ch[x]usr コマンド - ユーザ プロパティの変更
AC 環境で該当
capamsc141
AC 環境で該当
chusr、chxusr、editusr、editxusr、newusr、および newxusr の各コマンドは、
Privileged Access Manager
データベース内でユーザのプロパティを変更するため、および必要に応じて、ユーザ レコードを定義するために使用します。各コマンドには以下のような省略形があります。
- chusrcu
- chxusrcxu
- editusreu
- editxusrexu
- newusrnu
- newxusrnxu
たとえば、コマンド cu はコマンド chusr と同一です。
これらのコマンドはすべて構造は同じですが、対象のみが異なります。それぞれ、以下のように使い分けます。
- chusr、editusr、および newusr コマンドは、内部ユーザを対象に使用します。これらのコマンド間の相違点は以下のとおりです。
- chusr コマンドは、1 つ以上の USER レコードを変更します。
- editusr コマンドは、1 つ以上の USER レコードを作成または変更します。
- newusr コマンドは、1 つ以上の USER レコードを作成します。
これらのコマンドはネイティブ環境にもありますが、動作が異なります。 - chxusr、editxusr、および newxusr コマンドは、エンタープライズ ユーザを対象に使用します。これらのコマンド間の相違点は以下のとおりです。
- chxusr コマンドは、1 つ以上の XUSER レコードを変更します。
- editxusr コマンドは、1 つ以上の XUSER レコードを作成または変更します。
- newxusr コマンドは、1 つ以上の XUSER レコードを作成します。
USER クラスと XUSER クラスのレコードはすべてのプロパティがまったく同じです。相違点は、エンタープライズ ユーザ ストアに定義されているプロパティが、XUSER レコードでは再定義されないことです。
これらのコマンドを実行すると、対象ユーザが現在システムにログイン中であっても、行われた変更によりユーザ レコードはただちに変更されます。
必要な権限
Privileged Access Manager
ユーザを作成するには、以下の条件が少なくとも 1 つ満たされている必要があります。- ADMIN 属性が割り当てられていること
- ADMIN クラスの USER または XUSER レコードのアクセス制御リストに CREATE アクセス権が割り当てられていること
ユーザを追加または変更するには、以下の条件が少なくとも 1 つ満たされている必要があります。
- ADMIN 属性が割り当てられていること
- ユーザ レコードが、GROUPADMIN 属性が割り当てられているグループの有効範囲に含まれており、レコードの所有者と同じ権限が与えられていること
- ユーザ レコードが、GROUPAUDITOR 属性が割り当てられているグループの有効範囲に含まれており、audit パラメータが指定されること
- グループの所有者であること
- ADMIN クラスの USER または XUSER レコードのアクセス制御リストに MODIFY アクセス権(ch[x]usr の場合)または CREATE アクセス権(edit[x]usr の場合)が割り当てられていること
{{chusr|cu}|chxusr|cxu}|{editusr|eu}|{editxusr|eu}|{newusr|nu}| {newxusr|nxu}} \
{userName|(userName [,userName...])}\ [{admin | admin-}] \ [audit({none | all | {[success][failure][loginsuccess]|[loginfail]|[trace]|[interactive]}})] \ [{auditor | auditor-}] \ [{category(categoryName) | category-(categoryName)}] \ [{comment(string) | comment-}] \ [country(string)] \ [email(emailAddress)] \ [enable] \ epwasown(password) \ [{expire[(date)] | expire-}] \ [fullname (fullName)] [{gowner(groupName)] \ [{grace(nLogins) | grace-}] \ [{ign_hol | ign_hol-}] \ [{inactive(nDays) | inactive-}] \ [{interval(nDays) | interval-}] \ [{label(labelName) | label-}] \ [{level(number) | level-}] \ [location(string)] \ [{logical|logical-}] \ [{maxlogins(nLogins) | maxlogins-}] \ [{min_life(nDays) | min_life-}] \ [{notify(mailAddress) | notify-}] \ [{operator | operator-}] \ [organization(string)] \ [org_unit(string) \ [owner({userName | groupName})] \ [password(string)] \ [phone(string)] \ [{pmdb(pmdbName) | pmdb-}] \ [{profile(groupName) | profile-}] \ [pwasown(string)] \ [{pwmanager | pwmanager-}] \ [regular] \ [{restrictions( \[days({anyday|weekdays|[mon] [tue] [wed] [thu] [fri] [sat] [sun]})] \[time({anytime|startTime:endTime})]) |restrictions-}] \ [{resume[(date)] | resume-}] \ [{server | server-}] \ [{suspend[(date)] | suspend-}] \ [nt|nt( ] \[admin|admin-] \[comment('comment')|comment- ] \[country('country-name')] \[expire|expire(mm/dd/yy[@hh:mm])|expire-] \[flags({account-flags)|-account-flags})] \[homedir(any-string)] \[homedrive(home-drive)] \[location(any-string)] \[logonserver(server-name)] \[name(full_name)] \[organization(name)] \[org_unit(name)] \[password(user's temporary password)] \[pgroup(primary-group)] \[phone(any-string)] \[privileges(privilege-list)] \[restrictions(days(day-data) time(hhmm:hhmm|anytime) )] \[script(logon-script-path)] \[workstations(workstations-list)] )] \ [unix({ [gecos(string)] \[homedir(path)] \[pgroup(groupName)] \[shellprog(fileName)] \[userid(number)]}]
- adminユーザに ADMIN 属性を割り当てます。ADMIN 属性を持つユーザは、audit パラメータ以外のすべてのパラメータを指定して selang のすべてのコマンドを発行できます。admin パラメータを使用するには ADMIN 属性が必要です。
- admin-ユーザから ADMIN 属性を削除します(Privileged Access Managerは少なくとも 1 人のユーザが ADMIN 属性を持つことを確認します)。このパラメータは、new[x]usr コマンドでは使用できません。
- auditPrivileged Access Managerで保護されたリソースに対するどのユーザ アクティビティを監査ログに記録するかを指定します。イベント タイプを複数指定するには、イベント タイプの名前をスペースまたはカンマで区切ります。Privileged Access Managerはこれらの属性に基づいてアクティビティを記録します。
- all- すべてのユーザ アクティビティ。監視されるアクティビティは、failure、loginfail、loginsuccess、success、interactive、および trace です。
- failure- 失敗したアクセスの試み。
- loginfail- 失敗したログインの試み。
- loginsuccess- 成功したログイン。
- none- ユーザ アクティビティなし。
- success- 成功したアクセス。
- interactive- 対話式セッション。
- trace- このユーザのアクションに基づいてトレース ファイルに表示されるすべてのメッセージ。
- auditorユーザに AUDITOR 属性を割り当てます。AUDITOR 属性を持つユーザは、システム リソースの使用状況を監査できます。また、Privileged Access Managerの権限チェックで検出された、Privileged Access Managerの保護対象であるすべてのリソースへのアクセス、およびデータベースへのアクセスに対するログの記録を制御できます。AUDITOR 属性を持つユーザに与えられる権限の詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
- auditor-ユーザ レコードから AUDITOR 属性を削除します。このパラメータは、new[x]usr コマンドでは使用できません。
- auth_type認証方法を指定します。SSO でのみ使用されます。このパラメータは、エンタープライズ ユーザに対しては使用できません。
- category(categoryName[, categoryName...])1 つ以上のセキュリティ カテゴリをユーザに割り当てます。
- category-(categoryName[,categoryName...])ユーザ レコードから 1 つ以上のセキュリティ カテゴリを削除します。このパラメータは、new[x]usr コマンドでは使用できません。
- comment(commentString)ユーザ レコードにコメントを追加します。
- commentStringコメントを指定します。commentStringは最大 255 文字の英数字の文字列です。commentStringに空白文字が含まれる場合は、文字列全体を一重引用符で囲みます。
- comment-ユーザ レコードからコメントを削除します。このパラメータは、new[x]usr コマンドでは使用できません。
- country(countryName)ユーザの国名を指定します。国は、認証プロセスでは使用されません。
- countryName国を定義します。このパラメータは最大 19 文字の英数字から成る文字列です。文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
- email(emailAddress)ユーザの電子メール アドレスを定義します。
- emailAddressユーザの電子メール アドレスを定義します。制限:128 文字以下
- enable何らかの理由で無効になっているユーザのログインを有効にします。このパラメータは、new[x]usr コマンドでは使用できません。
- epwasown(password)ユーザが自分のパスワードを変更するように、ユーザのパスワードを変更します。このパスワード変更は管理上の変更でなく、従って、パスワードが自動的に失効することはありません。注:このコマンドは内部使用のみです。このコマンドは、 /etc/shadow (パスワード ファイル)への引数として指定されるように平文テキストでパスワードを設定します。
- expire(dateTime)ユーザ アカウントが失効する日付を設定します。日付の指定がない場合、アカウントはただちに失効します。ユーザがログイン中の場合は、ユーザがログアウトした時点で失効します。このプロパティの値がユーザ レコードに指定されている場合は、ユーザ レコードの値が GROUP クラスのレコードの値より優先されます。expire- パラメータを使用して、失効したユーザ レコードを有効にします。これを行うために resume パラメータは使用しません。
- dateTime日付と、オプションで時刻を指定します。これは、以下の形式です:mm/dd/[yy]yy[@HH:MM]年は、2 桁または 4 桁で指定できます。
- expire-new[x]usr コマンドの場合は、有効期限のないユーザ アカウントを定義します。ch[x]usr コマンドおよび edit[x]usr コマンドの場合は、ユーザ アカウントから有効期限を削除します。
- flags(accountFlags|-accountFlags)ユーザ アカウントの特定の属性を指定します。有効なフラグ値の詳細については、付録「Windows の値」を参照してください。ユーザ レコードからフラグを削除するには、accountFlagsの前にマイナス記号(-)を付けます。
- fullname(fullName)ユーザのフル ネームを指定します。
- fullNameフル ネームを指定します。これは最大 255 文字の英数字から成る文字列です。fullNameに空白が含まれる場合は、文字列全体を一重引用符で囲みます。
- gecos(string)ユーザのコメント文字列を指定します。文字列は一重引用符で囲みます。
- gowner(groupName)ユーザ レコードの所有者としてPrivileged Access Managerグループを割り当てます。ユーザ レコードのグループ所有者には、ユーザ レコードに対する無制限のアクセス権が与えられます。ただし、前提として、グループ所有者のセキュリティ レベルとセキュリティ カテゴリに適切な権限が設定されている必要があります。ユーザ レコードのグループ所有者は、ユーザ レコードをいつでも更新および削除することができます。
- grace(nLogins)ユーザに許可する猶予ログイン回数を定義します。猶予ログイン回数に達するとユーザはシステムにアクセスできなくなるため、システム管理者に連絡して新しいパスワードを設定する必要があります。猶予ログイン回数が 0 に設定されている場合、ユーザはログインできません。このパラメータの値がユーザ レコードに指定されている場合は、ユーザ レコードの値が GROUP クラスのレコードの値より優先されます。このパラメータを指定しない場合でも、ユーザのプロファイル グループにこのパラメータの値が含まれている場合は、GROUP クラスのレコードの値が使用されます。USER クラスのレコードにも GROUP クラスのレコードにも値が含まれていない場合は、Privileged Access Managerのグローバル猶予ログイン設定が使用されます。
- nLogins猶予ログイン回数を指定します。0 ~ 255 の整数を入力してください。
猶予ログイン回数の値が 0 に達する前に、パスワードを変更する必要があります。猶予ログイン回数の値に達っしてしまった場合、システム管理者に連絡して新しいパスワードを選択してください。 - grace-ユーザの猶予ログイン設定を削除します。代わりに、Privileged Access Managerのグローバル猶予ログイン設定が使用されます。このパラメータは、newusr コマンドでは使用できません。
- homedir(path)ユーザのホーム ディレクトリの完全パスを指定します。pathの最後にスラッシュを付けると、Privileged Access ManagerによってパスにuserNameが自動的に追加されます。
- homedrive(drive)ユーザのホーム ディレクトリのドライブを指定します。
- ign_holユーザに IGN_HOL 属性を割り当てます。IGN_HOL 属性を持つユーザは、holiday レコードに定義された期間中にログインできます。
- ign_hol-IGN_HOL 属性をユーザから削除します。
- inactive(nDays)ユーザのステータスが非アクティブに変更されるまでの経過日数を指定します。指定した日数に達すると、ユーザはログインできなくなります。非アクティブ ユーザはユーザ レコードにマークが設定されません。アクティブでないユーザを識別するには、Inactive Days 値と Last Accessed Time 値を比較する必要があります。
- nDays日数を定義します。nDaysは 0 または正の整数です。nDaysを 0 に設定した結果は、inactive- パラメータを指定した場合と同じになります。
- inactive-ユーザのステータスを非アクティブからアクティブに変更します。このパラメータは、newusr コマンドでは使用できません。
- interval(nDays)パスワードの設定または変更後、ユーザに対して新しいパスワードの入力を促すメッセージが表示されるまでの経過日数を定義します。0 または正の整数を指定します。nDaysが 0 の場合、Privileged Access Managerはパスワード期間のチェックを無効にするため、パスワードは失効しません。つまり、setoptions コマンドで設定したデフォルト値は使用されません。nDaysを 0 に設定するのは、セキュリティ要件が厳しくないユーザに限定してください。nDaysが経過すると、Privileged Access Managerにより現在のパスワードが期限切れであることがユーザに通知されます。通知を受けたユーザは、猶予ログイン回数に達するまでパスワードを引き続き使用することができます。猶予ログイン回数に達するとシステムへのアクセスを拒否されるため、ユーザはシステム管理者に連絡して新しいパスワードを取得する必要があります。
- interval-ユーザのパスワード期間の設定を取り消します。このパラメータの値がユーザのプロファイル グループに含まれている場合は、その値が使用されます。それ以外の場合は、setoptions コマンドで設定したデフォルト値が使用されます。このパラメータは、new[x]usr コマンドでは使用できません。
- label(labelName)ユーザにセキュリティ ラベルを割り当てます。
- label-ユーザ レコードからセキュリティ ラベルを削除します。このパラメータは、new[x]usr コマンドでは使用できません。
- level(levelNumber)ユーザ レコードにセキュリティ レベルを割り当てます。levelNumberは、0 ~ 255 の整数です。
- level-ユーザ レコードからセキュリティ レベルを削除します。このパラメータは、newusr コマンドでは使用できません。
- localappsCA SSO で使用されます。
- location(locationString)ユーザの所在地を指定します。所在地は、認証プロセスでは使用されません。
- locationString所在地を定義します。locationStringは最大 47 文字の英数字から成る文字列です。locationStringに空白文字が含まれる場合は、文字列を一重引用符で囲みます。
- logicalユーザに LOGICAL 属性を割り当てます。LOGICAL 属性が割り当てられたユーザはログインすることができず、Privileged Access Manager内部でのみ使用されます。たとえば、リソースの所有者であってもリソースへのアクセスを阻止するために、リソースの所有者として使用するユーザ nobody は、デフォルトの論理ユーザです。これは、ユーザがこのアカウントを使用してログインすることができないことを意味します。
- logical-ユーザから LOGICAL 属性を削除します。
- logonserver(server-name)ユーザのログイン情報を確認するサーバを指定します。ユーザがドメイン ワークステーションにログインすると、Privileged Access Managerによってログイン情報がサーバに送信され、サーバによってユーザがワークステーションを使用することが許可されます。
- maxlogins(nLogins)ユーザの最大同時ログイン数を設定します。値 0(ゼロ)は、同時に任意の数の端末からログインできることを意味します。このパラメータを指定しない場合は、グローバルな最大ログイン回数の設定が使用されます。maxlogins を 1 に設定すると、selang を実行できません。この場合、Privileged Access Managerを停止し、setpropadm ユーティリティなどを使用して maxlogins の設定を 2 以上の値に変更し、Privileged Access Managerを再起動する必要があります。
- maxlogins-ユーザの最大ログイン数の設定を削除します。代わりに、グローバルな設定が使用されます。このパラメータは、new[x]usr コマンドでは使用できません。
- min_life(nDays)ユーザがパスワードを再度変更できるまでの最短経過日数を指定します。正の整数を入力します。
- min_life-ユーザの min_life 設定を削除します。このパラメータの値がユーザのプロファイル グループに含まれている場合は、その値が使用されます。それ以外の場合は、setoptions コマンドで設定したデフォルト値が使用されます。このパラメータは、new[x]usr コマンドでは使用できません。
- nochngpassユーザが別のユーザのパスワードを変更できないように指定します。
- notify(notifyAddress)ユーザがログインするたびに、notifyAddress宛に電子メールを送信します。通知メッセージを受け取るユーザは、頻繁にログインして、各メッセージに示された不正なアクセスの試みに対処する必要があります。Privileged Access Managerは通知メッセージを送信するたびに、監査ログに監査レコードを書き込みます。
- notifyAddressユーザ名または電子メール アドレスを指定します。制限:30 文字。
- notify-ユーザがログインしたときに誰にも通知を行わないように指定します。このパラメータは、new[x]usr コマンドでは使用できません。
- ntchusr コマンドおよび editusr コマンドの場合、このパラメータは、ローカル Windows システムのユーザ定義を変更します。newusr コマンドの場合、このパラメータはユーザをローカル Windows システムに追加します。複数の引数を指定する場合は、各引数をスペースで区切ります。ローカル Windows システムをPrivileged Access Manager内で操作する方法の詳細については、environment コマンドの説明を参照してください。nt オプションと nt オプションのサブオプションは、エンタープライズ ユーザに対しては無効です。
- operatorユーザに OPERATOR 属性を割り当てます。OPERATOR 属性を持つユーザは、データベースのすべてのリソース レコードを一覧表示できます。また、このユーザにはPrivileged Access Managerで定義されたすべてのファイルに対する読み取り権限が与えられます。この属性を持つユーザは、secons コマンドのすべてのオプションも使用できます。secons ユーティリティの詳細については、「リファレンス ガイド」を参照してください。
- operator-ユーザ レコードから OPERATOR 属性を削除します。このパラメータは、newusr コマンドでは使用できません。
- organization(organizationString)ユーザの組織を指定します。組織は、認証プロセスでは使用されません。
- organizationString組織を定義します。organizationStringは最大 255 文字の英数字から成る文字列です。organizationStringに空白文字が含まれる場合は、文字列を一重引用符で囲みます。
- org_unit(org_unitString)ユーザの組織単位を指定します。組織単位は、認証プロセスでは使用されません。
- org_unitString組織を定義します。org_unitStringは最大 255 文字の英数字から成る文字列です。organizationStringに空白文字が含まれる場合は、文字列を一重引用符で囲みます。
- owner(Name)ユーザ レコードの所有者としてPrivileged Access Managerユーザまたはグループを割り当てます。詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
- password(string)ユーザにパスワードを割り当てます。スペースまたはカンマ以外の任意の文字を指定します。パスワード チェックが有効になっている場合、指定したパスワードでログインできるのは 1 回のみです。次回システムにログインする際に、ユーザは新しいパスワードを設定する必要があります。自分のパスワードを変更するには、setoptions cng_ownpwdを使用して selang オプションを設定するか、sepass を使用する必要があります。
- pgroup(groupName)ユーザのプライマリ グループ ID を設定します。groupNameは UNIX グループの名前です。
- phone(phoneString)ユーザの電話番号を定義します。電話番号は、認証プロセスでは使用されません。
- phoneString電話番号を定義します。phoneStringは最大 19 文字の英数字から成る文字列です。phoneStringに空白文字が含まれる場合は、文字列を一重引用符で囲みます。
- pmdb(pmdbName)ユーザが sepass ユーティリティを使用してパスワードを変更した場合、指定された PMDB に新しいパスワードを伝達するように指定します。PMDB の完全修飾名を入力します。このパスワードは、seos.ini の [seos] セクションにある parent_pmd トークンまたは passwd_pmd トークンに定義されている Policy Model には送信されません。このオプションは、エンタープライズ ユーザに対しては使用できません。
- pmdb-ユーザ レコードから PMDB 属性を削除します。このパラメータは、new[x]usr コマンドでは使用できません。
- privileges(privilege-list)Windows のユーザ レコードに特定の権限を追加します。privList の前にマイナス記号(-)を付けた場合は、指定した権限を削除します。このパラメータは、newusr コマンドでは使用できません。
- profile(groupName)ユーザをプロファイル グループに割り当てます。次の値をプロファイル グループから取得できます。
- audit
- auth_type
- expire
- grace
- inactive
- interval
- maxlogins
- min_life
- password rules
- pmdb
- pwd_autogen
- pwd_policy
- pwd_sync
- restrictions (days, time)
- resume
- suspend
- unix (homedir, shellprog)
- profile-ユーザをプロファイル グループから削除します。このパラメータは、new[x]usr コマンドでは使用できません。
- pwmanagerユーザに PWMANAGER 属性を割り当てます。この属性を持つユーザは、データベースにあるユーザのパスワードを変更できます。詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
- pwmanager-ユーザ レコードから PWMANAGER 属性を削除します。このパラメータは、new[x]usr コマンドでは使用できません。
- pwasown(string)ユーザが変更した場合と同じようにパスワードを置き換えます。このパラメータを指定すると、データベースを最後に変更した日時が更新され、猶予ログインが終了します。
- regularレコードの OBJ_TYPE プロパティをリセットし、ユーザの権限属性を削除します。
- restrictions([Days] [Time])ユーザがログインできる曜日と時間帯を指定します。この制限は、[X]USER レコードの DAYTIME プロパティに格納されます。Days引数を指定せずにTime引数を指定した場合、レコードですでに定義されている曜日制限に時間制限が適用されます。Time引数を指定せずにDays引数を指定した場合、レコード内にすでに設定されているDays制限に対して、指定した曜日制限が適用されます。Days引数とTime引数の両方を指定した場合、ユーザは、指定した曜日の指定した時間帯にのみシステムにアクセスできます。
- 日ユーザがログインできる曜日を指定します。Daysの指定には以下のキーワードを使用できます。
- anyday- ユーザは曜日を問わずファイルにアクセスできます。
- weekdays- ユーザは月曜から金曜までの平日に限りリソースにアクセスできます。
- Mon、Tue、Wed、Thu、Fri、Sat、Sun- ユーザは指定した曜日にのみリソースにアクセスできます。曜日は任意の順で指定できます。複数の曜日を指定する場合は、各曜日をスペースまたはカンマで区切ります。
- 時間ユーザがログインできる時間帯を指定します。time 引数には以下のサブ引数があります。
- anytime- 特定の曜日の任意の時間帯にリソースにアクセスできます。
