CN117997749A - 国产操作系统终端域组策略分发方法、装置及计算机设备 - Google Patents

国产操作系统终端域组策略分发方法、装置及计算机设备 Download PDF

Info

Publication number
CN117997749A
CN117997749A CN202410397063.9A CN202410397063A CN117997749A CN 117997749 A CN117997749 A CN 117997749A CN 202410397063 A CN202410397063 A CN 202410397063A CN 117997749 A CN117997749 A CN 117997749A
Authority
CN
China
Prior art keywords
group
terminal
target
group policy
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410397063.9A
Other languages
English (en)
Inventor
罗骥驰
汪洋
谢坚
杨军
史晓婧
曾明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Zhuyun Technology Co ltd
Original Assignee
Shenzhen Zhuyun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Zhuyun Technology Co ltd filed Critical Shenzhen Zhuyun Technology Co ltd
Priority to CN202410397063.9A priority Critical patent/CN117997749A/zh
Publication of CN117997749A publication Critical patent/CN117997749A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及一种国产操作系统终端域组策略分发方法、装置及计算机设备,其中,方法包括:识别域内双向认证成功的国产操作系统终端,以确定域内包含的国产操作系统终端;通过预设查询条件,获取各国产操作系统终端的相关信息;在接收到国产操作系统终端的组策略下发请求时,解析组策略下发请求中携带的目标终端标识;从相关信息中提取目标终端标识对应的目标相关信息,以明确当前请求下发组策略的终端;基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。整个过程中,针对域内双向认证的国产操作系统终端,可以实现组策略的统一上传和分发。

Description

国产操作系统终端域组策略分发方法、装置及计算机设备
技术领域
本申请涉及计算机网络技术领域,特别是涉及一种国产操作系统终端域组策略分发方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
目前大部分的集团企业使用到的AD域的组策略下发功能是基于Windows操作系统。
Windows的组策略功能是一种集中化管理和配置用户设置的工具。它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。通过组策略,管理员可以控制计算机上的许多设置,例如安全设置、软件安装、桌面设置等等。在Windows中,管理员可以使用组策略编辑器来创建和修改组策略。
常规的域组策略下发的方案是由Windows系统提出的,其无法适用于国产操作系统终端,因此,目前急需一种国产操作系统终端域组策略分发方案,以支持国产操作系统终端的域组策略的管理与下发。
发明内容
基于此,有必要针对上述技术问题,提供一种支持国产操作系统的域组策略分发方法、装置、计算机设备、存储介质和计算机程序产品。
第一方面,本申请提供了一种国产操作系统终端域组策略分发方法。所述方法包括:
识别域内双向认证成功的国产操作系统终端;
通过预设查询条件,获取不同群组内所述国产操作系统终端的相关信息;
若接收到所述国产操作系统终端的组策略下发请求,则解析所述组策略下发请求获取其中携带的目标终端标识;
从所述相关信息中提取所述目标终端标识对应的目标相关信息;
基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
在其中一个实施例中,所述识别域内双向认证成功的国产操作系统终端之前,还包括:
响应加域终端发送的加域请求;
采用kerberos协议与所述加域终端进行双向认证。
在其中一个实施例中,所述基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略,下发至目标终端之前,还包括:
接收前端配置的组策略,并记录不同群组的组策略对应的条件;
基于群组将各所述组策略分区缓存,并将分区缓存的所述组策略与对应的条件关联,生成预设组策略。
在其中一个实施例中,所述接收前端按照群组上传的组策略,并记录不同群组对应的条件之前,还包括:
下发组策略编写与配置界面数据至前端终端,由所述前端终端展示所述策略编写与配置界面。
在其中一个实施例中,所述基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端包括:
从所述目标相关信息中获取目标终端身份信息;
查询与所述目标终端身份信息匹配的条件,得到目标条件;
基于所述目标条件从预设组策略中查找对应的组策略,并将查找到的组策略下发至目标终端。
在其中一个实施例中,将查找到的组策略下发至目标终端包括:
将查找到的组策略下发至目标终端对应的组策略执行终端,由所述组策略执行终端对接收到的组策略进行有效性校验,以判断接收到的组策略是否合法、或是否被篡改。
在其中一个实施例中,所述基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端之后,还包括:
接收目标终端反馈的组策略执行成功消息;
其中,所述组策略执行成功消息由所述目标终端根据预设执行条件判定已下载组策略允许执行、且已成功执行时,所述预设执行条件包括系统时间条件、组策略有效时间条件、组策略ID条件、以及用户权限条件。
第二方面,本申请还提供了一种国产操作系统终端域组策略分发装置。所述装置包括:
识别模块,用于识别域内双向认证成功的国产操作系统终端;
相关信息获取模块,用于通过预设查询条件,获取不同群组内所述国产操作系统终端的相关信息;
解析模块,用于当接收到所述国产操作系统终端的组策略下发请求时,解析所述组策略下发请求获取其中携带的目标终端标识;
信息提取模块,用于从所述相关信息中提取所述目标终端标识对应的目标相关信息;
下发模块,用于基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
识别域内双向认证成功的国产操作系统终端;
通过预设查询条件,获取不同群组内所述国产操作系统终端的相关信息;
若接收到所述国产操作系统终端的组策略下发请求,则解析所述组策略下发请求获取其中携带的目标终端标识;
从所述相关信息中提取所述目标终端标识对应的目标相关信息;
基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
识别域内双向认证成功的国产操作系统终端;
通过预设查询条件,获取不同群组内所述国产操作系统终端的相关信息;
若接收到所述国产操作系统终端的组策略下发请求,则解析所述组策略下发请求获取其中携带的目标终端标识;
从所述相关信息中提取所述目标终端标识对应的目标相关信息;
基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
识别域内双向认证成功的国产操作系统终端;
通过预设查询条件,获取不同群组内所述国产操作系统终端的相关信息;
若接收到所述国产操作系统终端的组策略下发请求,则解析所述组策略下发请求获取其中携带的目标终端标识;
从所述相关信息中提取所述目标终端标识对应的目标相关信息;
基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
上述国产操作系统终端域组策略分发方法、装置、计算机设备、存储介质和计算机程序产品,识别域内双向认证成功的国产操作系统终端,以确定域内包含的国产操作系统终端;通过预设查询条件,获取各国产操作系统终端的相关信息;在接收到国产操作系统终端的组策略下发请求时,解析组策略请求中携带的目标终端标识;从相关信息中提取目标终端标识对应的目标相关信息,以明确当前请求下发组策略的终端;基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。整个过程中,针对域内双向认证的国产操作系统终端,可以实现组策略的统一上传和分发。
附图说明
图1为一个实施例中国产操作系统终端域组策略分发方法的应用环境图;
图2为一个实施例中国产操作系统终端域组策略分发方法的流程示意图;
图3为另一个实施例中国产操作系统终端域组策略分发方法的流程示意图;
图4为一个实施例中国产操作系统终端域组策略分发装置的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的国产操作系统终端域组策略分发方法,可以应用于如图1所示的应用环境中。其中,多个国产操作系统终端102与域控制器104连接,这些国产操作系统终端102与域控制器104形成域组网,用户在域控制器104侧进行操作,将需要分发至不同国产操作系统终端102的组策略配置至域控制器104,域控制器104在进行组策略分发时,域控制器104识别域内双向认证成功的国产操作系统终端;通过预设查询条件,获取不同群组内国产操作系统终端的相关信息;若接收到国产操作系统终端的组策略下发请求,则解析组策略下发请求获取其中携带的目标终端标识;从相关信息中提取目标终端标识对应的目标相关信息;基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。其中,国产操作系统终端102是指装载有国产操作系统的终端,其可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。
在一个实施例中,如图2所示,提供了一种国产操作系统终端域组策略分发方法,以该方法应用于图1中的域控制器104为例进行说明,包括以下步骤:
S100:识别域内双向认证成功的国产操作系统终端。
国产操作系统终端是指使用中国自主开发的操作系统的计算机终端。中国有许多款国产操作系统,其中比较知名的包括Kylin OS、Red Flag OS、中科方德OS、New StartOS、Deepin OS、统信UOS、Start OS、Open Euler OS、Hope Edge OS、Fyde OS和Harmony OS等。这些操作系统在功能和应用上有所不同,但都致力于为用户提供安全、稳定、高效的操作系统体验。双向认证是指终端与域控制器之间双向认证,即相互之间认证为合法、已知对象,相互之间可以进行数据的合法交互。具体来说,国产操作系统终端与域控制器之间的双向认证是指国产操作系统终端和域控制器之间通过交换令牌等方式进行身份验证,确保彼此的身份和授权。在实际应用中,国产操作系统与域控制器之间的双向认证可以是通过Kerberos协议实现的。在这里,识别域内双向认证成功的国产操作系统终端的目的是为了确定整个域内包含的国产系统终端,以明确域控制器后续需要进行组策略管理(下发)的对象。
S200:通过预设查询条件,获取不同群组内国产操作系统终端的相关信息。
预设查询条件是指预先设定的查询条件,其具体可以是预先设定用于查询相关信息的查询条件,通过该预设查询条件,域控制器获取各国产操作系统终端的相关信息。具体来说,域控制器在组网的LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)目录树下,通过Filter查询条件即可获取到域内各个国产操作系统终端的相关信息。AD域(Active Directory Domain)实现了标准LDAP协议,域控制器根据LDAP协议(轻型目录访问协议)实现客户端(类似ldapadmin等三方LDAP管理工具),即可访问到LDAP目录里的数据。进一步来说,LDAP是一种开放的、跨平台的协议,用于访问和维护分布式目录信息服务,它是一种应用程序协议,可为网络通信提供标准的身份验证、授权和信息存储机制。Filter是LDAP协议的概念,LDAP协议支持按各种条件进行查询操作,比如可以设置类似于“群组=普通用户||密码更新时间>30天”这样的条件,LDAP会根据条件查询到符合条件的所有结果,即获取该到该群组内述国产操作系统终端的相关信息。在实际应用中,域控制器可以将不同国产操作系统终端的相关信息按照群组对应存储。
S300:若接收到国产操作系统终端的组策略下发请求,则解析组策略下发请求获取其中携带的目标终端标识。
在国产操作系统终端需要下载组策略时,其会进行组策略下发请求至域控制器。域控制器在接收到该组策略下发请求时,解析该组策略下发请求,获取其中携带的目标终端标识。该目标终端标识是上传组策略下发请求对应终端的终端标识,即该目标终端标识用于表征具体是哪一个国产操作系统终端当前请求下发组策略。在实际应用中,域内的国产操作系统终端入网上线后主动通过Rest接口上传组策略下发请求,该组策略下发请求中携带当前终端的目标终端标识。
S400:从相关信息中提取目标终端标识对应的目标相关信息。
针对当前请求下发的目标终端,从S200获取的相关信息中提取对应的目标相关信息,该目标相关信息主要包括目标终端的型号、操作系统版本、IP地址、归属组群类别等,提获取目标相关信息主要是为了确保后续能够找到对应适配的组策略,以及能够将寻找到的组策略成功下发。
S500:基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
根据目标相关信息,在预设组策略中进行查询。这个数据库可以预先存储各种组策略和对应的相关信息,以便快速查找和匹配;在查询过程中,系统会根据目标相关信息与组策略中存储的相关信息进行匹配,寻找与目标终端相符合的组策略。如果找到匹配的组策略,将其存储下来以备后续使用;一旦找到匹配的组策略,系统会将该组策略下发至目标终端。具体来说,组策略的形式可以为国产操作系统终端可识别的SHELL脚本/可执行程序/配置文件等,内容可以包括启用/停用防火墙,更换终端桌面,监控管理系统日志等。组策略上传时可以按照群组和LDAP Filter设定条件,例如新上传个策略,可以设置只适用于“密码已经60天没修改”并且“属于产品事业部的员工”这个条件,国产操作系统终端通过Rest接口拉取组策略时会带上加密后的本机信息(目标相关信息),域控制器会根据相关信息,以及预设组策略中保存的filter和组策略,判断有哪些组策略符合这台终端,从而将符合的组策略下发给到目标终端。
上述国产操作系统终端域组策略分发方法,识别域内双向认证成功的国产操作系统终端,以确定域内包含的国产操作系统终端;通过预设查询条件,获取各国产操作系统终端的相关信息;在接收到国产操作系统终端的组策略下发请求时,解析组策略下发请求中携带的目标终端标识;从相关信息中提取目标终端标识对应的目标相关信息,以明确当前请求下发组策略的终端;基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。整个过程中,针对域内双向认证的国产操作系统终端,可以实现组策略的统一上传和分发。
