CN102244656B - 域访问系统 - Google Patents
域访问系统 Download PDFInfo
- Publication number
- CN102244656B CN102244656B CN201110128811.6A CN201110128811A CN102244656B CN 102244656 B CN102244656 B CN 102244656B CN 201110128811 A CN201110128811 A CN 201110128811A CN 102244656 B CN102244656 B CN 102244656B
- Authority
- CN
- China
- Prior art keywords
- territory
- domain
- equipment
- installation kit
- add
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000009434 installation Methods 0.000 claims abstract description 79
- 238000000034 method Methods 0.000 claims description 37
- 230000008569 process Effects 0.000 claims description 20
- 230000007246 mechanism Effects 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 13
- 230000000977 initiatory effect Effects 0.000 claims description 10
- 238000003860 storage Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000015654 memory Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000000712 assembly Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 230000005291 magnetic effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007935 neutral effect Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 241000168254 Siro Species 0.000 description 1
- 241000065695 Teredo Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000000840 anti-viral effect Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000003862 health status Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000009987 spinning Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
Abstract
域访问系统可包括用于远程设备的连接包。连接包可被安装并用于连接到域而无需物理地附连到该域。连接包可包括域标识符和机器名,以及用于向域认证设备的证书、组策略、以及其它组件和配置信息。安装包可用各种组件和证书配置远程设备,使得远程设备可连接到该域。
Description
技术领域
本发明涉及计算机技术,尤其涉及域访问系统。
背景技术
访问计算机网络域允许计算机在诸如公司或其它企业之类的受控网络内进行通信。在域中,被连接的计算机可共享资源,诸如文件系统、数据库、打印机及其它资源。许多域可具有管理系统,管理系统管理计算机配置、更新、安全系统以及其它管理功能。
在许多情况下,用户可能希望在一远程位置处访问域。例如,销售人员可能希望在外地推销时连接到公司域,或者学生可能希望从公寓访问大学域。
发明内容
域访问系统可包括用于远程设备的连接包。连接包可被安装并用于连接到域而无需物理地附连到该域。连接包可包括域标识符和机器名,以及用于向域认证设备的证书、组策略、以及其它组件和配置信息。安装程序可用各种组件和证书配置远程设备,使得远程设备可连接到该域。
提供本发明内容以便以简化形式介绍将在以下的具体实施方式中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限定所要求保护的主题的范围。
附图说明
在附图中,
图1是示出具有远程域配置的系统的实施例的图示。
图2是示出用于创建远程设备安装包的方法的实施例的流程图。
图3是示出用于配置远程设备的方法的实施例的流程图。
图4是示出用于在启动和常规操作期间操作远程设备的方法的实施例的时间线。
具体实施方式
可通过将包含域加入信息、组策略以及证书的安装包提供给远程设备来将远程设备添加到域。域加入信息和证书可被配置用于特定的设备并且可与域中的设备账户对应。
安装程序可使用安装包来配置远程设备。一旦经配置,远程设备就能够加入该域并且作为域的一部分运行,即使该设备位于该域的物理环境之外。
可在域处创建安装包,且安装包可包含为该域定制的信息。域加入信息可包含用于该域的账户口令、域名、域控制器的名称、该域的安全标识、以及其它信息。证书可包括由域控制器发布的证书,该证书可用于认证该远程设备。
可使用安全传输机制将安装包发送给远程设备。在一些情况下,安装包可被加密并使用各种认证机制来开启,诸如口令控制、智能卡认证或其它机制。一旦被访问,安装应用可用各种组件来配置远程设备。在安装之后,远程设备可自动连接到域。一旦加入到该域,远程设备可出现在本地域中并可由其它设备访问,并且该远程设备可访问域内的各个设备和服务。
本说明书通篇中,在所有附图的描述中,相似的附图标记表示相同的元素。