- startTime:endTime- 指定した時間帯にのみリソースにアクセスできます。startTimeとendTimeはどちらもhhmmの形式で指定します。hhは時間(00 ~ 23)、mmは分(00 ~ 59)を表します。2400 は有効な Time 値ではないことに注意してください。代わりに 0000 を使用してください。startTimeはendTimeより小さい必要があります。注:Privileged Access Managerでは、プロセッサのタイム ゾーンを使用します。プロセッサと異なるタイム ゾーンの端末にログインする際には注意が必要です。
- restrictions-([days] [time])ユーザによるログインを限定するすべての曜日および時間帯の制限を削除します。
- resume([dateTime])suspend パラメータを指定して無効にしたユーザ レコードを有効にします。suspend パラメータと resume パラメータの両方を指定する場合、再開日を一時停止日より後に設定する必要があります。dateTimeを省略すると、chusr コマンドの実行直後にユーザ レコードが再開されます。詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。dateTimeは、[m]m/[d]d/yy[@HH:MM]の形式で指定します。
- resume-再開日および再開時間(指定されている場合)をユーザ レコードから消去します。これにより、ユーザのステータスがアクティブ(有効)から一時停止に変更されます。このパラメータは、new[x]usr コマンドでは使用できません。
- script(logon-script-path)ユーザがログインしたときに自動的に実行されるファイルの場所を指定します。このパラメータは任意です。通常は、このログイン スクリプトによって作業環境が設定されます。ユーザの作業環境の設定には profile パラメータも使用できます。
- serverSERVER 属性を設定します。現在のユーザに代わり実行しているプロセスから、他のユーザの権限をクエリできるようになります。詳細については、お使いの OS に対応する「エンドポイント管理ガイド」を参照してください。
- server-SERVER 属性の設定を解除します。このパラメータは、new[x]usr コマンドでは使用できません。
- shellprog(fileName)ユーザが login コマンドまたは su コマンドを起動した後に実行される初期プログラムまたはシェルの完全パスを指定します。fileNameは文字列です。このオプションは、エンタープライズ ユーザに対しては使用できません。
- suspend([dateTime])ユーザ レコードを無効にします。ただし、データベースには定義を残します。ユーザは、無効にされたユーザ アカウントを使用してシステムにログインすることはできません。dateTimeを指定すると、指定された日にユーザ レコードが無効になります。dateTimeを省略すると、ch[x]usr コマンドの実行直後にユーザ レコードが無効になります。dateTimeはmm/dd/yy[@HH:MM]の形式で指定します。
- suspend-一時停止日をユーザ レコードから消去し、ユーザのステータスを無効から有効(アクティブ)に変更します。このパラメータは、new[x]usr コマンドでは使用できません。
- unixchusr コマンドおよび editusr コマンドの場合、このパラメータは、ローカル UNIX システムのユーザ定義を変更します。newusr コマンドの場合、このパラメータはユーザをローカル UNIX システムに追加します。複数の引数を指定する場合は、各引数をスペースで区切ります。ローカル UNIX システムをPrivileged Access Manager内で操作する方法の詳細については、この章の environment コマンドの説明を参照してください。unix オプションと unix オプションのサブオプションは、エンタープライズ ユーザに対しては無効です。
- userid(number)一意の随意アクセス制御に使用するユーザの一意の ID 番号(UID)を設定します。numberは 10 進数です。デフォルトでは、100 より小さい数値は使用できません。除外される数値の詳細については、「リファレンス ガイド」の AllowedGidRange トークンの説明を参照してください。
- userName|(userName[,userName...])ユーザ名(複数可)を指定します。各ユーザ名は一意である必要があります。newusr コマンドを使用すると、Privileged Access ManagerはuserNameを新しいユーザとして認識します。newusr コマンドで指定したユーザが、ネイティブ環境にすでに定義されている場合、Privileged Access Managerはそのユーザ名を該当ユーザの USER レコードとして使用します。ただし、一般的には、newusr コマンドを使用してネイティブ環境に既存のユーザ名に対する USER レコードを作成するより、Privileged Access Managerでエンタープライズ ユーザを使用できることを活用する方が得策です。目的のユーザのPrivileged Access Managerプロパティを変更するには、代わりに chgxusr コマンドを使用します。ネイティブ ログイン名ではないPrivileged Access Managerユーザ名を使用する場合が考えられます。その場合、login コマンドではそのユーザを使用できませんが、sesu などの他のコマンドで使用できます。UNIX でユーザ名に円記号が含まれる場合は、userNameを指定する際に円記号を 2 つ重ねます。
