のレコードに格納されているコメントを変更します。
    • ユーザ Rob が Mary のユーザ レコードの所有者だとします。
    chxusr Mary comment ('Administrator of the SALES group')
  • ADMIN 属性を持つユーザ Sally が、ユーザ Jared のレコードに格納されている国名および所在地のプロパティを削除します。
    • ユーザ Sally は Jared のユーザ レコードの所有者だとします。
    chxusr Jared country() location()
  • ユーザ Bob が、ユーザ Peter およびユーザ Joe を
    Privileged Access Manager Server Control
    に定義します。
    • ユーザ Bob に ADMIN 属性が割り当てられているとします。
    • ユーザ Peter およびユーザ Joe が
      Privileged Access Manager Server Control
      に定義されていないとします。
    • 以下のデフォルト値が適用されるとします。
      • owner(Bob)
      • audit(failure,loginfailure)
    newusr (Peter Joe)
  • ユーザ Bob がユーザ Jane を
    Privileged Access Manager Server Control
    に定義し、Jane を所有するグループとして payroll を割り当てます。
    • ユーザ Bob に ADMIN 属性が割り当てられているとします。
    • Privileged Access Manager Server Control
      にユーザ Jane が定義されていないとします。
    • ユーザ Jane のフル ネームは JG Harris だとします。
    • audit(failure,loginfailure)
    newusr Jane owner(payroll) name('J.G. Harris')
  • ユーザ Bob がユーザ
    JohnD
    Privileged Access Manager Server Control
    に定義し、セキュリティ カテゴリ NewEmployee およびセキュリティ レベル 3 を設定します。JohnD がシステムを使用できる時間帯を、平日の午前 8 時から午後 6 時までのみに設定します。JohnD がシステムを使用できる時間帯を、平日の午前 8 時から午後 6 時までのみに設定します。
    • ユーザ Bob に ADMIN 属性が割り当てられているとします。
    • Privileged Access Manager Server Control
      に NewEmployee カテゴリが定義されているとします。
    • 新しいユーザのフル ネームは John Doe だとします。
    • 以下のデフォルト値が適用されるとします。
      • owner(Bob)
      • audit(failure)
    newusr JohnD name('John Doe') category(NewEmployee) level(3) \ restrictions(days(weekdays) time(0800:1800))