CN102930231A - 管理策略 - Google Patents
管理策略 Download PDFInfo
- Publication number
- CN102930231A CN102930231A CN2012103905730A CN201210390573A CN102930231A CN 102930231 A CN102930231 A CN 102930231A CN 2012103905730 A CN2012103905730 A CN 2012103905730A CN 201210390573 A CN201210390573 A CN 201210390573A CN 102930231 A CN102930231 A CN 102930231A
- Authority
- CN
- China
- Prior art keywords
- strategy
- preparing
- storage
- production
- prepare
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/061—Improving I/O performance
- G06F3/0613—Improving I/O performance in relation to throughput
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
- G06F3/0659—Command handling arrangements, e.g. command buffers, queues, command scheduling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
- G06F3/0674—Disk device
- G06F3/0676—Magnetic disk device
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本文所描述的主题的各方面涉及管理策略。在各个方面,使用筹划存储来存储不被应用于计算机系统的策略,除非或直到它们被复制或以其它方式导入到生产存储。配置实体被允许对筹划存储的读/写访问,但不被允许对生产存储的写访问。策略管理器被授权对筹划存储读访问以及对生产存储写访问。策略管理器可批准或拒绝筹划中的策略。如果策略管理器批准筹划中的策略,则策略管理器可从筹划中的策略中导出生产策略并将生产策略存储在生产存储中。一旦策略处于生产存储中,则策略可在适当时被应用于一个或多个实体。
Description
技术领域
本发明涉及管理策略。
背景技术
决定计算机系统的策略的人可能与创建实施该计算机系统的对象的不是同一人。此外,创建、管理或决定对象的人可能与被准许配置计算机系统以应用该对象实施的策略的不是同一人。授权策略决定者或策略对象创建者配置计算机系统以执行策略可能会削弱计算机系统的安全性,增加由不佳的配置选择引起的性能问题的方向,违反规章或公司政策,或具有其它可能的负面后果。
在此要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的各个实施例。相反,提供该背景仅用以示出在其中可实践在此描述的部分实施例的一个示例性技术领域。
发明内容
简言之,此处所描述的主题的各方面涉及管理策略。在各个方面,使用筹划存储来存储不被应用于计算机系统的策略,除非或直到它们被复制或以其它方式导入到生产存储。配置实体被允许对筹划存储的读/写访问,但不被允许对生产存储的写访问。策略管理器被授权对筹划存储读访问以及对生产存储写访问。策略管理器可批准或拒绝筹划中的策略。如果策略管理器批准筹划中的策略,则策略管理器可从筹划中的策略中导出生产策略并将生产策略存储在生产存储中。一旦策略处于生产存储中,则策略可在适当时被应用于一个或多个实体。
附图说明
图1是表示其中可结合此处所描述主题的各方面的示例性通用计算环境的框图;
图2是概括地表示根据此处所描述主题的各方面的环境的框图;以及
图3-6是根据此处所描述的主题的各方面的概括地表示可发生的示例性动作的流程图。
具体实施方式
定义
如此处所使用的,术语“包括”及其变体被当作开放式术语,表示“包括但不限于”。除非上下文清楚地指示出,否则术语“或”被当作“和/或”。术语“基于”被当作“至少部分基于”。术语“一个实施例”和“一实施例”被当作“至少一个实施例”。术语“另一实施例”被当作“至少一个其他实施例”。
如本文所使用的,诸如“一”和“该”等术语包括了所指示的项或动作中的一个或多个。具体而言,在权利要求书中,对某一项的引用一般表示存在至少一个这样的项,并且对一动作的引用表示执行该动作的至少一个示例。在权利要求中或本文的其它处使用的词组“一个或多个”并不暗示对以上术语的不同定义,即使出现在使用了以上术语中的一个或多个的权利要求、句子或段落中。
本文中有时可使用术语“第一”、“第二”、“第三”等等。没有其他上下文,权利要求中对这些术语的使用不意在暗示排序,而是用于标识的目的。例如,短语“第一版本”和“第二版本”不一定意味着第一版本是真正的第一个版本或是在第二版本之前创建的,或甚至是第一版本是在第二版本之前被请求或操作的。相反,这些短语用于标识不同的版本。
标题是仅出于方便起见的;关于给定话题的信息可在其标题指示该话题的节之外找到。
其他显式或隐式定义可包括在下文中。
示例性操作环境
图1示出可在其上实现此处所描述主题的各方面的合适的计算系统环境100的示例。计算系统环境100仅为合适的计算环境的一个示例,并非旨在对此处所描述主题的各方面的使用范围或功能提出任何限制。也不应该将计算环境100解释为对示例性操作环境100中示出的任一组件或其组合有任何依赖性或要求。
此处所描述的主题的各方面可与众多其他通用或专用计算系统环境或配置一起操作。可适用于这里所述的主题的各方面的已知计算系统、环境或配置的例子包括个人计算机、服务器计算机、手持或膝上型设备、多处理器系统、基于微控制器的系统、机顶盒、可编程消费电子设备、网络PC、微型计算机、大型计算机、个人数字助理(PDA)、游戏设备、打印机、包括机顶盒,媒体中心或其他家电的家电设备、嵌入汽车或附加到汽车的计算设备、其他移动设备、包括任何上述系统或设备的分布式计算环境等等。
此处所描述主题的各方面可在由计算机执行的诸如程序模块等计算机可执行指令的一般上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。此处所描述的主题的各方面也可以在其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境中实现。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地和远程计算机存储介质中。
参考图1,用于实现此处所描述主题的各方面的示例性系统包括计算机110形式的通用计算设备。计算机可包括能够执行指令的任何电子设备。计算机110的组件可包括处理单元120、系统存储器130以及将包括系统存储器的各类系统组件耦合至处理单元120的系统总线121。系统总线121可以是若干类型的总线结构中的任一种,包括使用各种总线体系结构中的任一种的存储器总线或存储器控制器、外围总线、以及局部总线。作为示例,而非限制,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线、也称为夹层(Mezzanine)总线的外围部件互连(PCI)总线、扩展外围部件互连(PCI-X)总线、高级图形端口(AGP)、以及快速PCI(PCIe)。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是能由计算机110访问的任何可用介质,并包含易失性和非易失性介质以及可移动、不可移动介质。作为示例而非限制,计算机可读介质可包括计算机存储介质和通信介质。
计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期望的信息并可由计算机110访问的任一其它介质。
通信介质通常以诸如载波或其他传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并包括任何信息传送介质。术语“已调制数据信号”是指具有以在信号中编码信息的方式被设定或改变其一个或多个特征的信号。作为示例而非限制,通信介质包括有线介质,诸如有线网络或直接线连接,以及无线介质,诸如声学、RF、红外线和其它无线介质。上面各项中的任何项的组合也应该包括在计算机可读介质的范围内。
系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质,如只读存储器(ROM)131和随机存取存储器(RAM)132。包含诸如在启动期间帮助在计算机110内的元件之间传输信息的基本例程的基本输入/输出系统133(BIOS)通常储存储在ROM 131中。RAM 132通常包含处理单元120可立即访问和/或当前正在操作的数据和/或程序模块。作为示例而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110也可以包括其他可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图1示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器141,从可移动、非易失性磁盘152中读取或向其写入的磁盘驱动器151,以及从诸如CD ROM或其它光学介质等可移动、非易失性光盘156中读取或向其写入的光盘驱动器155。可以在该示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括磁带盒、闪存卡、数字多功能盘、其他光盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器141可以通过如接口140与系统总线121相连,且磁盘驱动器151和光盘驱动器155可以用如接口150这样的可移动非易失性存储器的接口与系统总线121相连。
以上讨论并在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提供了对计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,硬盘驱动器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意,这些组件可与操作系统134、应用程序135、其他程序模块136和程序数据137相同,也可与它们不同。操作系统144、应用程序145、其他程序模块146和程序数据147在这里被标注了不同的附图标记是为了说明至少它们是不同的副本。
用户可以通过输入设备,如键盘162和定点设备161(通常被称为鼠标、跟踪球或触摸垫)向计算机110输入命令和信息。其它输入设备(未示出)可包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪、触敏屏、写字板等。这些以及其他输入设备通常通过耦合到系统总线的用户输入接口160连接到处理单元120,但也可通过诸如并行端口、游戏端口或通用串行总线(USB)之类的其他接口和总线结构来连接。
监视器191或其他类型的显示设备也通过诸如视频接口190之类的接口连接至系统总线121。除了监视器以外,计算机还可包括诸如扬声器197和打印机196之类的其他外围输出设备,它们可通过输出外围接口195来连接。
计算机110可使用到一个或多个远程计算机(诸如,远程计算机180)的逻辑连接而在联网环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见网络节点,且通常包括上文相对于计算机110描述的许多或所有元件,但在图1中只示出存储器存储设备181。图1中所示的逻辑连接包括局域网(LAN)171和广域网(WAN)173,但也可以包括其它网络。这样的联网环境常见于办公室、企业范围计算机网络、内联网和因特网中。
当在LAN联网环境中使用时,计算机110通过网络接口或适配器171连接到LAN 170。当在WAN联网环境中使用时,计算机110可包括调制解调器172或用于通过诸如因特网等的WAN 173来建立通信的其它装置。可为内置或可为外置的调制解调器172可以经由用户输入接口160或其他合适的机构连接至系统总线121。在联网环境中,相对于计算机110所示的程序模块或其部分可被存储在远程存储器存储设备中。作为示例而非限制,图1示出了远程应用程序185驻留在存储器设备181上。应当理解,所示的网络连接是示例性的,并且可使用在计算机之间建立通信链路的其他手段。
管理策略
如以上所提到的,计算机系统的策略可涉及多人。授权每个人配置计算机系统以应用策略可能是不希望的。
图2是概括地表示根据此处所描述主题的各方面的环境的框图。图2中示出的实体是示例性的且不意味着包括一切的可能需要或包括的实体。在其他实施例中,结合图2描述的实体可被包括在其他实体(示出或未示出)中或者被放置在子实体中而不背离此处所描述的主题的各方面的精神或范围。在某些实施例中,结合图2所描述的实体和/或功能可跨多个设备分布。
图2中示出的被用来访问生产存储213和筹划存储212的计算机210-211以及任何其它计算机(如果有的话)可使用一个或多个计算设备来实现。这些设备可包括,例如,个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微控制器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、蜂窝电话、个人数字助理(PDA)、游戏设备、打印机、包括机顶盒、媒体中心或其他电器在内的电器、汽车嵌入式或附连的计算设备、其他移动设备、包括以上系统或设备中的任一种的分布式计算环境等。
可被配置成实现图2的计算机210-211的示例性设备包括图1的计算机110。
使用配置计算机211的用户界面,用户205(例如,配置管理员或诸如此类)可定义实施筹划中的策略的对象。定义对象可包括执行会导致对象的创建的各个动作。例如,用户205可配置一些设置,这些设置随后被转换到策略对象中。在一个示例中,筹划策略对象可由策略管理器206来创建或初始定义,并且用户205可以被准许修改由筹划中的策略对象所实施的策略。此后,术语策略常被用来指代实施该策略的对象或其它数据,除非上下文指示不这样做。
策略可包括将被应用于一个或多个用户、机器或其它实体的一个或多个设置。策略可指示将被用于可选地配置计算机的偏好。例如,策略可包括当配置缺失或在计算机上不完整时可被用于配置的偏好。策略可指示实体能做什么以及不能做什么。例如,策略可指示用户不被允许下载可执行文件。作为另一示例,策略可指示对特定文件夹的受限访问。作为另一示例,策略可指示用户可执行什么操作系统组件,什么图标将被显示在桌面,用户被允许执行什么程序,等等。作为另一示例,策略可指示用来执行安全网络连接的配置数据和规则。
以上的示例并不意图详尽或穷尽地表明策略可指示什么。事实上,策略可包括待应用于一个或多个用户或其它实体的其它类型的数据,而不违背本文所描述的主题的各方面的精神或范围。
在一个实施例中,用户205可拥有读取和写入筹划存储215中的对象的权利。在另一实施例中,用户205可具有读取来自生产存储216的对象的额外的权利。策略管理器206可具有上述权利(或至少对筹划存储215的读取能力)和对生产存储216的额外的写入能力。具有上述权利,在一个实施例中,用户205可读取和改变筹划中的策略212但不能读取或改变生产策略213。在一个实施例中,用户205还可能够读取生产策略213以获取筹划中的策略212的位置。
在其中用户205具有读取和写入筹划存储215中的对象的权利但不具有读取或写入生产存储216的权利的实施例中,可忽略从生产策略213到配置计算机211的通信线。在这一实施例中,配置计算机211可从存储在配置计算机211、运行时计算机210、或者另一数据存储(未示出)中的数据获取筹划中的策略212的位置。
策略管理器206可包基于在计算设备上执行的程序来批准或拒绝筹划中的策略的计算设备(例如,如计算机210-211中的一个)、可批准或拒绝策略的域管理员或其它人、计算设备和域管理员或其它人的组合,等等。策略管理器206还可从如以下将更详细描述筹划中的策略中导出生产策略。
存储215-216可包括能够存储数据的任意存储介质。存储215-216可包括易失性存储器(例如高速缓存)、非易失性存储器(例如持久存储)、结合图1描述的存储介质等等。在一个实施例中,存储215-216可经由因特网(例如,如云存储)访问。
术语“数据”要被宽泛地看作包括可由一个或多个计算机存储元素表示的任何东西。逻辑上,数据可被表示成易失性或非易失性存储器中的一系列1和0。在具有非二进制存储介质的计算机中,数据可根据存储介质的能力来表示。数据可被组织成不同类型的数据结构,包括诸如数字、字母等之类的简单数据类型,分层、链接或其他相关数据类型、包括多个其他数据结构或简单数据类型的数据结构等等。数据的某些例子包括信息、程序代码、程序状态、程序数据、其他数据等等。
在一个实施例中,生产存储216和筹划存储215可以是同一存储的一部分。在这一实施例中,生产策略可以通过它们的名称、位置(例如,文件夹、数据库表或其它数据库对象,等等)、元数据、或关于策略的或包含在策略中的其它数据来与筹划策略进行区分。
筹划存储215可用来根据与筹划存储215相关联的权利来提供对筹划策略212的访问。这些权利可允许配置实体(例如,用户205、配置计算机211、或其它实体)从筹划存储215读取筹划中的策略并且将筹划中的策略写入筹划存储215。筹划存储215上包含的策略不被允许应用,直到策略的副本被存储到生产存储216上。
生产存储216可用来根据与生产策略213相关联的访问权利来提供对生产策略213的访问。生产存储216与不允许上文提到的配置实体写入生产存储216的权利相关联。
策略管理器206可用来从筹划中的策略中导出生产策略并且将生产策略存储到生产存储中。策略管理器206至少具有对生产存储216的写入访问。
如本文所使用的,数据库可包括关系数据库、面向对象的数据库、分层数据库、网络数据库、文件夹服务的组策略的二进制文件、其它类型的数据库、上述的某种组合或扩展等。可将存储于数据库中的数据组织为表格、记录、对象、其他数据结构等。可将存储于数据库中的数据存储在专用数据库文件、专用硬盘分区、HTML文件、XML文件、电子数据表、平面文件、文档文件、配置文件、其他文件等中。数据库可引用对数据库只读的一组数据,或者可具有向该组数据读和写的能力。
可经由数据库管理系统(DBMS)来访问数据库中的数据。DBMS可包括一个或多个程序,其控制数据库的数据的组织、存储、管理和检索。DBMS可接收访问数据库中的数据的请求,并可执行提供该访问所需要的操作。此处使用的访问可包括读数据、写数据、删除数据、更新数据、以及包括以上两个或更多个的组合等。
在描述本文所描述的主题的各方面的时,为简洁起见,本文有时候使用与关系数据库相关联的术语。尽管本文有时候使用关系数据库术语,但也可将本文的技术应用到其它类型的数据库,包括之前已经提到的那些。
在另一实施例中,生产存储216以及筹划存储是两个不同的存储。
筹划策略212不被应用在域或其它组织单位的计算机(例如,运行时计算机210)上。然而,从筹划中的策略212中导出的生产策略213可被应用于域或其它组织单位的一个或多个计算机。在一个实施例中,生产策略213可仅由被准许写入生产存储216的管理员或其它实体来创建、更新、或删除。在一个示例中,策略管理器206具有这种准许并且可根据筹划中的策略212创建/更新生产策略213。术语“导出”及其变体有时在本文中被用来指示生产策略是根据筹划中的策略来创建或更新的。
在一个示例中,策略管理器206可通过将筹划中的策略212导出到文件中并将导出的文件导入到生产存储216中来从筹划中的策略212导出生产策略213。在另一示例中,策略管理器206可通过将筹划中的策略212复制到生产存储216的目录中来从筹划中的策略212导出生产策略213。在另一实施例中,策略管理器可通过更新包含生产策略213的数据库来从筹划中的策略212导出生产策略213。
以上的示例不意图详尽地或穷尽地表明从筹划中的策略212导出生产策略213的方法。基于此处的教示,本领域技术人员可认识到从筹划中的策略212导出生产策略213的其它方法,而不背离此处所描述的主题的各方面的精神或范围。
在从筹划中的策略212导出生产策略213之前,策略管理器206可验证筹划中的策略212以确保应用将从筹划中的策略212导出的生产策略是安全的。这一验证可包括检查筹划中的策略212的规则、检查其它策略的规则、检查筹划中的策略212的其它数据等等。
被包含在生产存储216中的策略在适当时被应用于计算机、用户、或计算环境的其它实体。例如,从筹划策略212导出的生产策略213可被应用于运行时计算机210。另外,存储在生产存储216中的生产策略可由配置计算机211读取,并被用来获取筹划中的策略212存储在哪里的指示,如以下示出的。
在一个实施例中,生产策略213可包括筹划中的策略212存储在哪里的指示。例如,生产策略213可包括指向筹划中的策略212的指针。作为另一示例,生产策略213可包括筹划存储215的路径。这一路径可指示筹划中的策略212存储在哪里。作为另一示例,生产策略213可包括筹划中的策略212的名称。作为另一示例,生产策略213可包括数据库对象的标识符以供读取和写入筹划中的策略时使用。
在另一实施例中,配置计算机211可(例如,在高速缓存或其它存储器中)存储指向筹划中的策略212的指针或从运行时计算机210获取该指针。在这一实施例中,配置计算机211可获取筹划策略212的位置而不从生产存储216读取。
在下文中,术语“指针”被用来指代可被用于定位筹划中的策略212的任何数据,可以理解,指针可包括可用于标识筹划中的策略212存储在哪里的任何数据。
寻求修改生产策略213的用户可检索生产策略213。如果存在与生产策略213相关联的非空筹划策略(例如,筹划中的策略212),则配置计算机211可显示对应于筹划中的策略的用户界面以允许用户对筹划中的策略进行修改。否则,配置计算机211可显示对应于生产策略213的副本的用户界面,用户可对生产策略213的副本进行修改,并且当副本被保存时,它被保存为对应于生产策略213的筹划中的策略(例如,筹划中的策略212)。
在另一实施例中,筹划中的策略212的位置可被存储在可由配置计算机访问的数据库中(例如,位于运行时计算机210上的数据存储)。在这一实施例中,为了修改筹划中的策略212,配置计算机211可访问数据库并检索筹划中的策略212的位置。使用该位置,配置计算机211可从筹划存储215检索筹划中的策略212并允许用户经由用户界面修改筹划中的策略212。
在改变筹划中的策略之后,用户205可通知策略管理器206该筹划中的策略已准备好被应用。作为响应,策略管理器206可验证筹划中的策略并如上所述的从筹划中的策略212导出生产策略213。
在一个实施方式中,策略管理器206可创建筹划中的策略并向用户205指示该筹划中的策略存储在哪里。用户205随后可根据需要修改筹划中的策略,并在筹划中的策略准备好被用于创建生产策略时通知策略管理器206。
在一个实施方式中,存在与一个策略相关联的多个对象。例如,筹划中的策略212可被实现为存储服务器配置数据的对象、存储客户机配置数据的对象、存储其它设备配置数据的对象、其它对象等等。可从这些对象中的每一个导出相应对象以实施生产策略213。例如,策略管理器206可验证这些对象的每一个并将其从筹划存储215复制到生产存储216。策略管理器206用来复制对象的程序可确保:要么与筹划中的策略相关联的所有对象被从筹划存储215复制到生产存储216,要么没有一个与筹划中的策略相关联的对象被复制。这可被实现,例如,以确保在不同域、单个域或其它组织单位的不同实体间应用生产策略时的一致性。
在实施策略时,可依赖于策略将被实施于其上的目标来使用生产策略的适当对象。
在另一实施方式中,存在与一个策略相关联的单个对象。例如,可扩展语言标记(XML)文档可对策略编码并指示哪些规则或其它配置数据可被应用于什么类型的对象。接收文档的目标可随后应用适当的规则和/或其它配置数据。
图3-6是根据此处所描述的主题的各方面的概括地表示可发生的示例动作的流程图。为解释简明起见,结合图3-6描述的方法被描绘和描述为一系列动作。可以理解和明白,此处所描述的主题的各方面不受所示出的动作和/或动作次序的限制。在一个实施例中,动作以如下描述的次序发生。然而,在其它实施例中,动作可以并行地发生,以另一次序发生,和/或与此处未呈现和描述的其它动作一起发生。此外,并非所有示出的动作都是实现根据此处所描述的主题的各方面的方法所必需的。另外,本领域的技术人员将了解和明白,方法也可以替代地经由状态图或作为事件表示为一系列相互相关联的状态。
转向图3,在框305处,动作开始。在框310,接收标识用于存储筹划中的策略的筹划存储的指示。筹划存储与允许配置实体从筹划存储读取筹划中的策略并将筹划中的策略写入筹划存储的权利相关联。筹划存储可用于存储不被允许应用的一个或多个策略,直到该一个或多个策略被存储在生产存储上。
例如,参考图2,配置计算机211可接收标识筹划中的策略的名称的指针。这一名称可随后被用来定位筹划中的策略的筹划存储。
作为另一实例,接收筹划存储的指示可包括接收标识用于读取和写入筹划中的策略的路径。例如,参考图2,配置计算机211可接收标识用于读取和希尔筹划中的策略212的位置的文件路径、资源名称、或其它路径。
作为另一示例,接收筹划存储的指示可包括接收用于读取和写入筹划中的策略212的数据库对象的标识符(例如,一行表格的密钥、指向数据库对象的指针、或诸如此类)。在这一示例中,数据库可包括筹划存储。数据库可以是对配置计算机211(例如,配置计算机的注册表或其它本地数据库)本地的(例如,位于计算机所主控的存储设备上),或者可以是对配置计算机211远程的(例如,在运行时计算机的注册表或其它数据库中)但可经由网络、其它通信链接等访问的。
作为另一示例,接收筹划存储的指示可包括接收来自生产策略的指示。例如,参考图2,配置计算机211可接收来自生产策略213的对筹划策略212的筹划存储215的指示。
回到图3,在框315,筹划中的策略被保存到筹划存储。例如,参考图2,配置计算机211可呈现允许用户205创建/改变筹划中的策略的用户界面。在做出任何想要的修改之后,用户205可指示配置计算机211保存该策略。作为响应,配置计算机211可将筹划中的策略212保存到筹划存储215。
在框320,筹划中的策略被提供给策略管理器。例如,参考图2,在配置计算机已将筹划中的策略212保存在筹划存储215中之后,策略管理器206可接收筹划中的策略212准备好供审阅的通知。筹划中的策略212可经由配置工具的用户界面被提供给例如管理员,该用户界面允许管理员审阅筹划中的策略212并确定批准还是拒绝该筹划中的策略212。
在框325,生产策略可从筹划中的策略导出。例如,参考图2,策略管理器206可准备将筹划中的策略212从筹划存储215复制到生产存储216以形成生产策略213。作为另一示例,策略管理器206可将筹划中的策略212导出到文件。
在框330,生产策略可被存储在生产存储上。例如,参考图2,如果生产管理器206批准筹划中的策略212,策略管理器206可使筹划中的策略212的副本存储在生产存储216上作为生产策略213。如之前提到的,生产存储216可与拒绝用户205写入生产存储216的访问权利相关联。
在框335,生产策略被启用以实施。启用生产策略可包括设置标志、通知实施机制该生产策略已被改变或已被创建、释放锁或其它操作系统或数据库资源、完成将筹划中的策略到生产存储的复制、指示将生产策略存储在生产存储中的存储已完成等等。
在框340处,可以执行其他动作(如果存在)。例如,参考图2,策略管理器206可确定筹划中的策略212没有被批准,并且可将该拒绝的通知发送给用户205。作为响应,用户可对筹划中的策略212进行改动以使配置计算机211经改动的筹划中的策略212存储到筹划存储215。
转向图4,在框405处,动作开始。在框410,权利被赋予配置实体。这些权利包括允许配置实体从筹划存储读取筹划中的策略的权利、允许配置实体将筹划中的策略写入筹划存储的权利。在一个实施例中,权利还可包括允许配置实体从生产存储读取生产策略的权利。这些权利不包括允许配置实体将生产策略写入生产存储的权利。例如,参考图2,系统管理员等可将上述权利赋予用户205、配置计算机211、或被允许在筹划存储215上创建筹划中的策略的某些其它实体。
在框415,权利被赋予策略管理器。这些权利包括允许策略管理器从筹划存储读取筹划中的策略的权利以及允许策略管理器将生产策略写入生产存储的权利。例如,参考图2,系统管理员等可将上述权利赋予策略管理器206。
在框420,筹划中的策略被呈现给策略管理器。例如,参考图2,筹划中的策略212可以被呈现给策略管理器206供审阅。
在框425,关于策略的请求被接收并在适当时响应。结合图5和图6描述了两个示例请求组及其响应。
在框430处,可以执行其他动作(如果存在)。
图5是概括地表示根据此处所描述主题的各方面的、可在创建或更新生产存储上的生产策略时进行的示例性动作的流程图。在框505,动作开始。
在框510,从生产管理器接收到将生产策略存储到生产存储上的请求。例如,参考图2,存储216可接收将生产策略213存储到生产存储216上的请求。
在框515,响应于接收到请求,在检查请求者的权利之后,生产策略可被存储到生产存储上。例如,参考图2,响应于接收到请求,且在检查请求者的权利之后,生产策略213可被存储到生产存储216上。
在框520处,生产策略可以被实施。例如,参考图5,生产策略213可在运行时计算机210上实施。这一实施可包括配置运行时计算机210来实施生产策略213。
在框525处,可以执行其他动作(如果存在)。
图6是概括地表示根据此处所描述主题的各方面的、可在创建或跟新筹划中的策略时进行的示例性动作的流程图。在框605,动作开始。
在框610,从配置实体接收读取生产策略的请求。例如,参考图2,配置计算机211可请求将生产策略213存储到生产存储216上。
在框615,响应于请求,可向请求的实体提供读访问权限。例如,参考图2,对生产策略的读访问权限可被赋予配置计算机211。
在另一实施例中,框610和615的动作可被忽略。在这一实施例中,可从配置计算机211的数据存储(例如,高速缓存、存储,或其它存储器或注册表或其它数据库)或运行时计算机210的数据库读取指针,并且由配置计算机211高速缓存在配置计算机211的高速缓存中。
在框620,从配置实体接收读取筹划中的策略的请求。例如,参考图2,在获取生产策略213之后,配置计算机211可确定对应的筹划中的策略是筹划存储215的筹划中的策略212。配置计算机211可随后请求读取筹划中的策略212。
在框625,响应于请求,向配置实体提供读取筹划中的策略的访问权限。例如,参考图2,配置计算机211被赋予读取筹划存储215的筹划中的策略212的访问权限。
在框630,接收将更新后的筹划中的策略写入筹划存储的请求。例如,参考图2,在接收筹划中的策略212之后,用户205可使用配置计算机211(例如,经由用户或其它界面)来更新筹划中的策略212。
在框635,响应于请求,向配置实体提供将更新后的筹划中的策略写入筹划存储的访问权限。例如,参考图2,配置计算机211被允许将更新后的筹划中的策略212写入筹划存储215。
在框640处,可以执行其他动作(如果存在)。
尽管本文所描述的主题的各方面易于作出各种修改和替换构造,但其某些说明性实施例在附图中示出并在上面被详细地描述。然而,应当理解,并不旨在将所要求保护主题的各方面限制于所公开的具体形式,而是相反地,目的是要覆盖落入本文所描述的主题的各方面的精神和范围之内的所有修改、替换构造和等效方案。
Claims (10)
1.一种至少部分地由计算机实现的方法,所述方法包括:
接收(310)筹划存储用于存储筹划中的策略的指示,所述筹划存储与权利相关联,所述权利允许配置实体从所述筹划存储读取筹划中的策略以及将筹划中的策略写入所述筹划存储,所述筹划存储能够用于存储不允许被应用的一个或多个策略,直到所述一个或多个策略被存储在生产存储上;
将筹划中的策略保存(315)到所述筹划存储;
从所述筹划中的策略导出(325)生产策略;
将所述生产策略存储(330)在所述生产存储上,所述生产存储与拒绝所述配置实体写入所述生产存储的访问权利相关联;以及
启用(335)所述生产策略以被应用。
2.如权利要求1所述的方法,其特征在于,接收筹划存储用于存储筹划中的策略的指示包括:接收标识用于读取和写入筹划策略的位置的路径。
3.如权利要求1所述的方法,其特征在于,接收筹划存储用于存储筹划中的策略的指示包括:接收用于读取和写入筹划策略的数据库对象的标识符。
4.如权利要求1所述的方法,其特征在于,接收筹划存储用于存储筹划中的策略的指示包括:从运行时计算机本地的数据库接收所述配置实体正尝试进行配置的指示。
5.如权利要求1所述的方法,其特征在于,所述方法还包括将所述筹划中的策略提供给具有将策略写入所述生产存储的权利的用户。
6.如权利要求1所述的方法,其特征在于,所述方法还包括接收所述筹划中的策略未被批准的指示、加载来自所述筹划存储的筹划中的策略、接收对所述筹划中的策略的改动,以及将经改动的筹划中的策略存储到所述筹划存储。
7.一种在计算环境中的系统,包括:
能够用于提供对筹划中的策略的访问的筹划存储(215),所述筹划存储与权利相关联,所述权利允许配置实体从所述筹划存储读取筹划中的策略以及将筹划中的策略写入所述筹划存储,所述筹划存储能够用于提供对不允许被应用的一个或多个策略的访问,直到所述一个或多个策略被存储在生产存储上;
能够用于提供对生产策略的访问的生产存储(216),所述生产存储与不允许所述配置实体写入所述生产存储的权利相关联;以及
能够用于从所述筹划中的策略导出所述生产策略并将所述生产策略存储到所述生产存储的策略管理器(206),所述策略管理器至少具有对所述生产存储的写入访问权限。
8.如权利要求7所述的系统,其特征在于,所述配置实体包括配置计算机,所述配置计算机能够用于提供用户界面,用户被允许通过所述用户界面来定义所述筹划中的策略。
9.如权利要求8所述的系统,其特征在于,所述配置计算机还能够用于访问运行时计算机本地的数据库以确定所述筹划存储的位置。
10.一种具有计算机可执行指令的计算机存储介质,所述计算机可执行指令在被执行时执行以下动作,包括:
将第一组权利授予(410)配置实体,所述权利包括允许所述配置实体从筹划存储中读取筹划中的策略的权利,以及允许所述配置实体将所述筹划中的策略从生产存储写入所述筹划存储的权利,所述权利不包括允许所述配置实体将所述生产策略写入所述生产存储的权利,所述筹划存储能够用于存储不被允许应用的一个或多个策略,直到所述一个或多个策略被存储在所述生产存储上;
将第二组权利授予(415)策略管理器,所述权利包括允许所述策略管理器从所述筹划存储读取所述筹划中的策略的权利,以及允许所述策略管理器将所述生产策略写入所述生产存储的权利;
从所述策略管理器接收(510)将所述生产策略存储到所述生产存储上的请求;以及
响应于接收到所述请求,将所述生产策略存储(515)到所述生产存储上。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/273,202 | 2011-10-13 | ||
| US13/273,202 US9329784B2 (en) | 2011-10-13 | 2011-10-13 | Managing policies using a staging policy and a derived production policy |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102930231A true CN102930231A (zh) | 2013-02-13 |
| CN102930231B CN102930231B (zh) | 2016-08-03 |
Family
ID=47645028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210390573.0A Active CN102930231B (zh) | 2011-10-13 | 2012-10-15 | 管理策略 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9329784B2 (zh) |
| EP (1) | EP2766845A4 (zh) |
| CN (1) | CN102930231B (zh) |
| HK (1) | HK1180797A1 (zh) |
| WO (1) | WO2013055712A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113614725A (zh) * | 2019-03-15 | 2021-11-05 | 微软技术许可有限责任公司 | 数据位置和政策遵守中的用户选择 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9680872B1 (en) | 2014-03-25 | 2017-06-13 | Amazon Technologies, Inc. | Trusted-code generated requests |
| US9854001B1 (en) * | 2014-03-25 | 2017-12-26 | Amazon Technologies, Inc. | Transparent policies |
| US10187473B2 (en) * | 2016-04-29 | 2019-01-22 | Intuit Inc. | Gateway policy enforcement and service metadata binding |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040083386A1 (en) * | 2002-10-28 | 2004-04-29 | Bertrand Marquet | Non-repudiable distributed security policy synchronization |
| US6978379B1 (en) * | 1999-05-28 | 2005-12-20 | Hewlett-Packard Development Company, L.P. | Configuring computer systems |
| US20070156691A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | Management of user access to objects |
| US20090178111A1 (en) * | 1998-10-28 | 2009-07-09 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
| US20090254972A1 (en) * | 2001-12-12 | 2009-10-08 | Guardian Data Storage, Llc | Method and System for Implementing Changes to Security Policies in a Distributed Security System |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6466932B1 (en) | 1998-08-14 | 2002-10-15 | Microsoft Corporation | System and method for implementing group policy |
| US7398529B2 (en) | 2001-03-09 | 2008-07-08 | Netiq Corporation | Method for managing objects created in a directory service |
| US7890990B1 (en) | 2002-12-20 | 2011-02-15 | Klimenty Vainstein | Security system with staging capabilities |
| US7607164B2 (en) | 2004-12-23 | 2009-10-20 | Microsoft Corporation | Systems and processes for managing policy change in a distributed enterprise |
| JP4376233B2 (ja) * | 2005-02-04 | 2009-12-02 | 株式会社エヌ・ティ・ティ・ドコモ | クライアント装置、デバイス検証装置及び検証方法 |
| US7747647B2 (en) | 2005-12-30 | 2010-06-29 | Microsoft Corporation | Distributing permission information via a metadirectory |
| WO2010067535A1 (ja) | 2008-12-08 | 2010-06-17 | 日本電気株式会社 | 個人情報交換システム、個人情報提供装置、そのデータ処理方法、およびそのコンピュータプログラム |
-
2011
- 2011-10-13 US US13/273,202 patent/US9329784B2/en active Active
-
2012
- 2012-10-10 WO PCT/US2012/059413 patent/WO2013055712A1/en active Application Filing
- 2012-10-10 EP EP12840354.0A patent/EP2766845A4/en not_active Ceased
- 2012-10-15 CN CN201210390573.0A patent/CN102930231B/zh active Active
-
2013
- 2013-07-10 HK HK13108067.6A patent/HK1180797A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090178111A1 (en) * | 1998-10-28 | 2009-07-09 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
| US6978379B1 (en) * | 1999-05-28 | 2005-12-20 | Hewlett-Packard Development Company, L.P. | Configuring computer systems |
| US20090254972A1 (en) * | 2001-12-12 | 2009-10-08 | Guardian Data Storage, Llc | Method and System for Implementing Changes to Security Policies in a Distributed Security System |
| US20040083386A1 (en) * | 2002-10-28 | 2004-04-29 | Bertrand Marquet | Non-repudiable distributed security policy synchronization |
| US20070156691A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | Management of user access to objects |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113614725A (zh) * | 2019-03-15 | 2021-11-05 | 微软技术许可有限责任公司 | 数据位置和政策遵守中的用户选择 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2766845A1 (en) | 2014-08-20 |
| US20130097653A1 (en) | 2013-04-18 |
| HK1180797A1 (zh) | 2013-10-25 |
| WO2013055712A1 (en) | 2013-04-18 |
| CN102930231B (zh) | 2016-08-03 |
| EP2766845A4 (en) | 2015-06-17 |
| US9329784B2 (en) | 2016-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102667719B (zh) | 基于资源属性控制资源访问 | |
| US9147080B2 (en) | System and methods for granular access control | |
| US8620879B2 (en) | Cloud based file storage service | |
| CN102804202B (zh) | 内容网格搜索 | |
| US7854010B2 (en) | Method and apparatus for searching rights object and mapping method and mapping apparatus for the same | |
| US8250102B2 (en) | Remote storage and management of binary object data | |
| EP3691221A1 (en) | Access permissions entitlement review | |
| US8904551B2 (en) | Control of access to files | |
| CN102567451B (zh) | 产生数据模型 | |
| US20110023007A1 (en) | Associating Workflows With Code Sections In A Document Control System | |
| CN101371490A (zh) | 用于实现上下文相关的文件安全的方法和装置 | |
| CN103608809A (zh) | 推荐数据富集 | |
| CN101772764A (zh) | 多线程业务编程库 | |
| CN104169902A (zh) | 同步本地和远程数据 | |
| US11151226B2 (en) | Managing application specific feature rights | |
| CN104598400A (zh) | 一种外设管理的方法、装置及系统 | |
| US11720607B2 (en) | System for lightweight objects | |
| CN102930231A (zh) | 管理策略 | |
| CN1705952A (zh) | 数字权利管理 | |
| JP2018063731A (ja) | デジタルエージングシステム及びその運用方法 | |
| CN101299216B (zh) | 权限管理方法、装置及系统 | |
| US10437832B2 (en) | Reconciling foreign key references and table security policies | |
| KR101570980B1 (ko) | 멀티 테넌트 환경의 공통 코드 관리 방법, 이를 수행하는 공통 코드 관리 서버 및 이를 저장하는 기록매체 | |
| CN107194238B (zh) | 一种管理访问权限的方法和装置及计算机可读存储介质 | |
| JP4166704B2 (ja) | ライフサイクル管理エンジン |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1180797 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150729 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150729 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1180797 Country of ref document: HK |