檢視次數:
注意
注意
完整性監控模組會掃描 目錄登錄值登錄鍵服務進程已安裝的軟體端口群組、用戶、檔案 和代理上的 WQL 查詢語句的意外變更。要啟用和配置完整性監控,請參閱 設置完整性監控
UserSet 元素代表一組使用者。在 Windows 系統上,它操作本機系統的使用者 - 與 "本機使用者和群組" MMC 嵌入式管理單元顯示的使用者相同。請注意,這些僅是 本機 使用者,前提是代理程式運行在網域控制站以外的設備上。在網域控制站上,UserSet 元素將列舉所有的網域使用者,這對於極大的網域可能並不建議。
在 Unix 系統上,監控的使用者是由 "getpwent_r()" 和 "getspnam_r()" API 配置返回的使用者。在 AIX 系統上,監控的使用者是列在 /etc/passwd 檔案中的使用者。

標籤屬性

這些是標籤本身的 XML 屬性,而不是完整性監控規則監控的實體屬性。
屬性
說明
必要
預設值
允許值
onChange
將進行即時監控
No
false
true, false

實體集屬性

這些是可以監控的實體屬性:

常見屬性

  • cannotChangePassword:指示使用者是否被允許更改密碼的真假值。
  • disabled:表示帳戶是否已被停用的布林值。在 Windows 系統中,這反映了使用者的「停用」核取方塊。在 Unix 系統中,如果使用者的帳戶已過期,或其密碼已過期且超過了更改密碼的非活動寬限期,則此值為 true。
  • fullName:使用者的顯示名稱。
  • groups:用逗號分隔的用戶所屬群組列表。
  • homeFolder:主文件夾或目錄的路徑。
  • lockedOut:指示使用者是否被鎖定,無論是明確鎖定還是由於過多的密碼嘗試失敗。
  • passwordHasExpired:指示使用者密碼是否已過期的真假值。請注意,在 Windows 上,此屬性僅適用於 Windows XP 及更新的作業系統。
  • passwordLastChanged:用戶密碼最後一次更改的時間戳。代理會將其記錄為自 1970 年一月 1 日 UTC 起的毫秒數。Server & Workload Security保護 根據此值以本地時間呈現時間戳。請注意,在 Unix 平台上,此屬性的解析度為一天,因此呈現的時間戳中的時間部分是無意義的。(AIX 不支持。)
  • passwordNeverExpires:表示密碼是否不會過期的布林值。
  • user:作業系統中已知的使用者名稱。例如,「管理員」或「root」。

僅適用於 Windows 的屬性

  • description:使用者所屬的主要群組。
  • homeDriveLetter:映射為使用者主資料夾的網路共享磁碟機代號。
  • logonScript:每次使用者登入時執行的腳本路徑。
  • profilePath:如果使用漫遊數據或強制 Windows 使用者設定檔,則為網路路徑。

Linux、AIX 和 Solaris 屬性

  • group:使用者所屬的主要群組。
  • logonShell:使用者的 shell 程序路徑。
  • passwordExpiredDaysBeforeDisabled:使用者密碼過期後,帳戶被停用的天數。在 Solaris 上,此屬性指的是使用者被停用前的不活動天數。(AIX 不支援。)
  • passwordExpiry:用戶帳戶過期並被停用的日期。
  • passwordExpiryInDays:使用者密碼必須更改的天數。
  • passwordMinDaysBetweenChanges:允許密碼更改的最小天數。
  • passwordWarningDays:在使用者密碼即將過期前警告使用者的天數。

簡寫屬性

  • Standard
    • 無法更改密碼
    • 已停用
    • 群組
    • homeFolder
    • 密碼已過期
    • passwordLastChanged
    • 密碼永不過期
    • 使用者
    • 登入腳本(僅限 Windows)
    • profilePath(僅限 Windows)
    • 群組 (僅限 Linux)
    • logonShell(僅限 Linux)
    • 密碼到期天數(僅限 Linux)
    • passwordMinDaysBetweenChanges(僅限 Linux)

"Key" 的意思

關鍵是使用者名稱。這不是階層式的實體集。模式僅適用於使用者名稱。因此,"**" 模式不適用。
以下範例監控任何使用者的建立或刪除。(請注意,屬性被明確排除,因此不會追蹤群組成員資格):
<UserSet>
<Attributes/>
<include key="*" />
</UserSet>
以下範例將追蹤 "jsmith" 帳戶的建立和刪除,以及該帳戶的 STANDARD 屬性變更(因為如果未包含特定屬性列表,則此 EntitySet 的 STANDARD 集合會自動包含在內):
<UserSet>
<include key="jsmith" />
</UserSet>

子元素

包括和排除

請參閱 完整性監控規則語言 以獲取有關其允許的屬性和子元素的包含的一般描述。

UserSets 的包含和排除的特殊屬性

用戶的各種其他屬性可能會用於包含和排除功能測試。這些測試將一個值與用戶屬性的值進行比較;請注意各種屬性的平臺技術支援中心 - 並非所有屬性在所有平臺或甚至平臺版本中都可用,因此在包含和排除元素中使用這些測試的用途有限。功能測試支援Unix glob風格的通配符*和?,並且不會對路徑分隔符或其他字符進行標準化 - 這只是對屬性值的簡單匹配。
  • 已關閉:是否與使用者的停用屬性匹配。以下範例監控主要群組為 "users" 或 "daemon" 的使用者:
<UserSet>
<include disabled="true"/>
</UserSet>
  • Group:對使用者的主要群組進行萬用字元匹配。此測試僅適用於 Unix 系統。以下範例將監控主要群組為 "users" 或 "daemon" 的使用者。
<UserSet>
<include group="users"/>
<include group="daemon"/>
</UserSet>
  • LockedOut:對使用者的 lockedOut 屬性進行真或假匹配。
  • PasswordHasExpired:對使用者的 passwordHasExpired 屬性進行真或假的匹配。
  • PasswordNeverExpires:對使用者的 passwordNeverExpires 屬性進行真或假的匹配。