policydeploy -store 機能 - ポリシーの格納

この機能は、コマンドまたはローカルの CA ControlMinder データベースで指定された DMS ノードに、指定されたポリシーを格納します。 -silent オプションを使用していない場合は、表示されるメッセージでこのアクションを確認する必要があります。
cminder12902jp
この機能は、コマンドまたはローカルの CA ControlMinder データベースで指定された DMS ノードに、指定されたポリシーを格納します。 -silent オプションを使用していない場合は、表示されるメッセージでこのアクションを確認する必要があります。
指定されたポリシーの前のバージョンが DMS に格納されていない場合、このポリシーのバージョン 1(
name
#01)が作成されます。 ポリシーの前のバージョンが存在する場合は、ポリシーの新しいバージョン(
name
#
last_version+1
)が作成されます。 格納するポリシー バージョンは自動的にファイナライズされます。 ポリシーを更新する必要がある場合は、変更された必要なポリシー デプロイおよびデプロイ解除ルールを含む新しいバージョンのポリシーを格納する必要があります。
この関数の構文は、以下のようになります。
policydeploy -store name -ds file1 [-uds file2] [-dms list] [-desc description] [-prereq list] [-silent]
  • -desc
    description
    (オプション)ポリシーに関する業務上の説明を定義します。
  • -dms
    list
    (オプション)使用する DMS ノードのカンマ区切りリストを指定します。 ポリシーをデプロイまたはデプロイ解除する場合、そのアクションは DMS ノードにレポートされます。 ポリシーを格納すると、DMS ノードに格納されます。
    このオプションで DMS ノードを指定しないと、ユーティリティは、ローカルの CA ControlMinder データベースで指定されている DMS ノードのリストを使用します。 DMS ノードのリストをデータベースに指定するには、dmsmgr を使用して新しい DMS を作成した後に、以下の selang コマンドを発行する必要があります。
    so dms+(new_dms_name)
    注:
    インストール時に DMS ノードを指定しなかった場合、またはエンドポイント上の登録済み DMS を置換したり、エンドポイントに登録済み DMS を追加する場合は、同じコマンドを発行する必要があります。 ただし、拡張ポリシー管理サーバの作成をインストール時に指定した場合、DMS はデータベースに追加され、このコマンドを手動で実行する必要はありません。
  • -ds
    file1
    デプロイ ルールを含むファイルのパス名を指定します。 これらは、ポリシーを作成するために必要なコマンドです。 -getrules オプションを使用すると、ユーティリティでこのファイルが作成されます。
    重要:
    ポリシーのデプロイでは、ユーザ パスワードを設定するコマンドはサポートされていません。 そのようなコマンドはデプロイ スクリプト ファイルに含めないでください。 ネイティブ selang コマンドはサポートされていますが、偏差レポートには示されません。
  • -prereq
    list
    (オプション)このポリシーをデプロイする前にデプロイする必要のあるポリシーのカンマ区切りリストを定義します。
    重要:
    前提条件ポリシーがデプロイされていない状態で、従属ポリシーをデプロイしようとすると、デプロイ タスクのステータスは
    Pending Prerequisite
    に変わり、すべての前提条件ポリシーがデプロイされたときに、従属ポリシーのデプロイが再開されます。 同様に、別のデプロイ済みポリシーの前提条件であるポリシーのデプロイを解除しようとすると、デプロイ タスクのステータスは
    Pending Dependents
    に変わり、すべての従属ポリシーのデプロイが解除されたときに、そのポリシーのデプロイが再開されます。
  • -silent
    (オプション)要求されたアクションに対する確認メッセージが表示されないようにします。
  • -store
    name
    指定された DMS ノードまたはローカルの CA ControlMinder データベースに、指定されたポリシーを格納します。
    注:
    ポリシー名には #(ハッシュ)文字を使用できません。この文字は、ポリシーのバージョン番号を示すために予約されており、自動的に追加されます。
  • -uds
    file2
    ポリシーのデプロイ解除に必要なルールを含むファイルのパス名を定義します。 これらは、ポリシーのデプロイを解除するために必要なコマンドです。 -getrules オプションを使用すると、ユーティリティでこのファイルが作成されます。
    CA ControlMinder によってポリシーがデプロイ解除される場合に、ポリシーのデプロイ解除スクリプトが格納されていないと、CA ControlMinder によってポリシーの削除に必要なコマンドが算出されます。
例: IIS 5 保護ポリシーの格納
次の例は、インターネット インフォメーション サービス(IIS)5 Web サーバを保護するためのポリシーの格納方法を示します。 ここでは、今回初めて DMS にこのポリシーを格納するものとします。
注:
この例に示した selang コマンドは Windows オペレーティング システムのリソースに対するものですが、UNIX でも同じ手順が適用されます。
  1. 以下の IIS スクリプトを含む IIS5.selang というファイルを保存します。
    # IIS5 deployment script eu inet_pers owner(nobody) er FILE c:\InetPub\wwwroot\* defaccess(none) owner(nobody) authorize FILE c:\InetPub\wwwroot\* uid(inet_pers) access(all) er FILE c:\InetPub\wwwroot\scripts defaccess(none) owner(nobody) er FILE *.asp defaccess(none) owner(nobody) authorize FILE *.asp uid(inet_pers) via(pgm(inetinfo.exe)) access(read, execute)
    これらは、IIS 5 保護ポリシーをデプロイするために必要なコマンドです。
  2. 以下のスクリプトを含む IIS5_rm.selang というファイルを保存します。
    # IIS5 undeployment script ru inet_pers rr FILE c:\InetPub\wwwroot\* rr FILE c:\InetPub\wwwroot\scripts rr FILE *.asp
    これらは、手順 1 で作成した IIS 5 保護ポリシーをデプロイ解除するために必要なコマンドです。
  3. コマンド プロンプト ウィンドウを開き、policydeploy ユーティリティを実行します。
    policydeploy -store IIS5 -ds IIS5.selang -uds IIS5_rm.selang -desc "IIS5 web server security policy" -silent
    これにより、IIS5.selang および IIS5_rm.selang で定義されたスクリプトで、ポリシー IIS5(GPOLICY オブジェクト)および最初のポリシー バージョン(IIS5#01 POLICY オブジェクト)が DMS に格納されます。