在将元素称为被“连接”或“耦合”时,这些元素可以直接连接或耦合在一起,或者也可以存在一个或多个中间元素。相反,在将元素称为被“直接连接”或“直接耦合”时,不存在中间元素。
本发明主题可被具体化为设备、系统、方法、和/或计算机程序产品。因此,本发明主题的部分或全部可以用硬件和/或软件(包括固件、常驻软件、微码、状态机、门阵列等)来具体化。此外,本发明主题可以采用其上嵌入有供指令执行系统使用或结合其使用的计算机可使用或计算机可读的程序代码的计算机可使用或计算机可读的存储介质上的计算机程序产品的形式。在本文的上下文中,计算机可使用或计算机可读介质可以是可包含、存储、通信、传播、或传输程序以供指令执行系统、装置或设备使用或结合其使用的任何介质。
计算机可使用或计算机可读介质可以是,例如,但不限于,电、磁、光、电磁、红外、或半导体系统、装置、设备或传播介质。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。
计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据这样的信息的任意方法或技术来实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存储所需信息且可以由指令执行系统访问的任何其它介质。注意,计算机可使用或计算机可读介质可以是其上打印有程序的纸张或其它合适的介质,因为程序可以经由例如对纸张或其它介质的光学扫描而电子地捕获,随后如有必要被编译、解释,或以其它合适的方式处理,并随后存储在计算机存储器中。
通信介质通常以诸如载波或其他传输机制的已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并包括任意信息传送介质。术语“已调制数据信号”可以被定义为其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作为示例而非限制,通信介质包括有线介质,如有线网络或直接线连接,以及如声学、RF、红外及其他无线介质之类的无线介质。上述的任意组合也应包含在计算机可读介质的范围内。
当本发明主题在计算机可执行指令的一般上下文中具体化时,该实施例可以包括由一个或多个系统、计算机、或其它设备执行的程序模块。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。通常,程序模块的功能可以按需在各个实施例中进行组合或分布。
图1是示出具有远程域加入的系统的实施例100的图示。实施例100是可生成域安装包的系统的简化示例,域安装包可被远程安装并使设备能够连接到域。
图1的图示出了系统的各个功能组件。在某些情况下,组件可以是硬件组件、软件组件、或硬件和软件的组合。某些组件可以是应用层软件,而其他组件可以是操作系统层组件。在某些情况下,一个组件到另一个组件的连接可以是紧密连接,其中两个或更多个组件在单个硬件平台上操作。在其它情况下,连接可以通过跨长距离的网络连接来形成。各实施例可以使用不同的硬件、软件、以及互连体系结构来实现所描述的功能。
实施例100是系统的一示例,在该系统中,可在域中创建域安装包,并且随后该域安装包可被安装到没有附连到该域的远程设备上。在安装之后,远程设备就能够以安全方式连接到域并访问该域。
在一种使用情况中,域可以为具有数个远程工作的用户的公司而建立。可在域中创建域安装包并将其发送给远程用户,远程用户可将该包安装在其计算机上。使用域安装包中的信息,这些远程计算机将能够自动连接并加入该域。
域可以是在受控环境中运行的计算机网络。在一典型的体系结构中,一个或多个服务器计算机可作为域控制器运行,并向连接到网络的机器提供各种管理服务。在许多情况下,域可具有可校验登录凭证的集中式认证机制,以及可为附连到该域的机器提供名称服务的域名服务(DNS)。
集中式认证机制可使用Kerberos或其它认证机制,使得域中的设备可彼此认证。当一新机器尝试加入到该域中时,该新设备可提交凭证。凭证可以是机器账户和机器口令,以及可用于数字地签署一传输的认证证书。
在许多域系统中,可创建用于允许机器加入域的一组域加入信息。当机器直接附连到域时,新添加的机器可使用用户的凭证直接连接到域服务器。作为加入过程的一部分,域服务器可为设备创建机器账户并将机器账户信息发送给该机器。机器账户信息可包括机器标识符、机器口令以及其它信息。
设备102可表示典型的计算机设备,诸如具有硬件组件104和软件组件106的台式计算机或服务器。在一些实施例中,设备102可以是膝上型计算机、上网本计算机、平板计算机、移动电话、手持个人数字助理、游戏控制台、网络设备、或其它计算设备。
为设备102示出的体系结构可代表具有硬件和软件组件的典型的体系结构;然而,其它体系结构可用于实现分布式数据库系统的一些或全部。
硬件组件104可以包括处理器108、随机存取存储器110、以及非易失性存储112。硬件组件104还可以包括网络接口114和用户接口116。
软件组件106可包括其上可执行各种应用的操作系统118,应用包括可安装域安装包120的安装程序122。域安装包120可包含域加入信息124、一组组策略126以及一组证书。安装程序122可配置设备102,使得该设备可自动建立至域的连接并连接到该域。
域安装包120可包含许多可被用于加入域的信息。安装程序122可用包含在域安装包中的信息来配置设备120,这可影响两个大致方面:建立用于加入域的凭证,以及配置设备102以自动连接到域。
域加入信息124可包含在设备102连接到域时可被用于加入域的信息的全部或大部分。组策略126和证书128可包含用于自动连接到该域的信息。在一些实施例中,组策略126和证书128还可被用于加入域。
为了配置设备102以加入域,安装程序可将信息添加到操作系统启动序列130,启动序列130可使设备102以域模式启动。信息可包括设置设备102的机器名以及该域的各种参数,诸如域标识符。
某些操作系统可能不允许在设备被启动之后对设备配置域,而仅可在启动期间配置各种域设置。在这类实施例中,安装程序122可用各种参数、设置、以及有时候用可执行序列来修改设备102的启动序列130以使设备102以可允许连接到域的配置来启动。
某些操作系统可具有启动序列130,其可以是执行在操作系统的启动操作期间的一组过程。在一些情况下,这些过程可以是每一次操作系统启动时执行的过程,而在另一些情况下,这些过程可仅被执行一次并在后续的启动期间不再被执行。这一过程的一种应用可以是例如在其它过程启动之前执行某些配置操作。
安装程序122可将一个或多个可执行脚本、进程、程序或其它可执行元素放置在启动序列130中。这些可执行元素中的一些可在每次操作系统启动时被执行。在一些情况下,这些可执行元素可执行一次而不被再次执行。
在一些实施例中,安装程序122可对注册表132、配置文件、组策略134、或其它位置中的设置进行改动。这些设置中的一些可在操作系统118的启动期间被读取,而另一些设置可在设置被改动后立即生效。
安装程序122可安装对注册表132和组策略134的改动,这些改动允许至域的远程连接。注册表132和组策略134中的一些可包括对域的连接信息。连接信息可包括允许设备连接到域的信息以及允许用户连接到域的信息。
安装程序122可在证书管理系统中安装一个或多个证书128,证书管理系统可能具有现存的证书136。证书128可被用于向域认证设备。在一些情况下,证书128可被用于对设备102与域之间的通信进行加密或解密。
安装程序122可与认证机制140一起工作,以允许或拒绝对域安装包120的访问。在许多情况下,域安装包120可包含可允许访问域的敏感信息。因此,可对域安装包120应用各种保护机制,诸如口令保护、智能卡机制、或其它此类系统。认证机制140可被用于对可允许对域安装包120进行访问的凭证进行校验。在一些情况下,认证机制140可允许访问以对设备102进行各种改动,诸如改动注册表132或在启动序列130中使用的组件。
设备102可通过网关144连接域148,网关144可具有因特网协议(IP)地址146。网关144可以从网络142访问域148的对外访问点,供从网络142接入。网络142可以是因特网或其它广域网。
在域148中的可以是域网络150,域网络150可包括域控制器152、域名服务154、各服务器156以及其它设备158。例如在小企业中,域可具有单个域控制器152和若干或更多设备158。在大型企业中,域可具有许多域控制器152以及数千个服务器156和数万个设备158。
示出的域控制器152可提供多个服务。在较大规模的实施例中,数个域控制器152可各自提供各种服务中的一个。在一些这类实施例中,两个或更多域控制器可以冗余或负载平衡配置来提供相同的服务。
域控制器152可维护域数据库160,域数据库160可包含用于各授权用户和机器的用户和机器账户。机器账户可向域描述该机器并为该设备分配各种许可或访问规则。例如,一些设备可由某些其它设备或某些其它用户访问,而对其它设备或用户则不允许。
当设备102连接到域148时,至域的连接将采用两个阶段。在第一阶段中,设备102可建立远程设备102与域之间的连接。在第二阶段中,用户可建立至域的连接。
在第一阶段中,设备102可建立至网关144的机器隧道141。机器隧道141可以是安全通信隧道,其允许设备102和网关144之间的加密通信。当机器隧道141被建立,设备102可尝试使用机器名和机器口令来连接到域。
机器隧道141可使用因特网协议安全(IPSec)或其它协议来创建,以供设备102和网关144之间的相互认证。IPSec或类似协议可具有一种端对端的隧穿机制,其可在设备102和网关144之间传递加密通信。
IPSec和类似技术可以根据因特网协议第6版(IPv6)来构建。当网络142是一个因特网协议第4版(IPv4)的网络,诸如6to4(6转4)之类的各种技术可被用于通过IPv4网络连接IPv6设备。6to4可以是一种有用于将IPv6设备连接到可具有IPv4地址的网关144的协议。
在一些实施例中,Teredo可被用作为设备102和网关144之间(或者在一些情况下,到域控制器152)的隧穿协议。在一些这类实施例中,网关144可以是网络地址转换器(NAT)设备。
当机器隧道141被建立时,域控制器152可访问设备102并可允许其它设备访问设备102。例如,设备102可具有可由其它设备访问的文件系统或其它服务。在一些情况下,当设备102连接到域148时域控制器152可传送组策略162,向设备102查询健康特性,向设备102提供更新,或执行其它管理功能。
连接的第二阶段可创建用户隧道143,通过该用户隧道142,用户可访问域148。用户可提供智能卡、口令、生物学扫描形式的凭证或其它凭证,那些凭证可被传递给域控制器152。可向域认证用户,并赋予用户访问域上的服务和设备的权利。
这种两阶段的连接机制可在用户向网络认证之前允许设备连接到网络。在一种典型的使用情形中,设备102可被开启并可自动尝试连接到域148。在连接期间,设备102可接收任何更新、对组策略的改动、以及以其它方式在域148上变为活动。在这一状态下,设备可由域控制器152管理。
在设备102通过机器隧道141被连接到域148之后,用户可登录到设备102。由于设备102已被连接到域148,用户凭证可由域控制器152和认证服务168进行认证。
域安装包120可由域控制器152创建以创建域安装包170。域安装包170可以被加密或以其它方式被保护并发送到设备102。例如,数字多功能盘(DVD)或闪存设备可被创建来存储域安装包170并被物理地传输给设备102供安装。在许多情况下,安装程序122还可由域控制器152存储在存储设备上。
域控制器152可在域数据库160中为设备102创建机器账户并为设备102提供服务。在创建机器账户后,域控制器152可创建域加入信息124,其可包括机器账户信息以及域信息,诸如域标识符以及用于连接到域的其它信息。域加入信息可被添加到域安装包170。
域控制器152可标识可被用于建立机器隧道141和用户隧道143的各个组策略162,以及可被用于建立至148的连接并作为域148的一部分操作的其它组策略。这些组策略可被存储在域安装包170中。
域控制器152可运行或能够访问各证书服务164。证书服务164可创建认证证书166,认证证书可被设备102使用以向域148认证。认证服务164还可创建可被用于加密和解密操作的证书166。设备102的证书可被存储在域安装包170中。
