ビュー:
注意
注意
変更監視モジュールは、ディレクトリ,レジストリ値,レジストリキー, サービス,プロセス,installed software, ポート,グループ、ユーザ、ファイル、およびWQLエージェントに関するクエリステートメント。変更監視を有効にして設定するには、を参照してください。変更監視の設定
UserSet要素は、一連のユーザを表します。 Windowsシステムでは、システムのローカルユーザ ([ローカルユーザとグループ] MMCスナップインで表示されるのと同じユーザ) で動作します。これらは、エージェントがドメインコントローラ以外で実行されている場合にのみローカルユーザになります。ドメインコントローラでは、UserSet要素によってすべてのドメインユーザが列挙されます。これは、非常に大規模なドメインでは推奨されません。
UNIXシステムの場合、監視対象のユーザは、「getpwent_r()」および「getspnam_r()」APIが返すように設定されているユーザです。特にAIXシステムでは、監視対象のユーザは/etc/passwdファイル。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性
説明
必須
初期設定値
設定できる値
onChange
リアルタイムで監視するかどうかを示します。
いいえ
false
true、false

エンティティセットの属性

監視可能なエンティティの属性には次のものがあります。

一般属性

  • [cannotChangePassword]: trueまたはfalseで、ユーザがパスワードの変更を許可されているかどうかを示します。
  • [無効]: アカウントが無効になっているかどうかを示すtrueまたはfalse。 Windowsシステムでは、これはユーザの「無効」チェックボックスを反映します。 UNIXシステムでは、ユーザのアカウントの有効期限が切れている場合、またはパスワードの有効期限が切れていて、パスワードを変更するための非アクティブな猶予期間が経過している場合に、これが当てはまります。
  • [fullName]: ユーザの表示名。
  • [groups]: ユーザが属するグループのカンマ区切りリスト。
  • [homeFolder]: ホームフォルダまたはディレクトリへのパス。
  • [ロックアウト]: trueまたはfalseで、ユーザがロックアウトされたかどうかを示します。これは、明示的に、またはパスワードの入力に何度も失敗したためにロックアウトされた場合です。
  • [passwordHasExpired]: trueまたはfalseで、ユーザのパスワードの有効期限が切れているかどうかを示します。 Windowsでは、この属性はWindows XP以降のオペレーティングシステムでのみ使用できます。
  • [passwordLastChanged]: ユーザのパスワードが最後に変更されたときのタイムスタンプ。これは、1970年1月1日からのミリ秒数としてエージェントによって記録されます。 Server & Workload Protection は、この値に基づいてタイムスタンプを現地時間で表示します。 UNIXプラットフォームでは、この属性の分解能は1日であるため、表示されるタイムスタンプの時間コンポーネントは意味をなさないことに注意してください。 (AIXではサポートされていません。)
  • [passwordNeverExpires]: trueまたはfalseで、パスワードに有効期限がないかどうかを示します。
  • [ユーザ]: オペレーティングシステムで認識されているユーザの名前。たとえば、「Administrator」や「root」などです。

Windowsのみの属性

  • [説明]: ユーザが属するプライマリグループ。
  • [ホームドライブレター]: ネットワーク共有がユーザのホームフォルダとして割り当てられるドライブ文字です。
  • [ログオンスクリプト]: ユーザがログインするたびに実行されるスクリプトへのパス。
  • [プロファイルパス]: ローミングまたは固定のWindowsユーザプロファイルが使用されている場合のネットワークパス。

Linux、AIX、およびSolarisの属性

  • [グループ]: ユーザが属するプライマリグループ。
  • [ログオンシェル]: ユーザのシェルプロセスへのパス。
  • [passwordExpiredDaysBeforeDisabled]: ユーザのパスワードの有効期限が切れてからアカウントが無効になるまでの日数。 Solarisでは、この属性は、ユーザが無効になるまでの非アクティブな日数を示します。 (AIXではサポートされていません。)
  • [パスワードの有効期限]: ユーザのアカウントの有効期限が切れて無効になる日付。
  • [passwordExpiryInDays]: ユーザのパスワードの変更が必要になるまでの日数。
  • [passwordMinDaysBetweenChanges]: パスワードの変更間隔の最小許容日数。
  • [passwordWarningDays]: ユーザのパスワードの有効期限が切れるまでの日数で、そのユーザに警告が表示されます。

簡略記法による属性

  • [スタンダード]:
    • cannotChangePassword
    • 無効
    • groups
    • homeFolder
    • passwordHasExpired
    • passwordLastChanged
    • passwordNeverExpires
    • ユーザ
    • logonScript (Windowsのみ)
    • profilePath (Windowsのみ)
    • group (Linuxのみ)
    • logonShell (Linuxのみ)
    • passwordExpiryInDays (Linuxのみ)
    • passwordMinDaysBetweenChanges (Linuxのみ)

「key」の意味

キーはユーザ名です。これは階層型のEntitySetではありません。パターンはユーザ名にのみ適用されます。その結果、「**」パターンは適用されません。
次の例では、ユーザの作成または削除を監視します。 (属性は明示的に除外されるため、グループメンバーシップは追跡されません):
<UserSet> <Attributes/> <include key="*" /> </UserSet>
次の例では、「jsmith」アカウントの作成と削除、およびアカウントのSTANDARD属性に対する変更を追跡します (特定の属性リストが含まれていない場合、このEntitySetのSTANDARDセットが自動的に含まれるため)。
<UserSet> <include key="jsmith" /> </UserSet>

サブエレメント

includeとexclude

参照変更監視ルールの言語許可された属性とサブ要素のincludeの概要については、を参照してください。

UserSetのincludeおよびexcludeに固有の属性

ユーザのその他のさまざまな属性を、包含および除外機能テストで使用できます。これらのテストでは、値をユーザの属性の値と比較します。さまざまな属性に対するプラットフォームのサポートに注意してください。すべての属性がプラットフォーム間またはプラットフォームのリビジョン間で使用できるわけではありません。機能テストでは、Unixのグロブスタイルの*と?を使用したワイルドカードがサポートされます。パス区切り文字やその他の文字は正規化されません。属性の値と単純に照合されます。
  • [無効]: ユーザのdisabled属性に一致するtrueまたはfalse。次の例では、プライマリグループが「users」または「daemon」のユーザを監視します。
<UserSet> <include disabled="true"/> </UserSet>
  • [グループ]: ユーザのプライマリグループに対してワイルドカードを照合します。このテストは、UNIXシステムにのみ適用されます。次の例では、「users」または「daemon」のいずれかのプライマリグループを持つユーザを監視します。
<UserSet> <include group="users"/> <include group="daemon"/> </UserSet>
  • [ロックアウト]: ユーザのlockedOut属性に対してtrueまたはfalseで一致します。
  • [PasswordHasExpired]: ユーザの passwordHasExpired 属性に対してtrueまたはfalseで一致します。
  • [PasswordNeverExpires]: ユーザの passwordNeverExpires 属性に対してtrueまたはfalseで一致します。