如图3所示,在其中一个实施例中,S100之前,还包括:
S120:响应加域终端发送的加域请求;
S140:采用kerberos协议与加域终端进行双向认证。
当加域终端发送加域请求时,域控制器会接收并响应该请求,通常,加域请求包括终端的身份信息和其他必要的参数。域控制器会根据这些信息进行验证和处理。域控制器采用Kerberos协议与加域终端进行双向认证,在处理加域请求后,域控制器会启动与加域终端之间的双向认证过程。在这个过程中,域控制器会使用Kerberos协议生成一个会话密钥,该密钥用于保护后续通信的安全性。域控制器会将该密钥发送给加域终端,同时也会验证加域终端提供的身份信息。如果认证成功,则说明加域终端已经被成功加入到域中,并且可以享受系统提供的相应服务。通过以上步骤,可以识别域内双向认证成功的国产操作系统终端,并确保其与系统的通信安全性。
在其中一个实施例中,基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略,下发至目标终端之前,还包括:
接收前端配置的组策略,并记录不同群组的组策略对应条件;基于群组将各组策略分区缓存,并将分区缓存的组策略与对应的条件关联,生成预设组策略。
具体来说,在查找组策略之前还包括生成预设组策略的步骤。其具体包括以下步骤:接收前端配置的组策略:域控制器会通过前端接收来自管理员或用户的组策略信息,这些组策略信息包含了针对特定终端或终端群的设置和指令。记录不同群组的组策略对应条件:在接收组策略的同时,域控制器会记录每个组策略对应的条件。条件是一种用于筛选和匹配终端的机制,可以根据终端的特征、属性或行为等来进行匹配。基于群组将各组策略分区缓存:域控制器会将接收到的组策略按照终端群组进行分区缓存,每个群组的组策略存储在一个独立的区域中。这样可以方便后续根据终端所属群组进行查找和匹配。将分区缓存的组策略与对应的条件关联:对于每个分区缓存的组策略,域控制器会将其与对应的条件进行关联。这样,当需要匹配条件时,可以直接关联到对应的组策略。生成预设组策略:通过以上步骤,域控制器会生成一个预设组策略,该数据库包含了不同群组的组策略及其对应的条件。这个数据库可以用于后续根据目标相关信息快速查找和匹配相应的组策略。通过以上步骤,域控制器可以实现对目标相关信息从预设组策略中查找对应的组策略,并将查找到的组策略下发至目标终端之前的一系列操作。这样的处理流程可以实现对国产化操作系统终端的精细化管理,根据不同的需求和应用场景,对国产化操作系统终端实施不同的组策略和操作。
在其中一个实施例中,接收前端按照群组上传的组策略,并记录不同群组对应的条件之前,还包括:
下发组策略编写与配置界面数据至前端终端,由前端终端展示策略编写与配置界面。
域控制器会将组策略编写与配置界面下发至前端终端,该界面包含了用于编写和配置组策略的工具和选项;前端终端接收到界面后,会将其展示给管理员或用户,以便他们能够通过界面进行组策略的编写和配置;通过以上步骤,域控制器可以提供一种方便的方式来让管理员或用户在前端终端上编写和配置组策略,并将其上传至系统进行后续的处理。这样可以提高组策略管理的灵活性和效率,使得管理员或用户可以更加自主地根据实际需求来定制组策略。具体来说,域控制器上通过前端页面或HTTPS(Hypertext TransferProtocol Secure,超文本传输安全协议)接口,实现组策略的上传功能。组策略的形式可以为国产操作系统终端可识别的SHELL脚本/可执行程序/配置文件等,内容可以包括启用/停用防火墙,更换终端桌面,监控管理系统日志等。
如图3所示,在其中一个实施例中,S500包括:
S520:从目标相关信息中获取目标终端身份信息。
域控制器会从目标终端上报的信息中提取出目标终端的身份信息,例如终端的型号、操作系统版本、IP地址等。这些信息可用于识别终端的身份和特征
S540:查询与目标终端身份信息匹配的条件,得到目标条件。
域控制器会根据目标终端身份信息,在预设组策略中查询与之匹配的条件。这些条件是预先定义好的,用于筛选和匹配特定终端。通过查询,系统会找到与目标终端匹配的条件,进而得到目标条件。
S560:基于目标条件从预设组策略中查找对应的组策略,并将查找到的组策略下发至目标终端。
根据目标条件,域控制器会在预设组策略中查找与之匹配的组策略。一旦找到匹配的组策略,域控制器会将该组策略下发至目标终端。目标终端接收到组策略后,会根据其中的指令和要求执行相应的操作。
通过以上处理,域控制器可以从预设组策略中查找与目标相关信息匹配的组策略,并将查找到的组策略下发至目标终端,实现对目标终端的精细化管理。这样的处理流程有助于提高系统的效率和安全性。
在实际应用中,组策略上传时可以按照群组和LDAP Filter设定条件,例如新上传个策略,可以设置只适用于“密码已经60天没修改”并且“属于产品事业部的员工”这个条件。终端通过Rest接口拉取组策略时会带上加密后的本机信息,域控会根据相关信息,以及组策略库中保存的filter和策略,判断有哪些组策略符合这台终端,从而将符合的组策略下载给终端。
在其中一个实施例中,将查找到的组策略下发至目标终端包括:
将查找到的组策略下发至目标终端对应的组策略执行终端,由组策略执行终端对接收到的组策略进行有效性校验,以判断接收到的组策略是否合法、或是否被篡改。
国产操作系统终端上的组策略执行终端(具体是其组策略更新模块)通过HTTPS接口从域控制器下载到本地。组策略执行终端会对接收到的组策略进行有效性验证,以进一步判断已下载的组策略是否合法、或是否被篡改。具体来说,组策略执行终端可以进行组策略的CRC(Cyclic Redundancy Check,循环冗余校验码)码有效性校验,判断是否合法或者是否被篡改。组策略的形式是压缩包,合法的话,则会自动解压,并且按照组策略类型,分发给不同的执行器执行,例如如果策略是脚本,则直接执行,如果策略是一个安全程序并且需要随系统开机自动启动,则会将此安全程序加为系统服务等等。如果策略CRC校验不合法,则会直接丢弃。
在其中一个实施例中,基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端之后,还包括:
接收目标终端反馈的组策略执行成功消息;
其中,组策略执行成功消息由目标终端根据预设执行条件判定已下载组策略允许执行、且已成功执行时上传,预设执行条件包括系统时间条件、组策略有效时间条件、组策略ID条件、以及用户权限条件。
组策略执行终端会根据预设条件来判断已下载组策略是否允许执行,预设执行条件包括系统时间条件、组策略有效时间条件、组策略ID条件、以及用户权限条件,在这些条件均满足时,组策略执行终端会根据该策略类型分发给不同的组策略执行器,以执行对应的组策略。
具体来说,首先策略里会有版本信息,如果一台新加入的国产操作系统终端,通过rest接口同时下载到了多个同类型的策略,则只会应用最新的一个策略;其次组策略里会有生效时间,比如某策略是国庆期间更换所有电脑桌面背景,执行时会判定本机时间是否还在组策略的生效时间内(是否还在国庆期间)。最后则是终端能获取到自己当前登录的计算机系统用户,如果一个策略限定了执行的计算机本地用户,例如只有该电脑的管理员用户才能执行,则也不会执行。以上这些判断都只是一些容错处理,实际上通过rest接口下载时已经会过滤掉不符合条件的策略,这里是进一步避免执行到本来不该自己执行的策略。在具体执行策略时,策略解压后会有个标志文件记录该策略类型,例如“sh”,“ini”,“bin”等。组策略执行终端是通过工厂类的方法来实现,根据此类型将策略分发给不同的执行器,例如“sh”则分发给执行脚本的执行器类。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的国产操作系统终端域组策略分发方法的国产操作系统终端域组策略分发装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个国产操作系统终端域组策略分发装置实施例中的具体限定可以参见上文中对于国产操作系统终端域组策略分发方法的限定,在此不再赘述。
在一个实施例中,如图4所示,提供了一种国产操作系统终端域组策略分发装置,包括:
识别模块100,用于识别域内双向认证成功的国产操作系统终端;
相关信息获取模块200,用于通过预设查询条件,获取不同群组内国产操作系统终端的相关信息;
解析模块300,用于当接收到国产操作系统终端的组策略下发请求时,解析组策略下发请求获取其中携带的目标终端标识;
信息提取模块400,用于从相关信息中提取目标终端标识对应的目标相关信息;
下发模块500,用于基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
在其中一个实施例中,上述国产操作系统终端域组策略分发装置还包括:
组网模块,用于响应加域终端发送的加域请求;采用kerberos协议与加域终端进行双向认证。
在其中一个实施例中,下发模块500还用于接收前端配置的组策略,并记录不同群组的组策略对应条件;基于群组将各组策略分区缓存,并将分区缓存的组策略与对应的条件关联,生成预设组策略。
在其中一个实施例中,下发模块500还用于下发组策略编写与配置界面数据至前端终端,由前端终端展示策略编写与配置界面。
在其中一个实施例中,下发模块500还用于从目标相关信息中获取目标终端身份信息;查询与目标终端身份信息匹配的条件,得到目标条件;基于目标条件从预设组策略中查找对应的组策略,并将查找到的组策略下发至目标终端。
在其中一个实施例中,下发模块500还用于将查找到的组策略下发至目标终端对应的组策略执行终端,由组策略执行终端对接收到的组策略进行有效性校验,以判断接收到的组策略是否合法、或是否被篡改。
在其中一个实施例中,上述国产操作系统终端域组策略分发装置还包括:
接收模块,用于接收目标终端反馈的组策略执行成功消息;其中,组策略执行成功消息由目标终端根据预设执行条件判定已下载组策略允许执行、且已成功执行时上传,预设执行条件包括系统时间条件、组策略有效时间条件、组策略ID条件、以及用户权限条件。
上述国产操作系统终端域组策略分发装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储预设数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种国产操作系统终端域组策略分发方法。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
识别域内双向认证成功的国产操作系统终端;
通过预设查询条件,获取不同群组内国产操作系统终端的相关信息;
若接收到国产操作系统终端的组策略下发请求,则解析组策略下发请求获取其中携带的目标终端标识;
从相关信息中提取目标终端标识对应的目标相关信息;
基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
响应加域终端发送的加域请求;采用kerberos协议与加域终端进行双向认证。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
接收前端配置的组策略,并记录不同群组的组策略对应条件;基于群组将各组策略分区缓存,并将分区缓存的组策略与对应的条件关联,生成预设组策略。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
下发组策略编写与配置界面数据至前端终端,由前端终端展示策略编写与配置界面。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
从目标相关信息中获取目标终端身份信息;查询与目标终端身份信息匹配的条件,得到目标条件;基于目标条件从预设组策略中查找对应的组策略,并将查找到的组策略下发至目标终端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
将查找到的组策略下发至目标终端对应的组策略执行终端,由组策略执行终端对接收到的组策略进行有效性校验,以判断接收到的组策略是否合法、或是否被篡改。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
接收目标终端反馈的组策略执行成功消息;其中,组策略执行成功消息由目标终端根据预设执行条件判定已下载组策略允许执行、且已成功执行时上传,预设执行条件包括系统时间条件、组策略有效时间条件、组策略ID条件、以及用户权限条件。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
识别域内双向认证成功的国产操作系统终端;
通过预设查询条件,获取不同群组内国产操作系统终端的相关信息;
若接收到国产操作系统终端的组策略下发请求,则解析组策略下发请求获取其中携带的目标终端标识;
从相关信息中提取目标终端标识对应的目标相关信息;
基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
响应加域终端发送的加域请求;采用kerberos协议与加域终端进行双向认证。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
接收前端配置的组策略,并记录不同群组的组策略对应条件;基于群组将各组策略分区缓存,并将分区缓存的组策略与对应的条件关联,生成预设组策略。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
下发组策略编写与配置界面数据至前端终端,由前端终端展示策略编写与配置界面。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
从目标相关信息中获取目标终端身份信息;查询与目标终端身份信息匹配的条件,得到目标条件;基于目标条件从预设组策略中查找对应的组策略,并将查找到的组策略下发至目标终端。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将查找到的组策略下发至目标终端对应的组策略执行终端,由组策略执行终端对接收到的组策略进行有效性校验,以判断接收到的组策略是否合法、或是否被篡改。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
接收目标终端反馈的组策略执行成功消息;其中,组策略执行成功消息由目标终端根据预设执行条件判定已下载组策略允许执行、且已成功执行时上传,预设执行条件包括系统时间条件、组策略有效时间条件、组策略ID条件、以及用户权限条件。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
识别域内双向认证成功的国产操作系统终端;
通过预设查询条件,获取不同群组内国产操作系统终端的相关信息;
若接收到国产操作系统终端的组策略下发请求,则解析组策略下发请求获取其中携带的目标终端标识;
从相关信息中提取目标终端标识对应的目标相关信息;
基于目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
响应加域终端发送的加域请求;采用kerberos协议与加域终端进行双向认证。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
接收前端配置的组策略,并记录不同群组的组策略对应条件;基于群组将各组策略分区缓存,并将分区缓存的组策略与对应的条件关联,生成预设组策略。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
下发组策略编写与配置界面数据至前端终端,由前端终端展示策略编写与配置界面。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
从目标相关信息中获取目标终端身份信息;查询与目标终端身份信息匹配的条件,得到目标条件;基于目标条件从预设组策略中查找对应的组策略,并将查找到的组策略下发至目标终端。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将查找到的组策略下发至目标终端对应的组策略执行终端,由组策略执行终端对接收到的组策略进行有效性校验,以判断接收到的组策略是否合法、或是否被篡改。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
接收目标终端反馈的组策略执行成功消息;其中,组策略执行成功消息由目标终端根据预设执行条件判定已下载组策略允许执行、且已成功执行时上传,预设执行条件包括系统时间条件、组策略有效时间条件、组策略ID条件、以及用户权限条件。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种国产操作系统终端域组策略分发方法,其特征在于,所述方法包括:
识别域内双向认证成功的国产操作系统终端;
通过预设查询条件,获取不同群组内所述国产操作系统终端的相关信息;
若接收到所述国产操作系统终端的组策略下发请求,则解析所述组策略下发请求获取其中携带的目标终端标识;
从所述相关信息中提取所述目标终端标识对应的目标相关信息;
基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
2.根据权利要求1所述的方法,其特征在于,所述识别域内双向认证成功的国产操作系统终端之前,还包括:
响应加域终端发送的加域请求;
采用kerberos协议与所述加域终端进行双向认证。
3.根据权利要求1所述的方法,其特征在于,所述基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略,下发至目标终端之前,还包括:
接收前端配置的组策略,并记录不同群组的组策略对应条件;
基于群组将各所述组策略分区缓存,并将分区缓存的所述组策略与对应的条件关联,生成预设组策略。
4.根据权利要求3所述的方法,其特征在于,所述接收前端按照群组上传的组策略,并记录不同群组对应的条件之前,还包括:
下发组策略编写与配置界面数据至前端终端,由所述前端终端展示策略编写与配置界面。
5.根据权利要求1所述的方法,其特征在于,所述基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端包括:
从所述目标相关信息中获取目标终端身份信息;
查询与所述目标终端身份信息匹配的条件,得到目标条件;
基于所述目标条件从预设组策略中查找对应的组策略,并将查找到的组策略下发至目标终端。
6.根据权利要求1所述的方法,其特征在于,将查找到的组策略下发至目标终端包括:
将查找到的组策略下发至目标终端对应的组策略执行终端,由所述组策略执行终端对接收到的组策略进行有效性校验,以判断接收到的组策略是否合法、或是否被篡改。
7.根据权利要求1所述的方法,其特征在于,基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端之后,还包括:
接收目标终端反馈的组策略执行成功消息;
其中,所述组策略执行成功消息由所述目标终端根据预设执行条件判定已下载组策略允许执行、且已成功执行时生成,所述预设执行条件包括系统时间条件、组策略有效时间条件、组策略ID条件、以及用户权限条件。
8.一种国产操作系统终端域组策略分发装置,其特征在于,所述装置包括:
识别模块,用于识别域内双向认证成功的国产操作系统终端;
相关信息获取模块,用于通过预设查询条件,获取不同群组内所述国产操作系统终端的相关信息;
解析模块,用于当接收到所述国产操作系统终端的组策略下发请求时,解析所述组策略下发请求获取其中携带的目标终端标识;
信息提取模块,用于从所述相关信息中提取所述目标终端标识对应的目标相关信息;
下发模块,用于基于所述目标相关信息从预设组策略中查找对应的组策略、并将查找到的组策略下发至目标终端。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202410397063.9A 2024-04-03 2024-04-03 国产操作系统终端域组策略分发方法、装置及计算机设备 Pending CN117997749A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410397063.9A CN117997749A (zh) 2024-04-03 2024-04-03 国产操作系统终端域组策略分发方法、装置及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410397063.9A CN117997749A (zh) 2024-04-03 2024-04-03 国产操作系统终端域组策略分发方法、装置及计算机设备

Publications (1)

Publication Number Publication Date
CN117997749A true CN117997749A (zh) 2024-05-07

Family

ID=90895474

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410397063.9A Pending CN117997749A (zh) 2024-04-03 2024-04-03 国产操作系统终端域组策略分发方法、装置及计算机设备

Country Status (1)

Country Link
CN (1) CN117997749A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080104661A1 (en) * 2006-10-27 2008-05-01 Joseph Levin Managing Policy Settings for Remote Clients
CN102244656A (zh) * 2010-05-11 2011-11-16 微软公司 域访问系统
CN112448958A (zh) * 2020-11-30 2021-03-05 南方电网科学研究院有限责任公司 一种域策略下发方法、装置、电子设备和存储介质
CN114422542A (zh) * 2021-12-11 2022-04-29 麒麟软件有限公司 一种终端域管系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080104661A1 (en) * 2006-10-27 2008-05-01 Joseph Levin Managing Policy Settings for Remote Clients
CN102244656A (zh) * 2010-05-11 2011-11-16 微软公司 域访问系统
CN112448958A (zh) * 2020-11-30 2021-03-05 南方电网科学研究院有限责任公司 一种域策略下发方法、装置、电子设备和存储介质
CN114422542A (zh) * 2021-12-11 2022-04-29 麒麟软件有限公司 一种终端域管系统

Similar Documents

Publication Publication Date Title
JP7222036B2 (ja) モデルトレーニングシステムおよび方法および記憶媒体
JP6985576B2 (ja) ビジネスプロセスシステム、ビジネスデータ処理方法及び装置
CN102713926B (zh) 机密信息泄露防止系统及方法
CN109033857B (zh) 一种访问数据的方法、装置、设备及可读存储介质
CN107145531B (zh) 分布式文件系统及分布式文件系统的用户管理方法
CN112860778B (zh) 桌面应用程序的数据库管理方法、装置、设备和介质
CN112788031A (zh) 基于Envoy架构的微服务接口认证系统、方法及装置
CN113468599B (zh) 文件存证方法、装置、系统、设备和存储介质
CN111177776A (zh) 多租户数据隔离方法与系统
CN106936907B (zh) 一种文件处理方法、逻辑服务器、接入服务器及系统
US20240348449A1 (en) Data protection on distributed data storage (dds) protection networks
CN113010904A (zh) 数据处理方法和装置及电子设备
CN116522308A (zh) 数据库账号托管方法、装置、计算机设备及存储介质
CN111147235A (zh) 对象访问方法、装置、电子设备及机器可读存储介质
CN116010926A (zh) 登陆认证方法、装置、计算机设备和存储介质
CN112835863A (zh) 操作日志的处理方法和处理装置
CN115658794A (zh) 数据查询方法、装置、计算机设备和存储介质
CN117997749A (zh) 国产操作系统终端域组策略分发方法、装置及计算机设备
CN115935414A (zh) 基于区块链的数据校验方法、装置、电子设备和存储介质
CN115208579A (zh) 鉴权方法、装置、业务系统接入方法、装置和存储介质
CN116684282B (zh) 新增云端服务器初始化方法、装置和计算机设备
CN110248166B (zh) 视频信息的处理方法、客户端、电子设备及存储介质
CN118075023B (zh) 基于ldap的数据安全管控方法、系统、终端及存储介质
CN112637316B (zh) 一种通信方法及装置
WO2024098862A1 (zh) 一种基于区块链的数据处理方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination