用于控制對文件系統(tǒng)訪問的系統(tǒng)和方法【專利說明】用于控制對文件系統(tǒng)訪問的系統(tǒng)和方法[0001]相關(guān)申請的交叉引用[0002]參照受讓人擁有的以下專利和專利申請,這些專利的公開內(nèi)容通過引證結(jié)合于此:[0003]美國專利號7,555,482和7,606,801;[0004]美國專利申請的公開號:2007/0244899、2008/0271157、2009/0100058、2009/0119298;2009/0265780;2011/0010758;2011/0060916;2011/0061093、2011/0061111、2011/0184989、2011/0296490以及2012/0054283;以及[0005]美國專利申請的申請?zhí)?13/106,023;13/159,903;13/303,826以及13/413,748。
技術(shù)領(lǐng)域:
[0006]本發(fā)明總體上涉及用于控制對具有數(shù)據(jù)元素的文件系統(tǒng)的訪問的計算機實現(xiàn)的系統(tǒng)和方法。【
背景技術(shù):
】[0007]通常根據(jù)個人在企業(yè)中的作用,對個人授權(quán)和撤銷在企業(yè)中對文件系統(tǒng)的元素的訪問權(quán)限。更新訪問權(quán)限,以和在組織內(nèi)的不斷變化的角色持續(xù)對應(yīng),這是一個復(fù)雜的挑占戈?!?br/>發(fā)明內(nèi)容】[0008]本發(fā)明試圖提供用于控制對具有數(shù)據(jù)元素的文件系統(tǒng)的訪問的計算機實現(xiàn)的系統(tǒng)和方法。[0009]根據(jù)本發(fā)明的一個優(yōu)選實施方式,這樣提供了一種用于控制對具有數(shù)據(jù)元素的文件系統(tǒng)的訪問的計算機實現(xiàn)方法,包括以下步驟:保持所述文件系統(tǒng)的用戶對所述數(shù)據(jù)元素的相應(yīng)實際訪問的記錄;限定從所述用戶的超集中建議移除一組所述用戶,其中,所述超集的成員對所述數(shù)據(jù)元素的一部分具有公共訪問特權(quán),并且其中,在實現(xiàn)所述建議的移除之后,所述組的成員對所述數(shù)據(jù)元素保留相應(yīng)的建議的剩余訪問權(quán)限;在所述建議的移除的所述實現(xiàn)之前,通過所述相應(yīng)的建議的剩余訪問權(quán)限,自動確定所述組的所述成員或者具有與所述組的所述成員的實際訪問配置文件相似的實際訪問配置文件的所述組的非成員的至少一個所述相應(yīng)的實際訪問是不允許的;以及響應(yīng)于所述自動確定的步驟,生成錯誤指示。[0010]優(yōu)選地,所述數(shù)據(jù)元素包括文件和目錄,并且其中,所述文件系統(tǒng)包括所述文件和目錄的層次結(jié)構(gòu),并且其中,所述數(shù)據(jù)元素的所述部分包括:第一目錄;以及在所述層次結(jié)構(gòu)中位于所述第一目錄之下的所有所述文件和目錄。[0011]優(yōu)選地,所述用戶在相應(yīng)的備選用戶組內(nèi)具有資格,所述備選用戶組中的每一個都具有訪問所述數(shù)據(jù)元素的相應(yīng)備選部分的組權(quán)限,其中,所述用戶的所述相應(yīng)的建議的剩余訪問權(quán)限包括所述備選用戶組的所述組權(quán)限。優(yōu)選地,所述保持記錄的步驟包括構(gòu)造所述用戶的唯一的實際訪問的合計表(aggregatedtable)。優(yōu)選地,自動執(zhí)行所述限定建議的移除的步驟。[0012]根據(jù)本發(fā)明的另一個優(yōu)選實施方式,還提供了一種用于控制對具有在其上儲存的數(shù)據(jù)元素的文件系統(tǒng)的訪問的計算機實現(xiàn)系統(tǒng),包括:實際訪問監(jiān)控功能,可操作地用于保持所述文件系統(tǒng)的用戶對所述數(shù)據(jù)元素的相應(yīng)實際訪問的記錄;用戶移除建議功能,可操作地用于限定從所述用戶的超集中建議移除一組所述用戶,其中,所述超集的成員對所述數(shù)據(jù)元素的一部分具有公共訪問特權(quán),并且其中,在實現(xiàn)所述建議的移除之后,所述組的成員對所述數(shù)據(jù)元素保留相應(yīng)的建議的剩余訪問權(quán)限;剩余訪問權(quán)限確定功能,可操作地用于在所述建議的移除的所述實現(xiàn)之前,通過所述相應(yīng)的建議的剩余訪問權(quán)限,自動確定所述組的所述成員或者具有與組成員的實際訪問配置文件相似的實際訪問配置文件的所述組的非成員的至少一個所述相應(yīng)的實際訪問是不允許的;以及錯誤指示生成功能,可操作地用于響應(yīng)于所述自動確定的步驟,生成錯誤指示。[0013]優(yōu)選地,所述文件系統(tǒng)包括所述文件和目錄的層次結(jié)構(gòu),并且其中,所述數(shù)據(jù)元素的所述部分包括:第一目錄;以及在所述層次結(jié)構(gòu)中位于所述第一目錄之下的所有所述文件和目錄。[0014]優(yōu)選地,所述用戶在相應(yīng)的備選用戶組內(nèi)具有資格,所述備選用戶組中的每一個都具有訪問所述數(shù)據(jù)元素的相應(yīng)備選部分的組權(quán)限,其中,所述用戶的所述相應(yīng)的建議的剩余訪問權(quán)限包括所述備選用戶組的所述組權(quán)限?!靖綀D說明】[0015]從結(jié)合附圖進行的以下詳細描述中,更完整地理解和了解本發(fā)明,其中:[0016]圖1是根據(jù)本發(fā)明的一個優(yōu)選實施方式操作的在用于控制對具有在其上儲存數(shù)據(jù)元素的文件系統(tǒng)的訪問的方法的操作中的步驟的一個實例的簡化插圖;[0017]圖2是在圖1的方法的操作中的步驟的簡化方框示意圖;以及[0018]圖3是根據(jù)本發(fā)明的優(yōu)選實施方式構(gòu)造和操作的用于控制對具有在其上儲存數(shù)據(jù)元素的文件系統(tǒng)的訪問的系統(tǒng)的簡化方框示意圖。【具體實施方式】[0019]現(xiàn)在,參照圖1,該圖是根據(jù)本發(fā)明的一個優(yōu)選實施方式操作的在用于控制對具有在其上儲存數(shù)據(jù)元素的文件系統(tǒng)的訪問的方法的操作中的步驟的一個實例的簡化插圖。[0020]在圖1中顯示的方法由系統(tǒng)實現(xiàn),該系統(tǒng)通常位于連接至企業(yè)范圍的計算機網(wǎng)絡(luò)102的服務(wù)器100上,所述網(wǎng)絡(luò)具有不同的服務(wù)器104以及與其連接的計算機106。網(wǎng)絡(luò)102優(yōu)選地還包括多個儲存資源108,所述資源通常位于服務(wù)器104和/或計算機106內(nèi)。[0021]服務(wù)器100的系統(tǒng)優(yōu)選地連續(xù)監(jiān)控網(wǎng)絡(luò)102,以自動保持所述文件系統(tǒng)的用戶對儲存在儲存資源108上的數(shù)據(jù)元素的相應(yīng)實際訪問的記錄。[0022]要理解的是,通常通過控制用戶對用戶組的資格,控制用戶對在企業(yè)網(wǎng)絡(luò)中的數(shù)據(jù)元素的訪問權(quán)限,所述用戶組對數(shù)據(jù)元素具有訪問權(quán)限。在圖1的實例中,‘法律’用戶組可以對包含法律信息的文件具有訪問權(quán)限,并且‘金融’可以對包含有關(guān)金融信息的文件具有訪問權(quán)限。[0023]如圖1中所示,公司的網(wǎng)絡(luò)102的IT經(jīng)理使用服務(wù)器100的系統(tǒng)來確定在與‘法律’用戶組保持資格的同時,作為公司的法律部門的前雇員以及公司的金融部門的當(dāng)前雇員的John近期沒有訪問法律文件。因此,IT經(jīng)理進一步使用服務(wù)器100的系統(tǒng)來建議從‘法律’用戶組中移除John,所示移除可能撤銷John對‘法律’用戶組的成員具有訪問權(quán)限并且John將來可能需要訪問的法律文件的訪問權(quán)限。[0024]要理解的是,John是對法律文件具有訪問權(quán)限的額外用戶組的成員,因此,要理解的是,甚至在實現(xiàn)建議從‘法律’用戶組中移除John之后,John依然保持對法律文件的剩余訪問權(quán)限。[0025]如圖1中進一步所示,IT經(jīng)理進一步查詢服務(wù)器100的系統(tǒng),以在實現(xiàn)建議的移除之前,自動確定在實現(xiàn)建議的移除之后,John保留其可能需要訪問的文件的剩余訪問權(quán)限。[0026]本發(fā)明的這個實施方式的一個特定特征在于,為了確定在實現(xiàn)建議從用戶組中移除用戶組的第一成員之后,第一成員對可能需要訪問的文件是否保持剩余訪問權(quán)限,通常足以確定在移除用戶組的至少一個其他成員之后(所述至少一個其他成員具有與第一成員的實際訪問配置文件相似的實際訪問配置文件),所述至少一個其他成員對近期實際上訪問了的文件是否保持剩余訪問權(quán)限。為了本申請的目的,術(shù)語“實際訪問配置文件”限定為特定用戶的近期實際文件訪問的集合。在申請人的美國專利7,606,801中,詳細描述了用于確定在實際訪問配置文件之間的相似性的方法的詳細描述,該專利通過引證結(jié)合于此。[0027]因此,要理解的是,關(guān)于圖1的實例,為了確定John繼續(xù)需要訪問哪些文件,服務(wù)器100的系統(tǒng)進行操作,以確定具有與John的實際訪問配置文件相似的實際訪問配置文件的用戶近期實際上訪問了哪些文件。在圖1的實例中,具有與John的實際訪問配置文件相似的實際訪問配置文件當(dāng)前第1頁1 2