例
- ユーザ Bob が、Jim のレコードに FINANCIAL カテゴリを追加し、Jim のセキュリティ レベルを 155 に変更し、さらに Jim によるシステムへのアクセスを平日の午前 8 時から午後 8 時までに制限します。
- ユーザ Bob に ADMIN 属性が割り当てられているとします。
- Privileged Access Managerにユーザ Jim が定義されているとします。
- Privileged Access Managerに FINANCIAL カテゴリが定義されているとします。
chuxsr Jim category(FINANCIAL) level(155) restrictions \ (days(weekdays)time(0800:2000)) - ユーザ admin が、1995 年 8 月 5 日から 3 週間の休暇に入る予定のユーザ Joel を一時停止します。
- ユーザ admin に ADMIN 属性が割り当てられているとします。
- Privileged Access Managerにユーザ Joel が定義されているとします。
- 現在の日付は 1994 年 8 月 3 日だとします。
chxusr Joel suspend(8/5/95) resume(8/26/95) - ユーザ Security2 が、ユーザ Bill から AUDITOR 属性を削除し、Bill のすべてのアクティビティを監査します。
- ユーザ Security2 に ADMIN 属性および AUDITOR 属性が割り当てられているとします。
- Privileged Access Managerにユーザ Bill が定義されているとします。
chxusr Bill auditor audit(all) - ユーザ Rob が、ユーザ Mary のレコードに格納されているコメントを変更します。
- ユーザ Rob が Mary のユーザ レコードの所有者だとします。
chxusr Mary comment ('Administrator of the SALES group') - ADMIN 属性を持つユーザ Sally が、ユーザ Jared のレコードに格納されている国名および所在地のプロパティを削除します。
- ユーザ Sally は Jared のユーザ レコードの所有者だとします。
chxusr Jared country() location() - ユーザ Bob が、ユーザ Peter およびユーザ Joe をPrivileged Access Managerに定義します。
- ユーザ Bob に ADMIN 属性が割り当てられているとします。
- ユーザ Peter およびユーザ Joe がPrivileged Access Managerに定義されていないとします。
- 以下のデフォルト値が適用されるとします。
- owner(Bob)
- audit(failure,loginfailure)
newusr (Peter Joe) - ユーザ Bob がユーザ Jane をPrivileged Access Managerに定義し、Jane を所有するグループとして payroll を割り当てます。
- ユーザ Bob に ADMIN 属性が割り当てられているとします。
- Privileged Access Managerにユーザ Jane が定義されていないとします。
- ユーザ Jane のフル ネームは JG Harris だとします。
- audit(failure,loginfailure)
newusr Jane owner(payroll) name('J.G. Harris') - ユーザ Bob がユーザJohnDをPrivileged Access Managerに定義し、セキュリティ カテゴリ NewEmployee およびセキュリティ レベル 3 を設定します。JohnD がシステムを使用できる時間帯を、平日の午前 8 時から午後 6 時までのみに設定します。
- ユーザ Bob に ADMIN 属性が割り当てられているとします。
- Privileged Access Managerに NewEmployee カテゴリが定義されているとします。
- 新しいユーザのフル ネームは John Doe だとします。
- 以下のデフォルト値が適用されるとします。
- owner(Bob)
- audit(failure)
newusr JohnD name('John Doe') category(NewEmployee) level(3) \ restrictions(days(weekdays) time(0800:1800))