目次
このページのトピック
タグ属性
エンティティセットの属性
共通属性
Windowsのみの属性
Linux、AIX、およびSolarisの属性
簡略記法属性
キーの意味
サブエレメント
includeとexclude
UserSetのincludeおよびexcludeに固有の属性

UserSet

変更監視モジュールは、への予期しない変更をスキャンしますディレクトリレジストリ値レジストリキーサービスプロセスインストール済みのソフトウェアポートグループ、ユーザ、ファイル、 そしてそのWQLエージェントのクエリステートメント。変更監視を有効にして設定するには、「変更監視の設定」を参照してください。

UserSet要素は、一連のユーザを表します。 Windowsシステムでは、システムのローカルユーザ (ローカルユーザとグループMMCスナップインで表示されるのと同じユーザ) で動作します。これらは、エージェントがドメインコントローラ以外で実行されている場合にのみ「ローカル」ユーザになります。ドメインコントローラでは、UserSet要素によってすべてのドメインユーザが列挙されます。これは、非常に大規模なドメインでは推奨されません。

UNIXシステムでは、getpwent_r()および getspnam_r() APIが返すように設定されているユーザが監視されます。特にAIXシステムでは、監視対象のユーザは、 /etc/passwd ファイルにリストされているユーザです。

タグ属性

次の表は、変更監視ルールによって監視されるエンティティの属性ではなく、タグ自体のXML属性のリストと説明を示しています。

属性 説明 必須 初期設定値 設定できる値
onChange リアルタイムで監視するかどうかを示します。 いいえ false true、false

エンティティセットの属性

監視可能なエンティティの属性には次のものがあります。

共通属性

  • cannotChangePassword:ユーザがパスワードの変更を許可されているかどうかを示すtrueまたはfalseです。
  • disabled: trueまたはfalseで、アカウントが無効になっているかどうかを示します。 Windowsシステムでは、これはユーザの[無効]オプションを反映します。 UNIXシステムでは、ユーザのアカウントの有効期限が切れている場合、またはパスワードの有効期限が切れていて、パスワードを変更するための非アクティブな猶予期間が経過している場合にこの問題が発生します。
  • fullName:ユーザの表示名。
  • グループ:ユーザが属するグループをカンマで区切って指定します。
  • homeFolder:ホームフォルダまたはディレクトリへのパス。
  • lockedOut:ユーザが明示的にロックアウトされたか、またはパスワードの試行が失敗したためにロックアウトされたかを示すtrueまたはfalseです。
  • passwordHasExpired:ユーザのパスワードが期限切れかどうかを示すtrueまたはfalseです。Windowsの場合、この属性はWindows XP以降のOSでのみ使用できます
  • passwordLastChanged: ユーザのパスワードが最後に変更されたときのタイムスタンプ。これは、1970年1月1日からのミリ秒数としてエージェントによって記録されます。 Workload Securityは、この値に基づいてタイムスタンプを現地時間で表示します。 UNIXプラットフォームでは、この属性の分解能は1日であるため、表示されるタイムスタンプの時間コンポーネントは意味をなさないことに注意してください。 AIXではサポートされていません。
  • passwordNeverExpires:パスワードが期限切れでない場合にtrueまたはfalseを示します。
  • user: オペレーティングシステムで認識されているユーザの名前。たとえば、管理者またはルートです。

Windowsのみの属性

  • description:ユーザが属するプライマリグループです。
  • homeDriveLetter:ネットワーク共有がユーザのホームフォルダとしてマップされるドライブ文字。
  • logonScript:ユーザがログインするたびに実行するスクリプトへのパス。
  • profilePath:ローミングまたは必須のWindowsユーザプロファイルが使用されている場合のネットワークパス。

Linux、AIX、およびSolarisの属性

  • group: ユーザが属するプライマリグループ。
  • logonShell:ユーザのシェルプロセスへのパス。
  • passwordExpiredDaysBeforeDisabled: ユーザのパスワードの有効期限が切れてからアカウントが無効になるまでの日数。 Solarisでは、この属性は、ユーザが無効になるまでの非アクティブな日数を示します。 AIXではサポートされていません。
  • passwordExpiry:ユーザのアカウントの有効期限が切れて無効になった日付です。
  • passwordExpiryInDays:ユーザのパスワードを変更するまでの日数。
  • passwordMinDaysBetweenChanges:パスワードを変更するまでの最小日数です。
  • passwordWarningDays:ユーザのパスワードの有効期限が切れるまでの日数。

簡略記法属性

  • 標準:
    • cannotChangePassword
    • disabled
    • groups
    • homeFolder
    • passwordHasExpired
    • passwordLastChanged
    • passwordNeverExpires
    • user
    • logonScript (Windowsのみ)
    • profilePath (Windowsのみ)
    • group (Linuxのみ)
    • logonShell (Linuxのみ)
    • passwordExpiryInDays (Linuxのみ)
    • passwordMinDaysBetweenChanges (Linuxのみ)

キーの意味

キーはユーザ名です。これは階層型のEntitySetではありません。パターンはユーザ名にのみ適用されます。その結果、 "**" パターンは適用されません。

次の例では、ユーザの作成または削除を監視します。属性は明示的に除外されるため、グループメンバーシップは追跡されません。

<UserSet>
<Attributes/>
<include key="*" />
</UserSet>

次の例では、「jsmith」アカウントの追加および削除の監視に加え、アカウントのSTANDARD属性に対する変更の監視も行います(特定の属性リストが含まれていない場合、このEntitySetのSTANDARDセットが自動的に含められるためです)。

<UserSet>
<include key="jsmith" />
</UserSet>

サブエレメント

includeとexclude

許可される属性およびサブ要素のincludeの一般的な説明については、整合性監視ルール言語 を参照してください。

UserSetのincludeおよびexcludeに固有の属性

ユーザのその他のさまざまな属性を、包含および除外機能テストで使用できます。これらのテストでは、値をユーザの属性の値と比較します。さまざまな属性に対するプラットフォームのサポートに注意してください (すべての属性がプラットフォーム間またはプラットフォームのリビジョン間で使用できるわけではありません。したがって、include要素とexclude要素でこれらのテストを使用することは制限されています)。機能テストでは、Unixのグロブスタイルのワイルドカード ( * および ?) がサポートされています。

  • Disabled: trueまたはfalseのどちらがユーザのdisabled属性に一致するかを示します。次の例では、ユーザまたはデーモンのいずれかのプライマリグループを持つユーザを監視します。
<UserSet>
<include disabled="true"/>
</UserSet>
  • Group: ワイルドカードがユーザのプライマリグループと一致するかどうか。このテストは、UNIXシステムにのみ適用されます。次の例では、ユーザまたはデーモンのいずれかのプライマリグループを持つユーザを監視します。
<UserSet>
<include group="users"/>
<include group="daemon"/>
</UserSet>
  • LockedOut: ユーザの lockedOut 属性に対する一致の真偽を示します。
  • PasswordHasExpired: ユーザの passwordHasExpired 属性に対して true または false が一致するかどうか。
  • PasswordNeverExpires: ユーザの passwordNeverExpires 属性との一致が true または false であるかどうか。