亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

分層策略管理的制作方法

文檔序號:6479827閱讀:166來源:國知局
專利名稱:分層策略管理的制作方法
分層策略管理
背景技術(shù)
個人計算機出現(xiàn)之前,支持多個單獨用戶終端的大型機或者微型計算機是占主導(dǎo) 地位的計算范例。通過在多個用戶之間共享昂貴的計算機硬件和軟件資源,這種集中式架 構(gòu)允許這些資源的高效使用。隨著相對廉價的個人計算機的來臨,出現(xiàn)了新的計算模型,其采用位于每個用戶 處的計算資源來取代代表上個時代的遠(yuǎn)程和集中式資源。集中式計算模型的優(yōu)點有很多,然而,無處不在的聯(lián)網(wǎng)已經(jīng)導(dǎo)致各種形式的集中 式計算的復(fù)興。在一個實施例中,服務(wù)器向一個或多個遠(yuǎn)程客戶端提供處理和/或存儲資 源。在其他實施例中,給遠(yuǎn)程客戶端分配對于在中央站點處維護的工作站或個人計算機模 塊的專有訪問。在任意實施例中,數(shù)據(jù)以及程序存儲和/或計算資源的合并減少了維護和 支持的成本,同時實現(xiàn)了增加的系統(tǒng)安全性。訪問集中式系統(tǒng)的遠(yuǎn)程客戶端可以采取各種 形式。具有最小處理和存儲能力,并依賴于集中式資源來實現(xiàn)適當(dāng)功能性的遠(yuǎn)程客戶端被 稱為“瘦客戶端”。集中式計算機系統(tǒng)并不是沒有缺點。例如,支持多個用戶的單個服務(wù)器的故障導(dǎo) 致與支持的用戶數(shù)目成比例的生產(chǎn)率的損失。分配不共享的資源到每個遠(yuǎn)程客戶端的架構(gòu) 用于減弱這種缺點。例如,惠普公司的會話分派管理器(“SAM”)能夠動態(tài)地分派資源,并 具有將備用資源分配到專用系統(tǒng)來減少潛在的停機時間的能力。連接到集中式系統(tǒng)的每個遠(yuǎn)程用戶被分配一組資源。對于每個用戶可用的資源的 范圍根據(jù)用戶和組織的感知的需要而變化。例如,根據(jù)用戶使用的應(yīng)用,和/或組織維護系 統(tǒng)安全性的需要,用戶可以被分配更多或更少的資源。系統(tǒng)資源對用戶的分派通常是由系 統(tǒng)管理員控制的。用于控制遠(yuǎn)程用戶訪問系統(tǒng)資源的靈活而高效的方法對于支持大量用戶 的系統(tǒng)的管理員而言是希望的。


為了詳細(xì)描述本發(fā)明的示例性實施例,現(xiàn)在對附圖進行參考,其中附圖1示出了根據(jù)各種實施例的包括分層策略管理器的集中式計算機系統(tǒng)的框 圖;附圖2示出了根據(jù)各種實施例的示例性策略層次;附圖3A-3F示出了根據(jù)各種實施例的當(dāng)應(yīng)用策略層次的多級優(yōu)先級時的策略選 擇的示例;以及附圖4示出了根據(jù)各種實施例的建立用于允許遠(yuǎn)程訪問設(shè)備訪問中央資源的策 略的方法的流程圖。符號和術(shù)語在以下說明書和權(quán)利要求書中使用某些術(shù)語來指代特定的系統(tǒng)組件。如本領(lǐng)域技 術(shù)人員理解的,計算機公司可以用不同的名字來指代一個組件。本文不意欲區(qū)分名字不同 而不是功能不同的組件。在以下討論和權(quán)利要求中,術(shù)語“包括”和“包含”以開放的方式使用,因此應(yīng)該被解釋為意指“包括,但不限于……”。同樣,術(shù)語“耦合”意欲表示直接的、間 接的、光學(xué)或無線的電連接。因此,如果第一設(shè)備耦合到第二設(shè)備,該連接可以通過直接電 連接,通過經(jīng)由其他設(shè)備和連接的間接電連接,通過光學(xué)電連接,或者通過無線電連接。術(shù) 語“系統(tǒng)”是指兩個或更多個硬件和/或軟件組件的集合,且可以被用來指代一個或多個電 子設(shè)備,或其子系統(tǒng)。此外,術(shù)語“軟件”包括能夠在處理器上運行的任意可執(zhí)行代碼,而不 管用于存儲軟件的介質(zhì)如何。因此,存儲在非易失性存儲器中的以及有時被稱為“嵌入固 件”的代碼被包括在軟件的定義中。
具體實施例方式以下討論涉及本發(fā)明的各種實施例。盡管這些實施例中的一個或多個可能是優(yōu)選 的,但是公開的實施例不應(yīng)該被解釋為或者以其他方式用來限制包括權(quán)利要求的本公開的 范圍。此外,本領(lǐng)域技術(shù)人員將理解,以下說明具有廣泛的應(yīng)用,且任何實施例的討論都僅 僅打算例證該實施例,并不意欲暗指包括權(quán)利要求的本公開的范圍被限于該實施例。公司和其他實體由于各種原因而部署集中式計算機系統(tǒng)。通過允許在單個位置控 制實體的數(shù)據(jù),集中式系統(tǒng)提供了增強的安全性。相比較于分散式模型,維護和支持成本也 可以更低,因為在集中式數(shù)據(jù)中心內(nèi)還可以限制那些功能。用戶也可以從集中式模型中獲益。通常,用戶可能能夠從連接到互聯(lián)網(wǎng)的任意計 算機訪問其系統(tǒng)。請求訪問集中式系統(tǒng)的資源的計算機通??梢员环Q為“遠(yuǎn)程訪問設(shè)備”或 “客戶端”。遠(yuǎn)程訪問設(shè)備僅僅需要具有足夠的本地資源(例如,計算能力,存儲能力,等)來 與中央資源對接,并提供用戶輸入和輸出。因此,遠(yuǎn)程訪問設(shè)備與提供的能力等效于中央計 算機通過訪問設(shè)備提供的那些能力的計算機相比可以更加簡單,更加可靠,且成本更小。在集中式系統(tǒng)的管理中產(chǎn)生的一個問題涉及對分派給遠(yuǎn)程用戶的各種中央資源 的控制。中央系統(tǒng)的用戶可以以各種方式被分組,以促進系統(tǒng)安全性需要和高效的資源分 派。系統(tǒng)管理員要求靈活且高效的方式來在這樣的分組上控制用戶對中央資源的訪問。本 公開的實施例允許集中式系統(tǒng)的管理員在多個等級上控制對遠(yuǎn)程用戶的資源分派。每一 等級的控制被稱為策略等級,且應(yīng)用到策略等級的控制參數(shù)的設(shè)置被稱為策略。本公開 的實施例對于多個策略等級中的每一個分配優(yōu)先級,以形成策略層次。根據(jù)在具有策略 設(shè)置的策略優(yōu)先次序的最高等級處設(shè)置的策略,來實施策略。實施例還允許管理員覆蓋 (override) 一般的策略層次,并且因此強制利用在特定的分層等級處設(shè)置的策略。附圖1示出了根據(jù)各種實施例的包括分層策略管理器108的集中式計算機系統(tǒng) 100的框圖。如這里使用的,集中式計算機系統(tǒng)指代一種系統(tǒng),其中遠(yuǎn)程訪問設(shè)備102依賴 于不在遠(yuǎn)程訪問設(shè)備102本地的資源110,例如計算或存儲資源。在附圖1中,遠(yuǎn)程訪問設(shè) 備102通過網(wǎng)絡(luò)104與服務(wù)器106通信,以獲得對資源110的訪問。雖然為了說明的目的 僅僅示出了單個遠(yuǎn)程訪問設(shè)備102,但是實際上,系統(tǒng)100可以包括任意數(shù)量的遠(yuǎn)程訪問設(shè) 備102。請求訪問集中式資源110的遠(yuǎn)程訪問設(shè)備102的數(shù)量越多,對設(shè)備102的管理的難 度越大。因此,使得能夠靈活控制對設(shè)備102分派資源110的本公開的實施例隨著設(shè)備102 數(shù)量的增加而變得更加重要。如這里所述,遠(yuǎn)程訪問設(shè)備102對應(yīng)于使用該設(shè)備來獲得對 中央資源110的訪問的用戶。遠(yuǎn)程設(shè)備102可以被實施為在各種計算設(shè)備(例如個人計算 機,或者瘦客戶端計算機裝置)上執(zhí)行的軟件程序,或者實施為不需要軟件來與中央系統(tǒng)通信的硬件設(shè)備。在某些實施例中,遠(yuǎn)程訪問設(shè)備102是“瘦客戶端”,其包括“連接客戶端”和“遠(yuǎn)程 訪問客戶端”軟件程序。連接客戶端與服務(wù)器106通信,以請求資源訪問和訪問策略。遠(yuǎn)程 訪問客戶端負(fù)責(zé)連接到資源,并且在其中資源110包括計算機(例如,PC刀片)的某些實 施例中負(fù)責(zé)顯示資源110的桌面,以及負(fù)責(zé)將鍵盤、鼠標(biāo)、通用串行總線(“USB”)、音頻和 其他外圍設(shè)備連接到資源110。遠(yuǎn)程訪問設(shè)備102請求訪問資源。該資源可以專用于遠(yuǎn)程訪問設(shè)備102,多個資源 中的一個可用于供遠(yuǎn)程訪問設(shè)備102使用。通過經(jīng)由網(wǎng)絡(luò)104與服務(wù)器106通信來請求資 源。這里,準(zhǔn)予對資源110的訪問,并且通過例如將識別資源110的信息返回到設(shè)備102,來 通知設(shè)備102。在準(zhǔn)予對資源110的訪問之后,遠(yuǎn)程訪問設(shè)備和資源110通過網(wǎng)絡(luò)104通信。 網(wǎng)絡(luò)104可以包括任意計算機聯(lián)網(wǎng)技術(shù),例如局域網(wǎng)(“LAN”)、存儲陣列網(wǎng)絡(luò)(“SAN”)、 廣域網(wǎng)(“WAN”)、城域網(wǎng)(“MAN”)、互聯(lián)網(wǎng)等。因此,系統(tǒng)100的組件不限于任意特定的 位置或彼此相鄰,而是可以定位成彼此相距任意距離,如滿足實體和/或用戶的要求所需 要的。服務(wù)器106從遠(yuǎn)程訪問設(shè)備102接收訪問資源110的請求。服務(wù)器106包括在 計算機設(shè)備上執(zhí)行的軟件程序。服務(wù)器106例如利用Microsoft 的活動目錄(Active Directory )證實來自設(shè)備102的訪問請求來自已知用戶。認(rèn)證之后,服務(wù)器106檢索與 用戶相關(guān)的信息,與被指定分派給用戶的資源110相關(guān)的信息,以及與用于分派的指定或 可選資源的可用性相關(guān)的信息。服務(wù)器106然后通知遠(yuǎn)程訪問設(shè)備102資源110的可用性。 提供給設(shè)備102的信息包括諸如IP地址或主機名之類的允許設(shè)備102訪問資源110的信 息以及當(dāng)連接到設(shè)備時要應(yīng)用的策略。服務(wù)器106的實施例包括用戶接口,通過該用戶接口,系統(tǒng)管理員分配在策略層 次的各個等級的策略。服務(wù)器106可以被實施為在各種計算設(shè)備的任一種上執(zhí)行的軟件程 序,所述計算設(shè)備例如個人計算機、工作站、服務(wù)器計算機或任何其他適于執(zhí)行服務(wù)器106 的程序的計算平臺。資源110可以是并不直接附接到遠(yuǎn)程訪問設(shè)備102的任意硬件設(shè)備、軟件程序、或 者二者的組合,遠(yuǎn)程訪問設(shè)備102尋求訪問資源110。例如,在某些實施例中,資源110包括 計算機設(shè)備,例如具有關(guān)聯(lián)的軟件程序和數(shù)據(jù)儲存器的工作站刀片或PC刀片。在其他實施 例中,資源110可以包括程序或數(shù)據(jù)存儲設(shè)備。在另外其他實施例中,資源110可以包括計 算設(shè)備(例如服務(wù)器)和關(guān)聯(lián)軟件程序的一定量的處理能力。當(dāng)遠(yuǎn)程訪問設(shè)備102訪問資源110時,可以應(yīng)用許多參數(shù)。例如,如果遠(yuǎn)程訪問設(shè) 備102所請求的資源110是計算資源,例如工作站刀片或者PC刀片,那么關(guān)于顯示、音頻、 鍵盤功能、USB設(shè)備、日志等的參數(shù)的設(shè)置可以被應(yīng)用到與資源110的連接(S卩,到資源110 的連接以及與其的交互)。這些參數(shù)組的每一個可以包括大量的單獨的參數(shù)。例如,顯示參 數(shù)可以包括屏幕分辨率、圖像質(zhì)量和屏幕更新算法選擇。實施例允許控制定義遠(yuǎn)程訪問設(shè) 備102在策略層次的多個等級的每一個等級上如何訪問資源110的參數(shù)。附圖2示出了根據(jù)各種實施例的包括多個策略等級的示例性策略層次200。在策 略層次200的某些實施例中,用戶等級210是最高優(yōu)先級策略等級,以及全局等級202是 最低優(yōu)先級策略等級。用戶等級210策略僅僅被應(yīng)用到遠(yuǎn)程訪問設(shè)備102的特定單獨用戶。全局等級202策略應(yīng)用到任意遠(yuǎn)程訪問設(shè)備102的全部用戶。角色等級204、組織單元 (“0U”)等級206、以及安全組(“SG”)等級208是夾在全局202和用戶210等級之間的 連續(xù)更高的優(yōu)先級策略等級。角色等級204允許用戶分組,以及因此通過角色等級204策 略控制那些用戶對資源110的訪問。角色等級204分組的示例包括按作業(yè)功能分組,例如 軟件研發(fā)者,管理者或會計師。OU等級206允許例如根據(jù)組織的功能或商業(yè)結(jié)構(gòu)對用戶分 組。SG等級208允許例如根據(jù)準(zhǔn)予組成員的資源訪問許可對用戶分組。實施例根據(jù)在策略 層次200的各種等級指定的策略控制對資源110的訪問,其中在較高優(yōu)先級等級指定的策 略優(yōu)先于在較低優(yōu)先級等級指定的策略。各種實施例可以實施比策略層次200所示更多或 更少的策略等級,實施與策略層次200所示不同的策略等級,和/或分配不同優(yōu)先級到實施 的策略等級。本公開的實施例包括所有的策略層次實施方式。再次參考附圖1,服務(wù)器106的實施例采用策略層次200來控制遠(yuǎn)程訪問設(shè)備102 對資源110的訪問。通過評估在策略層次的每個等級指定的策略,分層策略管理器108確 定應(yīng)用哪個策略。在某個層次等級上不存在覆蓋條件(其在下文中描述)的情況下,對于 每個訪問參數(shù)在最高優(yōu)先級策略等級指定的策略將被實行以控制遠(yuǎn)程設(shè)備102對資源110 的訪問。分層策略管理器108可以被實施為包括在所示服務(wù)器106中的軟件程序。分層策 略管理器108程序可以被存儲在與計算機相關(guān)的各種存儲設(shè)備(即計算機可讀介質(zhì))中, 例如,硬盤驅(qū)動器、緊致盤只讀存儲器(CD-ROM)或者隨機存取存儲器(“RAM”)。程序存儲 設(shè)備可以被直接連接到計算機或者通過有線或無線網(wǎng)絡(luò)連接。在某些實施例中,服務(wù)器106將如通過策略層次200所確定的要應(yīng)用的策略連同 資源110標(biāo)識(例如IP地址)發(fā)送到遠(yuǎn)程訪問設(shè)備102。當(dāng)訪問資源110時,遠(yuǎn)程訪問設(shè) 備102應(yīng)用該策略。如果,例如,遠(yuǎn)程訪問設(shè)備102包括USB訪問能力,但是USB訪問被從 服務(wù)器106返回的策略禁用,則當(dāng)連接到資源110時,遠(yuǎn)程訪問設(shè)備102將禁用USB訪問。數(shù)據(jù)庫112存儲在控制訪問資源110時與服務(wù)器106操作相關(guān)的數(shù)據(jù)。例如,數(shù)據(jù) 庫112的實施例可以存儲資源分配信息、歷史、和/或與資源110和/或遠(yuǎn)程訪問設(shè)備102 相關(guān)的錯誤信息。當(dāng)分派資源110時,服務(wù)器106訪問數(shù)據(jù)庫112以存儲和檢索資源110 信息。數(shù)據(jù)庫112可以被實施為在各種計算設(shè)備的任意一個上執(zhí)行的軟件程序,所述計算 設(shè)備例如個人計算機、工作站、服務(wù)器計算機、或適于執(zhí)行數(shù)據(jù)庫112的程序的任何其他計 算平臺。在某些實施例中,數(shù)據(jù)庫112可以通過附圖1所示的網(wǎng)絡(luò)104耦合到服務(wù)器106。 在其他實施例中,數(shù)據(jù)庫112可以作為單獨的程序或者作為服務(wù)器106的子程序在與服務(wù) 器106相同的計算機平臺上執(zhí)行。附圖3A-3F示出了根據(jù)各種實施例的當(dāng)應(yīng)用多個等級的策略優(yōu)先次序時由分層 策略管理器108進行的策略選擇的示例。實施例允許策略采用選擇的值,包括ON(開)、 OFF(關(guān))、用戶選擇、空(即,沒有分配(“N/A”))、以及與每個單獨參數(shù)有關(guān)的各種值。ON 和OFF反映在某個策略等級啟用和禁用。用戶選擇表示如果設(shè)置到用戶選擇的策略等級是 高于所有其他的(preeminent),則遠(yuǎn)程訪問設(shè)備102的用戶可以選擇特定參數(shù)的值。N/A 表示在選擇的策略等級沒有分配策略。因此,策略選擇(例如0N、0FF和用戶選擇)提供訪 問控制,而N/A沒有。附圖3A示出了策略層次200,其中在全局策略等級202選擇的策略為0N,以及在 策略層次的所有其他等級302選擇N/A(沒有策略)。在附圖3A給出的條件下,分層策略管理器對于策略選擇應(yīng)用到的參數(shù)將實施策略O(shè)N。例如,如果這些策略選擇應(yīng)用到的參數(shù) 是啟用遠(yuǎn)程訪問設(shè)備102上的USB訪問以在設(shè)備102上的USB設(shè)備和資源110之間傳送數(shù) 據(jù),則將啟用USB訪問,因為ON是在附圖3A中分配的唯一策略。因此,當(dāng)沒有設(shè)置更高的 優(yōu)先級策略時,全局等級202策略進行控制。附圖;3B示出了策略層次200,其中在全局策略等級202選擇的策略為0N,在角色 策略等級204選擇的策略為OFF,并且在策略層次的所有其他等級304選擇N/A(沒有策 略)。因為角色等級204優(yōu)先于全局等級202,由分層策略管理器建立的有效策略對于這些 策略選擇應(yīng)用到的參數(shù)為OFF。參考遠(yuǎn)程USB的示例,這里USB訪問將被禁用,并且遠(yuǎn)程訪 問設(shè)備102將不能在設(shè)備102上的USB設(shè)備和資源110之間傳送數(shù)據(jù)。附圖3C示出了策略層次200,其中在全局202和OU 206策略等級選擇策略O(shè)N,OFF 被選擇為角色和SGl策略等級的策略,并且在策略層次的SG2 308和用戶210等級選擇N/ A (沒有策略)。在附圖3C給出的條件下,分層策略管理器將對策略選擇應(yīng)用到的參數(shù)實施 策略O(shè)FF。這個結(jié)果是由于相比分配給0U206、角色204或全局202等級的優(yōu)先級,給層次 的SGl 307等級分配更高的優(yōu)先級而產(chǎn)生的。再次參考遠(yuǎn)程USB的示例,如以上所述的附 圖:3B中那樣,USB訪問將被禁用,并且遠(yuǎn)程訪問設(shè)備102將不能在設(shè)備102上的USB設(shè)備 和資源110之間傳送數(shù)據(jù)?,F(xiàn)在參考附圖3D,其包括SGl中的策略O(shè)FF和SG2中的策略0N。這兩個安全組, SGl 307和SG2 308,組成了 SG策略等級208的子部分。在策略等級應(yīng)用多個組的實施例 確定在該策略等級應(yīng)用哪個組策略。某些實施例應(yīng)用識別的第一組的策略。例如,如果分 層策略管理器以某種順序(例如按照字母順序)檢索這些組,那么檢索的第一組的策略被 應(yīng)用。因此,在這種模型下,如果分層策略管理器在SG2策略之前識別了 SGl策略,那么SGl 策略被應(yīng)用。另一方面,如果SG2策略被首先識別,那么SG2策略被應(yīng)用。當(dāng)策略等級包括 多組時,其他實施例可以應(yīng)用不同的方法來確定應(yīng)用哪個策略。例如,最近設(shè)置的策略,或 者限制最多或限制最少的策略可以被選擇。本公開的實施例包括當(dāng)分層策略等級包括多組 時選擇策略的所有方法。附圖3E示出了與附圖;3B所示策略層次類似的策略層次200,其中,在全局策略等 級202選擇的策略是0N,在角色策略等級204選擇的策略是0FF,以及在策略層次的所有其 他等級304選擇N/A(沒有策略)。然而,在附圖3E,全局策略等級202包括“強制”(即, 覆蓋)標(biāo)志。強制標(biāo)志允許系統(tǒng)管理員覆蓋正常應(yīng)用的分層優(yōu)先級以確定哪個策略是高于 所有其他的。因為強制標(biāo)志被設(shè)置在全局等級202,分層策略管理器將選擇ON作為有效策 略,而不管較高優(yōu)先級角色等級204策略被設(shè)置為OFF這樣的事實。使用遠(yuǎn)程USB的示例, USB訪問將被啟用,并且遠(yuǎn)程訪問設(shè)備102將能夠在USB設(shè)備和資源110之間傳送數(shù)據(jù)。附圖3F示出了一種策略層次200,其包括在全局策略等級202的策略0FF,以及在 角色策略等級204的策略0N。另外,在全局等級202和角色等級204都設(shè)置強制標(biāo)志。當(dāng) 強制標(biāo)志被設(shè)置在策略層次的多個等級時,實施例選擇在包括設(shè)置的強制標(biāo)志的最低策略 等級上設(shè)置的策略。因此,在附圖3F,全局策略等級202將再次提供有效策略,而不管強制 標(biāo)志被設(shè)置在角色等級,且角色等級具有比全局等級更高的優(yōu)先次序。實施例允許管理員 在策略層次提供的各個粒度等級上控制資源訪問。例如,再次考慮遠(yuǎn)程訪問設(shè)備102處的 USB的使用,如果與遠(yuǎn)程USB的使用相關(guān)的安全問題在系統(tǒng)中被識別,那么管理員可以在認(rèn)為有必要保障系統(tǒng)安全的任何等級禁用遠(yuǎn)程USB,直到問題解決。在附圖3F,對所有用戶禁 用遠(yuǎn)程USB。強制標(biāo)志允許這種控制,而不考慮策略層次的建立的優(yōu)先次序。附圖4示出了根據(jù)各種實施例的建立用于允許遠(yuǎn)程訪問設(shè)備102訪問中央資源 110的策略的方法的流程圖。盡管為了方便進行了順序地描述,所示的至少某些動作可以 采用不同的順序執(zhí)行,和/或可以并行執(zhí)行。在框402,服務(wù)器106接收來自遠(yuǎn)程訪問設(shè)備 102的對資源110進行訪問的請求。服務(wù)器106認(rèn)證遠(yuǎn)程訪問設(shè)備102,并從數(shù)據(jù)庫112檢 索有關(guān)可分派給設(shè)備102的資源的信息。在確定可準(zhǔn)予遠(yuǎn)程訪問設(shè)備102對資源110的訪問的性質(zhì)時,在框404,分層策略 管理器108評估在多級策略層次上設(shè)置的訪問策略。能夠應(yīng)用于各種訪問參數(shù)的策略聯(lián) 合定義準(zhǔn)予遠(yuǎn)程訪問設(shè)備102對資源110進行訪問的程度。策略層次的多個等級的每一 個均被分配優(yōu)先級。具有策略設(shè)置的最高優(yōu)先級的等級通常建立關(guān)于特定訪問參數(shù)所實 行的策略。策略層次的一個或多個等級可以不包括策略設(shè)置,如之前關(guān)于空或N/A選擇所 解釋的。有效策略設(shè)置的示例包括ON、OFF、用戶選擇和與特定參數(shù)有關(guān)的各種值(例如, 1280X1024作為顯示分辨率參數(shù))。雖然分層優(yōu)先次序通常建立所施加的策略,但覆蓋標(biāo)志(即,強制標(biāo)志)用于抵消 (counterveil)通常的層次優(yōu)先級。如果在框406,發(fā)現(xiàn)在策略層次的等級中設(shè)置了覆蓋標(biāo) 志,分層優(yōu)先次序被覆蓋,且在框408中在具有設(shè)置的覆蓋標(biāo)志的最低分層等級建立的策 略被選擇用于實施。如果沒有策略層次的等級包括設(shè)置的覆蓋標(biāo)志,那么在框410,分層策略管理器選 擇在訪問控制策略被設(shè)置的最高優(yōu)先次序等級建立的訪問策略來實施。在框412,被選擇用于實施的策略連同準(zhǔn)予訪問的資源110的標(biāo)識一起被傳送到 遠(yuǎn)程訪問設(shè)備102。在框414,當(dāng)訪問資源110時,遠(yuǎn)程訪問設(shè)備102應(yīng)用從服務(wù)器106接 收的策略。以上論述意欲說明本發(fā)明的原理和各種實施例。一旦以上公開被完全理解,多種 變型和修改對于本領(lǐng)域技術(shù)人員而言將變得明顯。以下權(quán)利要求意欲被解釋為包括所有這 樣的變型和修改。
權(quán)利要求
1.一種系統(tǒng),包括遠(yuǎn)程訪問設(shè)備,其請求對中央資源的訪問;以及執(zhí)行分層策略管理器的計算機,所述分層策略管理器通過評估在策略層次的多個優(yōu)先 次序等級上的訪問策略來確定允許所述設(shè)備訪問所述資源的策略;其中,所述分層策略管理器基于在其指定訪問控制的策略層次的最高優(yōu)先次序等級上 設(shè)置的策略允許所述設(shè)備訪問所述資源。
2.如權(quán)利要求1的系統(tǒng),其中分層策略管理器基于在其指定訪問控制且設(shè)置覆蓋標(biāo)志 的策略層次的最低優(yōu)先次序等級上設(shè)置的策略允許所述設(shè)備訪問所述資源。
3.如權(quán)利要求1的系統(tǒng),還包括在策略層次的等級上不分配策略的策略選擇;以及允許用戶從遠(yuǎn)程訪問設(shè)備控制參數(shù)設(shè)置的策略選擇。
4.如權(quán)利要求1的系統(tǒng),其中由分層策略管理器確定的策略被傳送到遠(yuǎn)程訪問設(shè)備, 且當(dāng)訪問中央資源時,遠(yuǎn)程訪問設(shè)備應(yīng)用該策略。
5.如權(quán)利要求1的系統(tǒng),其中策略層次的優(yōu)先次序等級從高到低優(yōu)先次序包括用戶 等級、安全組等級、組織單元等級、角色等級和全局等級,以及在用戶策略等級分配的策略 將該策略分配到單獨的用戶并且在可應(yīng)用于用戶的最高優(yōu)先次序等級上分配該策略,以及 在全局策略等級分配的策略將該策略分配到所有用戶并在可應(yīng)用于用戶的最低策略層次 等級分配該策略。
6.權(quán)利要求1的系統(tǒng),其中策略層次的等級包括多個組,每個組均包括策略并且由分 層策略管理器識別的所述多個組中的第一組提供用于該等級的策略。
7.一種方法,包括從遠(yuǎn)程訪問設(shè)備接收對中央資源進行訪問的請求;通過評估在策略層次中的多個分層優(yōu)先次序等級上指定的訪問策略,確定用于允許所 述設(shè)備對所述資源進行訪問的策略;以及基于在其指定訪問控制的策略層次的最高優(yōu)先次序等級上設(shè)置的策略,允許所述設(shè)備 訪問所述資源。
8.如權(quán)利要求7的方法,還包括提供確定的策略給遠(yuǎn)程訪問設(shè)備,并當(dāng)遠(yuǎn)程訪問設(shè)備 訪問資源時在遠(yuǎn)程訪問設(shè)備中應(yīng)用該策略。
9.如權(quán)利要求7的方法,還包括基于在其指定訪問控制和設(shè)置覆蓋標(biāo)志的策略層次的 最低優(yōu)先次序等級上設(shè)置的策略,允許所述設(shè)備訪問資源。
10.如權(quán)利要求7的方法,還包括在用戶、安全組、組織單元、角色和全局優(yōu)先次序等級 的每一個上設(shè)置策略,其中每個連續(xù)等級比前一等級具有更低的優(yōu)先次序。
11.如權(quán)利要求7的方法,還包括如果策略層次的安全組等級包括多個安全組,則將安 全組等級策略設(shè)置為首先識別的安全組的策略。
12.—種計算機程序產(chǎn)品,包括計算機可用介質(zhì),其中包含有計算機可讀程序代碼,該計算機可讀程序代碼包括從遠(yuǎn)程訪問設(shè)備接收對中央資源進行訪問的請求的指令;通過評估在策略層次的多個連續(xù)分層優(yōu)先次序等級上指定的訪問策略,確定允許所述 設(shè)備對所述資源進行訪問的策略的指令;以及基于在其指定訪問控制的策略層次的最高優(yōu)先次序等級上設(shè)置的策略允許所述設(shè)備 訪問所述資源的指令。
13.如權(quán)利要求12的計算機程序產(chǎn)品,還包括基于在其指定訪問控制且設(shè)置覆蓋標(biāo)志 的策略層次的最低優(yōu)先次序等級上設(shè)置的策略允許所述設(shè)備訪問所述資源的指令。
14.如權(quán)利要求12的計算機程序產(chǎn)品,還包括評估在用戶等級、安全組等級、組織單元 等級、角色等級和全局等級的每一個上的訪問策略的指令,其中每個連續(xù)等級比前一等級 具有更低的優(yōu)先次序。
15.如權(quán)利要求12的計算機程序產(chǎn)品,還包括如果等級包括多個組,則將該等級的策 略設(shè)置成為該等級所識別的第一組的策略的指令。
全文摘要
一種用于管理遠(yuǎn)程訪問設(shè)備對中央資源進行訪問的系統(tǒng)和方法。系統(tǒng)包括遠(yuǎn)程訪問設(shè)備和執(zhí)行分層策略管理器的計算機。該遠(yuǎn)程訪問設(shè)備請求對中央資源進行訪問。該分層策略管理器通過評估在策略層次的多個優(yōu)先次序等級上的訪問策略,確定允許該設(shè)備對資源進行訪問的策略。該分層策略管理器基于在其指定訪問控制的策略層次的最高優(yōu)先次序等級上設(shè)置的策略,允許所述設(shè)備訪問資源。
文檔編號G06F17/00GK102067098SQ200880129806
公開日2011年5月18日 申請日期2008年6月13日 優(yōu)先權(quán)日2008年6月13日
發(fā)明者B·A·阿爾科恩, J·J·沃爾斯, Q·P·范, R·M·霍奇穆思, T·J·弗林, V·波佩斯庫 申請人:惠普開發(fā)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1