policydeploy -migrate 機能 - PMD から拡張ポリシー管理への移行
この機能では、拡張ポリシー管理環境へ PMD を移行します。拡張ポリシー管理へ PMD を移行する場合、PMD のルールからポリシーを作成し、DMS にホスト グループおよび ホストを作成し、さらにポリシーをホスト グループに割り当てます。
capamsc141
この機能では、拡張ポリシー管理環境へ PMD を移行します。拡張ポリシー管理へ PMD を移行する場合、PMD のルールからポリシーを作成し、DMS にホスト グループおよび ホストを作成し、さらにポリシーをホスト グループに割り当てます。
この関数の構文は、以下のようになります。
policydeploy -migrate pmdName@hostName [-dms name] [-policydir directory] \ [-exportfilter "class, class..."] [-hgcreate] [-pcreate name] [-addpmdfilter]\ [-unsubs] [-delete] [-auto]
- pmdName@hostName移行する PMD の名前を定義します。
- -dmsname(オプション) PMD のルールが移行される DMS 名を定義します。特にDMS 名を指定しない場合、DMS 名はローカル ホスト上のPrivileged Access Managerデータベースから検索されます。ここで特に DMS 名を指定せず、ローカル ホスト上のPrivileged Access Managerデータベースの中に複数の DMS 名が指定されている場合、PMD のルールはすべての指定された DMS に移行されます。
- -policydirdirectory(オプション)ポリシー ファイルが格納されているディレクトリを定義します。特にディレクトリを指定しない場合、このポリシー ファイルはユーザの現在の作業ディレクトリに格納されます。ポリシー ファイルの名前はpmdName_hostName_policy です。
- -exportfilter "class,class..."(オプション) PMD データベースからエクスポートするPrivileged Access Managerクラスを指定します。特にクラスを指定しない場合、PMD データベース中のクラスがすべてエクスポートされます。次のポイントが -exportfilter パラメータに適用されます。
特定のクラスのリソースを変更するルールをエクスポートするとき、そのクラスに対応するリソース グループが含まれていると、
Privileged Access Manager
により、そのリソース グループ内のリソースを変更するルールもエクスポートされます。特定のリソース グループ内のリソースを変更するルールをエクスポートする場合、
Privileged Access Manager
により、そのリソース グループのメンバ リソースを変更するルールもエクスポートされます。特定のクラスのリソースを変更するルールをエクスポートし、そのクラスに PACL が含まれる場合、
Privileged Access Manager
により、PROGRAM クラス内のリソースを変更するルールもエクスポートされます。特定のクラスのリソースを変更するルールをエクスポートし、そのクラスに CALACL が含まれる場合、
Privileged Access Manager
により、CALENDAR クラス内のリソースを変更するルールもエクスポートされます。特定のクラスのリソースを変更するルールをエクスポートし、そのクラスのリソースの 1 つが CONTAINER リソースグループのメンバである場合、
Privileged Access Manager
により、CONTAINER クラスのリソースを変更するルール、および各 CONTAINER リソース グループのメンバであるリソースを変更するルールがエクスポートされます。- -hgcreate(オプション)pmdNameに対応するホスト グループ(GHNODE オブジェクト)をDMS 上に作成、またpmdNameのエンドポイント サブスクライバに対応するホスト(HNODE オブジェクト)をDMS 上に作成、またホスト グループへホストを結合します。
- -pcreatename(オプション) DMS 上にpmdNameからエクスポートされたポリシー ファイルのルールを含む POLICY オブジェクトを作成し、pmdNameに対応する DMS 上のホスト グループへ、その POLICY オブジェクトを割り当てます。nameに名前を指定すると、作成された POLICY オブジェクトはname_POLICY#1 と命名されます。名前を指定しないと、作成される POLICY オブジェクトはpmdName_POLICY#01 と命名されます。
- -addpmdfilter(オプション)pmdNameへのフィルタ ファイルの適用フィルタ ファイルは filter.flt と命名され、pmdNameと同じディレクトリに配置されます。フィルタ ファイルを使用して、パスワード PMD を作成します。フィルタ ファイルはpmdNameのサブスクライバに対して、ユーザ パスワード コマンドのみを送信します。
- -unsubs(オプション)pmdNameからエンドポイント サブスクライバをサブスクライブ解除します。
- -delete(オプション) policydeploy -migrate 機能の実行完了後にpmdNameを削除します。
- -auto(オプション) -hgcreate および -pcreate オプションの両方を実行する ように指定します。このオプションでは、以下のことを行います。
- pmdNameのルールをエクスポートします。
- pmdNameに対応する DMS 上のホスト グループ(GHNODE オブジェクト)を作成します。
- pmdNameのエンドポイント サブスクライバに対応する DMS 上のホスト(HNODE オブジェクト)を作成します。
- ホスト グループにホストを結合します。
- pmdNameからエクスポートされたポリシー ファイルのルールを含んでいる POLICY オブジェクトを DMS 上に作成します。
- pmdNameに対応する DMS 上のホスト グループに POLICY オブジェクトを帰します。
例: ルールの移行とホスト グループの作成
この例では、ホスト A 上の Master PMD からホスト B 上のDMS__ までルールを移行、ポリシー ファイルをC: \Data\policies_MasterPMD_hostA ディレクトリへ保存、DMS__ 上に MasterPMD という名のホスト グループを作成、Master PMD のエンドポイント サブスクライバに対応するDMS__ 上にホストを作成、さらにMasterPMD ホスト グループにホストを結合します。
policydeploy -migrate MasterPMD@hostA -dms DMS__@hostB -policydir "C:\Data\policies_MasterPMD_hostA" -hgcreate