JP2011123841A - Information processing device, policy applying method, program and system - Google Patents
Information processing device, policy applying method, program and system Download PDFInfo
- Publication number
- JP2011123841A JP2011123841A JP2009283309A JP2009283309A JP2011123841A JP 2011123841 A JP2011123841 A JP 2011123841A JP 2009283309 A JP2009283309 A JP 2009283309A JP 2009283309 A JP2009283309 A JP 2009283309A JP 2011123841 A JP2011123841 A JP 2011123841A
- Authority
- JP
- Japan
- Prior art keywords
- policy
- user
- mfp
- information processing
- box
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、情報処理装置、ポリシー適用方法、プログラム、及びシステムの分野に関する。 The present invention relates to the fields of an information processing apparatus, a policy application method, a program, and a system.
従来より、Windows(登録商標:以下当該表記は省略)サーバは、Active Directoryによりドメインを構築できることが知られている。Active Directoryとはディレクトリサービスを提供するものであり、ネットワーク用語でディレクトリは、ネットワークオブジェクトの情報を格納する入れ物を意味する。ユーザがログインするときに使うユーザカウント、ユーザが使用するコンピュータのコンピュータアカウント、コンピュータ上にあるファイルを共有する共有フォルダ、ユーザがネットワーク経由で印刷するプリンタなどはすべてActive Directoryのオブジェクトに含まれる。ディレクトリサービスは、ディレクトリ内の情報を管理者やユーザなどが利用できるようにするサービスである。ディレクトリサービスにより、ネットワークオブジェクトの検索やアクセスができ、またそのネットワークオブジェクトの一元管理をすることができる。 Conventionally, it is known that a Windows (registered trademark: hereinafter, the notation is omitted) server can construct a domain using Active Directory. Active Directory provides a directory service. In network terms, a directory means a container for storing information on network objects. The Active Directory object includes the user count used when the user logs in, the computer account of the computer used by the user, the shared folder that shares files on the computer, and the printer that the user prints over the network. A directory service is a service that enables an administrator, a user, and the like to use information in a directory. The directory service enables searching and accessing of network objects, and central management of the network objects.
またActive Directoryでは、ユーザやユーザグループ毎のポリシーについても一元管理可能である。規定されるポリシーにより、セキュリティの設定、Windowsデスクトップのカスタマイズ、アプリケーションの配布などが行える。例えば、ポリシーの具体例として、パスワードポリシー、アカウントロックポリシー、Windows Update(登録商標:以下当該表記は省略)ポリシー、共有フォルダポリシーなどが挙げられる。 Active Directory can also centrally manage policies for each user or user group. Security policies, Windows desktop customization, application distribution, etc. can be performed according to the prescribed policies. For example, as specific examples of policies, there are a password policy, an account lock policy, a Windows Update (registered trademark: notation), a shared folder policy, and the like.
このような上記Active Directoryの機能を利用して、管理者はネットワーク環境下においてWindowsサーバによりユーザ又はユーザグループ単位で、ユーザ名、パスワード、ポリシーなどのユーザ情報を一元的に管理することができる。ここで、上記ネットワーク環境下において、例えばMFP(多機能周辺装置:Multifunction Peripheral)を導入する場合、特にそのMFPがWindowsとは異なるOS(例えばUnix(登録商標)系)を搭載しているシステムであると、既設のWindowsサーバが管理するポリシーにはWindows特有のポリシーも含まれているため、管理者が一元管理するユーザ情報をMFPに適用し、Windowsサーバの管理下にそのまま入ることは難しいという問題がある。 Using such an Active Directory function, the administrator can centrally manage user information such as a user name, a password, and a policy in a network server environment by a Windows server in units of users or user groups. Here, in the case of introducing an MFP (Multifunction Peripheral), for example, in the above network environment, particularly in a system in which the MFP is mounted with an OS (for example, Unix (registered trademark) system) different from Windows. If there is, the policy managed by the existing Windows server includes the policy specific to Windows, so it is difficult to apply the user information that the administrator centrally manages to the MFP and enter into the management of the Windows server as it is There's a problem.
これに関連する技術として、特許文献1には、Windows(R)等のOS(Operating System)により管理されているユーザ情報とジョブアカウントシステムにより管理されているユーザ情報との同期を自動的に行なうことが可能なジョブ管理装置の発明が記載されている。
As a technology related to this,
なお、上記MFPは、特に多機能プリンタ(Multifunction Printer)の略称として認識される場合も少なくない。従って本明細書においてのMFPは、ファックス、プリンタ、コピーおよびスキャナなどの各装置の機能を1つの筐体内に収納した画像形成装置であるものとする。 Note that the MFP is often recognized as an abbreviation for a multifunction printer. Accordingly, the MFP in this specification is an image forming apparatus in which the functions of each apparatus such as a fax machine, a printer, a copy machine, and a scanner are housed in one housing.
さて実際、上述のように既にWindowsサーバを構築し、Windowsクライアントのユーザに対して規定された各種ポリシーを適用しながらユーザ管理、運用しているネットワーク環境(顧客ネットワーク環境下)において、非Windows OSのMFPが導入される場合がある。そして、MFPが既存ネットワーク環境下に接続される以上、管理者としては導入するMFPについてもできるだけWindowsサーバでそのユーザ情報を管理し、またユーザ(又はユーザグループ)に対して規定されるポリシーも適用したいという要請があった。 Actually, in a network environment (under customer network environment) in which a Windows server has already been constructed as described above and user management and operation is being performed while applying various policies specified for Windows client users, a non-Windows OS MFPs may be introduced. As long as the MFP is connected to the existing network environment, the administrator manages the user information on the Windows server as much as possible for the MFP to be introduced, and the policy specified for the user (or user group) also applies There was a request to do.
しかし、実際そのOSの違いからWindowsサーバのポリシーをMFPにそのまま適用することは難しく、それでも実現しようとすると場合によってはWindowsサーバ又はMFP側に対して相当な作り込みをしたり、特別なアプリケーションを付加しなくてはならず(例えば特許文献1参照)、既存Windowsネットワーク環境下にMFPを容易に適用できないという問題があった。 However, in practice, it is difficult to apply the Windows server policy to the MFP as it is due to the difference in the OS. There is a problem in that the MFP cannot be easily applied to an existing Windows network environment.
即ち、ユーザ又はユーザグループ単位で、ユーザ名、パスワード、ポリシーなどのユーザ情報が一元的に管理されるWindowsネットワーク環境下において、非Windows OSのMFPが導入されるとき、MFP導入の敷居を下げられるよう、MFPが容易に既存のWindowsポリシーの枠組みに参加可能な構成が望まれる。 In other words, when a non-Windows OS MFP is installed in a Windows network environment in which user information such as user names, passwords, policies, and the like is centrally managed for each user or user group, the threshold for MFP installation can be lowered. Thus, a configuration is desired in which the MFP can easily participate in the existing Windows policy framework.
本発明では上記のような問題に鑑みて、Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置、ポリシー適用方法、プログラム、及びシステムを提供することを目的とする。 In the present invention, in view of the above problems, when a non-Windows system is introduced under a Windows network environment, a policy such as a user managed by a Windows server can be applied to the non-Windows system as easily as possible. It is an object of the present invention to provide an information processing apparatus, a policy application method, a program, and a system.
そこで上記課題を解決するため、本発明に係る情報処理装置は、第1のOSを有し、情報処理装置に対しまた情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと、2のOSを有する第2の情報処理装置と、ネットワークを介して接続される第1のOSを有する第1の情報処理装置であって、前記サーバから前記ポリシーを取得し保存するポリシー管理手段と、前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手段により保存されたポリシーをフィルタリングするフィルタ手段と、を有し、前記フィルタリングされたポリシーは、前記第2の情報処理装置若しくは前記第2の情報処理装置ユーザ又はユーザグループに適用されることを特徴とする。 In order to solve the above problems, an information processing apparatus according to the present invention includes a first OS, a server that applies a policy to an information processing apparatus and a user or a user group of the information processing apparatus, A second information processing apparatus having an OS, and a first information processing apparatus having a first OS connected via a network, the policy management means for acquiring and storing the policy from the server, Filter means for filtering a policy stored by the policy management means based on a filter policy in which a policy applicable from the first OS to the second OS is defined, and the filtered policy is The present invention is applied to the second information processing apparatus or the second information processing apparatus user or user group.
また上記課題を解決するため、前記情報処理装置において、前記サーバが管理するユーザ情報及び第2の情報処理装置が管理するユーザ情報と、自装置が管理するユーザ情報とを同期させる同期手段と、を有することを特徴とする。 In order to solve the above problem, in the information processing apparatus, a synchronization unit that synchronizes user information managed by the server and user information managed by the second information processing apparatus and user information managed by the own apparatus; It is characterized by having.
また上記課題を解決するため、前記情報処理装置において、複数の前記第2の情報処理装置が接続され、前記フィルタリングされたポリシーは、複数の前記第2の情報処理装置若しくは複数の前記第2の情報処理装置ユーザ又はユーザグループに適用される。 In order to solve the above-mentioned problem, in the information processing apparatus, a plurality of the second information processing apparatuses are connected, and the filtered policy is defined by a plurality of the second information processing apparatuses or a plurality of the second information processing apparatuses. Applies to information processing device users or user groups.
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、などに適用したものも本発明の態様として有効である。 In addition, what applied the arbitrary combination of the component of this invention, expression, or a component to a method, an apparatus, a system, a computer program, a recording medium, etc. is also effective as an aspect of this invention.
本発明によれば、Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置、ポリシー適用方法、プログラム、及びシステムを提供することができる。 According to the present invention, when a non-Windows system is introduced in a Windows network environment, an information processing apparatus and policy that can apply a policy of a user managed by a Windows server to a non-Windows system as easily as possible. Application methods, programs, and systems can be provided.
本発明を実施するための形態を各実施形態において図面を用いて説明する。なお、本発明を説明するにあたって、情報処理装置の一実施形態であるMFP(画像形成装置)に本発明を適用した例を以下に示す。MFPは、プリンタ、コピーおよびスキャナなどの複数の機能を一つの筐体内に収納した画像形成装置である。またこれら基本機能だけでなく、デジタル画像技術の高度化やMFPに関連する技術の進化に伴い多彩な機能を有し、ユーザ環境において様々な利用形態を提供している。 DESCRIPTION OF EMBODIMENTS Embodiments for carrying out the present invention will be described in each embodiment with reference to the drawings. In describing the present invention, an example in which the present invention is applied to an MFP (image forming apparatus) which is an embodiment of an information processing apparatus will be described below. An MFP is an image forming apparatus in which a plurality of functions such as a printer, a copy, and a scanner are housed in a single casing. In addition to these basic functions, various functions are provided in the user environment with various functions as the digital image technology is advanced and the technology related to MFP is advanced.
[実施形態1]
<ネットワーク環境>
図1は、本実施形態に係るネットワーク環境の一例を示す。図に示されるように、Windowsサーバ100、情報処理装置(以下IT-BOXと称する)200、MFP300が、ネットワークを介して接続される。
[Embodiment 1]
<Network environment>
FIG. 1 shows an example of a network environment according to this embodiment. As shown in the figure, a Windows
Windowsサーバ100は、管理者によりActive Directoryの機能を有して構築され、Windowsネットワーク環境下において、ユーザやユーザグループ、ポリシー(詳細後述)を管理しているサーバである。IT−BOX200は、MFP300の導入に伴い付随して導入された情報処理装置であり、そのOSはWindows(例えばWindows XP Professional等)により動作するシステムである。IT−BOX200は、その仲介的動作(詳細後述)により非WindowsシステムであるMPF300に対して、Windowsサーバ100の管理するユーザやユーザグループのポリシーを適用させる。MFP300は、Windowsネットワーク環境下に導入された画像形成装置であり、非Windows OS(例えばUnix(登録商標)、Linux等)により動作するシステムである。またネットワークには、例えばWindows XP ProfessionalなどのWindows OSにより動作するWindowsクライアントを接続できる(非図示)。
The Windows
このように本実施形態に係るネットワーク環境では、Windowsサーバ100によるWindowsネットワークに、Windows OSにより動作するIT−BOX200及び非Windows OSにより動作するMFP300が接続される。
As described above, in the network environment according to the present embodiment, the IT-
<機能>
図2は、本実施形態に係るWindowsサーバ100、IT−BOX200、及びMFP300の主要機能構成を示す機能ブロック図である。以下、順に各装置について説明していく。
<Function>
FIG. 2 is a functional block diagram showing main functional configurations of the Windows
(Windowsサーバ)
図に示されるように、Windowsサーバ100は主な機能として、ポリシー管理部101、設定情報管理部105を有し、パスワードポリシー102、アカウントロックアウトポリシー103、Windows Updateポリシー104、共有フィルダポリシー107、ユーザ情報106を保持している。Windowsサーバ100において、ポリシー管理部101、設定情報管理部105はActive Directoryにより実現されており、Active Directoryによりドメインを構築している。
(Windows server)
As shown in the figure, the Windows
設定情報管理部105はユーザ情報106を管理し、ユーザ情報106には、ユーザが使用するクライアントコンピュータのコンピュータアカウント、ユーザがログインするときに使うユーザカウント(ユーザ名とパスワード)が登録されている。Active Directoryドメインに参加するWindowsクライアントは、コンピュータ起動時やユーザログイン時にWindowsサーバ100の設定情報管理105を介しユーザ情報106に問い合わせ、入力されたアカウントでログインできるか否かの認証がなされる。そしてWindowsクライアントに対して、Windowsサーバ100へのログインを許可する又は許可しない、の認証結果が返信される。なおユーザ情報106は、ユーザカウントがグループ化されている場合、複数のユーザメンバから構成されるユーザグループ情報を含んでいる。
The setting
ポリシー管理部101は、ユーザやユーザグループ(以下単にグループという)に適用すべきポリシーを管理している。ポリシーは、ユーザやグループ毎に応じて適用させるべきルールが規定されているものであり、本実施形態では一実施例として、パスワードポリシー102、アカウントロックポリシー103、Windows Updateポリシー104、共有フォルダポリシー107が示されている。図3に、各種ポリシーの具体例を示す。
The
パスワードポリシー102では、例えば「パスワードの長さ」、「パスワードの変更禁止期間」、「パスワードの有効期間」、「パスワードの履歴記録」、「パスワードの複雑さ」などが規定される。アカウントロックポリシー103では、例えば何回ログインに失敗したらアカウントをロックしログインできないようするかの「アカウントロック閾値」、ログオンに失敗した回数を何分後にリセットするかの「ロックアウトカウントのリセット」、ロックアウトされたアカウントを何分後に自動的にロックアウト解除するかの「ロックアウト期間」などが規定される。Windows Updateポリシー104では、Windowsシステムソフトウェアのアップデートを自動更新するか否かを設定する「自動更新を構築する」、アップデートするソフトウェアの検出時間を設定する「自動更新の検出頻度」、ソフトウェアのインストールをダウンロード後すぐに行うか否かを設定する「自動更新を直ちにインストールすることを許可する」などが規定される。共有フォルダポリシー107では、ユーザが共有フォルダをActive Directoryに公開するか否かの設定が規定される。
The
このようにポリシー管理101は、各種ポリシーの設定を行うとともに、ユーザやグループに応じて適用すべきポリシー及びそのポリシーの規定値の読み出しを行う。
As described above, the
なお、上記ポリシーは次の2種類に分類できる。1つは、Windows クライアント(例えばIT−BOX200)の起動時に反映され、どのユーザカウントでログインしてもそのWindows クライアントに適用される「コンピュータの構成」に関するポリシーがある。もう1つは、起動後、ユーザカウントによるログイン時に伴い適用され、どのWindows クライアントでログインしても、そのユーザカウントに適用される「ユーザの構成」ポリシーがある。パスワードポリシー102及びアカウントロックポリシー103は、「コンピュータの構成」ポリシーに分類され、Windows Updateポリシー104及び共有フォルダポリシー107は、「ユーザの構成」ポリシーに分類できる。「コンピュータの構成」ポリシーと「ユーザの構成」ポリシーが適用されるタイミングは、上記の他に定期的(例えば90分毎)にも適用されうる。
The policies can be classified into the following two types. One is a policy relating to “computer configuration” which is reflected when a Windows client (for example, IT-BOX 200) is started and is applied to the Windows client regardless of the user count. The other is a “user configuration” policy that is applied at the time of login by user count after startup, and applied to the user count regardless of which Windows client logs in. The
(IT-BOX)
図に示されるように、IT−BOX200は主な機能として、セッション管理部203、Windows サーバ認証処理部204、ポリシー管理部205、レジストリ206、フィルタ部207、ポリシーフィルタ208、レジストリ209を有している。
(IT-BOX)
As shown in the figure, the IT-
IT−BOX200は、MFP300の導入に伴い付随して導入された情報処理装置であり、そのOSはWindows(例えばWindows XP Professional等)により動作するシステムである。従ってIT−BOX200は、Windowsドメイン(Active Directoryのドメイン含む)に参加するWindows201の機能が備わっている。一方Windows201の枠外に示される機能ブロック(セッション管理203、フィルタ部207、フィルタポリシー208、レジストリ209等)は、IT−BOX用ソフトウェアとして組み込まれている機能である。
The IT-
セッション管理部203は、主にセッション管理を司り、例えばWindowsサーバ100、MFP300とのセッションを管理する機能部である。
The
Windows201内のWindows サーバ認証処理部204は、Windowsサーバ100のActive Directoryドメインへの参加機能を有しており、例えばMFP300の操作部308から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログインを行う。つまり、MFP300で入力されたユーザ名とパスワードを使用して、仲介的にWindowsサーバの設定情報管理105に問い合わせ、Directoryドメインへログインできるかの認証を行う。Windowsドメインへの参加が許可された場合(又は失敗した場合)、MFP300の操作部308にその旨表示させる。
The Windows server
ここで、IT−BOX200がWindowsサーバ100へのログインに成功すると、Windowsサーバ100のActive Directoryドメインへの参加機能でログインすることになる。よって、ポリシー管理部205は、ログインしたユーザに適用されるポリシー(この場合「ユーザの構成」ポリシーであるWindows Updateポリシーと共有フォルダポリシー)を、Windowsサーバ100からポリシー管理101を介して読み出し、Windows201内のレジストリ206に保存(反映)しておく。
Here, when the IT-
また、「コンピュータの構成」ポリシーであるパスワードポリシーとアカウントロックポリシーは、IT−BOX200の起動時にコンピュータアカウントによる認証を経て、Windows201内のポリシー管理205によりレジストリ206に既に保存(反映)されている。IT−BOX200はWindowsをベースとするシステムであるため、Windowsサーバ100からのポリシーはIT−BOX200自身にも当該ポリシーが反映される。例えば、IT−BOX200がWindowsサーバ100への起動時ログインが成功すると、「コンピュータの構成」ポリシーが適用されるため、パスワードポリシーに反する場合、これを満たさせるように動作し、また共有フォルダのActive Directoryへの公開設定が「有効」に設定されている場合はIT−BOX200内の共有フォルダがActive Directoryへ公開される。
Further, the password policy and the account lock policy, which are “computer configuration” policies, are already stored (reflected) in the
フィルタ部207は、フィルタポリシー208に基づいてレジストリ206のポリシーのフィルタを行う。上述のように、Windowsサーバ100のポリシーはレジストリ206に保存されている。ここで、パスワードポリシー102、アカウントロックアウトポリシー103、共有フォルダポリシーはMFP300に適用可能なポリシーであるが、Windows Updateポリシー104は非Windows OSのMFP300には適用できないポリシーである。このようにフィルタポリシー208には、予めMFP300に適用可能、不可能なポリシーが規定されているので、フィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP300に適用できないポリシーをフィルタリングする。フィルタリングされたポリシーは、レジストリ209に保存しておく。
The
図4は、フィルタリングされたポリシーの具体的を示す。フィルタリングされた、即ちMFP300に適用しうるポリシーとして、パスワードポリシー、アカウントロックアウトポリシー、共有フォルダポリシーが記述されている。フィルタリングされMPF300に適用されるポリシーは、MFP300のポリシー管理308に反映される。
FIG. 4 shows the specifics of the filtered policy. Password policies, account lockout policies, and shared folder policies are described as filtered policies that can be applied to the
(MFP)
上述のようにMFP300は、Windowsサーバ100及びIT−BOX200とは異なる種類のOSによる画像形成装置システムである。図に示されるように、MFP300は主な機能として、リクエスト管理部302、セッション管理部305、認証処理部306、ポリシー管理部307、操作部308を有している。
(MFP)
As described above, the
操作部308は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示する。操作部308からユーザカウントが入力されると、リクエスト管理部302、セッション管理部305を介して、IT−BOX200のWindows サーバ認証処理部204に認証のリクエストを行う。IT−BOX200のWindows サーバ認証処理部204は、MFP300の操作部308から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログインを行う。
The
ポリシー管理部307は、IT−BOX200のレジストリ209からフィルタリングされたポリシーを取得、参照する。そしてポリシーに従うように動作を行う。IT−BOX200の仲介によりWindowsサーバ100にて認証(認証成功)されると、上述したようにIT−BOX200にていわばMFP300用のフィルタリングされたポリシーがレジストリ209に保存されているので、ポリシー管理部307は、IT−BOX200のレジストリ209からフィルタリングされたポリシーを取得し、当該ポリシーに適合しない場合にはMFP300が当該ポリシーに従うように動作を行う。例えば、T−BOX200のレジストリ209からフィルタリングされたポリシーにおいて、パスワードポリシーの「パスワードの有効期限」がMPF300に適用され、当該ユーザカウントのパスワードの有効期限が切れている場合、操作部308にはパスワードの有効期限が切れている旨のメッセージが表示され、パスワードの変更をユーザに促す。また例えば、共有フォルダポリシーが当該ユーザカウントに適用される場合、共有フォルダのActive Directoryへの公開設定が「有効」に設定されていれば、MFP300にて保管されているデータ(文書データなど)を、Active Directoryへ公開する。
The
認証処理部306は、IT−BOX200の仲介によりWindowsサーバ100にて認証(認証成功)されると、MFP300自身へのログイン処理を行う。また当該ポリシーに適合しない場合にはMFP300が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP300自身へのログイン処理を行う。
The
<動作>
図5は、MFP300、IT−BOX200、Windowsサーバ100の処理を説明するフローチャートである。上述と重複する点もあるが以下確認的に説明を行う。
<Operation>
FIG. 5 is a flowchart for explaining processing of the
MFP300の操作部308は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示する。ユーザにより操作部308からユーザカウントが入力されると(S501)、リクエスト管理部302、セッション管理部305を介して、IT−BOX200のWindows サーバ認証処理部204に認証のリクエストを行う(S502)。
The
IT−BOX200のWindows サーバ認証処理部204は、MFP300の操作部308から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログイン要求を行う(S503)。
The Windows server
Windowsサーバ100の設定情報管理部105は、入力されたユーザ名とパスワードを用いて、ユーザ情報106に基づきログイン認証を行う(S504)。ここでは入力されたユーザ名とパスワードがユーザ情報106に登録されており認証は成功とする。なお認証失敗の場合はその旨IT−BOX200に通知すればよい。最終的にMFP300に通知され、MFP300の操作部308に認証失敗の旨、表示される。
The setting
認証が成功すると、Windowsサーバ100のポリシー管理部101は、当該ユーザカウント(又は属するグループ)に適用すべきポリシーをIT−BOX200へ通知する(S505)。
When the authentication is successful, the
IT−BOX200のポリシー管理部205は、通知されたポリシーをWindows201内のレジストリ206に保存(反映)する(S506)。
The
IT−BOX200のフィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP300に適用できないポリシーをフィルタリングする(S507)。そしてフィルタリングされたポリシーをレジストリ209に保存する(S508)。
The
またIT−BOX200のセッション管理部203は、MFP300のセッション管理部305に対して、認証結果を通知する(S509)。
Further, the
MFP300のポリシー管理部307は、認証成功の通知を受けて、IT−BOX200のレジストリ209からフィルタリングされたポリシーを取得、参照する(S510)。
なおフィルタリングされたポリシーは認証結果(認証成功の場合)とともに通知してもよい。
Upon receiving the notification of successful authentication, the
The filtered policy may be notified together with the authentication result (when authentication is successful).
そしてポリシー管理部307は、当該ポリシーへの適合判定を行う(S511)。当該ポリシーに適合しない場合、MFP300が当該ポリシーに従うように適合処理動作を行う(S512)。例えば、IT−BOX200のレジストリ209からフィルタリングされたポリシーにおいて、パスワードポリシーの「パスワードの有効期限」がMPF300に適用され、当該ユーザカウントのパスワードの有効期限が切れている場合、操作部308にはパスワードの有効期限が切れている旨のメッセージを表示し、ポリシーに適合するようにパスワードの変更をユーザに促す。
Then, the
一方、当該ポリシーに適合している場合(S511)、MFP300の認証処理部306は、IT−BOX200の仲介によりWindowsサーバ100にて認証(認証成功)しているので、続いてMFP300自身へのログイン処理を行う(S513)。また当該ポリシーに適合していない場合にはMFP300が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP300自身へのログイン処理を行う。
On the other hand, when conforming to the policy (S511), the
以上のように、既にWindowsサーバでユーザー及びグループ単位で、ユーザー名・パスワード、ポリシーなどのユーザ情報を一元的に管理しているユーザー環境に、多機能周辺装置MFPを導入する場合、特にMFPがWindowsとは異なるOSを搭載していると、Windowsサーバが管理するポリシーにはWindows特有のポリシーも含まれており、管理者が一元管理するユーザ情報にMFPもその管理下にそのまま入ることが困難である。本実施形態によれば、IT−BOXをWindowsサーバとMFP間に仲介させることで、IT−BOXにWindowsサーバが管理するドメインへの参加のために特別な対応を施すことなく、MFPをWindowsサーバのドメインに参加させ、またWindowsサーバが管理するポリシーを適用することができる。 As described above, when the multi-function peripheral device MFP is already installed in a user environment in which user information such as user names / passwords and policies is already managed on a Windows server in units of users and groups, the MFP is particularly If an OS different from Windows is installed, the policies managed by the Windows server include policies specific to Windows, and it is difficult for the administrator to keep the MFP in the user information managed by the administrator. It is. According to the present embodiment, the IT-BOX is mediated between the Windows server and the MFP, so that the MFP can be connected to the Windows server without giving the IT-BOX special participation for participation in the domain managed by the Windows server. You can join a domain and apply a policy managed by a Windows server.
なおまた、IT−BOXが仲介役となることでWindowsサーバ、MFPの何れの立場からも管理する機器がIT−BOX一つだけであるので、今後のシステム(Windowsサーバ、IT−BOX、MFP)の拡張を考える上でもIT−BOXでシステム内のバージョンアップなどによる差異を吸収することができる。 In addition, since IT-BOX acts as an intermediary, there is only one IT-BOX that can be managed from either the Windows server or MFP, so future systems (Windows server, IT-BOX, MFP) Even when considering the expansion of the system, the IT-BOX can absorb differences due to version upgrades in the system.
[実施形態2]
上述の実施形態1において、IT−BOX200は、MFP300とWindows サーバ100のやり取りについて仲介的な動作を行うことにより、非Windows OSのMFP300に対してWindows ドメイン下における各種ポリシーを適用させた。本実施形態2においては、IT−BOX200を実装レベルにより近づけた装置とした上で本発明の適用を行う。
[Embodiment 2]
In the first embodiment described above, the IT-
IT−BOX220は、Windows201をベースとした装置であり、MFP320のオプション的な位置づけの装置である。MFP320には、各種画像形成機能が実装されているが、MFP320は概して、コピー・ファクス・スキャン・プリントなどの基本機能およびそのH/W制御を行うソフトウェア実装が中心である。一方、MFP320に連携するように装着したIT−BOX220は、MFP320のコピー・ファクス・スキャン・プリントなどの基本機能より取得された画像データや情報などを用いて、画像データの大容量蓄積や高度な画像処理など、付加価値機能を提供できるようになっている。このようなIT−BOX220の実装レベルの役割からすると、そのOSには汎用的なWindows OSが採用されることが望ましい。短期間で高品質な付加価値機能(ソフトウェア)の開発、提供が容易だからである。
The IT-
即ち本実施形態2において、IT−BOX220は、MFP320の導入に伴い、より付加価値的な画像形成処理機能を提供するために付随して導入された情報処理装置であり、そのためそのOSはWindows(例えばWindows XP Professional等)により動作するシステムになっている。以下説明する。
In other words, in the second embodiment, the IT-
<機能>
図6は、本実施形態に係るWindowsサーバ100、IT−BOX220、及びMFP320の主要機能構成を示す機能ブロック図である。上述の実施形態1(図2)と比べ、Windowsサーバ100は同様であり、IT−BOX220及びMFP320においてはその構成がやや異なる。本実施形態にて想定されるネットワーク環境は、上述の実施形態1(図1)と同様である。以下説明を進めるが、実施形態1と同様の点などその説明を省略又は簡略する場合がある。
<Function>
FIG. 6 is a functional block diagram showing main functional configurations of the
(IT-BOX)
図に示されるように、IT−BOX220は主な機能として、セッション管理部203、Windows サーバ認証処理部204、ポリシー管理部205、レジストリ206、フィルタ部207、ポリシーフィルタ208、レジストリ209に加え、MFP認証処理部210、設定情報管理部212、パスワードフィルタ部213、ログ管理部215、アカウント管理部214、操作部216、ユーザ情報211を有している。
(IT-BOX)
As shown in the figure, the IT-
IT−BOX220は、MFP320の導入に伴い付随して導入された情報処理装置であり、そのOSはWindows(例えばWindows XP Professional等)により動作するシステムである。従ってIT−BOX220は、Windowsドメイン(Active Directoryのドメイン含む)に参加するWindows201の機能が備わっている。一方Windows201の枠外に示される機能ブロック(セッション管理203、フィルタ部207、フィルタポリシー208、レジストリ209、MFP認証処理部210、設定情報管理部212、操作部216等)は、IT−BOX用ソフトウェアとして組み込まれている機能である。
The IT-
IT−BOX220は、Windows201をベースとした装置であり、MFP320のオプション的な位置づけの装置である。MFP320には、各種画像形成機能が実装されているが、MFP320は概して、コピー・ファクス・スキャン・プリントなどの基本機能およびそのH/W制御を行うソフトウェア実装が中心である。一方、MFP320に連携するように装着したIT−BOX220は、MFP320のコピー・ファクス・スキャン・プリントなどの基本機能より取得された画像データや情報などを用いて、画像データの大容量蓄積や高度な画像処理など、付加価値機能を提供できるようになっている。
The IT-
IT−BOX220に汎用的なWindows OSを採用するのは、短期間で高品質な付加価値機能の開発、提供が容易だからである。理由としては、既に製品化されているWindowsベースのソフトウェアやドライバー及びWindowsの標準機能をそのまま採用できる点、開発人口が多い点、開発統合環境(Visual Studio等)のリモートデバッグ機能など、デバッグ環境が充実している点、などが挙げられる。
The reason why the general-purpose Windows OS is adopted for the IT-
設定情報管理部212は、IT−BOX220が管理するユーザ情報211を管理する。Windowsサーバ100のユーザ情報106と、IT−BOX220のユーザ情報211は別々に管理されるものであるが、ユーザ名などのユーザを判別する情報は基本的に共通である。即ちユーザは共通であるが、IT−BOX220で管理されるユーザ情報211には、IT−BOXソフトウェア固有の情報が含まれる。図7は、ユーザ情報211の具体例を示す。例えばユーザカウントやユーザ関連情報を含んでいる。
The setting information management unit 212 manages
MFP認証処理部210は、セッション管理部203を介し、MFP320に対してログイン要求を発行する。
The MFP
操作部216は、ユーザ名とパスワードを入力するログイン画面を表示し、ユーザはIT−BOX220がWindowsサーバ100にログインする場合、ユーザは操作部216からユーザ名とパスワードを入力する。
The
セッション管理部203は、主にセッション管理を司り、例えばWindowsサーバ100、MFP320とのセッションを管理する機能部である。
The
Windows201内のWindows サーバ認証処理部204は、Windowsサーバ100のActive Directoryドメインへの参加機能を有しており、例えばIT−BOX220の操作部216から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログインを行う。
The Windows server
ここで、IT−BOX220がWindowsサーバ100へのログインに成功すると、Windowsサーバ100のActive Directoryドメインへの参加機能でログインすることになる。よって、ポリシー管理部205は、ログインしたユーザに適用されるポリシー(この場合「ユーザの構成」ポリシーであるWindows Updateポリシーと共有フォルダポリシー)を、Windowsサーバ100からポリシー管理101を介して読み出し、Windows201内のレジストリ206に保存(反映)しておく。
Here, when the IT-
また、「コンピュータの構成」ポリシーであるパスワードポリシーとアカウントロックポリシーは、IT−BOX220の起動時にコンピュータアカウントによる認証を経て、Windows201内のポリシー管理205によりレジストリ206に既に保存(反映)されている。
Further, the password policy and the account lock policy, which are “computer configuration” policies, are already stored (reflected) in the
フィルタ部207は、フィルタポリシー208に基づいてレジストリ206のポリシーのフィルタを行う。上述のように、Windowsサーバ100のポリシーはレジストリ206に保存されている。ここで、パスワードポリシー102、アカウントロックアウトポリシー103、共有フォルダポリシーはMFP320に適用可能なポリシーであるが、Windows Updateポリシー104は非Windows OSのMFP320には適用できないポリシーである。このようにフィルタポリシー208には、予めMFP320に適用可能、不可能なポリシーが規定されているので、フィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP320に適用できないポリシーをフィルタリングする。フィルタリングされたポリシーは、レジストリ209に保存しておく。
The
(MFP)
MFP320は、Windowsサーバ100及びIT−BOX200とは異なる種類のOSによる画像形成装置システムである。図に示されるように、MFP320は、操作部308、リクエスト管理部302、セッション管理部305、認証処理部306、ポリシー管理部307に加え、設定情報管理部303、ユーザ情報304を有している。
(MFP)
The
操作部308は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示する。
The
ポリシー管理部307は、フィルタされたポリシーを読み出して適合しているかどうか確認する。当該ポリシーに適合しない場合にはMFP320が当該ポリシーに従うように動作を行う。
The
認証処理部306は、MFP320自身へのログイン処理を行う。また当該ポリシーに適合しない場合にはMFP320が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP320自身へのログイン処理を行う。
The
設定情報管理部303は、MFP320が管理するユーザ情報304を管理する。IT−BOX220のユーザ情報106とIT−BOX220のユーザ情報211とMFP320の管理するユーザ情報304とは別々に管理されるものであるが、ユーザ名などのユーザを判別する情報は基本的に共通である。即ちユーザは共通であるが、MFP320で管理されるユーザ情報304には、MFP固有の情報(ユーザ毎の画像形成動作権限等)が含まれる。
A setting
<動作>
図8は、MFP320、IT−BOX220、Windowsサーバ100の処理を説明するフローチャートである。以下説明を行う。
<Operation>
FIG. 8 is a flowchart for explaining processing of the
IT−BOX220の操作部216は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示している。ユーザにより操作部216からユーザカウントが入力されると(S801)、入力されたユーザ名とパスワードを用いて、IT−BOX220のユーザ情報211に当該ユーザが存在するか否かを確認してから、セッション管理203を経由しWindowsサーバ100にログイン要求を行う(S802)。
The
Windowsサーバ100の設定情報管理部105は、入力されたユーザ名とパスワードを用いて、ユーザ情報106に基づきログイン認証を行う(S803)。ここでは入力されたユーザ名とパスワードがユーザ情報106に登録されており認証は成功とする。なお認証失敗の場合はその旨IT−BOX220に通知され、操作部216に認証失敗の旨、表示される。
The setting
認証が成功すると、Windowsサーバ100のポリシー管理部101は、当該ユーザカウント(又は属するグループ)に適用すべきポリシーをIT−BOX220へ通知する(S804)。
If the authentication is successful, the
IT−BOX220のポリシー管理部205は、通知されたポリシーをWindows201内のレジストリ206に保存(反映)する(S805)。
The
IT−BOX220のフィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP320に適用できないポリシーをフィルタリングする(S806)。そしてフィルタリングされたポリシーをレジストリ209に保存する(S807)。
The
MFP認証処理部210は、セッション管理部203を介し、MFP320に対してログイン要求を発行する(S808)。
The MFP
MFP320のユーザ情報304に当該ユーザカウントが存在するか否かを確認してから、MFP320のポリシー管理部307は、IT−BOX220のレジストリ209からフィルタリングされたポリシーを取得、参照する(S809)。
After confirming whether the user count exists in the user information 304 of the
そしてポリシー管理部307は、当該ポリシーへの適合判定を行う(S810)。当該ポリシーに適合しない場合、MFP320が当該ポリシーに従うように適合処理動作を行う(S811)。例えば、IT−BOX220のレジストリ209からフィルタリングされたポリシーにおいて、パスワードポリシーの「パスワードの有効期限」がMPF301に適用され、当該ユーザカウントのパスワードの有効期限が切れている場合、操作部308にはパスワードの有効期限が切れている旨のメッセージを表示し、ポリシーに適合するようにパスワードの変更をユーザに促す。この場合、設定情報管理部303がパスワードの変更を行う。
Then, the
一方、当該ポリシーに適合している場合(S810)、MFP320の認証処理部306は、続いてMFP320自身へのログイン処理を行う(S812)。また当該ポリシーに適合していない場合にはMFP320が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP320自身へのログイン処理を行う。
On the other hand, if it conforms to the policy (S810), the
<補足>
ここで、Windowsサーバ100で管理する各種ポリシー(パスワードポリシー102、アカウントロックアウトポリシー103、共有フォルダポリシー107)を、異なるOSを搭載しているMFP320にまで適用するには、ユーザのログイン時に適用されるユーザの構成ポリシーも含むため、各装置間(Windowsサーバ100、IT−BOX220、MFP320)でユーザが同期されていることが実現手段の一つとなる。
<Supplement>
Here, in order to apply various policies (
上記では、基本的にWindowsサーバ100のユーザ情報106で管理しているユーザと、IT−BOX220のユーザ情報211で管理しているユーザは共通であると説明したが、Windowsサーバ100側、及びIT−BOX220側のWindows201でユーザの追加、削除又は及びユーザ情報の変更(パスワードの変更など)が行われた場合、その追加、削除、変更が発生した時点で、お互いのシステム(Windowsサーバ100とIT−BOX220)は、その追加、削除、変更(以下追加等という)が分からない。そのような場合、ユーザ情報に食い違いが生じてしまう。従って、以下Windowsサーバ100とIT−BOX220間でのユーザの追加等が発生した場合の対応方法を説明する。また併せてIT−BOX220とMFP3間のユーザの追加等への対応も説明する。
In the above description, the user managed by the
(1)Windowsサーバ100でユーザ情報106の追加等が発生したケースを示す。
(1) A case where the addition of
Windowsサーバ100でユーザが追加された場合、IT−BOX220の操作部216からのログイン時、Windowsサーバ100に追加したユーザ名とパスワードを入力すればよい。Windowsサーバ100へのログインには成功する。その後、IT−BOX220の設定情報管理212を経由して、IT−BOX220のユーザ情報211にも当該ユーザを追加する。MFP320に対しては、IT−BOX220からのMFP320へのログイン要求時、MFP320のユーザ情報304にそのユーザが存在していなければ、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ追加を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304にユーザを追加する。
When a user is added on the
Windowsサーバ100でユーザが削除された場合、IT−BOX220の操作部207から、削除されたユーザ名でWindowsサーバ100へのログインを試みても、Windowsサーバ100のユーザ情報106からはそのユーザは削除されているので、ログインに失敗する。この場合、IT−BOX220の設定情報管理(212)を経由して、IT−BOX220のユーザ情報211からユーザを削除する。MFP320に対しては、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対し当該ユーザの削除を要求する。そして MFP320の設定情報管理303は、MFP320のユーザ情報304から当該ユーザを削除する。
When a user is deleted on the
Windowsサーバ100でユーザ情報が変更された場合、パスワードが変更されている場合は、そのパスワードを利用者がIT−BOX220の操作部207に入力すればよい。その後、IT−BOX220の設定情報管理212を経由して、IT−BOX220のユーザ情報211にも当該ユーザのパスワードを変更する。MFP320に対しては、IT−BOX220からのMFP320へのログイン要求時、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対し該ユーザのパスワード変更を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304に当該ユーザのパスワード変更をする。
When the user information is changed on the
Windowsサーバ100でポリシーが変更されている場合、IT−BOX220からのWindowsサーバ100へのログイン後、ポリシーはIT−BOX220のWindows201のレジストリ206に反映される。MFP320に対しては、レジストリ209のフィルタリングされたポリシーによって反映される。
When the policy is changed on the
(2)IT−BOX220のWindows201におけるWindowsへのユーザ追加等の検出方法を示す。
(2) A detection method for adding a user to Windows in the
アカウント管理214にて、Windowsへのユーザ追加、削除、ユーザ情報の変更を検出する。変更が発生すると、ログ管理215によってWindowsのセキュリティイベントログに出力される。イベントログには発生したイベント種を判別するためのイベントIDが記載されている。また、どのユーザに発生したイベントなのかは、メンバIDに記載されている。これらはアカウント管理214、ログ管理215ともにWindowsに備わっている機能である。設定情報管理212にて、イベントログを解析し、イベントの種別と、どのユーザで発生したイベントであるかを取得する。設定情報管理212が、イベント内容に応じてユーザ情報211へ反映する。図9は、イベント情報の一例を示す。
The
ここでパスワード情報はアカウント管理214では取得できないため、以下の別手段を講じる。パスワードの変更は、パスワードフィルタ213より変更通知および変更したパスワードの情報が可能である。変更通知の通知は設定情報管理212で受ける。変更したパスワード情報の取得及びユーザ情報211への反映も設定情報管理212が行う。パスワードフィルタもWindowsに備わっている機能である。
Here, since the password information cannot be acquired by the
IT−BOX220にユーザが追加された場合、仮にクライアント側であるIT−BOX220に追加したユーザを、IT−BOX220の操作部216からのログイン時にWindowsサーバ100に自動登録してしまうと、Windowsサーバ100でのユーザ一元管理が崩れてしまう。このケースは、サーバ管理者がWindowsサーバ100側よりIT−BOX220に追加したユーザを登録する。MFP320に対しては、IT−BOX220からのMFP320へのログイン要求時、MFP320のユーザ情報304にそのユーザが存在していなければ、IT−BOX220の設定情報管理212より、MFP320の設定情報管理303に対し当該ユーザ追加を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304に当該ユーザを追加する。
When a user is added to the IT-
IT−BOX220でユーザが削除された場合、ユーザが削除されているので、IT−BOX220の操作部216からのログインに失敗する。Windowsサーバ100へのログイン前にIT−BOX220のユーザ情報211にユーザが存在するか否かを確認するので、ユーザが削除されていることを判断できる。一連のログイン動作はIT−BOX220のユーザ情報を起点とするので、Windowsサーバ100のユーザ情報106は変更せず、そのままとする。MFP320に対しては、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ削除を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304から当該ユーザを削除する。
When the user is deleted in the IT-
IT−BOX220でユーザ情報が変更された場合、パスワードが変更されている場合は、そのパスワードをユーザがIT−BOX220の操作部216に入力すればよい。ポリシーはWindowsサーバ100が一元管理しているので、クライアント側であるIT−BOX220では変更できない。MFP320に対しては、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ情報(ここではパスワード)の 変更を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304の当該ユーザ情報を変更する。
When the user information is changed in the IT-
(3)MFP320でユーザ情報304の追加等が発生したケースを示す。
(3) A case where the addition of user information 304 or the like has occurred in the
MFP320でユーザが追加された場合、一連のログイン動作はIT−BOX220のユーザ情報を起点とするので、その一連の流れにおいてIT−BOX220側からMFP320のユーザを追加することはできない。IT−BOX220とMFP320間のユーザ情報は、IT−BOX220からMFP320へのログイン要求時に、IT−BOX220の設定情報管理212と、MFP320の設定情報管理303間で、お互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。また、IT−BOX220からMFP320へのログイン要求時だけでなく、一定時間間隔でもお互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映するようにもできる。
When a user is added in the
MFP320でユーザが削除された場合、IT−BOX220の操作部216から、Windowsサーバ100へのログイン成功後、IT−BOX220からのMFP320へのログイン要求が発生する。MFP320のユーザ情報304から当該ユーザが削除されていると、IT−BOX220からのログイン要求が失敗する。IT−BOX220は、ログイン要求が失敗すると、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ追加を要求する。MFP320の設定情報管理303によりMFP320のユーザ情報304にユーザを追加する。また、IT−BOX220からMFP320へのログイン要求時だけでなく、一定時間間隔でもお互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。
When the user is deleted from the
MFP320でユーザ情報が変更された場合、IT−BOX220とMFP320間のユーザ情報は、IT−BOX220からMFP320へのログイン要求時に、IT−BOX220の設定情報管理212とMFP320の設定情報管理303間で、お互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。また、IT−BOX220からMFP320へのログイン要求時だけでなく、一定時間間隔でもお互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。
When the user information is changed in the
以上、本実施形態によれば、実施形態1と同様に、IT−BOXをWindowsサーバとMFP間に仲介させることで、IT−BOXにWindowsサーバが管理するドメインへの参加のために特別な対応を施すことなく、MFPをWindowsサーバのドメインに参加させ、またWindowsサーバが管理するポリシーを適用することができる。 As described above, according to the present embodiment, as in the first embodiment, the IT-BOX is intervened between the Windows server and the MFP, so that the IT-BOX has a special support for participation in the domain managed by the Windows server. Without applying the policy, the MFP can be joined to the domain of the Windows server and a policy managed by the Windows server can be applied.
なおまた、IT−BOXが仲介役となることでWindowsサーバ、MFPの何れの立場からも管理する機器がIT−BOX一つだけであるので、今後のシステム(Windowsサーバ、IT−BOX、MFP)の拡張を考える上でもIT−BOXでシステム内のバージョンアップなどによる差異を吸収することができる。そして、IT−BOXをWindowsサーバとMFP間に仲介させることで、ユーザ情報の同期を行う為、サーバ側にアプリケーションを導入する必要や、Windowsサーバ側の設定を変更する必要もない。よって管理者の余計な負担や手間を与えることもなく、新たなセキュリティホールに懸念する必要もなくなるという効果も有する。 In addition, since IT-BOX acts as an intermediary, there is only one IT-BOX that can be managed from either the Windows server or MFP, so future systems (Windows server, IT-BOX, MFP) Even when considering the expansion of the system, the IT-BOX can absorb differences due to version upgrades in the system. Since the IT-BOX is intervened between the Windows server and the MFP to synchronize user information, there is no need to install an application on the server side or to change settings on the Windows server side. Therefore, there is an effect that there is no need to worry about a new security hole without giving an extra burden and trouble for the administrator.
[実施形態3]
図10は、本実施形態に係るネットワーク環境の一例を示す。図に示されるように、Windowsサーバ100、IT−BOX200、MFP300に加え、MFP300−2、MFP300−3がネットワークを介して接続される。
[Embodiment 3]
FIG. 10 shows an example of a network environment according to the present embodiment. As shown in the figure, in addition to the
実施形態1において、IT−BOX200が仲介役となって、Windowsサーバ100で管理するポリシーを含めたユーザー情報の一元管理をWindows OSとは異なるOSを搭載しているMFP300に対しても適用できることを説明した。本実施形態3では、IT−BOX200は1台のMFP300のみならず、複数台のMFP300を接続でき、同様の仲介的動作を行える。図に示されるように、1つのIT−BOX200に対して、3台のMFP300、MFP300−2、MFP300−3、が接続される様子が示されている。
In the first embodiment, the IT-
また実施形態2においても、IT−BOX220が仲介役となって、Windowsサーバ100で管理するポリシーを含めたユーザー情報の一元管理をWindows OSとは異なるOSを搭載しているMFP320に対しても適用できることを説明した。本実施形態3では、同様に、IT−BOX220は1台のMFP320のみならず、複数台のMFP320を接続でき、同様の仲介的動作を行える。図に示されるように、1つのIT−BOX220に対して、3台のMFP320、MFP320−2、MFP320−3、が接続される様子が示されている(符号は括弧書きで示されるもの)。
In the second embodiment, the IT-
IT−BOX220の設定情報管理212が主(マスター)となり、それぞれのMFPの設定情報管理303、303−2、303−3などと同期し、IT−BOX220のユーザ情報211と、それぞれのMFPのユーザ情報304、304−2、304−3などとデータ同期する。同期方法例は、上述したとおりでIT−BOX220からMFPへのログイン要求時及び一定時間間隔でもお互いのユーザー情報の変化(追加・削除・変更)を確認し合うことでその変化をお互いのユーザー情報に反映する。
The IT-
以上のように、IT−BOXが複数台のMFPを接続し、上述の仲介的動作を行うので、複数台のMFPに対してもMFP側に変更を加えることなく、今後のシステムバージョンアップなどによる拡張をIT−BOXで吸収することができる。 As described above, since the IT-BOX connects a plurality of MFPs and performs the above-described intermediary operation, it is possible to perform a system upgrade in the future without changing the MFP side even for a plurality of MFPs. Extension can be absorbed by IT-BOX.
以上、本発明によれば、Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置等を提供できる。 As described above, according to the present invention, when a non-Windows system is introduced in a Windows network environment, an information processing apparatus that can apply a policy such as a user managed by a Windows server to the non-Windows system as easily as possible. Etc. can be provided.
本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 The present invention is not limited to such specific embodiments, and various modifications and changes can be made within the scope of the gist of the present invention described in the claims.
100 Windowsサーバ
101 ポリシー管理部
102 パスワードポリシー102
103 アカウントロックアウトポリシー
104 Windows Updateポリシー
105 設定情報管理部
107 共有フィルダポリシー
106 ユーザ情報
200 IT−BOX
201 Windows
203 セッション管理部
204 Windows サーバ認証処理部
205 ポリシー管理部
206 レジストリ
207 フィルタ部
208 ポリシーフィルタ
209 レジストリ
210 MFP認証処理部
211 ユーザ情報
212 設定情報管理部
213 パスワードフィルタ部
214 アカウント管理部
215 ログ管理部
216 操作部
220 IT−BOX
300 MFP
302 リクエスト管理部
303 設定情報管理部
304 ユーザ情報
305 セッション管理部
306 認証処理部
307 ポリシー管理部
308 操作部
320 MFP
320−2 MFP
320−3 MFP
100
103
201 Windows
203
300 MFP
302
320-2 MFP
320-3 MFP
Claims (6)
第2のOSを有する第2の情報処理装置と、
にネットワークを介して接続される第1のOSを有する第1の情報処理装置であって、
前記サーバから前記ポリシーを取得し保存するポリシー管理手段と、
前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手段により保存されたポリシーをフィルタリングするフィルタ手段と、を有し、
前記フィルタリングされたポリシーは、前記第2の情報処理装置若しくは前記第2の情報処理装置ユーザ又はユーザグループに適用されること、
を特徴とする情報処理装置。 A server having a first OS and applying a policy to the information processing apparatus and to a user or user group of the information processing apparatus;
A second information processing apparatus having a second OS;
A first information processing apparatus having a first OS connected via a network,
Policy management means for obtaining and storing the policy from the server;
Filter means for filtering a policy stored by the policy management means based on a filter policy in which a policy applicable from the first OS to the second OS is defined;
The filtered policy is applied to the second information processing apparatus or the second information processing apparatus user or user group;
An information processing apparatus characterized by the above.
を有することを特徴とする請求項1記載の情報処理装置。 Synchronization means for synchronizing user information managed by the server and user information managed by the second information processing apparatus with user information managed by the own apparatus;
The information processing apparatus according to claim 1, further comprising:
前記フィルタリングされたポリシーは、複数の前記第2の情報処理装置若しくは複数の前記第2の情報処理装置ユーザ又はユーザグループに適用されること、
を特徴とする請求項1又は2記載の情報処理装置。 A plurality of the second information processing devices are connected;
The filtered policy is applied to a plurality of second information processing devices or a plurality of second information processing device users or user groups;
The information processing apparatus according to claim 1 or 2.
前記サーバから前記ポリシーを取得し保存するポリシー管理手順と、
前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手順により保存されたポリシーをフィルタリングするフィルタ手順と、
前記フィルタリングされたポリシーが、前記第2の情報処理装置若しくは前記第2の情報処理装置ユーザ又はユーザグループに適用される適用手順と、
を特徴とするポリシー適用方法。 A server having a first OS and applying a policy to the information processing apparatus and a user or user group of the information processing apparatus, and a second information processing apparatus having the second OS via a network A policy application method in a first information processing apparatus having a connected first OS,
A policy management procedure for obtaining and storing the policy from the server;
A filter procedure for filtering a policy stored by the policy management procedure based on a filter policy in which a policy applicable from the first OS to the second OS is defined;
An application procedure in which the filtered policy is applied to the second information processing apparatus or the second information processing apparatus user or user group;
Policy application method characterized by
第2のOSを有する第2の情報処理装置と、
第1のOSを有し、前記第1及び第2の情報処理装置に対しまた前記第1及び第2情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと
を含み構成されるシステムであって、
前記第1の情報処理装置は、
前記サーバから前記ポリシーを取得し保存するポリシー管理手段と、
前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手段により保存されたポリシーをフィルタリングするフィルタ手段と、
を有し、
前記第2の情報処理装置は、
前記フィルタ手段によりフィルタリングされたポリシーを取得し保存するポリシー管理手段と、を有し、
前記フィルタリングされたポリシーは、当該第2の情報処理装置若しくは当該第2の情報処理装置ユーザ又はユーザグループに適用されること、
を特徴とするシステム。 A first information processing apparatus having a first OS;
A second information processing apparatus having a second OS;
A system that includes a first OS and includes a server that applies a policy to the first and second information processing apparatuses and to a user or a user group of the first and second information processing apparatuses. There,
The first information processing apparatus includes:
Policy management means for obtaining and storing the policy from the server;
Filter means for filtering a policy stored by the policy management means based on a filter policy in which a policy applicable from the first OS to the second OS is defined;
Have
The second information processing apparatus
Policy management means for obtaining and storing the policy filtered by the filter means,
The filtered policy is applied to the second information processing apparatus or the second information processing apparatus user or user group;
A system characterized by
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009283309A JP5423373B2 (en) | 2009-12-14 | 2009-12-14 | Information processing apparatus, policy application method, program, and system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009283309A JP5423373B2 (en) | 2009-12-14 | 2009-12-14 | Information processing apparatus, policy application method, program, and system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011123841A true JP2011123841A (en) | 2011-06-23 |
JP5423373B2 JP5423373B2 (en) | 2014-02-19 |
Family
ID=44287637
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009283309A Expired - Fee Related JP5423373B2 (en) | 2009-12-14 | 2009-12-14 | Information processing apparatus, policy application method, program, and system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5423373B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014032595A (en) * | 2012-08-06 | 2014-02-20 | Canon Inc | Information processing system, and method and program for controlling the same |
JP2014149595A (en) * | 2013-01-31 | 2014-08-21 | Canon Inc | Information processing system and control method of the same, and program |
JP2014149594A (en) * | 2013-01-31 | 2014-08-21 | Canon Inc | Information processing system and control method of the same, and program |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001256188A (en) * | 2000-03-09 | 2001-09-21 | Mitsubishi Electric Corp | User registration method, user registration information transfer computer and computer readable recording medium having program recorded thereon |
JP2005284950A (en) * | 2004-03-30 | 2005-10-13 | Canon Inc | Device, method, system, and program for managing job, and storage medium |
JP2005322140A (en) * | 2004-05-11 | 2005-11-17 | Daiwa Institute Of Research Ltd | Operation monitoring system and its method, and relay server |
WO2008129915A1 (en) * | 2007-04-18 | 2008-10-30 | Hitachi Software Engineering Co., Ltd. | Device having e-mail filtering means |
-
2009
- 2009-12-14 JP JP2009283309A patent/JP5423373B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001256188A (en) * | 2000-03-09 | 2001-09-21 | Mitsubishi Electric Corp | User registration method, user registration information transfer computer and computer readable recording medium having program recorded thereon |
JP2005284950A (en) * | 2004-03-30 | 2005-10-13 | Canon Inc | Device, method, system, and program for managing job, and storage medium |
JP2005322140A (en) * | 2004-05-11 | 2005-11-17 | Daiwa Institute Of Research Ltd | Operation monitoring system and its method, and relay server |
WO2008129915A1 (en) * | 2007-04-18 | 2008-10-30 | Hitachi Software Engineering Co., Ltd. | Device having e-mail filtering means |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014032595A (en) * | 2012-08-06 | 2014-02-20 | Canon Inc | Information processing system, and method and program for controlling the same |
JP2014149595A (en) * | 2013-01-31 | 2014-08-21 | Canon Inc | Information processing system and control method of the same, and program |
JP2014149594A (en) * | 2013-01-31 | 2014-08-21 | Canon Inc | Information processing system and control method of the same, and program |
Also Published As
Publication number | Publication date |
---|---|
JP5423373B2 (en) | 2014-02-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4856620B2 (en) | Remote firmware management for electronic devices | |
O’Malley et al. | Hadoop security design | |
JP5968077B2 (en) | Information processing apparatus, control method therefor, program, and image processing apparatus | |
RU2506632C2 (en) | Information processing device, driving method therefor and computer-readable data medium | |
US8656470B2 (en) | Image processing apparatus, access control method, and storage medium | |
US8438561B2 (en) | Mediation apparatus, installation system, installation method, and installation program | |
US9635207B2 (en) | Management system and information processing apparatus managing installation and settings of an application | |
JP6456028B2 (en) | Information processing apparatus, information processing method, and program | |
JP2005284985A (en) | Network compatible device, maintenance method for maintaining network compatible device, program, medium storing program thereon, and maintenance system thereof | |
JP2020177537A (en) | Authentication/authorization server, client, service providing system, access management method, and program | |
JP2019202501A (en) | Printing device, method and program | |
JP5423373B2 (en) | Information processing apparatus, policy application method, program, and system | |
US8156329B2 (en) | Network device management apparatus and control method thereof | |
JP5521457B2 (en) | Job management system, information processing apparatus, and information processing method | |
JP2009245268A (en) | Business management system | |
JP6442230B2 (en) | Information processing apparatus, synchronization control method, and program | |
JP2007123959A (en) | Portable telephone directory management system | |
JP5708271B2 (en) | Information processing apparatus, authentication system, and authentication program | |
JP5011692B2 (en) | Backup and restore system, backup and restore method, backup system and backup method | |
US10873469B2 (en) | Information processing apparatus and method for controlling information processing apparatus | |
JP2004151942A (en) | Web service providing device, web service providing method and web service providing program | |
JP6541484B2 (en) | Image processing apparatus, control method for image processing apparatus, and program | |
JP2020135425A (en) | Printing system, bibliographic server, information processing method, and program | |
JP2023173251A (en) | Information processing device, information processing system, information processing device control method, information processing system control method, and program | |
JP2004078922A (en) | Method to acquire snmp community character string password of network entity and computer network system by client application |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120912 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130830 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130903 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131007 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131029 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131111 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5423373 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
LAPS | Cancellation because of no payment of annual fees |