JPH0969077A - コンピュータ・システム管理に階層的ポリシーを実施するためのシステム及び方法 - Google Patents

コンピュータ・システム管理に階層的ポリシーを実施するためのシステム及び方法

Info

Publication number
JPH0969077A
JPH0969077A JP8173806A JP17380696A JPH0969077A JP H0969077 A JPH0969077 A JP H0969077A JP 8173806 A JP8173806 A JP 8173806A JP 17380696 A JP17380696 A JP 17380696A JP H0969077 A JPH0969077 A JP H0969077A
Authority
JP
Japan
Prior art keywords
policy
computer
attribute
class name
policies
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8173806A
Other languages
English (en)
Inventor
William C Birnbaum
ウィリアム・シー・バーンボウム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of JPH0969077A publication Critical patent/JPH0969077A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)
  • Multi Processors (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 非常に柔軟に管理対象オブジェクトにポリシ
ーを割り当てることができる、コンピュータ・システム
管理用階層的ポリシーを実施する方法を提供すること。 【解決手段】 ポリシー群A,B又はCは、基本構築ブ
ロックから成り、1集合のポリシーを1集合の管理対象
オブジェクト44,50〜54と関連付ける。ポリシー
群B,Cは、他のポリシー群Aのメンバとなることが可
能であり、ポリシー群B,Cは、その親であるポリシー
群Aのポリシーを承継することにより、ポリシーの階層
的仕様に対応する。所与のポリシー群は多数の親を有す
ることもあり、親からのポリシーの「混入」が可能であ
る。妥当性検査ポリシーやポリシー群と関連付けたクロ
ーン化及びテンプレートによって、標準化並びにそれに
付随するシステム管理の複雑度の減少が可能となる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、一般的には、コン
ピュータ・システム管理に階層的ポリシー(hierarchic
al policy)を実施するためのシステム及び方法に関す
る。更に特定すれば、本発明は、経験の少ないシステム
管理者に、より困難なシステム管理活動の実行を可能に
しつつ、同時に彼の操作効率を高める、コンピュータ・
システム管理に階層的ポリシーを実施するためのシステ
ム及び方法に関するものである。
【0002】
【従来の技術】スローマン(M.S. Sloman)及びモフェ
ット(J.D. Moffet)は、ポリシーに関する論文をいく
つか発表している。例えば、Sloman, M.S., Moffet, J.
D.及び Twiddle, K.P.: "Domino Domains and Policie
s: An Introduction to the Proje ct Results" (Domino
Paper Arch/IC/4 20 February 1992. Dept. of Comput
ing, Imperial College, University of London); Moff
et, J.D. 及び Sloman, M.S.: "Reresentation of Poli
cies as System Objects" (November 1991, SIGOISBull
etin Vol 12, nos 2 & 3, pp 171-184); 並びに Moffe
t, J.D. 及び Sloman, M.S.: "Policy Conflict Analys
is in Distributed System Management", (12April 199
3), (Journal of Organizational Computingに掲載さ
れる予定である)を参照されたい。この最初に掲げた論
文において、著者らは、管理対象オブジェクトの1つの
集合をポリシーの共通集合と関連付ける「ドメイン(dom
ain)」という概念を導入している。
【0003】スローマン及びモフェット両氏はまた、ポ
リシーの階層について記述している。しかしながら、論
じられている階層は、単に、高レベルの一般的なポリシ
ーの詳細化(refinement)を基にしたものに過ぎない。例
えば、高レベル・ポリシーとは、「喪失からの保護」を
「1週間毎にバックアップを取る」に詳細化するような
ことである。この手法は極端に限られており、以下に開
示する本発明の概念とは基本的に異なるものである。更
に、スローマンとモフェットは、ポリシーの「混入(mix
-in)」をどのように管理対象オブジェクトに適用するか
について論じておらず、更に彼らはテンプレートの使用
についても論じていない。
【0004】X/Openも、それらのシステム管理用フレー
ムワークに備えたサービスの1つとして、ポリシーを含
んでいる。例えば、 X/Open, "Systems Management: M
anag ement Services for an OMG Environment (Draft
0.5)", (December 19, 1994)を参照されたい。この中で
提案されている手法は、ポリシー領域(policy region)
の概念を利用しており、これは、本発明において開示す
るポリシー群に表面的には関係があるが、かかるポリシ
ー領域の階層のための継承意味(inheritance semantic
s)を全く明確にしておらず、単に管理対象オブジェクト
を単一ポリシー領域のメンバとなるのを許容するに過ぎ
ない。更に、X/Openは、所与のポリシー領域における同
一オブジェクト・タイプに対して、多数のテンプレート
を許していない。端的に言えば、X/Open手法は、コンピ
ュータ・システム管理のため満足のいく階層的ポリシー
を適切に実施するのに必要な、継承も、テンプレート
も、メンバシップ意味も支援していないのである。
【0005】
【発明が解決しようとする課題】本発明のシステム及び
方法は、このような従来の手法の欠陥を有利に克服し、
比較的初歩のシステム管理者が上級システム管理者のよ
り困難なコンピュータ・システム管理タスクを実行でき
るようにするポリシー・モデルの使用を通して、「混
入」、継承、テンプレート及びメンバシップ意味を支援
する。こうして、組織のコンピュータ・システムを管理
するのに必要な専門技術の量を減らすことによって、そ
の操作に必要な上級システム管理者の数を減らし、シス
テム所有のコストの削減を図ることができる。
【0006】
【課題を解決するための手段】以下に説明するように、
ポリシーは、2つの基本的なサービスを有し、これらを
用いてこの改善を実現するのである。そのサービスと
は、a)コンピュータ・システム構成の標準化のための
サービス、及びb)コンピュータ・システムの悪意では
ない誤使用による損傷を減少/制限するサービスであ
る。
【0007】ここに開示するシステム及び方法では、
1)管理対象オブジェクト、及び2)管理対象オブジェ
クトの属性、に関して「ポリシー」を指定する。管理対
象オブジェクトとは、システム管理者によって操作され
るリソースの抽象概念(abstraction)である。全ての管
理対象オブジェクトは、管理対象オブジェクト・クラス
のインスタンシエーションである。1つの管理対象オブ
ジェクト・タイプ(又はクラス)は、同様のプロパティ
(属性)、共通の挙動(動作)、他の管理対象オブジェ
クトと共通な関係、及び共通の意味を有するオブジェク
ト群を記述する。管理対象オブジェクトのタイプ(又は
クラス)には、例えば、ユーザ、ホスト及びプリンタが
含まれる。管理対象オブジェクトの一例は、ある特定の
コンピュータ・ユーザである「ユーザ」である。
【0008】一方、管理対象オブジェクトの属性は、管
理対象オブジェクトの特性(又はプロパティ)である。
管理アプリケーションは、管理対象オブジェクトの属性
を操作して、管理対象オブジェクトを管理する。管理対
象オブジェクトのタイプ「ユーザ」に可能な属性の例
は、ユーザ名、ユーザid("UID")、群id("GI
D")、パスワード、ホーム・ディレクトリ、及びメール
・スプール位置(mail spoollocation)を含む。
【0009】新しいタイプの管理対象オブジェクトは、
通常、リソースの開発者によって定義されなければなら
ないので、システム管理者は、通常、管理対象オブジェ
クトのタイプ又はそれらに関連する属性を定義すること
ができない。しかしながら、システム管理者は、定義さ
れた管理対象オブジェクト・タイプの管理対象オブジェ
クトの作成及び削除を行うことができ、更に彼らが作成
した管理対象オブジェクトの属性を操作することもでき
る。
【0010】ポリシー・サービスに関してここで開示す
るのは、管理対象オブジェクトを属性で構成でき、管理
対象オブジェクト属性の各々についてポリシーを指定で
きる、ということである。例えば、クラスXのある管理
対象オブジェクトは、属性A,B及びCを有する場合が
ある。これら属性の各々は、1つのポリシーを有するこ
とができる。ポリシーの1つの具体例は、「ユーザ・オ
ブジェクトのパスワード属性の長さは6文字より長くな
ければいけない」というものである。従って、ここに開
示するシステム及び方法を利用すれば、上級管理者は、
管理対象オブジェクト・クラスの属性に対する制約を記
述する表現を指定することによって、ポリシーを定義す
る。
【0011】多くのシステム管理組織は、ポリシーの階
層的定義を有する。例えば、法人(corporate)ポリシ
ー、部(division)ポリシー、及びグループ・ポリシー(g
roup policy)があり得る。これらのポリシーの各々は、
ある影響範囲を有する。例えば、法人ポリシーには、企
業全体が従わなければならず、部ポリシーには当該部全
体が従わなければならない、等である。この特性は、ポ
リシーのネスト(nesting)を生成する。即ち、ある所与
の部内の管理対象オブジェクトは、部ポリシーと法人ポ
リシーに従わなければならない。従って、ポリシー・サ
ービスは、ポリシーのネストを支援しなければならな
い。
【0012】ここに開示する本発明のシステム及び方法
はまた、ポリシーを階層的に指定することができる。各
ポリシーをポリシー群と関連付け、そしてポリシー群を
階層的に配置することができる。ポリシー群には1つの
集合の管理対象オブジェクトを関連付けることもでき、
従ってある所与のポリシー群に関連付けられた管理対象
オブジェクトは、そのポリシー群と関連付けられたポリ
シーに従わなければならない。
【0013】
【発明の実施の形態】添付図面に関連付けて、以下の好
適実施形態の説明を参照することにより、本発明の前述
の及びその他の特徴及び目的並びにそれを達成する態様
の最良な理解が得られよう。
【0014】本発明が使用される環境は、汎用の分散型
計算システムを包含しており、これにおいては、汎用コ
ンピュータ、ワークステーション又はパーソナル・コン
ピュータを、クライアント−サーバ配置で、種々のタイ
プの通信リンクを通して接続してあり、また多くはオブ
ジェクトの形式のプログラム及びデータを、システムの
他のメンバによる実行及びアクセスのためにシステムの
種々のメンバによる利用を可能としている。汎用ワーク
ステーション・コンピュータの要素のいくつかを図1に
示す。図1には、入出力("I/O")部2と、中央処理装置
("CPU")3と、メモリ部4とを有するプロセッサ1を
示す。このI/O部2は、キーボード5、表示装置6、
ディスク記憶装置9及びコンパクト・ディスク・リード
・オンリ・メモリ("CDROM")ドライブ装置7に接続し
てある。CDROM装置7は、典型的には、プログラム
11及びデータを含むCDROM媒体8を読み取ること
ができる。本発明の装置及び方法を実現する機構を含む
コンピュータ・プログラム製品は、このようなシステム
のメモリ部4内、ディスク記憶装置9、又はCDROM
8上に常駐させることができる。
【0015】これより図2及び図3を参照しながら、本
発明のシステム管理用階層的ポリシーを実施するための
システム及び方法を利用するコンピュータ・システム1
0の1つの可能な実施形態の全体的なアーキテクチャ
を、例えば、クライアント−サーバ構成を利用して示
す。
【0016】初歩のシステム管理者12によるコンピュ
ータ・システム10の使用は、図2に示す。この場合、
システム管理者12は、ユーザ・インターフェース(図
示せず)を通してクライアント・コンピュータ14にア
クセスする。クライアント・コンピュータ14は、直接
関連するデータベース18を有する。また、クライアン
ト・コンピュータ14は、多数の関連するポリシー22
から成る所定のポリシー群を有する、サーバ・コンピュ
ータ20に結合してある。これについては、後でより詳
しく説明することにする。また、サーバ・コンピュータ
20も、関連するデータベース24を有し、このデータ
ベース24は、内部又は外部のコンピュータ大容量記憶