一旦域安装包170被创建,其可被传输到远程设备102并由安装程序安装。在安装之后,只要网络连接可用,远程设备102可自动连接到域148。
图2是示出用于创建远程设备安装包的方法的实施例200的流程图。实施例200的操作可由域控制器或附连到域的其它设备执行,诸如实施例100中的域控制器152。
其它实施例可以使用不同序列的、附加的或更少的步骤以及不同的名称或术语来实现类似的功能。在一些实施方式中,各种操作或一组操作可以按同步或异步的方式与其它操作并行执行。在此选择的这些步骤被挑选来以简化的形式示出操作的一些原理。
实施例200示出了可由连接到域的设备执行的、用于创建域安装包的简化的过程。域安装包可包含可被用于配置远程设备以供连接到域的所有信息。
在框202,可确定机器名,并在框204可创建机器账户。机器账户可定义通用名称,例如可以是人类可读的串。机器账户还可定义唯一的名称,可以是全局唯一标识符(GUID)或可被用于具体标识与该账户关联的设备的其它名称。GUID或其它唯一名称的使用可允许两个或更多设备共享相同的通用名称。
在一些实施例中,可输入具体的标识符来唯一地标识机器。例如,可输入制造商的序列号或其它标识符来标识设备。在一些实施例中,可使用远程设备的媒体访问控制(MAC)地址或其它硬件专用标识符。
在一些实施例中,在创建机器账户时没有机器的任何硬件专用标识符可被使用。这一实施例在当机器账户被创建时远程设备可能不存在或可能甚至未被构造的情况下可能是有用的。
在一种使用情况下,原始设备制造商(OEM)可对设备进行预配置以供远程访问域。作为制造过程的一部分,OEM可安装域安装包并向用户分发设备和域安装包。当用户初始化设备时,安装过程可配置该设备以供访问域。在这一使用情形中,域控制器可预先生成域安装包并可能不能访问任何硬件专用标识符。
一旦在框204中创建并适当地提供了机器账户,可创建域加入信息。域加入信息可包括与域信息有关的信息,包括任何域标识符、机器账户标识符、机器账户口令和其它认证凭证、以及可被用于加入该域的任何其它信息。
在框208中,域加入信息可被添加到安装包。
关于设备远程访问该域的组策略可在框210处被标识并在框212处被存储在安装包中。组策略可包括域的地址、用于建立至该域的机器隧道和用户隧道的设置、通信设置或其它任何配置设置。
在框214中可创建认证证书。证书可包括用于向域认证机器的认证证书,以及可被用于对通信进行加密和解密的证书。在框216中,证书可被添加到安装包。
在框218处可对安装包加密,并且在框220处可对安装包用于认证机制。认证机制可以是口令保护、智能卡保护或其它机制。
在框222处,安装包可被传输给远程设备。
图3是用于使用可在实施例200中创建的域安装包来配置远程设备的方法的实施例300的流程图。实施例200的操作可以是诸如实施例100的安装程序122之类的安装应用的操作。
其它实施例可以使用不同序列的、附加的或更少的步骤以及不同的名称或术语来实现类似的功能。在一些实施方式中,各种操作或一组操作可以按同步或异步的方式与其它操作并行执行。在此选择的这些步骤被挑选来以简化的形式示出操作的一些原理。
实施例300示出了一种可使用域安装包来配置远程设备的方法。
在框302处可启动远程设备,并且在框304处接收安装包。在框306处启动安装程序。
在框308处可接收凭证,并在框310处用凭证认证用户和设备。
在一些实施例中,被用于认证安装包的凭证可包括硬件专用标识符。例如,可通过使用诸如口令或智能卡之类的用户专用标识符以及对与设备相关联的MAC地址或硬件序列号进行校验来访问域安装包。在这一示例中,为了访问安装包,可提交硬件专用标识符和用户专用标识符两者来获取访问权限。
一旦在框310处执行了认证,在框312处可对域安装包进行解密。
使用存储在域安装包中的域加入信息,可在框314处设置机器名称并可在框316处设置域身份。在框318处可存储机器账户和口令。
在框320中,对每一组策略元素,可在框322处将设置存储在注册表中。
在框324处安装了认证证书之后,在框326处可重启远程设备。
图4是示出在远程设备402、域服务器404以及域名服务406之间的动作和交互的实施例400的时间线示例。实施例400可表示远程设备和域服务器在远程设备启动时、连接到域时、以及作为域的一部分运行时执行的操作。远程设备402的操作被示出在左栏,域服务器404的操作被示出在中间栏,而域名服务406的操作被示出在右栏。
其它实施例可以使用不同序列的、附加的或更少的步骤以及不同的名称或术语来实现类似的功能。在一些实施方式中,各种操作或一组操作可以按同步或异步的方式与其它操作并行执行。在此选择的这些步骤被挑选来以简化的形式示出操作的一些原理。
在框408中,远程设备402可通过启动操作系统来开始。作为启动序列的一部分,远程设备402可在框410中开启至域的净荷隧道。该净荷隧道的配置设置可被存储在注册表中、配置文件中、或作为域加入信息的一部分,所述域加入信息作为域安装包的一部分被安装。
在框412中,域服务器404可接收隧道请求并建立隧道。此时,可建立通信隧道,但机器可能未被登录到域上。
在框414中,远程设备402可使用机器证书、机器名以及机器口令来登录。在框415中,域服务器404可接收登录请求,在框418中,认证该请求,并且在框420中,在域上注册机器。
作为注册过程的一部分,在框422中,域服务器404可将机器名和其它信息发送到域名服务406。在框424中,域名服务406可接收机器名,并在框426中,将机器添加到域名服务。
在框428中,域服务器404可在域上初始化该设备,并且在框430中,下载组策略。在框432中,组策略可被远程设备402接收,并且在框434中,组策略被安装。组策略可以是由域为被加入到域中的所有设备配置的组策略。组策略可定义用于远程设备的某些应用、设置、或其它配置。
在框436和438中,可使设备在域上可用。此时,设备可作为普通的连接到域的设备而运行。例如,如果设备具有与域的成员共享的文件或其它服务,这些文件或服务可由附连到网络的其它用户或设备所访问。
虽然在框436和438中设备被连接在域上,但某些与域相关的管理服务可运行在远程设备上。例如,可检查设备以确定其运行健康状况。该检查可包括评估反病毒软件的状态或确保防火墙被安装且用预确定的一组最小配置进行了配置。设备还可被评估以确定所有被核准的更新以及其它管理功能是否被成功安装。
在设备已加入域之后的某一时间,在框440中,可显示用户登录。在框442中,用户可提交凭证。
在框444中,可由远程设备402建立第二通信隧道。在框446中,域服务器404可以接收隧道请求。
在框448中,可由远程设备402发送用户凭证,在框450中,可由域服务器404接收用户凭证。在框452中,域服务器404可认证用户,并且在框454中,域服务器可发送认证。在框456中,可由远程设备402接收认证。
在认证之后,在框458和460中,用户可享有对域的访问。
以上对本发明主题的描述是出于说明和描述的目的而提出的。它不旨在穷举本主题或将本主题限于所公开的精确形式,且鉴于以上教导其它修改和变形都是可能的。选择并描述实施方式来最好地解释本发明的原理及其实践应用,从而使本领域的其它技术人员能够在各种实施方式和各种适于所构想的特定用途的修改中最好地利用本发明。所附权利要求书旨在包括除受现有技术所限的范围之外的其它替换实施方式。
Claims (11)
1.一种域访问方法,所述方法包括:
接收远程域安装包,所述域安装包包括:
域加入信息,包括域的标识符和机器标识符;
一组组策略,所述组策略包括所述域的地址;
由域控制器向具有所述机器标识符的机器发布的认证证书;
通过向认证机制提交认证凭证来获取对所述远程域安装包的访问;
作为所述获取访问的一部分,对所述远程域安装包进行解密;
通过第一过程安装所述远程域安装包,所述第一过程包括:
在操作系统内的启动位置中安装所述域加入信息,其中所述操作系统在启动序列期间使用所述域加入信息来连接所述域;
安装所述一组组策略;
安装所述认证证书;
通过第二过程加入所述域,所述第二过程包括:
使用所述启动序列来启动远程设备;
使用所述地址来连接到所述域;
通过使用所述域加入信息并提交所述认证证书来请求域加入;以及
加入所述域。
2.如权利要求1所述的方法,其特征在于,所述域加入信息还包括用于所述域中的机器账户的机器口令。
3.如权利要求1所述的方法,其特征在于,所述加入所述域包括:
在所述远程设备和所述域之间创建隧道。
4.如权利要求3所述的方法,其特征在于,所述隧道是加密的通信隧道。
5.如权利要求4所述的方法,其特征在于,所述隧道是使用IPSec加密的。
6.如权利要求1所述的方法,其特征在于,所述加入所述域包括:
建立与所述域中的域名服务的通信。
7.如权利要求6所述的方法,其特征在于,所述加入所述域还包括:
向所述域名服务注册所述远程设备的地址。
8.一种域访问系统,包括:
用于接收远程域安装包的装置,所述域安装包包括:
域加入信息,包括域的标识符和机器标识符;
一组组策略,所述组策略包括所述域的地址;
由域控制器向具有所述机器标识符的机器发布的认证证书;
用于通过向认证机制提交认证凭证来获取对所述远程域安装包的访问的装置;
用于作为所述获取访问的一部分,对所述远程域安装包进行解密的装置;
用于通过第一过程安装所述远程域安装包的装置,所述第一过程包括:
在操作系统内的启动位置中安装所述域加入信息,其中所述操作系统在启动序列期间使用所述域加入信息来连接所述域;
安装所述一组组策略;
安装所述认证证书;
用于通过第二过程加入所述域的装置,所述第二过程包括:
使用所述启动序列来启动远程设备;
使用所述地址来连接到所述域;
通过使用所述域加入信息并提交所述认证证书来请求域加入;以及
加入所述域。
9.如权利要求8所述的系统,所述系统被配置为在所述系统启动时自动连接到所述域。
10.如权利要求9所述的系统,其特征在于,所述系统被进一步配置为建立至所述域的加密通信隧道。
11.如权利要求10所述的系统,其特征在于,所述系统被进一步配置为向所述域中的域名服务注册机器名。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/777,266 US8370905B2 (en) | 2010-05-11 | 2010-05-11 | Domain access system |
| US12/777,266 | 2010-05-11 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102244656A CN102244656A (zh) | 2011-11-16 |
| CN102244656B true CN102244656B (zh) | 2016-01-20 |
Family
ID=44912770
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110128811.6A Expired - Fee Related CN102244656B (zh) | 2010-05-11 | 2011-05-10 | 域访问系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8370905B2 (zh) |
| CN (1) | CN102244656B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10423927B2 (en) * | 2009-08-07 | 2019-09-24 | Accenture Global Services Limited | Electronic process-enabled collaboration system |
| US10482254B2 (en) * | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
| US9015474B2 (en) * | 2010-07-30 | 2015-04-21 | Hewlett-Packard Development Company, L.P. | Systems and methods for credentialing |
| EP2624081B1 (en) | 2012-01-31 | 2018-01-10 | Nxp B.V. | Configuration method, configuration device, computer program product and control system |
| US10176335B2 (en) | 2012-03-20 | 2019-01-08 | Microsoft Technology Licensing, Llc | Identity services for organizations transparently hosted in the cloud |
| EP2665235B1 (en) * | 2012-05-15 | 2016-01-06 | Nxp B.V. | Method for establishing secure communication between nodes in a network, network node, key manager, installation device and computer program product |
| US9143498B2 (en) | 2012-08-30 | 2015-09-22 | Aerohive Networks, Inc. | Internetwork authentication |
| CN103516707B (zh) * | 2012-11-06 | 2016-12-21 | Tcl集团股份有限公司 | Dlna设备之间访问控制的实现方法、系统及终端 |
| US9769056B2 (en) | 2013-03-15 | 2017-09-19 | Aerohive Networks, Inc. | Gateway using multicast to unicast conversion |
| US9762679B2 (en) * | 2013-03-15 | 2017-09-12 | Aerohive Networks, Inc. | Providing stateless network services |
| US20150334080A1 (en) * | 2014-05-15 | 2015-11-19 | Reinaldo Tamayo | Systems and methods for a keyword/key phrase url and path replacement and management |
| US9992619B2 (en) | 2014-08-12 | 2018-06-05 | Aerohive Networks, Inc. | Network device based proximity beacon locating |
| CN104468598B (zh) * | 2014-12-18 | 2018-10-12 | 北京奥普维尔科技有限公司 | 一种功能授权系统及方法 |
| US10509663B1 (en) * | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
| WO2016161266A1 (en) | 2015-04-02 | 2016-10-06 | Google Inc. | Efficient network stack for wireless application protocols |
| US10749854B2 (en) | 2015-11-12 | 2020-08-18 | Microsoft Technology Licensing, Llc | Single sign-on identity management between local and remote systems |
| US10326603B2 (en) * | 2016-05-06 | 2019-06-18 | Blackberry Limited | Inter-workspace communications |
| US11363019B2 (en) | 2017-10-09 | 2022-06-14 | Hewlett-Packard Development Company, L.P. | Domain join |
| US11171990B1 (en) * | 2017-11-01 | 2021-11-09 | Entreda, Inc. | Arbitrated network access using real-time risk metric |
| US11025628B2 (en) | 2018-04-17 | 2021-06-01 | Cisco Technology, Inc. | Secure modification of manufacturer usage description files based on device applications |
| CN113591056A (zh) * | 2021-08-05 | 2021-11-02 | 国民认证科技(北京)有限公司 | 一种基于指纹设备登录Windows域的方法和系统 |
| CN116010934B (zh) * | 2023-01-06 | 2023-12-12 | 小米汽车科技有限公司 | 域控制器进程通讯方法、装置、车辆及存储介质 |
| CN117997749A (zh) * | 2024-04-03 | 2024-05-07 | 深圳竹云科技股份有限公司 | 国产操作系统终端域组策略分发方法、装置及计算机设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1953393A (zh) * | 2005-10-20 | 2007-04-25 | 国际商业机器公司 | 用于联盟内软件安装的方法和设备 |
| CN101689991A (zh) * | 2007-06-25 | 2010-03-31 | 微软公司 | 通过非安全网络的设备供应和域加入仿真 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5953389A (en) | 1993-11-16 | 1999-09-14 | Bell Atlantic Network Services, Inc. | Combination system for provisioning and maintaining telephone network facilities in a public switched telephone network |
| US5999711A (en) * | 1994-07-18 | 1999-12-07 | Microsoft Corporation | Method and system for providing certificates holding authentication and authorization information for users/machines |
| US6253327B1 (en) * | 1998-12-02 | 2001-06-26 | Cisco Technology, Inc. | Single step network logon based on point to point protocol |
| US6880002B2 (en) | 2001-09-05 | 2005-04-12 | Surgient, Inc. | Virtualized logical server cloud providing non-deterministic allocation of logical attributes of logical servers to physical resources |
| US7571467B1 (en) * | 2002-02-26 | 2009-08-04 | Microsoft Corporation | System and method to package security credentials for later use |
| US20050246529A1 (en) * | 2004-04-30 | 2005-11-03 | Microsoft Corporation | Isolated persistent identity storage for authentication of computing devies |
| US8146142B2 (en) * | 2004-09-03 | 2012-03-27 | Intel Corporation | Device introduction and access control framework |
| US7555596B2 (en) | 2004-12-10 | 2009-06-30 | Microsoft Corporation | Systems and methods for attaching a virtual machine virtual hard disk to a host machine |
| US20060294580A1 (en) * | 2005-06-28 | 2006-12-28 | Yeh Frank Jr | Administration of access to computer resources on a network |
| US20070118646A1 (en) * | 2005-10-04 | 2007-05-24 | Computer Associates Think, Inc. | Preventing the installation of rootkits on a standalone computer |
| AU2006303992A1 (en) * | 2005-10-11 | 2007-04-26 | Citrix Systems, Inc. | Systems and methods for facilitating distributed authentication |
| US20070271453A1 (en) * | 2006-05-19 | 2007-11-22 | Nikia Corporation | Identity based flow control of IP traffic |
| US8019632B2 (en) | 2006-10-16 | 2011-09-13 | Accenture Global Services Limited | System and method of integrating enterprise applications |
| US8281378B2 (en) * | 2006-10-20 | 2012-10-02 | Citrix Systems, Inc. | Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation |
| US8327132B2 (en) * | 2007-02-26 | 2012-12-04 | Microsoft Corporation | Automated certificate provisioning for non-domain-joined entities |
| US8019812B2 (en) | 2007-04-13 | 2011-09-13 | Microsoft Corporation | Extensible and programmable multi-tenant service architecture |
| US9317274B2 (en) * | 2008-08-06 | 2016-04-19 | Lenovo (Singapore) Pte. Ltd. | Apparatus, system and method for integrated customization of multiple disk images independent of operating system type, version or state |
| US8495719B2 (en) * | 2008-10-02 | 2013-07-23 | International Business Machines Corporation | Cross-domain access prevention |
| US8302165B2 (en) * | 2009-11-03 | 2012-10-30 | Microsoft Corporation | Establishing trust relationships between computer systems |
-
2010
- 2010-05-11 US US12/777,266 patent/US8370905B2/en not_active Expired - Fee Related
-
2011
- 2011-05-10 CN CN201110128811.6A patent/CN102244656B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1953393A (zh) * | 2005-10-20 | 2007-04-25 | 国际商业机器公司 | 用于联盟内软件安装的方法和设备 |
| CN101689991A (zh) * | 2007-06-25 | 2010-03-31 | 微软公司 | 通过非安全网络的设备供应和域加入仿真 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102244656A (zh) | 2011-11-16 |
| US8370905B2 (en) | 2013-02-05 |
| US20110283104A1 (en) | 2011-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102244656B (zh) | 域访问系统 | |
| EP2156610B1 (en) | Managing network components using usb keys | |
| CN108028845B (zh) | 使用导出凭证注册企业移动装置管理服务的系统和方法 | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| CN101366233B (zh) | 用于管理无线网络中安全密钥的方法和系统 | |
| US7313819B2 (en) | Automated establishment of addressability of a network device for a target network environment | |
| US9003485B2 (en) | Systems and methods for the rapid deployment of network security devices | |
| CN101669128B (zh) | 级联认证系统 | |
| CN101277215B (zh) | 通过端口代理中继实现远程设备监控管理的系统和方法 | |
| CN102859935A (zh) | 利用虚拟机远程维护电子网络中的多个客户端的系统和方法 | |
| KR20110040691A (ko) | 네트워크 자원들을 관리하는 장치 및 방법 | |
| CN102446106A (zh) | 应用程序的安装管理方法、服务器和终端 | |
| CN106549976B (zh) | 一种适用于透明计算系统的用户身份认证方法及系统配置方法 | |
| US10462137B2 (en) | Secure confirmation exchange for offline industrial machine | |
| WO2014120436A2 (en) | Framework for provisioning devices with externally acquired component-based identity data | |
| WO2021061419A1 (en) | Template-based onboarding of internet-connectible devices | |
| CN106464739A (zh) | 保护与增强的媒体平台的通信 | |
| CN106899542B (zh) | 安全接入方法、装置及系统 | |
| EP2810206A1 (en) | Selection of a configuration link to receive activation data | |
| US11006278B2 (en) | Managing network resource permissions for applications using an application catalog | |
| KR20150030047A (ko) | 애플리케이션 인증 방법 및 그 시스템 | |
| JP2016095597A (ja) | 配備制御プログラム、配備制御装置及び配備制御方法 | |
| US11711366B2 (en) | Scalable onboarding for internet-connected devices | |
| CN111049785B (zh) | 一种门户Portal认证方法及装置 | |
| Trammel et al. | Device token protocol for persistent authentication shared across applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150805 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150805 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160120 Termination date: 20210510 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |