CN109246140A - 域权限管理方法、装置、计算机设备及存储介质 - Google Patents
域权限管理方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN109246140A CN109246140A CN201811255747.6A CN201811255747A CN109246140A CN 109246140 A CN109246140 A CN 109246140A CN 201811255747 A CN201811255747 A CN 201811255747A CN 109246140 A CN109246140 A CN 109246140A
- Authority
- CN
- China
- Prior art keywords
- domain
- account
- user
- permission
- failed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种域权限管理方法、装置、计算机设备及存储介质,其中,该域权限管理方法包括:获取域权限管理任务,域权限管理任务包括域权限表单ID;基于域权限表单ID对应的域权限表单,获取域权限表单中的至少一个目标条目,目标条目包括用户账号、用户属性和域权限到期时间;若任一目标条目的域权限到期时间在系统当前时间之前,则该目标条目对应的用户账号为已失效账号;若已失效账号的用户属性为常用用户,则发送重新申请域权限信息;若已失效账号的用户属性为临时用户,则在域权限表单ID中删除已失效账号对应的目标条目。该方法可保障常用用户的账号到期后可继续正常使用域权限,维护常用用户的登录安全性。
Description
技术领域
本发明涉及服务器管理领域,尤其涉及一种域权限管理方法、装置、计算机设备及存储介质。
背景技术
域(Domain)是Windows网络中独立运行的单位,域之间相互访问时需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。AD(Active Directory,活动目录)域源于微软,适用于windows系统,为企业集中化管理和信息安全提供强力保障。用户可通过AD域实现的域权限包括:1.提供域中文件夹共享,但同时又对不同用户保留不同的域权限。2.对设备限制USB接口,网络访问特定网站来实现对企业内部信息的保护和防止流失。3.个人文件夹可以重定向到服务器文件夹上,实现文档跟随用户走。4.用户可加入若干个带有不同域权限属性的特定组获得相应的域权限功能。
在AD(Active Directory,活动目录)域中,用户加入特定组可获取不同的域权限,并且可长期登录AD服务器,可能带来安全隐患。如何提高访问AD域用户的安全性成为亟待解决的问题。
发明内容
本发明实施例提供一种域权限管理方法、装置、计算机设备及存储介质,以解决提高访问AD域用户访问的安全性的问题。
一种域权限管理方法,包括:
获取域权限管理任务,域权限管理任务包括域权限表单ID;
基于域权限表单ID对应的域权限表单,获取域权限表单中的至少一个目标条目,目标条目包括用户账号、用户属性和域权限到期时间;
若任一目标条目的域权限到期时间在系统当前时间之前,则该目标条目对应的用户账号为已失效账号;
若已失效账号的用户属性为常用用户,则给已失效账号对应的客户端发送重新申请域权限信息;
若已失效账号的用户属性为临时用户,则在域权限表单ID中删除已失效账号对应的目标条目。
一种域权限管理装置,包括:
获取管理任务模块,用于获取域权限管理任务,域权限管理任务包括域权限表单ID;
获取目标条目模块,用于基于域权限表单ID对应的域权限表单,获取域权限表单中的至少一个目标条目,目标条目包括用户账号、用户属性和域权限到期时间;
判定已失效账号模块,用于若任一目标条目的域权限到期时间在系统当前时间之前,则该目标条目对应的用户账号为已失效账号;
申请域权限信息模块,用于若已失效账号的用户属性为常用用户,则给已失效账号对应的客户端发送重新申请域权限信息;
删除目标条目模块,用于若已失效账号的用户属性为临时用户,则在域权限表单ID中删除已失效账号对应的目标条目。
一种计算机设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述域权限管理方法的步骤。
一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述域权限管理方法的步骤。
上述域权限管理方法、装置、计算机设备及存储介质,通过域权限管理任务中域权限表单ID对应的域权限表单对该表单进行域权限管理,提取表单中用户账号为已失效账号的目标条目进行处理,通知目标条目中的常用用户重新申请域权限,且将临时用户对应的目标条目删除。该域权限管理方法、装置、计算机设备及存储介质,可保障常用用户的账号到期后可通过重新申请继续正常使用域权限,维护常用用户的登录安全性,将临时用户对应的目标条目删除可释放系统空间。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例中域权限管理方法的应用环境示意图;
图2是本发明一实施例中域权限管理方法的流程图;
图3是本发明一实施例中域权限管理方法的另一流程图;
图4是本发明一实施例中域权限管理方法的另一流程图;
图5是本发明一实施例中域权限管理方法的另一流程图;
图6是本发明一实施例中域权限管理方法的另一流程图;
图7是本发明一实施例中域权限管理装置的示意图;
图8是本发明一实施例中计算机设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的域权限管理方法,可应用在如图1的应用环境中,该域权限管理方法应用在域权限管理系统中,该域权限管理系统包括客户端和服务器,其中,客户端通过网络与服务器进行通信。其中,客户端又称为用户端,是指与服务器相对应,为客户提供本地服务的程序。该客户端可安装在但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备等计算机设备上。服务器可以用包括AD域的独立服务器或者是多个服务器组成的服务器集群来实现。
在一实施例中,如图2所示,提供一种域权限管理方法,以该方法应用在图1中的服务器为例进行说明,包括如下步骤:
S10.获取域权限管理任务,域权限管理任务包括域权限表单ID。
其中,域权限管理任务是对域权限表单ID对应的域权限表单中的用户进行域权限管理的任务。比如,用户包括临时用户,域权限管理任务之一就是将以前登陆过AD(ActiveDirectory,活动目录)域的临时用户筛选出来,将登陆AD域的域权限到期的临时用户从AD域中删除。
域权限表单ID是用于服务器区分记录用户不同域权限表单的标识。服务器中预先存储有多个域权限表单,每个域权限表单对应一域权限表单ID,以使服务器可根据域权限表单ID快速查找到相应的域权限表单。
具体地,AD域是基于windows的一个组合,它可以集中控制加入域的所有计算机的域权限,可更高效分配域权限、提高资料的安全性并节省管理成本等等。一般人数较多的企业和工厂都会通过AD域服务器进行统一管理,达到更好的管理效果。
进一步地,当服务器搭建完AD域且创建域用户和组以后,网络管理员可将这些域用户和组分配给不同的用户使用,保障服务器可集中管理所有的域用户和组。本实施例中服务器获取域权限管理任务就属于服务器对域用户进行管理的任务。进入AD域模式,普通的域用户器的操作域权限是服务器根据实际场景指定的域权限,不能进行其它域权限的操作,保障用户登录安全性的同时也利于提高工作效率。
步骤S10中,服务器可基于域权限管理任务中的域权限表单ID在数据库中匹配出对应的域权限表单,为后续基于域权限表单获取用户账号的信息准备技术基础。
S20.基于域权限表单ID对应的域权限表单,获取域权限表单中的至少一个目标条目,目标条目包括用户账号、用户属性和域权限到期时间。
其中,域权限表单是记录用户登录AD域的有效时间的表单,在域权限表单中以域权限到期时间作为标签表示用户登录AD域的有效时间。
目标条目是构成域权限表单的每一条记录单位,其中,每条目标条目包括至少三个标签:用户账号、用户属性和域权限到期时间。用户账号是用以区别登录AD域的不同用户的标识。用户属性是标明用户登录AD域频率的标识,包括常用用户和临时用户。该用户属性是网络管理员添加新的登录用户时同时依据该用户的身份赋予的用户属性。
域权限到期时间是指用户账号的有效期到期时间,用于将对应的用户账号在域权限到期时间后自动失效,无法继续登陆AD域,保障AD域的登陆安全性。
步骤S20中,服务器通过获取域权限表单中的至少一个目标条目,为后续服务器基于每一目标条目记录的用户属性对用户登录AD域的域权限进行管理准备技术基础。
S30.若任一目标条目的域权限到期时间在系统当前时间之前,则该目标条目对应的用户账号为已失效账号。
其中,已失效账号是目标条目中记录的域权限到期时间在系统当前时间之前的用户账号。
步骤S30中,服务器通过扫描域权限表单中的每一目标条目,筛选出已经超过域权限到期时间的目标条目,将每一目标条目认证为已失效账号,以使后续基于已失效账号对应的不用用户属性进行进一步处理准备技术基础。
S40.若已失效账号的用户属性为常用用户,则给已失效账号对应的客户端发送重新申请域权限信息。
其中,常用用户是登录AD域的成功登录次数或成功登录频率大于服务器指定登录次数或登录频率的用户账号。进一步地,用户属性可由网络管理员在添加新用户时直接设置,也可由服务器基于用户的成功登录频率进行自动认证。进一步地,服务器可给每一用户账号对应的目标条目记录登陆次数,在指定期限比如一个月计算该用户账号的登陆频率,若当月的登陆次数达到常用用户的认证登陆阈值,则自动认证该用户账号为常用用户。
具体地,服务器基于认证为已失效账号可获取对应的用户属性,给用户属性标记为常用用户的用户账号对应的联系方式(即对应的客户端)发送重新申请域权限信息,以提醒用户及时给用户账号进行续期。进一步地,为了提高服务器的工作效率,简化认证流程,服务器可在用户账号未到期时,在用户账号处于登陆状态时给用户发起自动续期选项,利于用户直接根据选项确认续期信息,而无需用户重新登陆服务器输入用户账号和密码,保障服务器登陆安全性的同时也避免复杂的流程影响工作效率。
另外,对于常用用户可在正常登陆服务器的状态下直接对用户续期进行操作,对于临时用户可能也涉及到账号续期的情形。为了同时简化临时账号的续期问题,服务器可设定临时账号如需要续期,仅需重新通过临时用户对应的用户账号重新登陆,若登陆成功即可给该临时用户对应的用户账号实现自动续期。
步骤S40中,服务器基于认证为已失效账号可获取对应的用户属性,给用户属性标记为常用用户的用户账号对应的联系方式(即对应的客户端)发送重新申请域权限信息,利于常用用户及时对用户账号进行续期,提高常用用户登录AD域的成功率,同时有效保障AD域的登录安全性。
S50.若已失效账号的用户属性为临时用户,则在域权限表单ID中删除已失效账号对应的目标条目。
其中,临时用户是临时登录AD域进行域操作的用户。一般地,网络管理员可给临时用户设置较短的域权限有效时间,比如从一小时至三天不等。
具体地,服务器删除已失效账号对应的目标条目,可以采用dsquery指令指定AD域中的已失效账号,然后用dsrm指令对其进行删除。比如:
dsquery user-invalid user-limit 0|dsrm–noprompt
上述指令中,-limit是指定返回满足查询条件的账户的数量,如果指定0则表示返回所有满足查询条件的账户;-nopromt表示不用确认删除操作,直接进行删除,也即上述指令的含义为直接删除所有已失效账号。
进一步地,服务器可以删除已失效账号对应的目标条目,也可禁用该已失效账号,用以准备后续可能重新启用该已失效账号,减少服务器新增用户账号的工作量,提高工作效率。服务器可采用dsmod指令指定禁用已失效账号,具体实现过程如下:
dsmod invalid userID-disabled{yes}
上述指令指定已失效账号中的userID为禁用状态。
步骤S50中,服务器基于认证为已失效账号可获取对应的用户属性,将用户属性标记为临时用户的用户账号对应的目标条目删除。可以理解地,临时用户只是临时或几天内登录AD域,当临时用户不再登录AD域时,系统若还保留该临时用户的目标条目,使得越来越多的临时目标条目占用AD域的存储空间造成存储空间的浪费。对应地,本实施例将失效账号对应的目标条目删除,利于AD域及时清理存储空间,释放更多的空间存储有效信息。
步骤S10至S50提出的实施例中,服务器通过域权限管理任务中域权限表单ID对应的域权限表单对该表单进行域权限管理,提取表单中用户账号为已失效账号的目标条目进行处理,通知目标条目中的常用用户重新申请域权限,且将临时用户对应的目标条目删除,本实施例所提供的域权限管理方法,可保障常用用户的账号到期后可通过重新申请继续正常使用域权限,维护常用用户的登录安全性,将临时用户对应的目标条目删除可释放系统空间。
在一实施例中,如图3所示,步骤S30中,即若任一目标条目的域权限到期时间在系统当前时间之前,则该目标条目对应的用户账号为已失效账号,具体包括如下步骤:
S31.基于系统当前时间,对比域权限表单中每一目标条目的域权限到期时间。
具体地,服务器可采用连接时间同步服务器来获取系统当前时间,比如,常用的时间同步服务器对应的域名和IP如下所示:
进一步地,服务器可以通过套接字实现对系统当前时间的获取,但是获取到的系统当前时间是基1900年1月1日0时0分0秒的信息,也就是说从时间同步服务器返回的是1900年1月1日0时0分0秒至今的秒数。显然需要将其转化为常用的时间格式。另外从时间同步服务器获得的系统当前时间还存在时差。时间同步服务器返回的时间数据是基于世界时(GMT,Greenwich Mean Time),也就是格林尼治所在地的标准时间。而北京时间与伦敦GMT存在8小时的时差。所以,在转化过程中还需对时差进行处理以获得对应的系统当前时间。
可以理解地,该获取系统当前时间的方式存在时延问题也即误差。一般误差的范围很小,取决于网络延迟。为了解决这个问题,服务器还可以设置一个计时器,取得网络延迟,加到获得的时间数据后面。
在步骤S31中,服务器首先获取系统当前时间,然后将系统当前时间对比域权限表单中的每一目标条目的域权限到期时间,用以获取每一用户账号的域权限状态,为后续获取已失效账号准备技术基础。
S32.若任一目标条目的域权限到期时间在系统当前时间之前,则将目标条目对应的用户账号的域权限状态设置为已失效账号。
步骤S32中,服务器将域权限表单中域权限到期时间早于系统当前时间的每一目标条目的账号状态标签设置为已失效账号,为后续基于已失效账户的账户属性进行对应处理准备技术基础。
步骤S31至S32中,服务器首先获取系统当前时间,然后将系统当前时间对比域权限表单中的每一目标条目的域权限到期时间,将域权限表单中域权限到期时间早于系统当前时间(即在系统当前时间之前)的每一目标条目的账号状态标签设置为已失效账号,为后续基于已失效账户的账户属性进行对应处理准备技术基础。
在一实施例中,如图4所示,在步骤S10之前,即在获取域权限管理任务的步骤之前,域权限管理方法还包括如下步骤:
S111.获取账号创建请求,账号创建请求包括管理员账号、用户帐号、用户属性和域权限到期时间。
其中,账户创建请求是网络管理员通过客户端向服务器发起的给新的用户添加用户账户用以登陆AD域,并给用户账号添加对应操作域权限的请求。
管理员账号是管理员登陆服务器的账号,用以向服务器申明身份。因新的用户加入AD域,必须经本计算机上的网络管理员(默认为administrator)身份登录后进行添加,以保证后续新的用户登录AD域的登录安全性。一般地,管理员账号对每个用户账号可进行如下的操作域权限:
·添加新的用户账号,给用户账号配置默认登录密码、用户属性和域权限到期时间。
·重置用户账号的密码。
·修改用户账号的名称、显示名称和登录名。
·启用/禁用用户,或解锁用户。
·为用户设置主文件夹、概要文件和脚本路径。
·将用户移动到不同的特定组。
·更新组和通讯组成员。
具体地,服务器通过管理员账号认证后,还需给新的用户账号声明用户账号的用户属性和域权限到期时间。网络管理员给用户账号设置域权限到期时间的实现过程如下所示:
打开组策略->windows设置->安全设置->本地策略->安全选项->交互式登陆->密码到期前提示->定义需要设置的天数。
进一步地,为了提高登陆AD域的安全性,服务器还可设置不同的管理员账号给用户账号增添的操作域权限也是不同的。
在步骤S111中,服务器通过获取网络管理员向客户端提起账号创建请求,该账号创建请求包括管理员账号、用户帐号、用户属性和域权限到期时间,可通过网络管理员的设定初步认定登陆AD域的新的用户的用户安全性,后续用户可通过用户账号自行登陆,以向服务器申明登陆AD域的用户安全性。
S112.基于管理员账号获取对应的管理员权限,若管理员权限符合权限分配要求,则给用户帐号配置对应的用户属性和域权限到期时间。
具体地,服务器若判定管理员账号登陆通过,基于该管理员账号可匹配到该管理员账号是否具有添加用户账号的域权限,同时该管理员账号具有哪些可给用户账号配置的域权限。进一步地,用户账号对应的用户属性首先可由网络管理员进行手动设定,后续可基于用户登录AD域的状态进行自动适配,适配过程包括常用用户适配为临时用户(比如未登录AD域的时长超过指定登录时长)和临时用户适配为常用用户(比如临时用户对应的用户账号的续期次数超过指定续期阈值,可将用户账号对应的用户属性从临时用户适配为常用用户)。
进一步地,服务器可在临时用户对用户账号进行续期后对该账号的续期次数进行记录。当服务器获取该临时账号对应的续期次数大于指定续期阈值时,比如,续期阈值为5,若某临时用户对应的用户账号续期次数为5,则将该临时用户对应的用户账号的用户属性从临时用户适配为常用用户。
在步骤S112中,服务器基于管理员账号可获取对应的管理员权限,若该管理员权限具备分配用户账号,则服务器允许该管理员账号给添加新的用户帐号,并且配置对应的用户属性和域权限到期时间,通过网络管理员添加的用户账号可进一步维护用户登录AD域的登陆安全性。
步骤S111至S112中,服务器通过获取网络管理员向客户端提起账号创建请求,该账号创建请求包括管理员账号、用户帐号、用户属性和域权限到期时间,可通过网络管理员添加的用户账号,进一步维护用户登录AD域的登陆安全性。
在一实施例中,域权限管理任务还包括任务类型。如图5所示,在步骤S10之后,即在获取域权限管理任务的步骤之后,域权限管理方法还包括如下步骤:
S121.若任务类型为实时任务,则直接执行基于域权限表单ID对应的域权限表单,获取域权限表单中的至少一个目标条目的步骤。
其中,实时任务就是服务器接收到该任务即可执行的任务。
具体地,服务器判定域权限管理任务为实时任务,即该域权限管理任务可能是由网络管理员根据实际情况需要,实时向服务器发起对域权限表单ID对应的域权限表单进行管理的任务。
步骤S121中,服务器还可接收网络管理员通过客户端发送的实时任务,增强服务器管理域权限表单的灵活性,可实时处理当前接收的域权限管理任务对用户账号进行关联,维护AD域的登陆安全性。
S122.若任务类型为定时任务,则判断系统当前时间是否为定时任务预先配置的执行时间,若系统当前时间为执行时间,则执行基于域权限表单ID对应的域权限表单,获取域权限表单中的至少一个目标条目的步骤。
其中,定时任务是服务器采用任务关联组件中的定时组件对域权限管理任务设定为按时触发的任务。比如,服务器若部署的Windows系统,可采用Windows Service组件,在Service内部部署好域权限管理任务,并设定域权限管理任务的执行时间为每天零时等。
步骤S122中,服务器可采用自动化组件定时触发域权限管理任务,用以服务器可及时自动对域权限表单中的用户账号进行管理,及时对常用用户对应的用户账号发提醒或删除已失效的临时用户对应的用户账号,提高服务器自动化管理登陆AD域的用户安全性。
步骤S121至S122中,服务器可接收网络管理员通过客户端发送的实时任务,增强服务器管理域权限表单的灵活性,可实时处理当前接收的域权限管理任务对用户账号进行关联,维护AD域的登陆安全性;服务器还可采用自动化组件定时触发域权限管理任务,用以服务器可及时自动对域权限表单中的用户账号进行管理,及时对常用用户对应的用户账号发提醒或删除已失效的临时用户对应的用户账号,提高服务器自动化管理登陆AD域的用户安全性。
在一实施例中,在获取域权限表单中的至少一个目标条目的步骤之后,即步骤S20之后,该域权限管理方法还包括:
S60.若系统当前时间在任一目标条目的域权限到期时间之前的预设期限内,则该目标条目对应的用户账号为待失效账号,给待失效账号对应的客户端发送与该目标条目相关联的提醒信息。
其中,预设期限是距域权限到期时间之前的指定期限。待失效账号是指在预设期限后该账号将处于失效的状态的用户账号,无法正常登陆AD域。提醒信息是服务器发送给待失效账号对应的用户的提醒信息,用以提醒用户继续在AD域上进行域权限的续期,或者提醒用户尽快在有效期内办结正在处理的事项。
具体地,服务器为了区分每一目标条目中用户账号对应的账号状态,在域权限表单中的每一条目还设置有账号状态标签,用以在步骤S60中记录每一目标条目的当前状态。进一步地,账号状态标签包括已失效账号和待失效账号。
步骤S60中,服务器通过扫描域权限表单中的每一目标条目,筛选出距离预设期限后到达域权限到期时间的目标条目,将每一目标条目对应的账号状态标签设置为待失效账号,给该待失效账号预先记录的联系方式(即对应的客户端)发送该失效账号即将失效的提醒信息,用以提醒用户继续在AD域上进行域权限的续期,或者提醒用户尽快在有效期内办结正在处理的事项,提高AD域的登录效率。
在一实施例中,如图6所示,在步骤S60中,若系统当前时间在任一目标条目的域权限到期时间之前的预设期限内,则该目标条目对应的用户账号为待失效账号,具体包括如下步骤:
S61.基于预设期限和每一目标条目的域权限到期时间,获取每一目标条目的待失效期限。
其中,待失效期限是域权限到期时间减去预设期限后得到的通知用户账号即将失效的临界日期,比如,域权限到期时间是11月5日零时,预设期限为三天,则11月5日减三天也即12月2日零时为待失效期限。
步骤S61中,服务器可基于目标条目的预设期限和域权限到期时间获取待失效期限,利于后续基于待失效期限对所有目标条目的日期进行筛选得到待失效账号准备技术基础。
S62.基于每一目标条目的待失效期限,与系统当前时间进行对比,若系统当前时间在任一目标条目的域权限到期时间和待失效期限之间,则该目标条目对应的用户账号为待失效账号。
步骤S62中,服务器可基于每一目标条目的待失效期限与系统当前时间进行对比,筛选系统当前时间在任一目标条目的域权限到期时间和待失效期限之间的用户账号为待失效账号,用以后续给待失效账号发送提醒信息准备技术基础。
步骤S61至S62中,服务器可基于目标条目的预设期限和域权限到期时间获取待失效期限,再基于每一目标条目的待失效期限与系统当前时间进行对比,筛选系统当前时间在任一目标条目的域权限到期时间和待失效期限之间的用户账号为待失效账号,用以后续给待失效账号发送提醒信息准备技术基础。即在确定待失效账号之后,可给该待失效账号对应的客户端发送该失效账号即将失效的提醒信息,用以提醒用户继续在AD域上进行域权限的续期,或者提醒用户尽快在有效期内办结正在处理的事项,提高AD域的登录效率。
本实施例提供的域权限管理方法,服务器通过域权限管理任务中域权限表单ID对应的域权限表单对该表单进行域权限管理,提取表单中用户账号为已失效账号的目标条目进行处理,通知目标条目中的常用用户重新申请域权限,且将临时用户对应的目标条目删除,本发明可保障常用用户的账号到期后可通过重新申请继续正常使用域权限,维护常用用户的登录安全性,将临时用户对应的目标条目删除可释放系统空间。
进一步地,服务器首先获取系统当前时间,然后将系统当前时间对比域权限表单中的每一目标条目的域权限到期时间,将域权限表单中域权限到期时间早于系统当前时间的每一目标条目的账号状态标签设置为已失效账号,为后续基于已失效账户的账户属性进行对应处理准备技术基础。
进一步地,服务器通过获取网络管理员向客户端提起账号创建请求,该账号创建请求包括管理员账号、用户帐号、用户属性和域权限到期时间,可通过网络管理员添加的用户账号,进一步维护用户登录AD域的登陆安全性。
进一步地,服务器可基于目标条目的预设期限和域权限到期时间获取待失效期限,再基于每一目标条目的待失效期限与系统当前时间进行对比,筛选系统当前时间在任一目标条目的域权限到期时间和待失效期限之间的用户账号为待失效账号,用以后续给待失效账号发送提醒信息准备技术基础。
进一步地,服务器可接收网络管理员通过客户端发送的实时任务,增强服务器管理域权限表单的灵活性,可实时处理当前接收的域权限管理任务对用户账号进行关联,维护AD域的登陆安全性;服务器还可采用自动化组件定时触发域权限管理任务,用以服务器可及时自动对域权限表单中的用户账号进行管理,及时对常用用户对应的用户账号发提醒或删除已失效的临时用户对应的用户账号,提高服务器自动化管理登陆AD域的用户安全性。
在一实施例中,提供一种域权限管理装置,该域权限管理装置与上述实施例中域权限管理方法一一对应。如图7所示,该域权限管理装置包括获取管理任务模块10、获取目标条目模块20、判定已失效账号模块30、申请域权限信息模块40和删除目标条目模块50。各功能模块详细说明如下:
获取管理任务模块10,用于获取域权限管理任务,域权限管理任务包括域权限表单ID。
获取目标条目模块20,用于基于域权限表单ID对应的域权限表单,获取域权限表单中的至少一个目标条目,目标条目包括用户账号、用户属性和域权限到期时间。
判定已失效账号模块30,用于若任一目标条目的域权限到期时间在系统当前时间之前,则该目标条目对应的用户账号为已失效账号。
申请域权限信息模块40,用于若已失效账号的用户属性为常用用户,则给已失效账号对应的客户端发送重新申请域权限信息。
删除目标条目模块50,用于若已失效账号的用户属性为临时用户,则在域权限表单ID中删除已失效账号对应的目标条目。
优选地,该判定已失效账号模块包括对比域权限到期时间单元和设置已失效账号单元。
对比域权限到期时间单元,用于基于系统当前时间,对比域权限表单中每一目标条目的域权限到期时间。
设置已失效账号单元,用于若任一目标条目的域权限到期时间在系统当前时间之前,则将目标条目对应的用户账号的域权限状态设置为已失效账号。
优选地,该域权限管理装置还包括获取创建请求模块和配置用户属性模块。
获取创建请求模块,用于获取账号创建请求,账号创建请求包括管理员账号、用户帐号、用户属性和域权限到期时间。
配置用户属性模块,用于基于管理员账号获取对应的管理员权限,若管理员权限符合权限分配要求,则给用户帐号配置对应的用户属性和域权限到期时间。
优选地,该域权限管理装置还包括发送提醒信息模块,用于若系统当前时间在任一目标条目的域权限到期时间之前的预设期限内,则该目标条目对应的用户账号为待失效账号,给待失效账号对应的客户端发送与该目标条目相关联的提醒信息。
优选地,该发送提醒信息模块包括获取待失效期限单元和判定待失效账号单元。
获取待失效期限单元,用于基于系统当前时间和预设期限,获取待失效期限。
判定待失效账号单元,用于基于待失效期限,与每一目标条目的域权限到期时间进行对比,若任一目标条目的域权限到期时间在待失效期限内,则该目标条目对应的用户账号为待失效账号。
优选地,该域权限管理装置还包括获取实时任务模块和获取定时任务模块。
获取实时任务模块,用于若任务类型为实时任务,则直接执行基于域权限表单ID对应的域权限表单,获取域权限表单中的至少一个目标条目的步骤。
获取定时任务模块,用于若任务类型为定时任务,则判断系统当前时间是否为定时任务预先配置的执行时间,若系统当前时间为执行时间,则执行基于域权限表单ID对应的域权限表单,获取域权限表单中的至少一个目标条目的步骤。
关于域权限管理装置的具体限定可以参见上文中对于域权限管理方法的限定,在此不再赘述。上述域权限管理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一实施例中,提供一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储域权限管理方法中需保存的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种域权限管理方法。
在一实施例中,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例域权限管理方法的步骤,例如图2所示的步骤S10至步骤S50。或者,处理器执行计算机程序时实现上述实施例中域权限管理装置的各模块/单元的功能,例如图7所示模块10至模块50的功能。为避免重复,此处不再赘述。
在一实施例中,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例域权限管理方法,或者,该计算机程序被处理器执行时实现上述装置实施例中域权限管理装置中各模块/单元的功能。为避免重复,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种域权限管理方法,其特征在于,包括:
获取域权限管理任务,所述域权限管理任务包括域权限表单ID;
基于所述域权限表单ID对应的域权限表单,获取所述域权限表单中的至少一个目标条目,所述目标条目包括用户账号、用户属性和域权限到期时间;
若任一目标条目的域权限到期时间在系统当前时间之前,则该目标条目对应的用户账号为已失效账号;
若已失效账号的用户属性为常用用户,则给已失效账号对应的客户端发送重新申请域权限信息;
若已失效账号的用户属性为临时用户,则在域权限表单ID中删除已失效账号对应的目标条目。
2.如权利要求1所述域权限管理方法,其特征在于,所述若任一目标条目的域权限到期时间在系统当前时间之前,则该目标条目对应的用户账号为已失效账号,包括:
基于所述系统当前时间,对比所述域权限表单中每一目标条目的域权限到期时间;
若任一目标条目的域权限到期时间在系统当前时间之前,则将所述目标条目对应的用户账号的域权限状态设置为已失效账号。
3.如权利要求1所述域权限管理方法,其特征在于,在所述获取域权限管理任务的步骤之前,所述域权限管理方法还包括:
获取账号创建请求,账号创建请求包括管理员账号、用户帐号、用户属性和域权限到期时间;
基于所述管理员账号获取对应的管理员权限,若所述管理员权限符合权限分配要求,则给所述用户帐号配置对应的用户属性和域权限到期时间。
4.如权利要求1所述的域权限管理方法,其特征在于,在所述获取所述域权限表单中的至少一个目标条目的步骤之后,所述域权限管理方法还包括:
若系统当前时间在任一目标条目的域权限到期时间之前的预设期限内,则该目标条目对应的用户账号为待失效账号,给待失效账号对应的客户端发送与该目标条目相关联的提醒信息。
5.如权利要求4所述域权限管理方法,其特征在于,所述若系统当前时间在任一目标条目的域权限到期时间之前的预设期限内,则该目标条目对应的用户账号为待失效账号,包括:
基于所述预设期限和每一目标条目的所述域权限到期时间,获取每一目标条目的待失效期限;
基于每一目标条目的所述待失效期限,与系统当前时间进行对比,若系统当前时间在任一目标条目的所述域权限到期时间和所述待失效期限之间,则该目标条目对应的用户账号为待失效账号。
6.如权利要求1所述域权限管理方法,其特征在于,所述域权限管理任务还包括任务类型;
在所述获取域权限管理任务的步骤之后,所述域权限管理方法还包括:
若所述任务类型为实时任务,则直接执行所述基于所述域权限表单ID对应的域权限表单,获取所述域权限表单中的至少一个目标条目的步骤;
若所述任务类型为定时任务,则判断所述系统当前时间是否为所述定时任务预先配置的执行时间,若所述系统当前时间为所述执行时间,则执行所述基于所述域权限表单ID对应的域权限表单,获取所述域权限表单中的至少一个目标条目的步骤。
7.一种域权限管理装置,其特征在于,包括:
获取管理任务模块,用于获取域权限管理任务,所述域权限管理任务包括域权限表单ID;
获取目标条目模块,用于基于所述域权限表单ID对应的域权限表单,获取所述域权限表单中的至少一个目标条目,所述目标条目包括用户账号、用户属性和域权限到期时间;
判定已失效账号模块,用于若任一目标条目的域权限到期时间在系统当前时间之前,则该目标条目对应的用户账号为已失效账号;
申请域权限信息模块,用于若已失效账号的用户属性为常用用户,则给已失效账号对应的客户端发送重新申请域权限信息;
删除目标条目模块,用于若已失效账号的用户属性为临时用户,则在域权限表单ID中删除已失效账号对应的目标条目。
8.如权利要求7所述域权限管理装置,其特征在于,所述判定已失效账号模块包括:
对比域权限到期时间单元,用于基于所述系统当前时间,对比所述域权限表单中每一目标条目的域权限到期时间;
设置已失效账号单元,用于若任一目标条目的域权限到期时间在系统当前时间之前,则将所述目标条目对应的用户账号的域权限状态设置为已失效账号。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述域权限管理方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述域权限管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811255747.6A CN109246140B (zh) | 2018-10-26 | 2018-10-26 | 域权限管理方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811255747.6A CN109246140B (zh) | 2018-10-26 | 2018-10-26 | 域权限管理方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109246140A true CN109246140A (zh) | 2019-01-18 |
| CN109246140B CN109246140B (zh) | 2022-05-03 |
Family
ID=65082236
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811255747.6A Active CN109246140B (zh) | 2018-10-26 | 2018-10-26 | 域权限管理方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109246140B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110209060A (zh) * | 2019-05-23 | 2019-09-06 | 无锡小天鹅电器有限公司 | 一种控制方法及装置、设备和计算机存储介质 |
| CN110300158A (zh) * | 2019-06-05 | 2019-10-01 | 黄疆 | 基于ad域映射访问nas的方法和系统 |
| CN110472423A (zh) * | 2019-07-15 | 2019-11-19 | 岭澳核电有限公司 | 一种核电站文件权限管理方法、装置及设备 |
| CN111400355A (zh) * | 2020-03-24 | 2020-07-10 | 网易(杭州)网络有限公司 | 一种数据查询方法及装置 |
| CN111737711A (zh) * | 2020-06-16 | 2020-10-02 | 苏州浪潮智能科技有限公司 | 一种时限的用户临时角色管理方法、装置 |
| CN112039910A (zh) * | 2020-09-04 | 2020-12-04 | 苏州浪潮智能科技有限公司 | 一种认证与权限的统一管理的方法、系统、设备及介质 |
| CN113204747A (zh) * | 2021-05-20 | 2021-08-03 | 远景智能国际私人投资有限公司 | 账号管理方法、装置、服务器及存储介质 |
| CN115242456A (zh) * | 2022-06-28 | 2022-10-25 | 中国电信股份有限公司 | 用户许可管理系统、方法、装置、电子设备及存储介质 |
| CN115412748A (zh) * | 2022-07-26 | 2022-11-29 | 海南视联通信技术有限公司 | 业务处理方法、装置、电子设备及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468825A (zh) * | 2014-12-26 | 2015-03-25 | 湖南华凯文化创意股份有限公司 | 远程授权方法及系统 |
| CN106487744A (zh) * | 2015-08-25 | 2017-03-08 | 北京京东尚科信息技术有限公司 | 一种基于Redis存储的Shiro验证方法 |
| CN106844438A (zh) * | 2016-12-15 | 2017-06-13 | 广州术医传承信息科技有限公司 | 一种基于内容的会员权限管理系统 |
| CN107707416A (zh) * | 2017-11-29 | 2018-02-16 | 上海斐讯数据通信技术有限公司 | 一种路由器的上网权限的控制方法和装置 |
| US20180191700A1 (en) * | 2016-12-30 | 2018-07-05 | Google Inc. | Two-token based authenticated session management |
-
2018
- 2018-10-26 CN CN201811255747.6A patent/CN109246140B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468825A (zh) * | 2014-12-26 | 2015-03-25 | 湖南华凯文化创意股份有限公司 | 远程授权方法及系统 |
| CN106487744A (zh) * | 2015-08-25 | 2017-03-08 | 北京京东尚科信息技术有限公司 | 一种基于Redis存储的Shiro验证方法 |
| CN106844438A (zh) * | 2016-12-15 | 2017-06-13 | 广州术医传承信息科技有限公司 | 一种基于内容的会员权限管理系统 |
| US20180191700A1 (en) * | 2016-12-30 | 2018-07-05 | Google Inc. | Two-token based authenticated session management |
| CN107707416A (zh) * | 2017-11-29 | 2018-02-16 | 上海斐讯数据通信技术有限公司 | 一种路由器的上网权限的控制方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 李俊锋: "SAP账号自助服务系统的设计与实现", 《中国新通信》 * |
| 罗耀辉: "简析图书馆的智能化管理系统", 《中国管理信息化》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110209060A (zh) * | 2019-05-23 | 2019-09-06 | 无锡小天鹅电器有限公司 | 一种控制方法及装置、设备和计算机存储介质 |
| CN110209060B (zh) * | 2019-05-23 | 2022-03-11 | 无锡小天鹅电器有限公司 | 一种控制方法及装置、设备和计算机存储介质 |
| CN110300158A (zh) * | 2019-06-05 | 2019-10-01 | 黄疆 | 基于ad域映射访问nas的方法和系统 |
| CN110472423A (zh) * | 2019-07-15 | 2019-11-19 | 岭澳核电有限公司 | 一种核电站文件权限管理方法、装置及设备 |
| CN111400355A (zh) * | 2020-03-24 | 2020-07-10 | 网易(杭州)网络有限公司 | 一种数据查询方法及装置 |
| CN111400355B (zh) * | 2020-03-24 | 2024-01-30 | 网易(杭州)网络有限公司 | 一种数据查询方法及装置 |
| CN111737711A (zh) * | 2020-06-16 | 2020-10-02 | 苏州浪潮智能科技有限公司 | 一种时限的用户临时角色管理方法、装置 |
| CN111737711B (zh) * | 2020-06-16 | 2022-07-22 | 苏州浪潮智能科技有限公司 | 一种时限的用户临时角色管理方法、装置 |
| CN112039910B (zh) * | 2020-09-04 | 2022-12-27 | 苏州浪潮智能科技有限公司 | 一种认证与权限的统一管理的方法、系统、设备及介质 |
| CN112039910A (zh) * | 2020-09-04 | 2020-12-04 | 苏州浪潮智能科技有限公司 | 一种认证与权限的统一管理的方法、系统、设备及介质 |
| CN113204747A (zh) * | 2021-05-20 | 2021-08-03 | 远景智能国际私人投资有限公司 | 账号管理方法、装置、服务器及存储介质 |
| CN115242456A (zh) * | 2022-06-28 | 2022-10-25 | 中国电信股份有限公司 | 用户许可管理系统、方法、装置、电子设备及存储介质 |
| CN115242456B (zh) * | 2022-06-28 | 2024-03-19 | 中国电信股份有限公司 | 用户许可管理系统、方法、装置、电子设备及存储介质 |
| CN115412748A (zh) * | 2022-07-26 | 2022-11-29 | 海南视联通信技术有限公司 | 业务处理方法、装置、电子设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109246140B (zh) | 2022-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109246140A (zh) | 域权限管理方法、装置、计算机设备及存储介质 | |
| US10375054B2 (en) | Securing user-accessed applications in a distributed computing environment | |
| CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| US20080162707A1 (en) | Time Based Permissioning | |
| US9838429B1 (en) | Dynamic access policies | |
| EP2733909B1 (en) | Terminal control method and device, and terminal | |
| CN111314340B (zh) | 认证方法及认证平台 | |
| CN110287709A (zh) | 用户操作权限控制方法、装置、设备及介质 | |
| US10187386B2 (en) | Native enrollment of mobile devices | |
| US20050108257A1 (en) | Emergency access interception according to black list | |
| CN101183940A (zh) | 一种多应用系统对用户身份进行认证的方法 | |
| US20200244704A1 (en) | Dynamic policy creation based on user or system behavior | |
| JP2013505497A (ja) | 識別情報の検証のための方法及び装置 | |
| US9858399B2 (en) | Group definition management system | |
| CN112149159A (zh) | 终端的权限设置方法、装置、电子设备及存储介质 | |
| JP2005234729A (ja) | 不正アクセス防御システム及びその方法 | |
| CN105516085A (zh) | 一种管理访客临时上网行为的系统及方法 | |
| US11178141B2 (en) | Persistable identity tokens | |
| CN112764913A (zh) | 服务熔断方法和装置、存储介质及电子设备 | |
| CN113438082B (zh) | 数据库访问方法、装置、设备和存储介质 | |
| CN108809930B (zh) | 用户权限管理方法及装置 | |
| CN110445754A (zh) | Windows域账号处理方法、服务器及计算机可读存储介质 | |
| CN109711140A (zh) | 站点登录状态控制方法、装置、计算机设备及存储介质 | |
| US20110321119A1 (en) | Consigning Authentication Method | |
| US20110321134A1 (en) | Consigning Authentication Method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |