本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，尤其涉及在大型組織中的大量資源和用戶的數(shù)據(jù)安全。

背景技術(shù)：
以下的美國專利被認為是代表本領(lǐng)域的當(dāng)前狀態(tài)：美國專利號6772350、美國專利號6308173和美國專利號5889952。

技術(shù)實現(xiàn)要素：
本發(fā)明的目的在于提供一種用于確定用戶對具有大量資源和用戶的一大型組織中的計算機資源的訪問權(quán)限的方法和系統(tǒng)。因此，根據(jù)本發(fā)明的一較佳實施例，提供一種確定一第一多重用戶對至少一存儲單元內(nèi)的一第二多重計算機資源的訪問權(quán)限的方法，所述方法包括：將所述第一多重用戶中的用戶分組成一第一多個組，其中第一多個組的至少一組的所有組員對至少一個存儲單元的所述第二多重計算機資源具有至少幾乎相同的用戶/資源訪問權(quán)限；將所述第二多重計算機資源中的資源分組成一第二多個組，其中第二多個組的至少一組的所有部分具有至少幾乎相同的資源/用戶訪問權(quán)限；確定一給定的用戶是否是所述第一多個組的其中一組的一組員；若所述給定的用戶是所述第一多個組的所述其中一組的一組員，則將所述第一多個組的所述其中一組的用戶/資源訪問權(quán)限歸于所述給定的用戶，確定一給定的資源是否是所述第二多個組的其中一組的一部分，以及若所述給定的資源是所述第二多個組的所述其中一組的一部分，則將所述第二多個組的所述其中一組的資源/用戶訪問權(quán)限歸于所述給定的資源。根據(jù)本發(fā)明一較佳實施例，所述分組用戶步驟包括確認一組用戶安全組，每一所述用戶安全組對至少一存儲單元的至少一所述第二多重計算機資源具有訪問權(quán)限；針對所述第一多重用戶的每一用戶，確認所述用戶安全組的一子集，其中在所述用戶安全組的子集中，所述用戶為一組員；以及若所述用戶安全組的一第一子集相同于所述用戶安全組的一第二子集，那么相對于所述至少一存儲單元，在所述第一多個組中的一單個組內(nèi)，將一第一用戶和一第二用戶進行分組；其中，在所述用戶安全組的一第一子集中，所述第一多重用戶的第一用戶為一組員；在所述用戶安全組的一第二子集中，所述第一多重用戶的第二用戶為一組員。根據(jù)本發(fā)明的一較佳實施例，所述分組用戶步驟包括將所述第二多重計算機資源劃分成至少兩個部分，且在所述第一多重用戶中將所述用戶分組成所述第一多個組，其中所述第一多個組的其中一組的所有組員對包括在至少兩部分中其中一部分的計算機資源具有至少幾乎相同的用戶/資源訪問權(quán)限。根據(jù)本發(fā)明的另一較佳實施例，所述劃分步驟包括對所述第一多重用戶的每一用戶，計算出所述用戶具有訪問權(quán)限的所述第二多重計算機資源的一小部分資源，并比較所述小部分資源與一閾值；將所述小部分資源小于所述閾值的每一用戶，以一降級安全組來表示；以及定義所述第二多重計算機資源的一第一部分為所有計算機資源的集合，其中所述計算機資源包括任意一降級安全組的訪問權(quán)限。根據(jù)本發(fā)明的另一較佳實施例，在所述第二多重計算機資源內(nèi)的計算機資源被安排在一計算機資源分層中。較佳地，所述分組資源步驟包括針對計算機資源分層中的每一資源，檢索在所述計算機資源分層中的所述資源的資源/用戶訪問權(quán)限，以及在所述計算機資源分層中的所述資源的一直系始源（immediateancestor）的資源/用戶訪問權(quán)限；以及若所述直系始源的資源/用戶訪問權(quán)限相同于所述資源的資源/用戶訪問權(quán)限，在所述第二多個組中的一單個組中，將所述資源和所述直系始源進行分組。附加地或替換地，所述分組資源步驟包括提供一指針，由所述資源指向所述直系始源，并延伸指向所述資源的指針至指向所述直系始源。根據(jù)本發(fā)明另一較佳實施例，附加地提供一種用于確定一第一多重用戶對至少一存儲單元的一第二多重計算機資源的訪問權(quán)限的方法，所述方法包括：將所述第一多重用戶中的用戶分組為一第一多個組，其中所述第一多個組的至少一組的所有組員對所述至少一存儲單元的所述第二多重計算機資源具有至少幾乎相同的用戶/資源訪問權(quán)限；確定一給定用戶是否是所述第一多個組的其中一組的一組員，以及若所述給定的用戶是所述第一多個組的所述其中一組的一組員，將所述第一多個組的所述其中一組的用戶/資源歸于所述給定的用戶。根據(jù)本發(fā)明另一較佳實施例，所述分組用戶步驟包括：確認一組用戶安全組，每一所述用戶安全組對所述至少一存儲單元的至少一所述第二多重計算機資源具有訪問權(quán)限；針對所述第一多重用戶的每一用戶，確認所述用戶安全組的一子集，其中在所述用戶安全組的子集中，所述用戶為一組員；以及若所述用戶安全組的一第一子集相同于所述用戶安全組的一第二子集，那么相對于所述至少一存儲單元，在所述第一多個組中的一單個組內(nèi)，將一第一用戶和一第二用戶進行分組；其中在所述用戶安全組的一第一子集中，所述第一多重用戶的第一用戶為一組員；在所述用戶安全組的一第二子集中，所述第一多重用戶的第二用戶為一組員。根據(jù)本發(fā)明的另一較佳實施例，所述分組用戶步驟包括將所述第二多重計算機資源劃分成至少兩部分，且在所述第一多重用戶中將所述用戶分組成所述第一多個組，其中所述第一多個組的其中一組的所有組員對包括在所述至少兩部分中的其中一部分的計算機資源具有至少幾乎相同的用戶/資源訪問資源。較佳地，所述劃分步驟包括：對所述第一多重用戶的每一用戶，計算出所述用戶具有訪問權(quán)限的所述第二多重計算機資源的一小部分資源，并比較所述小部分資源與一閾值；將所述小部分資源小于所述閾值的每一用戶，以一降級安全組來表示；以及定義所述第二多重計算機資源的一第一部分為所有計算機資源的集合，其中所述計算機資源包括任意一降級安全組的訪問權(quán)限。根據(jù)本發(fā)明的另一較佳實施例，附加地提供一種用于確定一第一多重用戶對至少一存儲單元的一第二多重計算機資源的訪問權(quán)限的方法，所述方法包括：將所述第二多重計算機資源中的資源分組為一多個組，其中所述多個組中的至少一組的所有部分具有至少幾乎相同的資源/用戶訪問權(quán)限；確定一給定資源是否是所述多個組的其中一組的一部分；以及若所述給定的資源是所述多個組的所述其中一組的一部分，則將所述多個組的所述其中一組的資源/用戶訪問權(quán)限歸于所述給定的資源。根據(jù)本發(fā)明的另一較佳實施例，在所述第二多重計算機資源內(nèi)的計算機資源被安排在一計算機資源分層中。較佳地，所述分組資源步驟包括：針對所述計算機資源分層中的每一資源，檢索在所述計算機資源分層中的所述資源的資源/用戶訪問權(quán)限，以及在所述計算機資源分層中的所述資源的一直系始源的資源/用戶訪問權(quán)限；以及若所述直系始源的資源/用戶訪問權(quán)限相同于對所述資源的資源/用戶訪問權(quán)限，在所述第二多個組中一單個組中，將所述資源和所述直系始源進行分組。根據(jù)本發(fā)明的一較佳實施例，所述分組資源步驟包括：提供一指針，由所述資源指向所述直系始源，并延伸指向所述資源的指針至指向所述直系始源。根據(jù)本發(fā)明的另一較佳實施例，提供一種用于確定一第一多重用戶對至少一存儲單元內(nèi)的一第二多重計算機資源的訪問權(quán)限的裝置，所述裝置包括：用戶分組功能，用以將在所述第一多重用戶分組為一第一多個組，其中所述第一多個組中的至少一組的所有組員對所述至少一存儲單元的所述第二多重計算機資源具有至少幾乎相同的用戶/資源訪問權(quán)限；計算機資源分組功能，用以將所述第二多重計算機資源中的計算機資源分組為一第二多個組，其中所述第二多個組中的至少一個組的所有部分具有至少幾乎相同的資源/用戶訪問權(quán)限；用戶訪問權(quán)限歸屬功能，用以確定一給定的用戶是否是所述第一多個組的其中一組的一組員，若所述給定的用戶為所述第一多個組的所述其中一組的一組員，則將所述第一多個組中的所述其中一組的用戶/資源訪問權(quán)限歸于所述給定的用戶；以及計算機資源訪問權(quán)限歸屬功能，用于確定一給定的計算機資源是否是所述第二多個組的其中一組的一部分，若所述給定的計算機資源是所述第二多個組的所述其中一組的一部分，則將所述第二多個組中的所述其中一組的資源/用戶訪問權(quán)限歸于所述給定的計算機資源。根據(jù)本發(fā)明的一較佳實施例，所述用戶分組功能包括：用戶安全組確認功能，用以確認一多個用戶安全組，每一所述用戶安全組對所述至少一存儲單元的至少一所述第二多重計算機資源具有訪問權(quán)限；用戶安全組子集確認功能，用以針對所述第一多重用戶的每一用戶，確認所述用戶安全組的一子集，其中在所述用戶安全組的子集中，所述用戶為一組員；以及用戶子集比較功能，用以若所述用戶安全組的一第一子集相同于所述用戶安全組的一第二子集，那么相對于所述至少一存儲單元，在所述第一多個組的一單個組內(nèi)，將一第一用戶和一第二用戶進行分組；其中，在所述用戶安全組的一第一子集中，所述第一用戶為一組員；在所述用戶安全組的一第二子集中，所述第二用戶為一組員。根據(jù)本發(fā)明的一優(yōu)選實施例，所述裝置還包括一計算機資源劃分功能，用以將所述第二多重計算機資源劃分成至少兩部分，其中所述用戶分組功能用以在所述第一多重用戶中將用戶分組成所述第一多個組，其中所述第一多個組的其中一組的所有組員對包括在所述至少兩部分中的其中一部分的計算機資源具有至少幾乎相同的用戶/資源訪問權(quán)限。根據(jù)本發(fā)明的一優(yōu)選實施例，所述計算機資源劃分功能包括：小部分資源計算功能，用以對所述第一多重用戶的每一用戶，計算出所述用戶具有訪問權(quán)限的所述第二多重計算機資源的一小部分資源，并比較所述小部分資源與一閾值；用戶表示功能，用以將所述小部分資源小于閾值的每一用戶，以一降級安全組來表示；以及部分定義功能，用以定義所述第二多重計算機資源的一第一部分為所有計算機資源的集合，其中所述計算機資源包括任意一降級安全組的訪問權(quán)限。較佳地，在所述第二多重計算機資源內(nèi)的計算機資源被安排在一計算機資源分層中。根據(jù)本發(fā)明的另一優(yōu)選實施例，所述計算機資源分組功能包括：資源/用戶訪問權(quán)限檢索功能，用以針對所述計算機資源分層中的每一資源，檢索在所述計算機資源分層中的所述資源的資源/用戶訪問權(quán)限，以及在所述計算機資源分層中的所述資源的一直系始源的資源/用戶訪問權(quán)限；資源/用戶訪問權(quán)限比較功能，用以比較所述資源的資源/用戶訪問權(quán)限與所述直系始源的資源/用戶訪問權(quán)限，若所述直系始源的資源/用戶的訪問資源相同于所述給定資源的資源/用戶的訪問權(quán)限，在所述第二多個組中的一單個組中，將所述資源和所述直系始源進行分組。根據(jù)本發(fā)明的另一較佳實施例，所述資源/用戶訪問權(quán)限比較功能，用以提供一指針，由所述資源指向所述直系始源，并延伸指向所述資源的指針至指向所述直系始源。根據(jù)本發(fā)明的另一較佳實施例，附加地提供一種用于確定一第一多重用戶對至少一存儲單元的一第二多重計算機資源的訪問權(quán)限的裝置，所述裝置包括用戶分組功能，用以將所述第一多重用戶中的用戶分組為一第一多個組，其中所述第一多個組中的至少一組的所有組員對所述至少一存儲單元的所述第二多重計算機資源具有至少幾乎相同的用戶/資源的訪問權(quán)限；以及用戶訪問權(quán)限歸屬功能，用以確定一給定的用戶是否是所述第一多個組的其中一組的一組員，若所述給定的用戶是所述第一多個組的所述其中一組的一組員，將所述第一多個組的所述其中一組的用戶/資源訪問權(quán)限歸于所述給定的用戶。根據(jù)本發(fā)明的一較佳實施例，所述用戶分組功能包括：用戶安全組確認功能，用以確認一多個用戶安全組，每一所述用戶安全組對所述至少一存儲單元的至少一所述第二多重計算機資源具有訪問權(quán)限；用戶安全組子集確認功能，用以針對所述第一多重用戶的每一用戶，確認所述用戶安全組的一子集，其中在所述用戶安全組的子集中，所述用戶為一組員；用戶子集比較功能，用以若所述用戶安全組的一第一子集相同于所述用戶安全組的一第二子集，那么相對于所述至少一存儲單元，在所述第一多個組的一單個組內(nèi)，將一第一用戶和一第二用戶進行分組，其中在所述用戶安全組的一第一子集中，所述第一用戶為一組員；在所述用戶安全組的一第二子集中，所述第二用戶為一組員。根據(jù)本發(fā)明的另一較佳實施例，所述裝置也包括一計算機資源劃分功能，用以將所述第二多重計算機資源劃分成至少兩部分，其中所述用戶分組功能用以在所述第一多重用戶中將用戶分組成所述第一多個組，其中所述第一多個組的其中一組的所有組員對包括在所述至少兩部分中的其中一部分的計算機資源具有至少幾乎相同的用戶/資源訪問權(quán)限。較佳地，所述計算機資源劃分功能包括小部分資源計算功能，用以對所述第一多重用戶的每一用戶，計算出所述用戶具有訪問權(quán)限的所述第二多重計算機資源的小部分資源，并比較所述小部分資源與一閾值；用戶表示功能，用以將所述小部分資源小于所述閾值的每一用戶，以一降級安全組來表示；以及部分定義功能，用以定義所述第二多重計算機資源的一第一部分為所有計算機資源的集合，其中所述計算機資源包括任意一降級安全組的訪問權(quán)限。根據(jù)本發(fā)明的另一較佳實施例，附加地提供一種用于確定一第一多重用戶對至少一存儲單元的一第二多重計算機資源的訪問權(quán)限的裝置，所述裝置包括計算機資源分組功能，用以將所述第二多重計算機資源中的資源分組為一第二多個組，其中所述第二多個組中的至少一組的所有部分具有至少幾乎相同資源/用戶訪問權(quán)限；以及計算機資源訪問權(quán)限歸屬功能，用以確定一給定的計算機資源是否是所述第二多個組的其中一組的一部分，若所述給定的計算機資源是所述第二多個組的所述其中一組的一部分，將所述第二多個組的所述其中一組的資源/用戶訪問權(quán)限歸于所述給定的計算機資源。較佳地，在所述第二多重計算機資源內(nèi)的計算機資源被安排在一計算機資源分層中。根據(jù)本發(fā)明的另一較佳實施例，所述計算機資源分組功能包括：資源/用戶訪問權(quán)限檢索功能，用以針對所述計算機資源分層中的每一資源，檢索在所述計算機資源分層中的資源/用戶訪問權(quán)限，以及在所述計算機資源分層中的所述資源的一直系始源的資源/用戶訪問權(quán)限；以及資源/用戶訪問權(quán)限比較功能，用以比較所述資源的資源/用戶訪問權(quán)限和所述直系始源的資源/用戶訪問權(quán)限，若所述直系始源的資源/用戶訪問權(quán)限相同于所述資源的資源/用戶訪問權(quán)限，在所述第二多個組的一單個組中，將所述資源和所述直系始源進行分組。根據(jù)本發(fā)明的另一較佳實施例，所述資源/用戶訪問權(quán)限比較功能，用以提供一指針，由所述資源指向所述直系始源，并延伸指向所述資源的指針至指向所述直系始源。附圖說明結(jié)合參考以下的附圖和詳細說明將更充分地理解和明白本發(fā)明，其中：圖1是本發(fā)明一較佳實施例表示在一大型組織中具有大量的資源和用戶的簡要示意圖；圖2是本發(fā)明一較佳實施例表示一種用于確定在一具有大量的資源和用戶的大型組織中用戶對資源的訪問權(quán)限的方法的簡要流程示意圖；圖3A和圖3B為圖2所述方法的部分方法，一起表示用于在一大型組織中基于用戶的訪問權(quán)限以對用戶進行分組的方法的簡要流程示意圖；圖4A和圖4B為圖2所述方法的部分方法，一起表示用于在一大型組織中基于資源的訪問權(quán)限以對資源進行分組的方法的簡要流程示意圖；以及圖5A、5B和5C為圖2所述方法的部分方法，一起表示用于計算一訪問權(quán)限的查詢響應(yīng)的方法的簡要流程示意圖。具體實施方式數(shù)據(jù)安全策略通常決定誰能夠訪問一組織的數(shù)據(jù)，該數(shù)據(jù)通常是存儲在不同的計算機系統(tǒng)內(nèi)。這些策略很少是靜態(tài)的，其部分原因是來自于所述組織的用戶，例如雇員、合伙人或承包人能夠?qū)γ舾袛?shù)據(jù)造成的威脅與來自組織外部的威脅一樣的嚴重。因此，作為構(gòu)成組織變革的結(jié)構(gòu)和人員，應(yīng)該對安全策略作相應(yīng)的調(diào)整。信息技術(shù)部門經(jīng)常發(fā)現(xiàn)在保護企業(yè)敏感數(shù)據(jù)的同時，管理用戶數(shù)據(jù)的訪問權(quán)限及確保方便獲得所需信息是困難的。大型企業(yè)組織所操作的計算機系統(tǒng)包括大量服務(wù)器，所述服務(wù)器通常是地域分布的。大量用戶可以訪問計算機系統(tǒng)中的存儲元件。與數(shù)據(jù)訪問授權(quán)相關(guān)聯(lián)的不同人群包括信息技術(shù)人員、操作人員例如帳戶管理者，以及第三方評論員例如法律顧問，對特定數(shù)據(jù)的用戶訪問權(quán)限需要作日常查詢。一傳統(tǒng)的本地或分布式數(shù)據(jù)庫的維護（maintenance）能夠壓倒（overwhelm）現(xiàn)存有的最復(fù)雜的數(shù)據(jù)管理程序能力，其中本地或分布式數(shù)據(jù)庫適用于對任何特別用戶或用戶組的訪問權(quán)限的查詢響應(yīng)，或相反地，用于對相對于一特別存儲元件或存儲元件組的訪問權(quán)限的查詢響應(yīng)。存儲并檢索像查詢服務(wù)所需數(shù)據(jù)，可能會對不同服務(wù)器的存儲容量有著負面影響。另外，執(zhí)行這樣的查詢可能會影響服務(wù)器的性能，于是可能會降低計算機系統(tǒng)的整個效率。更進一步，由于處理查詢響應(yīng)通常需要通過多個文件服務(wù)器的目錄及其訪問控制列表以進行一個全面的迭代搜索，因此對于像這樣的查詢響應(yīng)的時間變得不可接受的長。訪問控制技術(shù)并未在利用多種訪問控制模型的系統(tǒng)中最佳地實施。對系統(tǒng)管理員而言，想要知道像這樣的環(huán)境下哪個用戶被授權(quán)而可以訪問每一特定數(shù)據(jù)項，在現(xiàn)有技術(shù)情況下還不存在簡單的方法。因此，在許多組織中，有不恰當(dāng)?shù)脑L問權(quán)限的用戶數(shù)量多得令人無法接受。同時也缺乏一種用于對冗余訪問權(quán)限和不再屬于組織的人員的孤立帳戶的相關(guān)問題的解決方案。因此，需要在控制用戶訪問權(quán)限上加以改進，以使數(shù)據(jù)安全，防止欺詐行為及改善公司的生產(chǎn)效率。更進一步，那些負責(zé)系統(tǒng)安全性的簡單化和自動化的人員會關(guān)注誤用數(shù)據(jù)訪問權(quán)限，甚至是被授權(quán)的用戶所誤用的。參考圖1所示，表示一具有一第一多重用戶和一第二多重計算機資源的大型組織，所述計算機資源例如計算機文件可能存在多個文件服務(wù)器中。所述用戶和文件服務(wù)器可能獨立于他們的職能被地域地分布。根據(jù)本發(fā)明的一較佳實施例，當(dāng)響應(yīng)訪問權(quán)限的查詢時，所述第二多重計算機資源的一分層結(jié)構(gòu)，和/或所述第一多重用戶的一組根據(jù)它們相對存于一特定服務(wù)器內(nèi)的計算機資源的訪問權(quán)限而被部署，于是對像這樣的查詢有著更好的響應(yīng)時間。關(guān)于一給定用戶，術(shù)語“用戶/資源訪問權(quán)限”涉及位于在一特定服務(wù)器或存儲單元內(nèi)的一系列計算機資源，其中所給定的用戶對所述計算機資源具有訪問權(quán)限。因此，相對于一特定的服務(wù)器或存儲單元，若兩個用戶具有相同的用戶/資源訪問權(quán)限，那么所述兩個用戶對存于上述服務(wù)器或存儲單元內(nèi)的計算機資源列表具有相同的訪問權(quán)限。進一步需理解的是，在本發(fā)明的上下文中，術(shù)語“訪問權(quán)限”涉及讀取權(quán)限、寫入權(quán)限以及執(zhí)行權(quán)限，或其中任意一種組合。例如，若一給定的用戶對所給定的資源具有讀取權(quán)限，即使該用戶對所給定的資源不具有寫入權(quán)限或執(zhí)行權(quán)限，那么該給定的用戶仍具有訪問權(quán)限。根據(jù)本發(fā)明的一較佳實施例，如圖1所示，提供一種用于確定所述第一多重用戶對至少一存儲單元的第二多重計算機資源的訪問權(quán)限的方法，其中，第一多重用戶用參考數(shù)字102予以表示，第二多重計算機資源用參考數(shù)字104予以表示，存儲單元用參考數(shù)字106予以表示，所述存儲單元較佳地為多個文件服務(wù)器。較佳地，在第一多重用戶102中定義一第一多個用戶組，其中所述第一多個用戶組中的每一用戶組的所有組員對一給定文件服務(wù)器106的計算機資源具有至少幾乎相同的用戶/資源訪問權(quán)限。例如，如圖1所示，在會計部門的人員，無論是在印度、巴西或加拿大，他們可能是同一用戶組的組員，此處被指定為字母A。類似地，在研發(fā)部門的人員，無論是在西班牙、巴西或印度，他們可能是同一用戶組的組員，此處被指定為字母D。類似地，在所述第二多重計算機資源中定義一第二多個計算機資源，其中所述第二多重計算機資源中的每一計算機資源的所有部分具有至少幾乎相同的資源/用戶訪問權(quán)限，例如一相同的用戶組或幾乎相同的用戶組可以訪問在一給定組內(nèi)的每一計算機文件。例如，如圖1所示，涉及應(yīng)付賬款的所有文件可以為同一計算機資源組的部分，此處被指定為字母“a”。類似地，開發(fā)一扇門的所有文件可以為同一計算機資源組的部分，此處被指定為字母“d”。應(yīng)該可以理解的是每一用戶組的所有組員具有至少幾乎相同的用戶/資源訪問權(quán)限。例如，用戶組A的所有組員可以訪問公司的賬戶，用戶組D的所有組員可以訪問工程文件。類似地，應(yīng)該可以理解的是每一計算機資源組的所有部分具有至少幾乎相同的資源/用戶訪問權(quán)限，例如，記賬員可以訪問計算機資源組“a”的所有部分，設(shè)計工程師可以訪問計算機資源組“d”的所有部分。為了響應(yīng)一查詢或相反地為了準備一以表明特定用戶或計算機資源的訪問權(quán)限概況的報告，有可能要快速確認一給定的用戶是否是所述第一多個用戶組中的其中一組的一組員，若是的話，快速將所述第一多個用戶組中的其中一組的用戶/資源訪問權(quán)限歸于所述給定的用戶。類似地，有可能要快速確認一給定的計算機資源是否是所述第二多個計算機資源組中的其中一組的一部分，若是的話，快速將所述第二多個計算機資源組中的其中一組的資源/用戶訪問權(quán)限歸于所述給定的計算機資源。因此，可避免現(xiàn)有技術(shù)中所采用的耗時的迭代處理。應(yīng)該可以理解的是，本發(fā)明的實施例僅是分成了用戶組或是計算機資源組，但不會用戶組和計算機資源組都在本發(fā)明的保護范圍之內(nèi)。參考圖2所示，將說明根據(jù)本發(fā)明的一較佳實施例，用以執(zhí)行以下步驟的方法。現(xiàn)在參考圖2，其表示根據(jù)本發(fā)明的一較佳實施例，在一具有大量資源和用戶的大型組織中，確定用戶對計算機資源的訪問權(quán)限的普通方法的簡要流程示意圖。如圖2所示，在一第一預(yù)備階段，在所述組織內(nèi)的用戶根據(jù)其相對于在組織中一給定的服務(wù)器的訪問權(quán)限而被分組，如步驟200所示。尤其是，對于每一服務(wù)器，在所述組織中的用戶被劃分成多個用戶組，其中在每一組中的用戶相對服務(wù)器中的文件具有類似的或最好相同的訪問權(quán)限。結(jié)合參考圖3所示，以下將更具體地說明對用戶進行分組的方法。如步驟202所示，在一第二預(yù)備階段，在所述組織內(nèi)的計算機資源根據(jù)對其的訪問權(quán)限而被分組。尤其是，在一分層服務(wù)器系統(tǒng)中，除非有其他指明，一計算機資源應(yīng)與其直系始源一樣具有相同的訪問權(quán)限。因此，計算機資源可以被分組，以至每一子級計算機資源指向其父級計算機資源的訪問控制列表，而不是復(fù)制訪問控制列表，其中每一子級計算機資源所具有的訪問權(quán)限相同于父級計算機資源的訪問權(quán)限。結(jié)合參考圖4所示，以下將更具體地說明對計算機資源進行分組的方法。應(yīng)該可以理解的是，對用戶進行分組的步驟200和對計算機資源進行分組的步驟202可以以任意一順序而執(zhí)行，或并行執(zhí)行，或是最好是定期執(zhí)行，以便在所述組織中對用戶訪問權(quán)限和/或的計算機資源的層次結(jié)構(gòu)的變化做出解釋。在一第一處理階段，其在上述準備階段之后，典型地通過所述組織的一組員或所述組織的一部門提出一訪問權(quán)限的查詢，如步驟204所示。一典型的查詢可能包括一用戶子集和一存儲元件子集。像這樣的一查詢響應(yīng)將會列出針對所述用戶子集中的每一用戶對所述存儲元件子集中的每一存儲元件的訪問權(quán)限。例如，一查詢可以包括將所述組織內(nèi)的所有用戶作為所述用戶子集，將一給定的計算機資源作為所述存儲元件子集。該查詢響應(yīng)將會確定所有用戶中哪一用戶具有訪問所述給定計算機資源的權(quán)限。在另一例子中，所述查詢可以包括將所述組織的所有計算機資源作為所述存儲元件子集，以及將一給定的用戶作為所述用戶子集。該查詢響應(yīng)將會確定所有存儲元件中哪一存儲元件可以被所述給定的用戶訪問。如步驟206所示，處理查詢，并計算其響應(yīng)。典型地，針對列在查詢中的每一用戶，查詢響應(yīng)包括所述用戶可訪問列在查詢中的計算機資源的一子組的列表。結(jié)合參考圖5所示，以下將更具體地說明計算對查詢響應(yīng)的方法。接著，所述查詢響應(yīng)被轉(zhuǎn)至提出訪問權(quán)限查詢的個人或團隊，如步驟208所示?，F(xiàn)參考圖3A和圖3B所示的，其一起表示用于在一大型組織中基于用戶的訪問權(quán)限以對用戶進行分組的方法的簡要流程示意圖，而且該方法構(gòu)成圖2所示方法的第一籌備階段200。這樣分組的目的是為了創(chuàng)建用戶組，其中在單一用戶組內(nèi)的用戶相對存儲于一給定的服務(wù)器內(nèi)的計算機資源具有類似的或最好相同的訪問權(quán)限。創(chuàng)建這樣的用戶組的先決條件是定義用戶安全組，其優(yōu)先執(zhí)行于圖3A所示的第一步驟300。系統(tǒng)管理員預(yù)先定義用戶安全組。典型地，用戶安全組與所述組織中的不同部門相對應(yīng)。用戶安全組可以包括例如一會計用戶安全組，一研發(fā)用戶安全組等。每一各自用戶安全組包括那些屬于所述用戶安全組相對應(yīng)部門的用戶。用戶可以屬于至少一個以上的用戶安全組。例如，一研發(fā)部門的秘書可以屬于一管理用戶安全組和一研發(fā)用戶安全組。每一用戶安全組對于一給定服務(wù)器的計算機資源具有預(yù)分配的訪問權(quán)限。一給定計算機資源的訪問控制列表為一用戶安全組對所述計算機資源的訪問權(quán)限的列表。如圖3A所示，選中一服務(wù)器，如步驟300所示。應(yīng)該可以理解是，僅相對存于所述被選中的服務(wù)器內(nèi)的計算機資源的用戶訪問權(quán)限而對用戶進行分組。隨后，存于所述被選中的服務(wù)器內(nèi)的計算機資源的訪問控制列表將被審核，以便抽?。╡xtract）那些用戶安全組，因此那些屬于其用戶安全組的用戶對至少一些計算機資源具有訪問權(quán)限，其中計算機資源存于服務(wù)器中，如步驟302所示。對于任意給定的一對用戶列在其所屬的任意一所述被抽取的用戶安全組，比較其存儲在所述被選中的服務(wù)器內(nèi)的計算機資源的用戶訪問權(quán)限，以檢查他們相對于所有存儲在所述被選中的服務(wù)器內(nèi)的計算機資源是否相同，如判斷步驟304所示。若該對用戶對存儲在所述被選中的服務(wù)器內(nèi)的計算機資源均具有相同的訪問權(quán)限，相對于所述被選中的服務(wù)器，他們被分配至相同的初始用戶組，如步驟306所示。否則，相對于所述被選中的服務(wù)器，他們被分配至兩個不同的初始用戶組，如步驟308所示。這些初始用戶組是所述方法旨在創(chuàng)建用戶組的前導(dǎo)者。所述初始用戶組可能需要進一步細化，如下文所描述的，以得到想要的最后用戶組。應(yīng)該理解的是，兩個用戶可以對所述被選中的服務(wù)器具有非常類似的訪問權(quán)限，除了一個或兩個特定的計算機資源的訪問權(quán)限是不同的。這可能會發(fā)生，例如，當(dāng)所述服務(wù)器包括一些用戶的根目錄，在這種情況下，兩個用戶可能對除了所述根目錄之外的所述服務(wù)器內(nèi)的所有計算機資源具有相同的訪問權(quán)限，其中每一用戶可能對他或她自己的特定根目錄具有訪問權(quán)限，但是可能通常對其他用戶的根目錄不具有訪問權(quán)限。即使存在具有盡管不相同但非常相似訪問權(quán)限的更大的潛在初始用戶組，這種情況可能會導(dǎo)致所述服務(wù)器被分組成多個小型初始用戶組甚至是單個（singletons）。如下文所描述的，通過虛擬地將所述服務(wù)器內(nèi)的計算機資源劃分為至少兩個的虛擬服務(wù)器，以解決該情況。因此，以下將用戶分配至初始用戶組，如步驟304、步驟306和步驟308所示，并審核所產(chǎn)生的初始用戶組數(shù)量和初始用戶組大小。較佳地，初始用戶組的數(shù)量與一第一預(yù)設(shè)定的閾值相比較，如判斷步驟310所示，單個初始用戶組的數(shù)量與一第二預(yù)設(shè)定的閾值相比較，如判斷步驟312所示。若所述初始用戶組的數(shù)量未超過所述第一閾值，且所述單個初始用戶組的數(shù)量未超過第二閾值，則所述用戶分配結(jié)束。目前，所述初始用戶組和單個初始用戶組構(gòu)成了用戶組，可參考上述內(nèi)容，尤其是圖2中的步驟200。轉(zhuǎn)至圖3B，可以看出若初始用戶組的數(shù)量超過所述第一閾值，和/或若單個初始用戶組的數(shù)量超過所述第二閾值，那么所述服務(wù)器被劃分為兩個虛擬服務(wù)器，如步驟314所示。根據(jù)一實施例，執(zhí)行所述服務(wù)器的一虛擬劃分，針對每一特定用戶或用戶安全組，存儲在所述服務(wù)器內(nèi)的計算機資源的數(shù)量被確定，其中特定用戶或用戶安全組允許訪問所述服務(wù)器，如步驟316所示。接著，計算出所述特定用戶或用戶安全組所允許訪問的計算機資源的一小部分資源，并與一小部分資源閾值比較，例如1%，如判斷步驟318。若一特定用戶或用戶安全組所允許訪問的計算機資源的小部分資源小于所述小部分資源閾值，所述用戶或用戶安全組以一降級安全組來表示，如步驟320所示。否則，所述用戶或用戶安全組以一重要安全組來表示，如步驟322所示。包含所述降級安全組的訪問權(quán)限的計算機資源的集合被定義為一虛擬服務(wù)器，并以一無組織虛擬服務(wù)器來表示，如步驟324所示。所述無組織虛擬服務(wù)器被認為包括少量具有類似訪問控制列表的計算機資源，和/或少量具有相同訪問權(quán)限的用戶?；谒鰺o組織虛擬服務(wù)器內(nèi)的計算機資源，將用戶分配至初始用戶組，這有可能會產(chǎn)生大量的初始用戶組和/或單個初始用戶組，是無效率的，因此是非必要的。將不屬于所述無組織虛擬服務(wù)器的服務(wù)器內(nèi)的計算機資源定義為一第二虛擬服務(wù)器，并以一組織虛擬服務(wù)器來表示，如步驟326所示。所述組織虛擬服務(wù)器被認為包括具有類似訪問控制列表的文件，以至基于計算機資源的訪問權(quán)限，將用戶分配至初始用戶組，這有可能產(chǎn)生一少量的組織初始用戶組。接著，將所述服務(wù)器劃分為兩個虛擬服務(wù)器，所述組織虛擬服務(wù)器被選中，并作為相對于用戶會被分配至初始用戶組的服務(wù)器，如步驟328所示。隨后，基于對存儲在所述組織虛擬服務(wù)器內(nèi)的計算機資源的訪問權(quán)限，再次將用戶分配至初始用戶組，結(jié)合參考上述步驟302至步驟308。目前，這些初始用戶組和單個初始用戶組構(gòu)成用戶組，參考上述內(nèi)容，尤其是圖2所示的步驟200?，F(xiàn)參考圖4A和圖4B所示的，其一起表示用于在一大型組織中基于資源的訪問權(quán)限以對計算機資源進行分組的方法的簡要流程示意圖，而且該方法構(gòu)成圖2所示方法的第二籌備階段202。如圖4A所示，選中所述計算機資源分層的節(jié)點，用以處理，如步驟400所示。較佳地，所述計算機資源分層由葉子至根進行處理，在這種情況下，選中用于處理的第一節(jié)點是葉子，或所述計算機資源分層中最底層的節(jié)點。對于被選中的節(jié)點，檢查一直系始源是否存于分層中，如判斷步驟402所示。若被選中的節(jié)點不存在一直系始源，可推導(dǎo)出其為所述分層中的根。該節(jié)點被指定為一相異節(jié)點，如步驟404所示，且處理結(jié)束。否則，將抽取該節(jié)點的訪問控制列表，如步驟405所示，抽取被選中的節(jié)點的直系始源的訪問控制列表，如步驟406所示。隨后，比較被選中的節(jié)點的訪問控制列表與被選中節(jié)點的直系始源的訪問控制列表，如判斷步驟408所示。應(yīng)該可以理解的是，若沒有明確的訪問控制列表與正被處理的節(jié)點相關(guān)聯(lián)，正被處理的節(jié)點繼承與所述直系始源相關(guān)聯(lián)的訪問控制列表，所述處理繼續(xù)進行，如步驟410所示。轉(zhuǎn)至圖4B，可以看出若被選中的節(jié)點的訪問控制列表和被選中的節(jié)點的直系始源的訪問控制列表是相同，一指針被加至所述分層中，其中該指針由被選中的節(jié)點指向被選中節(jié)點的直系始源的訪問控制列表，如步驟410所示。另外，指向被選中節(jié)點的訪問控制列表的所有指針移至指向被選中節(jié)點的直系始源的訪問控制列表，如步驟412所示。一表示所述節(jié)點已被處理的處理指示被加至被選中的節(jié)點，如步驟414所示。若被選中的節(jié)點的訪問控制列表不同于被選中的節(jié)點的直系始源的訪問控制列表，該節(jié)點被指定為一相異節(jié)點，如步驟416所示，一表示所述節(jié)點已被處理的處理表示被加至被選中的節(jié)點，如步驟418所示。隨后，被選中的節(jié)點所屬分層的級別被審核，以便確定是否在那級別有未處理的節(jié)點，如判斷步驟420所示。若在被選中的節(jié)點的級別有未處理的節(jié)點，選中在那一級別的新節(jié)點，如步驟422所示，那節(jié)點的處理如上文所述并結(jié)合參考步驟402-418繼續(xù)進行。否則，選中一節(jié)點，其在所述分層中的級別比被選中的節(jié)點的級別高，該節(jié)點例如為被選中的節(jié)點的直系始源，如步驟424所示，該節(jié)點的處理如上文所述并結(jié)合參考步驟402-418繼續(xù)進行。現(xiàn)參考圖5A、圖5B和圖5C所示，其一起表示計算一訪問權(quán)限的查詢響應(yīng)的方法的簡要流程示意圖，該方法構(gòu)成圖2所述方法的步驟206。參見圖5A所示，定義一要被處理的計算機資源組，如步驟500所示。當(dāng)開始處理一查詢，該計算機資源組通常是空的，并且在處理該查詢時才被填充。如圖5A所示，對于包含在查詢中的每一計算機資源，執(zhí)行步驟501，以檢查包含在查詢中所有相異的計算機資源節(jié)點。步驟502所示，對于包含在查詢中的每一計算機資源，檢測是否包括所述計算機資源分層的一相異節(jié)點。若計算機資源確實包括一計算機資源分層的相異節(jié)點，那么其被加至要被處理的計算機資源組，如步驟504所示，若計算機資源不包括一相異節(jié)點，與其相關(guān)聯(lián)的指針跟著一始源節(jié)點，其中該始源節(jié)點包括一相異節(jié)點，如步驟506所示。在判斷步驟508中，確定包括始源節(jié)點的計算機資源是否先前被加至要被處理的計算機資源組，其中該始源節(jié)點包括一相異節(jié)點。若包括始源節(jié)點的計算機資源先前未被加至要被處理的計算機資源組，那么現(xiàn)在將其加入該計算機資源組，如步驟510所示。若包括始源節(jié)點的計算機資源先前被加至要被處理的計算機資源組，這就不會再次將其加至該組，但是在要被處理的計算機資源組內(nèi)，會與當(dāng)前處理的計算機資源相關(guān)聯(lián)，以便能夠提供一完整的查詢響應(yīng)，如步驟512所示。這通常是通過定義一指針來完成的，該指針由當(dāng)前處理的計算機資源指向直系始源的實體，其中所述直系始源包含在要被處理的計算機資源組內(nèi)。如步驟513所示，選中一包含在查詢內(nèi)的用戶，該用戶的訪問權(quán)限將要被處理。轉(zhuǎn)至圖5B所示，如步驟514所示，選中一計算機資源，其包含在要被處理的資源組內(nèi)，并確定其存在哪一物理服務(wù)器內(nèi)，如步驟515所示。隨后，相對于計算機資源所存在的服務(wù)器，確定所述用戶所屬的特定用戶組，如步驟516所示。接著，在處理該計算機資源的過程中，檢查是否計算出屬于相同的特定用戶組的另一用戶的訪問權(quán)限，如判斷步驟518。若先前已計算出另一用戶對所給定的計算機資源的訪問權(quán)限，且該另一用戶屬于相同的特定用戶組，那么所計算出的訪問權(quán)限被分配至該當(dāng)前用戶，如步驟520所示。否則，從訪問控制列表中抽取該用戶對計算機資源的訪問權(quán)限，和/或該用戶所屬的用戶組對計算機資源的訪問權(quán)限，其中所述訪問控制列表與所述計算機資源相關(guān)聯(lián)，如步驟522所示。隨后，檢查任何包含在所述組內(nèi)的計算機資源是否存在，其中包含在所述組內(nèi)的計算機資源相對于被選中的用戶尚未被處理，如判斷步驟524。參見圖5C所示，若存在像這樣的一計算機資源，選中該計算機資源，如步驟526所示。相對于被選中的用戶，該計算機資源的處理如上文所述并結(jié)合步驟512至步驟522而進行。若不存在像這樣的一計算機資源，將檢查是否有包含在查詢中的任何用戶，其中用戶的訪問權(quán)限尚未被計算出，參見判斷步驟528所示。若存在像這樣的一用戶，選中該用戶，如步驟530所示，用戶的訪問權(quán)限如上文所述并結(jié)合步驟514至步驟522而被處理。參見步驟532所示，相對于包含在要被處理的計算機資源組內(nèi)的每一計算機資源，當(dāng)已計算出查詢中的所有用戶的訪問權(quán)限時，生成一查詢響應(yīng)，其包括一成對列表，該列表包括一成對，用于包含在原始查詢中的用戶和計算機資源。應(yīng)該可以理解的是，當(dāng)生成像這樣的一查詢響應(yīng)時，多次提供每一計算機資源的結(jié)果，以便對包含在查詢中的每一計算機資源提供一查詢響應(yīng)，其中每一計算機資源包括一相異始源節(jié)點，用于至少一個且包含在查詢內(nèi)的計算機資源。本技術(shù)領(lǐng)域的普通技術(shù)人員應(yīng)該可以理解本發(fā)明不是僅限于上文特別所表示和描述的。本發(fā)明的范圍不僅包括上文不同特征的集合和次集合，也包括普通技術(shù)人員在閱讀上述描述后對特征所做的改進，且該改進的特征并未出現(xiàn)在現(xiàn)有技術(shù)中。