UserSet

UserSetエレメントはユーザのセットを表します。Windowsシステムでは、システムのローカルユーザで動作します。「ローカル ユーザーとグループ」MMCスナップインで表示されるユーザと同じです。DSAがドメインコントローラ以外で実行されている場合にのみ、これらがローカルユーザになります。UserSetエレメントはドメインコントローラ上のドメインユーザをすべて列挙しますが、これは非常に大きなドメインでは望ましくない場合があります。

UNIXシステムの場合、監視されるユーザは「getpwent_r()」APIおよび「getspnam_r()」APIで返すように設定されたユーザです。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

属性	説明	必須	初期設定値	設定できる値
onChange	リアルタイムで監視するかどうかを示します。	いいえ	false	true、false

エンティティセットの属性

監視可能なエンティティの属性には次のものがあります。

一般属性

• cannotChangePassword: ユーザにパスワードの変更が許可されているかどうかをtrue/falseで示す。
• disabled: アカウントが無効になっているかどうかをtrue/falseで示す。Windowsシステムでは、ユーザの「disabled」チェックボックスに反映されます。UNIXシステムでは、ユーザのアカウントが期限切れの場合、またはパスワードが期限切れで変更の猶予期間が経過してしまった場合、これはtrueになります。
• fullName: ユーザの表示名。
• groups: ユーザの所属するグループのカンマ区切りのリスト。
• homeFolder: ホームフォルダまたはホームディレクトリへのパス。
• lockedOut: ユーザが明確に、またはパスワードの失敗回数超過によって、ロックされているかどうかをtrue/falseで示す。
• passwordHasExpired: ユーザのパスワードが期限切れかどうかをtrue/falseで示す。Windowsの場合、この属性はWindows XP以降のOSでのみ使用できます (AIXでは使用できません)。
• passwordLastChanged: 前回ユーザのパスワードが変更された日時のタイムスタンプ。これは、DSAによって1970年1月1日 (UTC) 以降のミリ秒単位で記録されます。この値に基づき、Vulnerability ProtectionDeep Security Managerはタイムスタンプを現地時間で表します。UNIXプラットフォームでは、この属性は1日単位の粒度であるため、表示されるタイムスタンプの時間コンポーネントは無意味なものになります (AIXは該当しません)。
• passwordNeverExpires: 期限切れにならないパスワードかどうかをtrue/falseで示す。
• user: OSが認識しているユーザ名。たとえば、「Administrator」や「root」があります。

Windowsのみの属性

• description: ユーザが所属するプライマリグループ。
• homeDriveLetter: ユーザのホームフォルダとしてネットワーク共有がマッピングされているドライブの文字。
• logonScript: ユーザがログインするたびに実行されるスクリプトへのパス。
• profilePath: ローミングまたは必須のWindowsユーザプロファイルが使用されている場合のネットワークパス。

Linuxのみの属性

• group: ユーザが所属するプライマリグループ。
• logonShell: ユーザのシェルプロセスへのパス。
• passwordExpiredDaysBeforeDisabled: ユーザのパスワードが期限切れになり、アカウントが無効になってからの日数 (AIXは該当しません)。
• passwordExpiry: ユーザのアカウントが期限切れになり、アカウントが無効になる日付。
• passwordExpiryInDays: ユーザのパスワードを変更しなくてはならない日までの残り日数。
• passwordMinDaysBetweenChanges: パスワードを変更してから次に変更するまでの最小日数。
• passwordWarningDays: ユーザのパスワードが期限切れになる前に警告を表示する日付。

簡略記法による属性

• 標準:
  • cannotChangePassword
  • disabled
  • groups
  • homeFolder
  • passwordHasExpired
  • passwordLastChanged
  • passwordNeverExpires
  • user
  • logonScript (Windowsのみ)
  • profilePath (Windowsのみ)
  • group (Linuxのみ)
  • logonShell (Linuxのみ)
  • passwordExpiryInDays (Linuxのみ)
  • passwordMinDaysBetweenChanges (Linuxのみ)

「key」の意味

このkeyはユーザ名です。これは階層型のEntitySetではありません。パターンはユーザ名のみに適用されます。結果として、「**」パターンは適用できません。

次の例は、任意のユーザの作成と削除を監視します(属性は明確に除外されるので、グループメンバーシップは監視対象にはなりません)。

<UserSet>
<Attributes/>
<include key="*" />
</UserSet>

次の例では、「jsmith」アカウントの追加および削除の監視に加え、アカウントのSTANDARD属性に対する変更の監視も行います(特定の属性リストが含まれていない場合、このEntitySetのSTANDARDセットが自動的に含められるためです)。

<UserSet>
<include key="jsmith" />
</UserSet>

サブエレメント

include/exclude

これらのエレメントに指定できる属性とサブエレメントについては、includeの一般的な説明を参照してください。

UserSetsのinclude/excludeに固有の属性

これ以外にも、ユーザの各種の属性をinclude/excludeでの監視機能で使用できます。これらの監視では、値とユーザの属性値を比較します。各種属性のプラットフォームサポートに注意してください。すべての属性がプラットフォーム間またはプラットフォームリビジョン間で利用可能であるとはかぎりません。したがって、include/excludeエレメントを使用したこれらの監視の使用は制限されます。監視機能では、UNIXのglobスタイルのワイルドカードである*および?がサポートされ、パスのセパレータまたはその他の文字の正規化は実行されません。監視機能は、属性の値に対する、単純なglobスタイルのパターン照合です。

• Disabled: ユーザの無効な属性に対する、true/false一致。次の例は、プライマリグループに「user」または「daemon」のいずれかがあるユーザを監視します。

  <UserSet>
  <include disabled="true"/>
  </UserSet>

• Group: ユーザのgroup属性に対する、ワイルドカード一致。この監視はUNIXシステムにのみ適用できます。次の例は、プライマリグループに「user」または「daemon」のいずれかがあるユーザを監視します。

  <UserSet>
  <include group="users"/>
  <include group="daemon"/>
  </UserSet>

• LockedOut: ユーザのlockedOut属性に対する、true/false一致。
• PasswordHasExpired: ユーザのpasswordHasExpired属性に対する、true/false一致。
• PasswordNeverExpires: ユーザのpasswordNeverExpires属性に対する、true/false一致。