policydeploy -migrate 機能 - PMD から拡張ポリシー管理への移行

この機能では、拡張ポリシー管理環境へ PMD を移行します。拡張ポリシー管理へ PMD を移行する場合、PMD のルールからポリシーを作成し、DMS にホスト グループおよび ホストを作成し、さらにポリシーをホスト グループに割り当てます。
capamsc141
この機能では、拡張ポリシー管理環境へ PMD を移行します。拡張ポリシー管理へ PMD を移行する場合、PMD のルールからポリシーを作成し、DMS にホスト グループおよび ホストを作成し、さらにポリシーをホスト グループに割り当てます。
この関数の構文は、以下のようになります。
policydeploy -migrate pmdName@hostName [-dms name] [-policydir directory] \ [-exportfilter "class, class..."] [-hgcreate] [-pcreate name] [-addpmdfilter]\ [-unsubs] [-delete] [-auto]
  • pmdName
    @
    hostName
    移行する PMD の名前を定義します。
  • -dms
    name
    (オプション) PMD のルールが移行される DMS 名を定義します。特にDMS 名を指定しない場合、DMS 名はローカル ホスト上の
    Privileged Access Manager
    データベースから検索されます。
    ここで特に DMS 名を指定せず、ローカル ホスト上の
    Privileged Access Manager
    データベースの中に複数の DMS 名が指定されている場合、PMD のルールはすべての指定された DMS に移行されます。
  • -policydir
    directory
    (オプション)ポリシー ファイルが格納されているディレクトリを定義します。特にディレクトリを指定しない場合、このポリシー ファイルはユーザの現在の作業ディレクトリに格納されます。
    ポリシー ファイルの名前は
    pmdName
    _
    hostName
    _policy です。
  • -exportfilter "
    class
    ,
    class
    ..."
    (オプション) PMD データベースからエクスポートする
    Privileged Access Manager
    クラスを指定します。特にクラスを指定しない場合、PMD データベース中のクラスがすべてエクスポートされます。
    次のポイントが -exportfilter パラメータに適用されます。
特定のクラスのリソースを変更するルールをエクスポートするとき、そのクラスに対応するリソース グループが含まれていると、
Privileged Access Manager
により、そのリソース グループ内のリソースを変更するルールもエクスポートされます。
特定のリソース グループ内のリソースを変更するルールをエクスポートする場合、
Privileged Access Manager
により、そのリソース グループのメンバ リソースを変更するルールもエクスポートされます。
特定のクラスのリソースを変更するルールをエクスポートし、そのクラスに PACL が含まれる場合、
Privileged Access Manager
により、PROGRAM クラス内のリソースを変更するルールもエクスポートされます。
特定のクラスのリソースを変更するルールをエクスポートし、そのクラスに CALACL が含まれる場合、
Privileged Access Manager
により、CALENDAR クラス内のリソースを変更するルールもエクスポートされます。
特定のクラスのリソースを変更するルールをエクスポートし、そのクラスのリソースの 1 つが CONTAINER リソースグループのメンバである場合、
Privileged Access Manager
により、CONTAINER クラスのリソースを変更するルール、および各 CONTAINER リソース グループのメンバであるリソースを変更するルールがエクスポートされます。
  • -hgcreate
    (オプション)
    pmdName
    に対応するホスト グループ(GHNODE オブジェクト)をDMS 上に作成、また
    pmdName
    のエンドポイント サブスクライバに対応するホスト(HNODE オブジェクト)をDMS 上に作成、またホスト グループへホストを結合します。
  • -pcreate
    name
    (オプション) DMS 上に
    pmdName
    からエクスポートされたポリシー ファイルのルールを含む POLICY オブジェクトを作成し、
    pmdName
    に対応する DMS 上のホスト グループへ、その POLICY オブジェクトを割り当てます。
    name
    に名前を指定すると、作成された POLICY オブジェクトは
    name
    _POLICY#1 と命名されます。名前を指定しないと、作成される POLICY オブジェクトは
    pmdName
    _POLICY#01 と命名されます。
  • -addpmdfilter
    (オプション)
    pmdName
    へのフィルタ ファイルの適用フィルタ ファイルは filter.flt と命名され、
    pmdName
    と同じディレクトリに配置されます。
    フィルタ ファイルを使用して、パスワード PMD を作成します。フィルタ ファイルは
    pmdName
    のサブスクライバに対して、ユーザ パスワード コマンドのみを送信します。
  • -unsubs
    (オプション)
    pmdName
    からエンドポイント サブスクライバをサブスクライブ解除します。
  • -delete
    (オプション) policydeploy -migrate 機能の実行完了後に
    pmdName
     を削除します。
  • -auto
    (オプション) -hgcreate および -pcreate オプションの両方を実行する ように指定します。このオプションでは、以下のことを行います。
    • pmdNameのルールをエクスポートします。
    • pmdName
      に対応する DMS 上のホスト グループ(GHNODE オブジェクト)を作成します。
    • pmdName
      のエンドポイント サブスクライバに対応する DMS 上のホスト(HNODE オブジェクト)を作成します。
    • ホスト グループにホストを結合します。
    • pmdName
      からエクスポートされたポリシー ファイルのルールを含んでいる POLICY オブジェクトを DMS 上に作成します。
    • pmdName
      に対応する DMS 上のホスト グループに POLICY オブジェクトを帰します。
例: ルールの移行とホスト グループの作成
この例では、ホスト A 上の Master PMD からホスト B 上のDMS__ までルールを移行、ポリシー ファイルをC: \Data\policies_MasterPMD_hostA ディレクトリへ保存、DMS__ 上に MasterPMD という名のホスト グループを作成、Master PMD のエンドポイント サブスクライバに対応するDMS__ 上にホストを作成、さらにMasterPMD ホスト グループにホストを結合します。
policydeploy -migrate MasterPMD@hostA -dms DMS__@hostB -policydir "C:\Data\policies_MasterPMD_hostA" -hgcreate