サブシステム上に常駐させることができる。図示のクラ
イアント−サーバ・モデルでは、ポリシー22の殆ど
は、サーバ・コンピュータ20のデータベース24内に
常駐させてもよいが、これらはコンピュータ・システム
10内のどこにでも常駐させることが可能である。
【0017】一方、コンピュータ・システム10の管理
を図3に示す。ここでは、サーバ・コンピュータ20の
ための1つのポリシー群の種々のポリシー22(これは
関連するデータベース24内に保持させることができ
る)を最初に確立するために、ユーザ・インターフェー
ス(図示せず)を通してクライアント・コンピュータ1
4にアクセスするシステム管理機能26として、上級シ
ステム管理者を示してある。システム管理機能26は、
上級システム管理者が、種々のポリシー22間の階層を
変更すること、並びに特定の階層内においてポリシー2
2の追加、削除又は修正をすることを可能にする。コン
ピュータ・システム10の使用もその管理であるので、
図3に示すコンピュータ・システム10の管理は、ある
意味では、図2に示す使用と再帰的に発生する。
【0018】図示したこの特定の例では、システム管理
者12がある特定のユーザの属性、例えば、ユーザのパ
スワードを修正する必要がある場合、図2に示すユーザ
・インターフェースを通して、クライアント・コンピュ
ータ14に直接アクセスさせる。すると、クライアント
・コンピュータ14は、サーバ・コンピュータ20に要
求を行い、サーバ・コンピュータ20はそのデータベー
ス24に保持してあるポリシー22を一通り調べ、この
特定要求に適用すべきポリシーを判定する。この後クラ
イアント・コンピュータ14に返されるポリシー22
は、かかる特定要求に関連するものとして、上級システ
ム管理者が予め独立して決定したポリシーであって、図
3に示すようにサーバ・コンピュータ20のデータベー
ス24に入力したものである。当該要求に関連するもの
としてクライアント・コンピュータ14に返されたポリ
シー22は、次にデータベース18内に記憶し、そして
その評価を行う。初級システム管理者12が提案したパ
スワードの変更が、サーバ・コンピュータ20から返さ
れたポリシー22全てに合格したなら、この変更を行う
ことができる。
【0019】次に図4を参照するが、これには、ホスト
・コンピュータ34、又は複数の管理対象オブジェクト
32を含むポリシー群36を例えば含むことができるあ
る管理対象オブジェクトについて、それに可能なクラス
階層における継承を示す代表的なクラス図30を示す。
図示のように、ポリシー群36は、管理対象オブジェク
ト32である子を有する。各管理対象オブジェクト32
は、ポリシー群36である親を有する。本発明のシステ
ム及び方法を実施するための代表的擬似コード、並びに
図13、図14、図15、図16、及び図17の対応す
るフローチャートで以下により詳細に説明するが、管理
対象オブジェクト32とオブジェクト指向("OO: obj
ect oriented")プログラミング概念を利用するポリシ
ー群36との間には、相互関係がある。
【0020】OO概念を利用すると、多数のクラスを定
義でき、そして次にこれらをオブジェクトのタイプに関
連付けることができる。更に、これらのクラスは、クラ
スのサブクラスに詳細化する。一例として、1つのクラ
スは、「人」(管理対象オブジェクト32)から成るこ
とができ、そして「人」のサブクラスを「従業員」(ポ
リシー群36)とすることができる。「住所」を「人」
のクラスに関連付けてもよく、一方「給料」を「従業
員」関連付けてもよい。段階的詳細化を利用すると、
「従業員」(ポリシー群36)は、名前、住所などを含
む「人」(管理対象オブジェクト32)の特性全てを承
継する。別の言い方をすれば、管理対象オブジェクト3
2は、ホスト34やポリシー群36のようなサブクラス
を有することができ、またポリシー群36は、管理対象
オブジェクト32のようなスーパークラス(superclass)
を有することができる。
【0021】ここで図5に、本発明によるポリシー配置
40の一例を示す。ポリシー配置40は、3つのポリシ
ー群、即ち、ポリシー群A42、ポリシー群B46、及
びポリシー群C48を表している。先に述べたように、
1つのポリシーは、管理対象オブジェクト・タイプと属
性とを用いて定義する。ポリシー群A42には2つのポ
リシーがある。第1のポリシーは、ユーザ・タイプのパ
スワード属性に対するものである。このポリシーは、パ
スワード属性の長さが6文字より長くなければいけない
ことを述べている。これが意味するのは、ポリシー群A
42のメンバである、ユーザ管理対象オブジェクトであ
る「ジョーンズ」44は、6文字よりも長いパスワード
を有しなければいけないということである。第2のポリ
シーは、ホスト・タイプ管理対象オブジェクトのスワッ
プ空間属性に対するものである。この第2のポリシー
は、スワップ空間属性の値が200よりも大きくなけれ
ばならないことを述べている。
【0022】また、所与のポリシー群が多数のタイプの
管理対象オブジェクトのためのポリシーを含む可能性が
ある、ということを注記するのも重要である。図6の例
では、ポリシー群A42は、ホストのため並びにユーザ
のためのポリシーを含むことがわかる。
【0023】ポリシー群B46及びポリシー群C48
は、ポリシー群Aの「子」である。これが意味するの
は、ポリシー群B46及びC48が、それらの局所的に
定義したポリシーに加えて、ポリシー群A42における
ポリシーにも従わなければならない、ということであ
る。従って、ポリシー群B46のメンバである、ユーザ
・タイプ管理対象オブジェクト(例えばユーザ管理対象
オブジェクト「スミス」52)は、ポリシー群A42で
定義したユーザ・パスワード長ポリシー、並びにユーザ
・タイプのGID属性について局所的に定義したポリシ
ー(GIDは41に等しくなければならない)に従わな
ければならない。加えて、ホスト管理対象オブジェクト
「シエーヌ」50も、ポリシー群A42から承継したホ
ストのポリシーに従わなければならない。即ち、「シエ
ーヌ」50のスワップ空間属性の値は、200より大き
くなければならない。
【0024】ポリシー群C48は、同一の管理対象オブ
ジェクト・タイプと属性について、その親の1つとして
定義したポリシーを有する(例えば、ユーザ・パスワー
ド)。この状況では、ポリシー群C48のメンバであ
る、ユーザ管理対象オブジェクト「ジョンソン」 54
のようなユーザ管理対象オブジェクトは、ユーザ・パス
ワードに対する親(ポリシー群A42)のポリシー、及
びユーザ・パスワードに対するそれ自体の局所的ポリシ
ーを満足しなければならない。従って、ポリシー群C4
8のメンバであるユーザ管理対象オブジェクト「ジョン
ソン」54に対するパスワード属性は、6文字よりも長
いパスワード長を有しなければならず、更にパスワード
は数字を含まなければならない(ポリシー群C48によ
る)。親と子において、満たすのが不可能な矛盾したポ
リシーを形成する可能性があるが、ポリシー上の衝突の
判定、及びかかる衝突の補正は、上級システム管理者が
行うものと仮定する。
【0025】次に図6に、ポリシー混入60の一例を示
す。従来の技術の項で、システム管理者が定義できるポ
リシーには多くの「タイプ」がある、ということを述べ
た。一例として、システム管理者は、性能最適化のため
の規則を定義することができる。これらの規則は、管理
対象オブジェクト間の物理的位置関係(地理的基準)に
基づかせることが可能であり、あるいはまた、それら規
則は、特定のリソースの特定の実現例に基づかせること
も可能である。具体例の1つに、ある所与のユーザのメ
ール・スプールを保持するシステムが、このユーザのオ
フィスをネットワークに接続する同一のLAN上に常駐
することを保証するものが考えられる。
【0026】また、システム管理者は、リソースの機密
保護又は責任能力(accountability)の保証に役立つ規
則を定義することもでき、従ってそれら規則は、例え
ば、企業組織間のある所与の管理対象オブジェクトの関
係(組織的基準)に基づいて決めることができる。具体
例には、同一のGIDをある所与の組織又はプロジェク
トの全メンバに割り当てること、又はパスワードの選択
に関する同一の規則(例えば、パスワード長は6文字よ
り長くなければならない)を、ある所与のユーザ群の全
メンバが従うことを保証すること等が考えられよう。
【0027】システム管理者は、更に、システム構成の
標準化(構成の基礎の標準化)を保証する規則を定義す
ることもできる。多くの場合、これらの規則は、所与の
リソースのタイプ及び特定の用途を基礎としている。こ
の例には、メール・ファイルの位置に対して共通パター
ンを定義することが含まれる(例えば、 /var/mail/<us
ername>)。
【0028】前述の例から明らかなように、所与の管理
対象オブジェクト68は、性能の考慮事項によって支配
されるいくつかの属性と、機密保護の考慮事項によって
支配されるいくつかの属性と、構成標準化の考慮事項に
よって支配されるいくつかの属性と、を有することがで
きる。更に、広い範囲の考慮事項又は広い範囲のポリシ
ー・タイプが与えられた場合、システム管理者は、それ
らポリシー・タイプを単一階層に組み合わせたいと考え
る可能性は非常に低く、システム管理者は異なったポリ
シー・タイプに対して特殊の階層を定義したいと考える
であろう。
【0029】ポリシーの「タイプ」に基づいた別個の階
層を形成することによって、ポリシー混入60の手法
は、特定の管理対象オブジェクト68へのポリシーの割
り当てが可能となる。従って、システム管理者は、所与
の管理対象オブジェクトを、その所望のポリシーを与え
る特殊化したポリシー領域と関連付けることができる。
よって、図6に示すように、所与のユーザ管理対象オブ
ジェクト68は、機密保護ポリシーに特殊化したポリシ
ー領域(例えば組織に基づくポリシー群64)のメン
バ、性能に特殊化したポリシー領域(例えば地理に基づ
くポリシー群62)のメンバ、及び構成の標準化を支援
するポリシー領域(例えば標準構成に基づくポリシー群
66)のメンバとすることができる。
【0030】図7、図8及び図9、並びに以下の説明を
参照することにより、ポリシー及びポリシー群の概念を
よりよく理解することができよう。この例示的な図で
は、ユーザ・タイプの管理対象オブジェクトの(「ジョ
ーンズ」76、「スミス」78、「ジョンソン」80及
び「ジャクソン」82)は、名前、UID、GID、パ
スワード、メール・スプーラ、及びホーム・ディレクト
リという属性を有するものと仮定する。図示した例の基
本的条件及び環境について述べると、ユーザ管理対象オ
ブジェクトは、スプリングス・オーガニゼーション70
という、所与の管理者集合が管理する一組織の内の一部
である。
【0031】スプリングス・オーガニゼーション70
は、物理的に2つのローカル・エリア・ネットワークに
分割している。即ち、南側LAN90と北側LAN92
であり、これは更に、HR群74とPUBs群72とい
う、機能に基づく下位組織に分割している。Pubs群
72は、ユーザ「ジョーンズ」76及び「スミス」78
を有し、一方HR群74は、ユーザ「ジョンソン」80
及び「ジャクソン」82を有する。北側LAN92によ
るサービスを受けるオフィスは、「ジョンソン」のオフ
ィス106及び「ジャクソン」のオフィス108を含ん
でいる。南側LAN90によるサービスを受けるオフィ
スは、「ジョーンズ」のオフィス102及び「スミス」
のオフィス104を含んでいる。
【0032】図示の例において、以下の事項が、スプリ
ングス・オーガニゼーション70のポリシーであると仮
定する。 1)メール・スプーラ及びホーム・ディレクトリの位置
は、ユーザのオフィスが常駐するLANに対して局所的
でなければならない。 a)北側LAN92に関して、 i.このLAN92によるサービスを受けるオフィスの
ユーザのメール・スプーラは、ホスト「スプリングス」
98でなければならない。 ii.このLAN92によるサービスを受けるオフィス
のユーザのホーム・ディレクトリは、ホスト「ロッキ
ー」100又はホスト「スプリングス」98上になけれ
ばならない。 b)南側LAN90に関して、 i.このLAN90によるサービスを受けるオフィスの
ユーザのメール・スプーラは、ホスト「マスタマイン
ド」94でなければならない。 ii.このLAN90によるサービスを受けるオフィス
のユーザのホーム・ディレクトリは、ホスト「マスタマ
インド」94又はホスト「シエーヌ」96上になければ
ならない。 2)スプリングス・オーガニゼーション70内の全ユー
ザは、長さが6文字よりも長いパスワードを有しなけれ
ばならない。 3)スプリングス・オーガニゼーション70の下位群の
各々は、互いに異なったGIDを有しなければならず、
また1つの下位群の各メンバは同一のGIDを有しなけ
ればならない。 4)HR群74内の全ユーザは、長さが6文字よりも長
いパスワードを有することに加えて、かれらのパスワー
ドの中に英字以外の文字を有していなければならない。
【0033】以下のポリシー集合及びポリシー群は、上
述の制約を満足する。 1.スプリングス・オーガニゼーション70のポリシー
群 a.ポリシー:ユーザ・パスワード長>6文字 b.メンバ:PUBsポリシー群72、HRポリシー群
74 2.PUBsポリシー群72 a.ポリシー:ユーザGID=40 b.メンバ:「スミス」78、「ジョーンズ」76 3.HRポリシー群74 a.ポリシー:ユーザGID=41, ユーザ・パスワ
ードは、数字以外の文字を含まなければならない。 b.メンバ:「ジョンソン」80、「ジャクソン」82 4.北側LAN92のポリシー群 a.ポリシー:ユーザ・メール・スプーラ=「スプリン
グス」98, ユーザ・ホーム・ディレクトリは、「ロ
ッキー」100又は「スプリングス」98のいずれかに
なければならない。 b.メンバ:「ジャクソン」のオフィス108、「ジョ
ンソン」のオフィス106 5.南側LAN90のポリシー群 a.ポリシー:ユーザ・メール・スプーラ=「マスタマ
インド」94, ユーザ・ホーム・ディレクトリは、
「マスタマインド」94又は「シエーヌ」96になけれ
ばならない。 b.メンバ:「ジョーンズ」のオフィス102、「スミ
ス」のオフィス104。
【0034】先に注記したように、ポリシー群をネスト
することが可能である。即ち、1つのポリシー群が他の
複数のポリシー群を含むようにすることができる。図8
を具体的に参照しながら説明すると、他のポリシー群に
含まれているポリシー群は、この群を含むそれら他の群
によって定義されたポリシーを承継する。上記の例で
は、HR及びPUBsのポリシー群74、72のメンバ
は、スプリングス・オーガニゼーション70のポリシー
群からのポリシーを承継する(ユーザ・パスワード長>
6)。加えて、HR群74のメンバは、ユーザ・パスワ
ードに関する別の制約も満足しなければならない。この
場合、少なくとも1つの非英文字を含んでいなければな
らない。最後に、HR群74のメンバはまた、41のG
IDを有しなければならず、そしてPUBs群72のメ
ンバは、40のGIDを有しなければならない。
【0035】管理対象オブジェクトは、多数のポリシー
群のメンバとなることができる。スプリングスの地理1
10を示す図10を更に参照しながら、上述の例の場合
を考える。一例として、ユーザ「ジャクソン」82は、
HR群74(図7及び図8)及び北側LAN92ポリシ
ー群(図9)のメンバである。従って、ユーザ「ジャク
ソン」82には、HRグループ74からのポリシーが適
用され(ユーザ・パスワード長>6,ユーザ・パスワー
ドは非英文字も含まなければならず,ユーザGIDは4
1に等しくなければならない)、また北側LAN92の
ポリシーも適用される(ユーザ・メール・スプーラ=
「スプリングス」98,ユーザのホーム・ディレクトリ
は、「ロッキー」100又は「スプリングス」98のい
ずれかになければならない)。
【0036】図11に簡略化した形式で示すように、ユ
ーザ「ジョンソン」106は、HRポリシー群112の
メンバであると共に、北側LANポリシー群114のメ
ンバでもある。どのポリシーがユーザ「ジョーンズ」7
6及び「スミス」78に適用されるかを示す同様の図を
構成することによって、多数のポリシー群におけるかれ
らのメンバシップ及び各ポリシー群のポリシーを容易に
表現することができる。
【0037】上級システム管理者は、強制的(mandator
y)ポリシー及び助言的(advisory)ポリシーを有する
ことができる。強制的ポリシーは、提案された変更がポ
リシーに違反する場合、それを行うことを許さない。一
方、助言的ポリシーは、ポリシーの違反を識別し、そし
て当該オブジェクトのセーブを可能にする。
【0038】管理対象オブジェクトの属性を変更する場
合、その属性提案値をチェックして、管理対象オブジェ
クトがメンバとなっているポリシー群全てにおけるポリ
シーに、提案値が従うことを確認する。提案値がポリシ
ーに従わない場合には、その提案された属性の変更は許
可しない。
【0039】ある所与の群内の管理対象オブジェクトに
よっては、この管理対象オブジェクトが当該群のメンバ
になった後にこの群のポリシーを変更するような場合、
当該群のポリシーに従わない可能性もあることは、注記
すべきであろう。これらのメンバは、当該ポリシー群か
ら除去しない。これらのメンバは、ポリシーに従わない
ものとして、フラグを立てる。
【0040】この点について、管理対象オブジェクトの
属性を操作するアプリケーションは、理想的には、有効
ポリシー・チェック・ルーチンを呼び出すように修正す
べきである、ということを強調しておくのは重要であ
る。それにもかかわらず、管理対象オブジェクトの修正
がポリシー・チェックを行うアプリケーションによって
のみできるよう確保することは、その実現が完全にでき
るようなものではないであろう。結果として、管理対象
オブジェクトを周期的に走査してポリシーに従わない管
理対象オブジェクト集合を返すように、他のアプリケー
ションの修正が必要となる可能性がある。
【0041】次に図12には、1つのポリシー群120
を、1対のユーザ・テンプレート122、124、1つ
のホスト・テンプレート126及び管理対象オブジェク
ト128と共に示す。本発明のシステム及び方法によれ
ば、テンプレートとクローンの双方を用いて、管理対象
オブジェクト128を作成するときに属性の初期値を与
えることができる。テンプレート122〜126をポリ
シー群と関連付け、従ってテンプレートにおいて指定し
たそれら属性の値は、ポリシー群120と関連付けたポ
リシーに従わなければならない。図示のように、ポリシ
ー群120は、同一のタイプの管理対象オブジェクト1
28に対する多数のテンプレート122〜126に関連
付けることができる。1つのポリシー群はまた、異なっ
たタイプの管理対象オブジェクトのための多数のテンプ
レート(例えば、ユーザ・テンプレート122、124
及びホスト・テンプレート126)に関連付けることも
可能である。テンプレートの属性は、その全てが指定さ
れた値を有する必要はない。
【0042】本発明によれば、テンプレートを用いて、
初歩システム管理者のためのポリシー群階層を簡素化す
ることも可能である。テンプレートは、ブックマークに
類似した態様で用いて、新たなインスタンスにおいてど
のポリシー群が作成可能であるかを初歩システム管理者
に示すことができる。この機能は、コンピュータ・シス
テム10のユーザ・インターフェース技術に密接に一体
化すべきものである(図2及び図3)。
【0043】本発明のシステム及び方法は、管理対象オ
ブジェクトのクローン作成をも支援する。クローンは、
オブジェクトのインスタンスを識別するのに用いる属性
を除いて、そのマスタと同一の属性値全てを有する。加
えて、クローンは、マスタと同一のポリシー群全てのメ
ンバでる。そのマスタは、そのメンバシップに関連付け
られたポリシー全てに従う管理対象オブジェクトでなけ
ればならない。
【0044】先の図を参照しながら、上述の例を用い、
更にシステム管理者が、北側LAN92によるサービス
を受けるオフィスも有する、新たなHR群74ユーザを
作成したいものと仮定して説明する。その場合、システ
ム管理者は、例えば、ユーザ「ジャクソン」82をクロ
ーン化することもできる。このクローンは、HRポリシ
ー群74及び北側LAN92のポリシー群のメンバとな
る。
【0045】システム管理者全員が意味を修得したり各
属性に適切な値を決定する必要がないので、クローン化
及びテンプレートの使用によって、システム管理者の時
間を節約することになる。この点について、上級システ
ム管理者は、初級システム管理者による使用のために、
「マスタ」又はテンプレートを規定することができる。
更に、システム管理者は、いずれの属性についても手で
値を入力する必要はなく、単にクローン又はテンプレー
トの値を受け入れればよい。この結果、システム管理者
はより効率的となり、入力エラーの可能性も減少する。
最後に、クローンやテンプレートの使用を訓練すること
によって、管理対象オブジェクトの構成の確実な標準化
に向け大きく前進することができる。
【0046】次に、図13及び図14も更に参照して、
管理対象オブジェクト(managed object)に対する提案
された属性がポリシーに従うか否かを判定する機能を実
施する代表的なフローチャートについて、そのプロセス
を実施するための以下に示すブロック1の擬似コードに
関連付けて説明する。理解を容易にするために、以下に
与える擬似コードは、C++やSmalltalkTM
ような公知のOOプログラミング言語に類似したものと
する。
【0047】プロセス130は、ステップ132から始
まり、result=trueを割り当て、次にステップ134に
おいて、set_of_policies_for_evalと命名された集合を
作成する。次いで、ステップ136に進み、ここで親反
復器(parent iterator)を作成し、set_of_parent_Polic
yGroup集合の先頭にセットする。
【0048】判断ステップ138において、親反復器が
set_of_parent_PolicyGroup集合の末尾になければ、ス
テップ140において親反復器が指しているポリシー群
が、関数getPoliciesを呼び出して、その結果をtmp_set
に割り当てる。ステップ142及び144において、tm
p_setのメンバをset_of_policies_for_evalに加え、そ
して親反復器を、set_of_parent_PolicyGroup集合の次
のメンバに移動させる。一方、判断ブロック138にお
いて、親反復器が、現在、set_of_parent_PolicyGroup
集合の末尾にあるなら、プロセス130はステップ14
6に移行し、ポリシー反復器を、set_of_policies_for_
eval集合の先頭にセットする。
【0049】判断ステップ148において、その反復器
を評価して、set_of_policies_for_evalの末尾を指して
いるかどうかを判定する。もし真であれば、プロセスは
ステップ156に移行して、その結果を返す。もし偽で
あれば、プロセスは判断ステップ150に移行し、そし
て提案された値に対して、反復器が指すポリシーが(At
tributeValue)を妥当性検査する、即ち、真(有効)を
返すかを判断する。もし偽であれば、プロセスはステッ
プ152に移行して、result=falseを割り当て、そして
次にステップ154に移行して、ポリシー反復器をset_
of_policies_for_eval集合の次のメンバに移動させ、そ
の後判断ステップ148に戻る。真であれば、ステップ
152を迂回し、直接ステップ154に移行し、判断ス
テップ148に戻る。
【0050】基本的には、プログラム・プロセス130
は、サーバ・コンピュータ20(図2)に命令して、そ
のデータベース24から、管理対象オブジェクトの親の
ポリシーであってその管理対象オブジェクトのある特定
の属性に関連するポリシー全てを検索させる。次に、そ
の返されたポリシーを、提案された値に関して評価し、
そしてその値がそれらポリシーのどれかに反する場合、
その属性に対する提案値は不合格となる。種々の親のど
のポリシーを返すべきかを判定するために、システムは
ポリシー群を頼りにして、管理対象オブジェクトの親が
どれであるか、そしてそれらは提案属性値(即ちユーザ
・パスワード)に関連するポリシーを有するかを判定す
る。実際、ポリシー群のツリーの再帰的探索は、サーバ
・コンピュータ20と、上級システム管理者(図3)が
既に入力したそれに関連するデータベース24とが請け
負う。
【0051】ブロック1: クラス ManagedObject class ManagedObject /* Attributes */ name; set_of_parent_PolicyGroups; /* functions */ validateProposedValue(AttributeName,Attrib uteValue): return (boolean); polymorphic class _ of _ self(): returns (the name of the class of the caller); end class ManagedObject /* function definitions for ManagedObject */ validateProposedValue(AttributeName,AttributeValue) create empty set_of_policies_for_eval; passedPolicy = TRUE; for each parent in set_of_parent_PolicyGroups do set_of_policies = Parent.getPolicies(class _ of _ self(),AttributeName); add set of policies to set_of_policies_for_eval; end for loop; for each policy in set _ of _ policies_for_eval do if (policy.validate(AttributeValue) == FALSE) then passedPolicy=FALSE; end if; end for loop; return passedPolicy; end function validateProposedValue;
【0052】ここで、図15及び図16も更に参照し
て、管理対象オブジェクトのクラス名と管理対象オブジ
ェクト属性(即ち、パスワード)が与えられたときに適
用可能なポリシーの検索を可能にする、代表的なプロセ
ス・フロー160について説明する。図示したこのプロ
セス・フロー160は、以下のブロック2の擬似コード
に相当するものである。
【0053】ステップ162において、return_set_of_
policiesと命名した集合を作成し、そしてステップ16
4でポリシー反復器を作成してset_of_policiesの先頭
にセットする。判断ステップ166において、ポリシー
反復器を検査して、それがset_of_policiesの末尾にあ
るかどうかを判定する。真であれば、ステップ174に
おいて親反復器を、set_of_parent_PolicyGroupの先頭
にセットする。偽であれば、反復器が指すポリシーのcl
assName及びnameを判断ステップ168で検査して、こ
れがManagedObjectクラス及びこの関数に渡されたattri
buteNameのものと同一であるか否か判定する。
【0054】真であれば、ステップ170において、反
復器が指すポリシーを、return_set_of_policiesに加
え、そしてステップ172において、反復器をset_of_p
oliciesの次のメンバに移動させる。偽であれば、ステ
ップ170を迂回し、従ってプロセス160はステップ
172に移行し、次いで判断ステップ166に戻る。
【0055】ステップ174に続いて、判断ステップ1
76において、親反復器がset_of_parent_PolicyGroup
の末尾を指しているかどうかを判定する。真であれば、
プロセス160は次に直接ステップ184に移行して、
return_set_of_Policiesを返す。偽であれば、ステップ
178において、親反復器が指す親に対するgetPolicie
s(className_of_ManagedObject, name_of_attribute)へ
の呼び出しから返された値を、set_of_policiesに割り
当てる。その後、ステップ180において、set_of_pol
iciesをreturn_set_of_policiesに加え、そしてステッ
プ182において、反復器をset_of_parent_PolicyGrou
pの次のメンバに移動させる。次に、プロセス160
は、判断ステップ176に戻る。
【0056】動作において、まず始めに、全ての局所的
に定義されたポリシー、即ち、ポリシー群に局所的なポ
リシーについて探索を行う。これらは、分析して、クラ
ス名及び属性名の一致があるか否かを判定する。一致が
見い出せれば、当該ポリシーを集合内に配置し、そして
この集合を返す。この局所的な探索の後、ポリシーにつ
いて特定のクラス及び属性に関して親に質問し、そして
返されたポリシーも、返すべきその集合に加える。次
に、この完成した集合を返して、この要求を出した管理
対象オブジェクトに渡し、そしてここでポリシー承諾に
関する評価が行われる。
【0057】ブロック2: クラス PolicyGroup class PolicyGroup subclass of ManagedObject /* Attributes */ set_of_children_ManagedObjects; set_of_policies; /*_functions */ getPolicies(class_of_ManagedObject, name_of_attribute): returns (a set of policies); class_of_self(); end class PolicyGroup /* function definitions for PolicyGroup */ function getPolicies(className_of_ManagedObject, name_of_attribute) create an empty return_set_of_policies; for each policy in set _ of _ policies do: if (policy.classname == className_of_ManagedObject AND policy.attributeName == name_ofattribute) then add policy to return_set_of_policies; end if; end for loop; for each parent in set_of_parent_PolicyGroups do: set of policies = Parent.getPolicies(className_of_ManagedObject, name_of_attribute); add set_of_policies to return_set_of_policies; end for loop; return return_set_of_policies; end function getPolicies function class_of _ self() return "PolicyGroup" end function class_of_self;
【0058】以下のブロック3の擬似コードで、クラス
・ポリシーの一例を説明する。ポリシー群は、ポリシー
のリストを含み、そしてこのリスト内の各ポリシーは、
このポリシーが何に適用するかを示すクラス名及び属性
を有する、ということをここで繰り返すべきであろう。
実際、ポリシーの表現は、ポリシー自体の場合がある。
各ポリシーは、"validate"と呼ぶ関数を有し、そして提
案値をポリシー内に配して、当該値に対する「真」又は
「偽」の指示を返す。
【0059】ブロック3: クラス Policy class Policy /* Attributes */ className; /* name of the class of Managed Object this policy applies */ attributeName; /* name of the attribute of the class className */ policyExpression; /* functions */ validate(aProposedAttributeValue) return (Boolean); end class Policy /* Function Definitions for Policy*/ validate(aProposedAttributeValue)/* use aProposedAttributeValue in the system administrator defined policy expression. The result of the policy expression is returned. end function validate
【0060】ここで更に図17及び以下のブロック4の
擬似コードを参照して、ポリシーをチェックするクラス
の一例について説明する。このプロセス190は判断ス
テップ192から開始し、ここで提案値をUserIdentifi
er及びnewValueに関して検査して、真であることを妥当
性検査する。真であれば、ステップ194においてUser
IdentifierをnewValueに割り当て、そしてリターン・ス
テップ196において、このプロセス190を終了す
る。偽の場合、ステップ194を迂回して直接リターン
・ステップ196に移行する。
【0061】ブロック4: ポリシーをチェックするクラスの一例 class User subclass of Managed Object /* attributes */ UserIdentifier; /* functions */ class of self(); set_UserIdentifier(newValue) returns error code; end class User /* Function Definitions for User */ function class of self() return "User"; end function; function set UserIdentifier(newValue) if (validateProposedValue("UserIdentifier",newValue) then UserIdentifier = newValue; end if; end function set_UserIdentifier;
【0062】ここに開示したコンピュータ・システム管
理のための階層的ポリシーを実施するシステム及び方法
は、管理対象オブジェクトへのポリシーの割り当てにお
いて非常に柔軟である。既に述べたように、ポリシー
は、管理対象オブジェクトの属性の値に対する規則であ
る。ポリシー群は、このモデルの基本の構築ブロック
(building block)であり、これらは1集合のポリシー
を1集合の管理対象オブジェクトと関連付ける。更に、
ポリシー群は他のポリシー群のメンバとすることがで
き、そしてポリシー群はその親のポリシー群のポリシー
を承継する。この構造を用いて、ポリシーの階層的仕様
を支援することができる。更に、ここに開示したシステ
ム及び方法は、所与のポリシー群が多数の親を有するこ
とを可能にし、一方これは、親からのポリシーの「混
入」を可能にする。
【0063】システム管理者は、管理対象オブジェクト
構成の標準化を、所与のクラスの管理対象オブジェクト
の多数のインスタンスを管理する負担を減少させる手段
として、用いることができる。維持しかつ理解すべき情
報が少なく、特殊な場合も少ないので、標準化によって
日毎のシステム管理機能の複雑度が減少する。従って、
ここで提案した標準化は、特定の構成の最適化及びトラ
ブルシューティングを容易にするものである。クローン
化及びテンプレートを利用することで、標準化のための
自発的(voluntary)手段が得られ、一方妥当性検査ポ
リシー及びポリシー群によって、標準化の強制的手段以
上のものが得られる。
【0064】悪意でない誤使用による損傷の減少又は制
限は、ポリシーを介して支援する。具体的には、所与の
属性に対する値の集合を「安全な」値の集合に制限する
ように、ポリシーを用いることができ、更にこのポリシ
ー群機構により、管理対象オブジェクトの属性が確実に
安全値のみをとるようにすることができる。
【0065】以上、本発明の原理を具体的なクライアン
ト−サーバ・コンピュータ・アーキテクチャ及びプログ
ラミング例に関連付けて説明したが、上述の説明は一例
として行ったに過ぎず、本発明の範囲の限定として行っ
たのではないことは明確に理解されるべきである。特
に、以上に説明した例では、本発明のシステム及び方法
は、コンピュータ・システムの管理及び経営の機能に特
定して適用したが、例えば、管理対象オブジェクトの属
性の値に対する規則が設けられるソフトウエアの開発に
も、同一の技法を適用することができる。
【図面の簡単な説明】
【図1】本発明が使用される動作環境の一部を形成する
汎用ワークステーション・コンピュータの簡略図。
【図2】クライアント-サーバ構成を利用した本発明の
システム管理用階層的ポリシーを実施するためのシステ
ム及び方法についての可能な一実施態様の全体的アーキ
テクチャを例示しており、比較的初歩のシステム管理者
によるシステムの使用(例えば、ユーザのパスワードを
変更するための使用)を説明するための図。
【図3】クライアント-サーバ構成を利用した本発明の
システム管理用階層的ポリシーを実施するためのシステ
ム及び方法についての可能な一実施態様の全体的アーキ
テクチャを例示しており、ポリシー階層におけるポリシ
ー間の相互関係を追加、削除又は修正することによって
例えばポリシーを変更するための、経験が豊富なシステ
ム管理者によるシステムの管理を説明するための図。
【図4】ホスト・コンピュータ又はポリシー群(管理対
象オブジェクトを含む)を例えば含む管理対象オブジェ
クトについて、その可能なクラス階層における継承と抑
制を示す代表的なクラスの図であり、これにおいて、1
つのポリシー群は管理対象オブジェクトである子を有
し、1つの管理対象オブジェクトはポリシー群である親
を有している。
【図5】3つのポリシー群A,B及びCを有するポリシ
ー関係の簡略ブロック図であり、各ポリシー群がその一
部を形成する種々のポリシーを有する。
【図6】メンバとして同一の管理対象オブジェクトを有
するポリシー群の代表的な混入の簡略ブロック図。
【図7】本発明のシステム及び方法のための可能な基本
的環境を示す簡略ブロック図であり、先に図示した組織
の代表的な部分を、広報("PUBs")及び人間関係("
HR")という機能的下位群に分割している。
【図8】PUBs及びHRの組織的機能とそれぞれ関係
付けたある種のポリシーを示す、図7の環境の更に別の
図。
【図9】使用中の種々のローカル・エリア・ネットワー
ク("LAN")の典型的な内訳を示す、先の図と関連付け
たスプリングス地区の仮定的物理レイアウトの更に別の
簡略図。
【図10】スプリングス地区の地理、各ポリシーを含む
LANの物理的レイアウト、及び先に図示した種々の管
理対象オブジェクトを示す続きのブロック図。
【図11】ユーザ「ジョンソン」がHRポリシー群及び
北側LANポリシー群双方のメンバである場合の、その
ユーザに対するポリシー混入の具体例を示す図。
【図12】特定の管理対象オブジェクトに対する多数の
ユーザ・・テンプレート及びホスト・テンプレートと関
連付けた単一ポリシー群の簡略ブロック図。
【図13】図14と合わさって、関数ManagedObject::V
alidateProposedValue(AttributeName, AttributeValu
e)のために開示した、システム管理用階層的ポリシーの
実施を表すフローチャート。
【図14】図13と合わさって、関数ManagedObject::V
alidateProposedValue(AttributeName, AttributeValu
e)のために開示した、システム管理用階層的ポリシーの
実施を表すフローチャート。
【図15】図16と合わさって、関数PolicyGroup::Get
Policies(ManagedObjectClass, AttributeName)の実施
を表すフローチャート。
【図16】図15と合わさって、関数PolicyGroup::Get
Policies(ManagedObjectClass, AttributeName)の実施
を表わすフローチャート。
【図17】関数User::set_UserIdentifier(newValue)の
実施を表わすフローチャート。
【符号の説明】
1 プロセッサ 2 入出力("I/O")部 3 中央処理装置("CPU") 4 メモリ部 5 キーボード 6 表示装置 7 CDROMドライブ 8 CDROM媒体 9 ディスク記憶装置 10 コンピュータ・システム 11 プログラム 12 初級システム管理者 14 クライアント・コンピュータ 20 サーバ・コンピュータ 26 システム管理機能 34 ホスト・コンピュータ

Claims (51)

    【特許請求の範囲】
  1. 【請求項1】少なくとも1台のコンピュータと、関連す
    るデータベースと、データを前記データベースに入力す
    るためのユーザ・インターフェースと、を有するコンピ
    ュータ・システムについての管理のための階層的ポリシ
    ーを実施する階層的ポリシー実施方法であって、 多数のポリシーを前記データベースに記憶するための準
    備をするステップであって、前記多数のポリシーの各々
    が関連するポリシー・クラス名とポリシー属性とを有す
    る、前記のステップと、 前記多数のポリシーを複数のポリシー群に組織化するた
    めの準備をするステップと、 1つの管理対象オブジェクトの特性を前記コンピュータ
    ・システムに入力するための準備をするステップであっ
    て、前記管理対象オブジェクトが、関連するオブジェク
    ト・クラス名と、提案値を有するオブジェクト属性とを
    有している、前記のステップと、 前記管理対象オブジェクトに関係のある前記ポリシー群
    の内のあるポリシー群を探索して、前記オブジェクト・
    クラス名及びオブジェクト属性に対応するポリシー・ク
    ラス名及びポリシー属性を有するポリシーを判定するた
    めの準備をするステップと、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応するポリシー・クラス名及びポリシー属性を有する前
    記複数のポリシー群から、前記ポリシーの一致副集合を
    返すための準備をするステップと、 前記管理対象オブジェクトの前記オブジェクト属性の前
    記提案値を、前記ポリシーの前記一致副集合に関して分
    析するための準備をするステップと、及び前記提案値が
    前記ポリシーの前記一致副集合内の前記ポリシーの各々
    を満足する場合、前記オブジェクト属性の前記提案値の
    入力を許可するための準備をするステップと、から成る
    階層的ポリシー実施方法。
  2. 【請求項2】請求項1記載の方法において、前記探索す
    るための準備をするステップは、更に、 前記ポリシー群を再帰的に探索して、前記オブジェクト
    ・クラス名及びオブジェクト属性に対応するポリシー・
    クラス名及びポリシー属性を有する前記管理対象オブジ
    ェクトの親ポリシー群を判定するための準備をするステ
    ップと、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応したポリシー・クラス名及びポリシー属性を有する前
    記親ポリシー群から、前記ポリシーの付加的副集合を付
    加的に返すための準備をするステップと、及び前記返す
    ための準備をするステップに先だって、前記ポリシーの
    前記付加的副集合を、前記ポリシーの前記一致副集合に
    加えるための準備をするステップと、を含むこと、を特
    徴とする階層的ポリシー実施方法。
  3. 【請求項3】請求項1記載の方法において、前記記憶す
    るための準備をするステップは、前記コンピュータ・シ
    ステムに動作上結合したコンピュータ大容量記憶装置に
    よって行うこと、を特徴とする階層的ポリシー実施方
    法。
  4. 【請求項4】請求項1記載の方法において、前記組織化
    するための準備をするステップは、 前記管理対象オブジェクト・クラス名及び前記オブジェ
    クト属性の種々のものに対する、前記ポリシーの共通適
    用可能性を判定するための準備をするステップと、 前記共通適用可能性に従って、前記複数のポリシー群に
    前記ポリシーを分類するための準備をするステップと、
    によって行うこと、を特徴とする階層的ポリシー実施方
    法。
  5. 【請求項5】請求項1記載の方法において、前記入力す
    るための準備をするステップは、前記管理対象オブジェ
    クト・クラス名及び前記オブジェクト属性の提案値を前
    記コンピュータ・システムに入力するための準備をする
    ことによって行うこと、を特徴とする階層的ポリシー実
    施方法。
  6. 【請求項6】請求項2記載の方法において、前記探索す
    るための準備をするステップは、 前記あるポリシー群の前記ポリシーを初期探索して、前
    記オブジェクト・クラス名及びオブジェクト属性に対応
    するポリシー・クラス名及びポリシー属性を有する前記
    ポリシーを識別するための準備をするステップと、及び
    前記親ポリシー群の前記ポリシーを二次探索して、前記
    オブジェクト・クラス名及びオブジェクト属性に対応す
    るポリシー・クラス名及びポリシー属性を有する前記管
    理対象オブジェクトの前記親ポリシー群のポリシーを識
    別するための準備をするステップと、によって行うこ
    と、を特徴とする階層的ポリシー実施方法。
  7. 【請求項7】請求項1記載の方法であって、更に、 前記コンピュータ・システムに結合した付加的コンピュ
    ータを準備するステップを含み、前記付加的コンピュー
    タは、クライアントとして機能する前記少なくとも1台
    のコンピュータに関してサーバとして機能し、また前記
    付加的コンピュータは前記データベースを制御するよう
    に動作すること、を特徴とする階層的ポリシー実施方
    法。
  8. 【請求項8】請求項7記載の方法において、前記の記憶
    するための準備をするステップ、探索するための準備を
    するステップ及び返すための準備をするステップは、前
    記付加的コンピュータで実行すること、を特徴とする階
    層的ポリシー実施方法。
  9. 【請求項9】請求項7記載の方法において、前記の分析
    するための準備をするステップ及び許可するための準備
    をするステップは、前記少なくとも1台のコンピュータ
    で実行すること、を特徴とする階層的ポリシー実施方
    法。
  10. 【請求項10】請求項1記載の方法であって、更に、 既に入力してある管理対象オブジェクトの関連するオブ
    ジェクト・クラス名と関連するオブジェクト属性をクロ
    ーン化するための準備をするステップと、及び前記関連
    するオブジェクト・クラス名及び前記関連するオブジェ
    クト属性とを利用して、前記管理対象オブジェクトの前
    記オブジェクト・クラス名及び前記オブジェクト属性を
    表わす修正可能な初期表現を生成するための準備をする
    ステップと、を含むこと、を特徴とする階層的ポリシー
    実施方法。
  11. 【請求項11】請求項1記載の方法であって、更に、 テンプレートを作成して、前記管理対象オブジェクトの
    前記オブジェクト属性に対する初期値を確立するための
    準備をするステップを含むこと、を特徴とする階層的ポ
    リシー実施方法。
  12. 【請求項12】請求項1記載の方法であって、更に、 前記提案値が前記ポリシーの前記一致副集合内の前記ポ
    リシーのどれかに不合格となった場合、前記オブジェク
    ト属性の前記提案値の入力を不許可とするための準備を
    するステップを含むこと、を特徴とする階層的ポリシー
    実施方法。
  13. 【請求項13】請求項1記載の方法であって、更に、 前記提案値が前記ポリシーの前記一致副集合内の前記ポ
    リシーの1つの助言的ポリシーに不合格となった場合、
    前記オブジェクト属性の前記提案値の入力を条件付きで
    許可するための準備をするステップを含むこと、を特徴
    とする方法。
  14. 【請求項14】コンピュータ・プログラム製品であっ
    て、 少なくとも1台のコンピュータと、関連するデータベー
    スと、前記データベースにデータを入力するためのユー
    ザ・インターフェースとを有するコンピュータ・システ
    ムについての管理のための階層的ポリシーを実施するた
    めの、コンピュータが読み取り可能なコードを具現化し
    たコンピュータが使用可能な媒体を含んでおり、前記コ
    ンピュータ・プログラム製品が、 多数のポリシーを前記データベースへ記憶するのをコン
    ピュータに行わせるように構成したコンピュータ読み取
    り可能プログラム・コード装置であって、前記多数のポ
    リシーの各々は、関連するポリシー・クラス名とポリシ
    ー属性とを有している、前記のコンピュータ読み取り可
    能プログラム・コード装置と、 前記ポリシーをポリシー群へ組織化するのをコンピュー
    タに行わせるように構成したコンピュータ読み取り可能
    プログラム・コード装置と、 管理対象オブジェクトの特性をコンピュータ・システム
    へ入力するのを、コンピュータに行わせるように構成し
    たコンピュータ読み取り可能プログラム・コード装置で
    あって、前記管理対象オブジェクトは、関連するオブジ
    ェクト・クラス名と、提案値を有するオブジェクト属性
    とを有している、前記のコンピュータ読み取り可能プロ
    グラム・コード装置と、 前記管理対象オブジェクトに関係のある前記ポリシー群
    の内のあるポリシー群を探索して、前記オブジェクト・
    クラス名及びオブジェクト属性に対応するポリシー・ク
    ラス名及びポリシー属性を有する当該ポリシー群のポリ
    シーを判定するのを、コンピュータに行わせるように構
    成したコンピュータ読み取り可能プログラム・コード装
    置と、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応するポリシー・クラス名及びポリシー属性を有する前
    記ポリシー群から前記ポリシーの一致副集合を返すの
    を、コンピュータに行わせるように構成したコンピュー
    タ読み取り可能プログラム・コード装置と、 前記管理対象オブジェクトの前記オブジェクト属性の前
    記提案値を、前記ポリシーの前記一致副集合に関して分
    析するのを、コンピュータに行わせるように構成したコ
    ンピュータ読み取り可能プログラム・コード装置と、及
    び前記オブジェクト属性の前記提案値が前記ポリシーの
    前記一致副集合内の前記ポリシーの各々に合格した場
    合、前記オブジェクト属性の前記提案値の入力を許可す
    るのを、コンピュータに行わせるように構成したコンピ
    ュータ読み取り可能プログラム・コード装置と、から成
    るコンピュータ・プログラム製品。
  15. 【請求項15】請求項14記載のコンピュータ・プログ
    ラム製品であって、更に、 前記ポリシー群を再帰的に探索して、前記オブジェクト
    ・クラス名及びオブジェクト属性に対応するポリシー・
    クラス名及びポリシー属性を有する前記管理対象オブジ
    ェクトの親ポリシー群を判定するのを、コンピュータに
    行わせるように構成したコンピュータ読み取り可能プロ
    グラム・コード装置と、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応するポリシー・クラス名及びポリシー属性を有する前
    記親ポリシー群からの前記ポリシーの付加的副集合を付
    加的に返すのを、コンピュータに行わせるように構成し
    たコンピュータ読み取り可能プログラム・コード装置
    と、及び前記返すための準備をするステップに先だっ
    て、前記ポリシーの前記付加的副集合を前記ポリシーの
    一致副集合へ追加するのを、コンピュータに行わせるよ
    うに構成したコンピュータ読み取り可能プログラム・コ
    ード装置と、を含むこと、を特徴とするコンピュータ・
    プログラム製品。
  16. 【請求項16】請求項14記載のコンピュータ・プログ
    ラム製品において、前記ポリシーの前記組織化をコンピ
    ュータに行わせるように構成した前記コンピュータ読み
    取り可能プログラム・コードは、 前記管理対象オブジェクト・クラス名及び前記オブジェ
    クト属性の種々のものに対して前記ポリシーの共通適用
    可能性を判定するのを、コンピュータに行わせるように
    構成したコンピュータ読み取り可能プログラム・コード
    装置と、 前記共通適用可能性に従って、前記ポリシー群に前記ポ
    リシーを分類するのを、コンピュータに行わせるように
    構成したコンピュータ読み取り可能プログラム・コード
    装置と、によって実行すること、を特徴とするコンピュ
    ータ・プログラム製品。
  17. 【請求項17】請求項15記載のコンピュータ・プログ
    ラム製品において、前記ポリシーの前記探索をコンピュ
    ータに行わせるように構成した前記コンピュータ読み取
    り可能プログラム・コード装置は、 前記あるポリシー群の前記ポリシーを初期探索して、前
    記オブジェクト・クラス名及びオブジェクト属性に対応
    するポリシー・クラス名及びポリシー属性を有する前記
    ポリシーを識別するのを、コンピュータに行わせように
    構成したコンピュータ読み取り可能プログラム・コード
    装置と、及び前記親ポリシー群の前記ポリシーを二次探
    索して、前記オブジェクト・クラス名及びオブジェクト
    属性に対応するポリシー・クラス名及びポリシー属性を
    有する前記管理対象オブジェクトの前記親ポリシー群の
    ポリシーを識別するのを、コンピュータに行わせるよう
    に構成したコンピュータ読み取り可能プログラム・コー
    ド装置と、によって実行すること、を特徴とするコンピ
    ュータ・プログラム製品。
  18. 【請求項18】請求項14記載のコンピュータ・プログ
    ラム製品であって、更に、 既に入力してある管理対象オブジェクトの関連するオブ
    ジェクト・クラス名と関連するオブジェクト属性をクロ
    ーン化するのを、コンピュータに行わせるように構成し
    たコンピュータ読み取り可能プログラム・コード装置
    と、及び前記関連するオブジェクト・クラス名及び前記
    関連するオブジェクト属性とを利用して、前記管理対象
    オブジェクトの前記オブジェクト・クラス名及び前記オ
    ブジェクト属性を表わす修正可能な初期表現を生成する
    のを、コンピュータに行わせるように構成したコンピュ
    ータ読み取り可能プログラム・コード装置と、を含むこ
    と、を特徴とするコンピュータ・プログラム製品。
  19. 【請求項19】請求項14記載のコンピュータ・プログ
    ラム製品であって、更に、 テンプレートを作成して、前記管理対象オブジェクトの
    前記オブジェクト属性に対する初期値を確立するのを、
    コンピュータに行わせるように構成したコンピュータ読
    み取り可能プログラム・コード装置、を含むことを特徴
    とするコンピュータ・プログラム製品。
  20. 【請求項20】請求項14記載のコンピュータ・プログ
    ラム製品であって、更に、 前記オブジェクト属性の前記提案値が前記ポリシーの前
    記一致副集合内の前記ポリシーのどれかに不合格となっ
    た場合、前記オブジェクト属性の前記提案値の入力を不
    許可にするのを、コンピュータに行わせるように構成し
    たコンピュータ読み取り可能プログラム・コード装置、
    を含むことを特徴とするコンピュータ・プログラム製
    品。
  21. 【請求項21】請求項14記載のコンピュータ・プログ
    ラム製品であって、更に、 前記オブジェクト属性の前記提案値が前記ポリシーの前
    記一致副集合内の前記ポリシーの1つの助言的ポリシー
    に不合格となった場合、前記オブジェクト属性の前記提
    案値の入力を条件付きで許可するのを、コンピュータに
    行わせるように構成したコンピュータ読み取り可能プロ
    グラム・コード装置、を含むことを特徴とするコンピュ
    ータ・プログラム製品。
  22. 【請求項22】それ自身の階層的ポリシー管理を実施可
    能なコンピュータ・システムであって、 少なくとも1台のコンピュータと、 前記コンピュータに動作上結合したコンピュータ大容量
    記憶装置内に保持した少なくとも1つのデータベースで
    あって、関連するポリシー・クラス名とポリシー属性と
    を有する多数のポリシーを記憶可能な前記のデータベー
    スと、 前記少なくとも1台のコンピュータに動作上結合したユ
    ーザ・インターフェースであって、前記ユーザ・インタ
    ーフェースは管理対象オブジェクトの特性を前記コンピ
    ュータ・システムに入力可能であり、前記管理対象オブ
    ジェクトは関連するオブジェクト・クラス名と、その提
    案値を有するオブジェクト属性とを有している、前記の
    ユーザ・インターフェースと、 前記少なくとも1台のコンピュータと前記データベース
    と共に動作可能であり、前記ポリシーをポリシー群に組
    織化する関連器と、 前記少なくとも1台のコンピュータと前記データベース
    と共に動作可能であり、前記管理対象オブジェクトに関
    係のある前記ポリシー群の内のあるポリシー群を探索し
    て、前記オブジェクト・クラス名及びオブジェクト属性
    に対応するポリシー・クラス名及びポリシー属性を有す
    るそのポリシーを判定する反復器と、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応したポリシー・クラス名及びポリシー属性を有し、前
    記反復器によって前記少なくとも1台のコンピュータに
    返される、前記ポリシー群からの前記ポリシーの一致副
    集合と、 前記少なくとも1台のコンピュータと共に動作可能であ
    り、前記管理対象オブジェクトの前記オブジェクト属性
    の前記提案値を、前記ポリシーの前記一致副集合に関し
    て検査する分析器と、及び前記少なくとも1台のコンピ
    ュータと前記ユーザインターフェースと共に動作可能で
    あり、かつ前記分析器に応答する入力妥当性検査器であ
    って、前記オブジェクト属性の前記提案値が前記ポリシ
    ーの前記一致副集合内の前記ポリシーの各々に合格した
    場合、前記オブジェクト属性の前記提案値の入力を許可
    する前記入力妥当性検査器と、から成るコンピュータ・
    システム。
  23. 【請求項23】請求項22記載のコンピュータ・システ
    ムであって、更に、 前記少なくとも1台のコンピュータ及び前記データベー
    スと共に動作可能であり、前記ポリシー群を探索して、
    前記オブジェクト・クラス名及びオブジェクト属性に対
    応したポリシー・クラス名及びポリシー属性を有する前
    記管理対象オブジェクトの親ポリシー群を判定する再帰
    的反復器と、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応するポリシー・クラス名及びポリシー属性を有する、
    前記親ポリシー群からの前記ポリシーの付加的副集合
    と、及び前記ポリシーの前記付加的副集合を前記ポリシ
    ーの前記一致副集合に加える加算器と、 を含むこと、を特徴とするコンピュータ・システム。
  24. 【請求項24】請求項22記載のコンピュータ・システ
    ムであって、更に、前記コンピュータ・システムに結合
    してあり、前記データベースを動作上制御すると共に、
    前記少なくとも1台のコンピュータに対してサーバとし
    て機能する付加的コンピュータ、を含むことを特徴とす
    るコンピュータ・システム。
  25. 【請求項25】請求項22記載のコンピュータ・システ
    ムであって、更に、前記コンピュータ・システムに既に
    入力してある関連する管理対象オブジェクトの関連する
    オブジェクト・クラス名と関連するオブジェクト属性と
    を利用して、前記管理対象オブジェクトの前記オブジェ
    クト・クラス名及び前記オブジェクト属性の修正可能な
    初期表現を生成するクローン化実施器、を含むことを特
    徴とするコンピュータ・システム。
  26. 【請求項26】請求項22記載のコンピュータ・システ
    ムであって、更に、前記管理対象オブジェクトの前記オ
    ブジェクト属性に対する初期値を確立するテンプレート
    作成器、を含むことを特徴とするコンピュータ・システ
    ム。
  27. 【請求項27】請求項22記載のコンピュータ・システ
    ムにおいて、前記入力妥当性検査器は、更に、前記オブ
    ジェクト属性の前記提案値が前記ポリシーの前記一致副
    集合内の前記ポリシーのどれかに不合格となった場合、
    前記オブジェクト属性の前記提案値の入力を不許可とす
    る入力不許可器、を含むことを特徴とするコンピュータ
    ・システム。
  28. 【請求項28】請求項22記載のコンピュータ・システ
    ムにおいて、前記入力妥当性検査器は、更に、前記オブ
    ジェクト属性の前記提案値が前記ポリシーの前記一致副
    集合内の前記ポリシーの1つの助言的ポリシーに不合格
    となった場合、前記オブジェクト属性の前記提案値の入
    力を条件付きで許可する条件付き入力妥当性検査器、を
    含むことを特徴とするコンピュータ・システム。
  29. 【請求項29】少なくとも1台のコンピュータと、関連
    するデータベースと、前記コンピュータ・システムにデ
    ータを入力するためのユーザ・インターフェースとを有
    するコンピュータ・システムについての階層的ポリシー
    を実施する階層的ポリシー実施方法であって、 前記データベース内の多数のポリシーをポリシー群に組
    織化するための準備をするステップであって、前記多数
    のポリシーの各々は、関連するポリシー・クラス名とポ
    リシー属性とを有している、前記のステップと、 管理対象オブジェクトの特性を前記コンピュータ・シス
    テムに入力するための準備をするステップであって、前
    記管理対象オブジェクトは、関連するオブジェクト・ク
    ラス名とその提案値を有するオブジェクト属性とを有し
    ている前記のステップと、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応したポリシー・クラス名及びポリシー属性を有する前
    記ポリシー群の内の関係のある群内のポリシーに関し
    て、前記管理対象オブジェクトの前記オブジェクト属性
    の前記提案値を分析するための準備をするステップと、
    及び前記オブジェクト属性の前記提案値が前記ポリシー
    群の前記関係のある群内の前記ポリシーの各々に合格し
    た場合、前記オブジェクト属性の前記提案値の入力を許
    可するための準備をするステップと、から成る階層的ポ
    リシー実施方法。
  30. 【請求項30】請求項29記載の方法において、前記分
    析するための準備をするステップは、更に、 前記データベースを探索して前記管理対象オブジェクト
    に関係のある前記ポリシー群の内のあるポリシー群を求
    め、これにより前記オブジェクト・クラス名及びオブジ
    ェクト属性に対応するポリシー・クラス名及びポリシー
    属性を有するそのポリシーを判定するための準備をする
    ステップと、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応したポリシー・クラス名及びポリシー属性を有する前
    記ポリシー群から前記ポリシーの一致副集合を返すため
    の準備をするステップと、を含むこと、を特徴とする階
    層的ポリシー実施方法。
  31. 【請求項31】請求項30記載の方法において、前記探
    索するための準備をするステップは、更に、 前記ポリシー群を再帰的に探索して、前記オブジェクト
    ・クラス名及びオブジェクト属性に対応したポリシー・
    クラス名及びポリシー属性を有する前記管理対象オブジ
    ェクトの親ポリシー群を判定するための準備をするステ
    ップと、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応したポリシー・クラス名及びポリシー属性を有する前
    記親ポリシー群から、前記ポリシーの付加的副集合を付
    加的に返すための準備をするステップと、及び前記返す
    ための準備をするステップに先だって、前記ポリシーの
    前記付加的副集合を、前記ポリシー群の前記関係のある
    群からの前記ポリシーに加えるための準備をするステッ
    プと、を含むこと、を特徴とする階層的ポリシー実施方
    法。
  32. 【請求項32】請求項29記載の方法において、前記組
    織化するための準備をするステップは、 前記管理対象オブジェクト・クラス名及び前記オブジェ
    クト属性の種々のものに対する前記ポリシーの共通適用
    可能性を判定するための準備をするステップと、 前記共通適用可能性に従って、前記ポリシーを前記ポリ
    シー群に分類するための準備をするステップと、によっ
    て行うこと、を特徴とする階層的ポリシー実施方法。
  33. 【請求項33】請求項29記載の方法において、前記入
    力するための準備をするステップは、前記管理対象オブ
    ジェクト・クラス名と前記オブジェクト属性の提案値と
    を前記コンピュータ・システムに入力するための準備を
    することによって実行すること、を特徴とする階層的ポ
    リシー実施方法。
  34. 【請求項34】請求項30記載の方法において、前記探
    索するための準備をするステップは、 前記あるポリシー群の前記ステップを初期探索して、前
    記オブジェクト・クラス名及びオブジェクト属性に対応
    したポリシー・クラス名及びポリシー属性を有する前記
    ポリシーを識別するための準備をするステップと、及び
    前記親ポリシー群の前記ポリシーを二次探索して、前記
    オブジェクト・クラス名及びオブジェクト属性に対応し
    たポリシー・クラス名及びポリシー属性を有する前記管
    理対象オブジェクトの前記親ポリシー群のポリシーを識
    別するための準備をするステップと、によって行うこ
    と、を特徴とする階層的ポリシー実施方法。
  35. 【請求項35】請求項29記載の方法であって、更に、 前記コンピュータ・システムに結合した付加的コンピュ
    ータを準備するステップを含み、前記付加的コンピュー
    タは、クライアントとして機能する前記少なくとも1台
    のコンピュータに関してサーバとして機能し、また前記
    付加的コンピュータは前記データベースを制御するよう
    に動作すること、を特徴とする階層的ポリシー実施方
    法。
  36. 【請求項36】請求項35記載の方法において、前記探
    索するための準備をするステップ及び返すための準備を
    するステップは、前記付加的コンピュータで実行するこ
    と、を特徴とする階層的ポリシー実施方法。
  37. 【請求項37】請求項35記載の方法において、前記分
    析するための準備をするステップ及び許可するための準
    備をするステップは、前記少なくとも1台のコンピュー
    タで実行すること、を特徴とする階層的ポリシー実施方
    法。
  38. 【請求項38】請求項29記載の方法であって、更に、 既に入力した管理対象オブジェクトの関連するオブジェ
    クト・クラス名及び関連するオブジェクト属性をクロー
    ン化するための準備をするステップと、及び前記関連す
    るオブジェクト・クラス名及び前記関連するオブジェク
    ト属性を利用して、前記管理対象オブジェクトの前記オ
    ブジェクト・クラス名及び前記オブジェクト属性を表わ
    す修正可能な初期表現を生成するための準備をするステ
    ップと、を含むこと、を特徴とする階層的ポリシー実施
    方法。
  39. 【請求項39】請求項29記載の方法であって、更に、 テンプレートを作成して、前記管理対象オブジェクトの
    前記オブジェクト属性に対する初期値を確立するための
    準備をするステップ、を含むことを特徴とする階層的ポ
    リシー実施方法。
  40. 【請求項40】請求項29記載の方法であって、更に、 前記オブジェクト属性の前記提案値が前記ポリシー群の
    前記関係のある群内の前記ポリシーのどれかに不合格と
    なった場合、前記オブジェクト属性の前記提案値の入力
    を不許可とするための準備をするステップ、を含むこと
    を特徴とする階層的ポリシー実施方法。
  41. 【請求項41】請求項29記載の方法であって、更に、 前記オブジェクト属性の前記提案値が前記ポリシー群の
    前記関係のある群内の前記ポリシーの1つの助言的ポリ
    シーに不合格となった場合、前記オブジェクト属性の前
    記提案値の入力を条件付きで許可するための準備をする
    ステップ、を含むことを特徴とする方法。
  42. 【請求項42】コンピュータ・プログラム製品であっ
    て、 少なくとも1台のコンピュータと、関連するデータベー
    スと、前記コンピュータ・システムにデータを入力する
    ためのユーザ・インターフェースとを有するコンピュー
    タ・システムについての階層的ポリシーを実施するため
    の、コンピュータが読み取り可能なコードを具現化した
    コンピュータが使用可能な媒体を含んでおり、前記コン
    ピュータ・プログラム製品が、 前記データベース内の多数のポリシーをポリシー群へ組
    織化するのを、コンピュータに行わせるように構成した
    コンピュータ読み取り可能プログラム・コード装置であ
    って、前記多数のポリシーの各々は、関連するポリシー
    ・クラス名及びポリシー属性を有している、前記のコン
    ピュータ読み取り可能プログラム・コード装置と、 管理対象オブジェクトの特性を前記コンピュータ・シス
    テムへ入力するのを、コンピュータに行わせるように構
    成したコンピュータ読み取り可能プログラム・コード装
    置であって、前記管理対象オブジェクトは、関連するオ
    ブジェクト・クラス名及び提案値を有するオブジェクト
    属性を有している、前記のコンピュータ読み取り可能プ
    ログラム・コード装置と、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応したポリシー・クラス名及びポリシー属性を有する前
    記ポリシー群の関係のある群内のポリシーに関して、前
    記管理対象オブジェクトの前記オブジェクト属性の前記
    提案値を分析するのを、コンピュータに行わせるように
    構成したコンピュータ読み取り可能プログラム・コード
    装置と、及び前記オブジェクト属性の前記提案値が前記
    ポリシー群の前記関係のある群内の前記ポリシーの各々
    に合格した場合、前記オブジェクト属性の前記提案値の
    入力を許可するのを、コンピュータにさせるように構成
    したコンピュータ読み取り可能プログラム・コード装置
    と、から成るコンピュータ・プログラム製品。
  43. 【請求項43】請求項42記載のコンピュータ・プログ
    ラム製品において、分析をコンピュータに行わせるよう
    に構成した前記コンピュータ読み取り可能プログラム・
    コード装置は、更に、 前記データベースを探索して前記管理対象オブジェクト
    に関係のある前記ポリシー群のあるものを求め、これに
    より前記オブジェクト・クラス名及びオブジェクト属性
    に対応したポリシー・クラス名及びポリシー属性を有す
    るそのポリシーを判定するのを、コンピュータに行わせ
    るように構成したコンピュータ読み取り可能プログラム
    ・コード装置と、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応したポリシー・クラス名及びポリシー属性を有する前
    記ポリシー群から、前記ポリシーの一致副集合を返すの
    を、コンピュータに行わせるように構成したコンピュー
    タ読み取り可能プログラム・コード装置と、によって実
    行すること、を特徴とするコンピュータ・プログラム製
    品。
  44. 【請求項44】請求項43記載のコンピュータ・プログ
    ラム製品において、分析をコンピュータに行わせるよう
    に構成した前記コンピュータ読み取り可能プログラム・
    コード装置は、更に、 前記ポリシー群を再帰的に探索して、前記オブジェクト
    ・クラス名及びオブジェクト属性に対応したポリシー・
    クラス名及びポリシー属性を有する前記管理対象オブジ
    ェクトの親ポリシー群を判定するのを、コンピュータに
    行わせるように構成したコンピュータ読み取り可能プロ
    グラム・コード装置と、 前記オブジェクト・クラス名及びオブジェクト属性に対
    応したポリシー・クラス名及びポリシー属性を有する前
    記親ポリシー群から、前記ポリシーの付加的副集合を付
    加的に返すのを、コンピュータに行わせるように構成し
    たコンピュータ読み取り可能プログラム・コード装置
    と、及び前記返すための準備をするステップに先だっ
    て、前記ポリシーの前記付加的副集合を前記ポリシー群
    の前記関係のある群内の前記ポリシーへ加入するのを、
    コンピュータに行わせるように構成したコンピュータ読
    み取り可能プログラム・コード装置と、によって実行す
    ること、を特徴とするコンピュータ・プログラム製品。
  45. 【請求項45】請求項42記載のコンピュータ・プログ
    ラム製品において、組織化をコンピュータに行わせるよ
    うに構成した前記コンピュータ読み取り可能プログラム
    ・コード装置は、 前記管理対象オブジェクト・クラス名及び前記オブジェ
    クト属性の種々のものに対する前記ポリシーの共通適用
    可能性について判定するのを、コンピュータに行わせる
    ように構成したコンピュータ読み取り可能プログラム・
    コード装置と、 前記共通適用可能性に従って、前記ポリシーを前記ポリ
    シー群に分類するのを、コンピュータに行わせるように
    構成したコンピュータ読み取り可能プログラム・コード
    装置と、によって実行すること、を特徴とするコンピュ
    ータ・プログラム製品。
  46. 【請求項46】請求項42記載のコンピュータ・プログ
    ラム製品において、入力をコンピュータに行わせるよう
    に構成した前記コンピュータ読み取り可能プログラム・
    コード装置は、 前記管理対象オブジェクト・クラス名及び前記オブジェ
    クト属性の提案値を前記コンピュータ・システムへ入力
    するのを、コンピュータに行わせるように構成したコン
    ピュータ読み取り可能プログラム・コード装置、によっ
    て実行すること、を特徴とするコンピュータ・プログラ
    ム製品。
  47. 【請求項47】請求項43記載のコンピュータ・プログ
    ラム製品において、探索をコンピュータに行わせるよう
    に構成した前記コンピュータ読み取り可能プログラム・
    コード装置は、 前記あるポリシー群の前記ポリシーを初期探索して、前
    記オブジェクト・クラス名及びオブジェクト属性に対応
    したポリシー・クラス名及びポリシー属性を有する前記
    ポリシーを識別するのを、コンピュータに行わせるよう
    に構成したコンピュータ読み取り可能プログラム・コー
    ド装置と、及び前記親ポリシー群の前記ポリシーを二次
    探索して、前記オブジェクト・クラス名及びオブジェク
    ト属性に対応したポリシー・クラス名及びポリシー属性
    を有する前記管理対象オブジェクトの前記親ポリシー群
    のポリシーを識別するのを、コンピュータに行わせるよ
    うに構成したコンピュータ読み取り可能プログラム・コ
    ード装置と、によって実行すること、を特徴とするコン
    ピュータ・プログラム製品。
  48. 【請求項48】請求項42記載のコンピュータ・プログ
    ラム製品であって、更に、 既に入力してある管理対象オブジェクトの関連するオブ
    ジェクト・クラス名及び関連するオブジェクト属性をク
    ローン化するのを、コンピュータに行わせるように構成
    したコンピュータ読み取り可能プログラム・コード装置
    と、及び前記関連するオブジェクト・クラス名及び前記
    関連するオブジェクト属性を利用して、前記管理対象オ
    ブジェクトの前記オブジェクト・クラス名及び前記オブ
    ジェクト属性を表す修正可能な初期表現を生成するの
    を、コンピュータに行わせるように構成したコンピュー
    タ読み取り可能プログラム・コード装置と、を含むこ
    と、を特徴とするコンピュータ・プログラム製品。
  49. 【請求項49】請求項42記載のコンピュータ・プログ
    ラム製品であって、更に、 テンプレートを作成して、前記管理対象オブジェクトの
    前記オブジェクト属性に対する初期値を確立するのを、
    コンピュータに行わせるように構成したコンピュータ読
    み取り可能プログラム・コード装置、を含むこと、を特
    徴とするコンピュータ・プログラム製品。
  50. 【請求項50】請求項42記載のコンピュータ・プログ
    ラム製品であって、更に、 前記オブジェクト属性の前記提案値が前記ポリシー群の
    前記関係のある群内の前記ポリシーのどれかに不合格と
    なった場合、前記オブジェクト属性の前記提案値の入力
    を不許可とするのを、コンピュータに行わせるように構
    成したコンピュータ読み取り可能プログラム・コード装
    置、を含むこと、を特徴とするコンピュータ・プログラ
    ム製品。
  51. 【請求項51】請求項42記載のコンピュータ・プログ
    ラム製品であって、更に、 前記オブジェクト属性の前記提案値が前記ポリシー群の
    前記関係のある群内の前記ポリシーの1つの助言的ポリ
    シーに不合格となった場合、前記オブジェクト属性の前
    記提案値の入力を条件付きで許可するのを、コンピュー
    タに行わせるように構成したコンピュータ読み取り可能
    プログラム・コード装置、を含むこと、を特徴とするコ
    ンピュータ・プログラム製品。
JP8173806A 1995-07-03 1996-07-03 コンピュータ・システム管理に階層的ポリシーを実施するためのシステム及び方法 Pending JPH0969077A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US49772995A 1995-07-03 1995-07-03
US497729 1995-07-03

Publications (1)

Publication Number Publication Date
JPH0969077A true JPH0969077A (ja) 1997-03-11

Family

ID=23978079

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8173806A Pending JPH0969077A (ja) 1995-07-03 1996-07-03 コンピュータ・システム管理に階層的ポリシーを実施するためのシステム及び方法

Country Status (4)

Country Link
US (1) US5797128A (ja)
EP (1) EP0752652B1 (ja)
JP (1) JPH0969077A (ja)
DE (1) DE69601149T2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001516093A (ja) * 1997-08-13 2001-09-25 マイクロソフト コーポレイション ネットワークの位相的データの表現及び応用方法及び装置
JP2001518724A (ja) * 1997-07-24 2001-10-16 ワールドトーク・コーポレイション 格納された鍵による暗号化/暗号解読を用いた電子メール用ファイアウォール
JP2005513587A (ja) * 2001-05-10 2005-05-12 オラクル・インターナショナル・コーポレイション マルチポリシーリソーススケジューリングのための方法およびシステム
JP2006012033A (ja) * 2004-06-29 2006-01-12 Internatl Business Mach Corp <Ibm> 木構造データによるアクセス制御手段
JP4787149B2 (ja) * 2003-02-14 2011-10-05 オラクル・インターナショナル・コーポレイション 階層的な役割ベース資格のためのシステム及び方法
JP2012108628A (ja) * 2010-11-16 2012-06-07 Yahoo Japan Corp 情報処理システム、方法及びプログラム
JP2012108629A (ja) * 2010-11-16 2012-06-07 Yahoo Japan Corp ポリシ判定装置、方法及びプログラム
JP2014519131A (ja) * 2011-06-16 2014-08-07 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. ポリシー生成システム及び方法
JP2014530427A (ja) * 2011-09-30 2014-11-17 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. コンピュータシステムにおける仮想化装置の制御
WO2024034056A1 (ja) * 2022-08-10 2024-02-15 日本電信電話株式会社 ネットワーク管理装置、ネットワーク管理方法およびプログラム

Families Citing this family (171)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10361802B1 (en) 1999-02-01 2019-07-23 Blanding Hovenweep, Llc Adaptive pattern recognition based control system and method
US5889953A (en) * 1995-05-25 1999-03-30 Cabletron Systems, Inc. Policy management and conflict resolution in computer networks
US7555458B1 (en) 1996-06-05 2009-06-30 Fraud Control System.Com Corporation Method of billing a purchase made over a computer network
US20030195847A1 (en) 1996-06-05 2003-10-16 David Felger Method of billing a purchase made over a computer network
US8229844B2 (en) 1996-06-05 2012-07-24 Fraud Control Systems.Com Corporation Method of billing a purchase made over a computer network
US7821926B2 (en) * 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US7272625B1 (en) * 1997-03-10 2007-09-18 Sonicwall, Inc. Generalized policy server
US6408336B1 (en) 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US7580919B1 (en) 1997-03-10 2009-08-25 Sonicwall, Inc. Query interface to policy server
US8914410B2 (en) 1999-02-16 2014-12-16 Sonicwall, Inc. Query interface to policy server
US7912856B2 (en) * 1998-06-29 2011-03-22 Sonicwall, Inc. Adaptive encryption
US5925126A (en) * 1997-03-18 1999-07-20 Memco Software, Ltd. Method for security shield implementation in computer system's software
US5944825A (en) * 1997-05-30 1999-08-31 Oracle Corporation Security and password mechanisms in a database system
US5938768A (en) * 1997-07-30 1999-08-17 Northern Telecom Limited Feature to facilitate numeric passcode entry
US6128774A (en) * 1997-10-28 2000-10-03 Necula; George C. Safe to execute verification of software
US6202157B1 (en) * 1997-12-08 2001-03-13 Entrust Technologies Limited Computer network security system and method having unilateral enforceable security policy provision
US6484182B1 (en) 1998-06-12 2002-11-19 International Business Machines Corporation Method and apparatus for publishing part datasheets
US6735701B1 (en) 1998-06-25 2004-05-11 Macarthur Investments, Llc Network policy management and effectiveness system
US6615218B2 (en) 1998-07-17 2003-09-02 Sun Microsystems, Inc. Database for executing policies for controlling devices on a network
US6170009B1 (en) * 1998-07-17 2001-01-02 Kallol Mandal Controlling devices on a network through policies
US6466932B1 (en) * 1998-08-14 2002-10-15 Microsoft Corporation System and method for implementing group policy
US7673323B1 (en) 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US6327618B1 (en) * 1998-12-03 2001-12-04 Cisco Technology, Inc. Recognizing and processing conflicts in network management policies
US6301613B1 (en) * 1998-12-03 2001-10-09 Cisco Technology, Inc. Verifying that a network management policy used by a computer system can be satisfied and is feasible for use
US6154741A (en) * 1999-01-29 2000-11-28 Feldman; Daniel J. Entitlement management and access control system
US6886017B1 (en) 1999-04-30 2005-04-26 Elata Limited System and method for managing distribution of content to a device
US6738908B1 (en) * 1999-05-06 2004-05-18 Watchguard Technologies, Inc. Generalized network security policy templates for implementing similar network security policies across multiple networks
GB9912494D0 (en) * 1999-05-28 1999-07-28 Hewlett Packard Co Configuring computer systems
US6529938B1 (en) 1999-08-06 2003-03-04 International Business Machines Corporation Method, system, and program for executing operations on a client in a network environment
US6587876B1 (en) * 1999-08-24 2003-07-01 Hewlett-Packard Development Company Grouping targets of management policies
US20030115246A1 (en) * 1999-08-24 2003-06-19 Hewlett-Packard Company And Intel Corporation Policy management for host name mapped to dynamically assigned network address
US6865549B1 (en) 1999-11-15 2005-03-08 Sun Microsystems, Inc. Method and apparatus for concurrency control in a policy-based management system
US7451147B1 (en) * 1999-11-18 2008-11-11 International Business Machines Corporation Flexible encryption scheme for GSO target passwords
US6487594B1 (en) * 1999-11-30 2002-11-26 Mediaone Group, Inc. Policy management method and system for internet service providers
US6539483B1 (en) * 2000-01-12 2003-03-25 International Business Machines Corporation System and method for generation VPN network policies
US6839766B1 (en) * 2000-01-14 2005-01-04 Cisco Technology, Inc. Method and apparatus for communicating cops protocol policies to non-cops-enabled network devices
US7251666B2 (en) * 2000-02-01 2007-07-31 Internet Business Information Group Signature loop authorizing method and apparatus
WO2001069383A1 (en) * 2000-03-10 2001-09-20 Aether Systems, Inc. Method and apparatus for providing services to a user of a client device configured by templates that reference other templates
CA2402695A1 (en) * 2000-03-20 2001-09-27 Pingtel Corporation Organizing and combining a hierarchy of configuration parameters to produce an entity profile for an entity associated with a communications network
US6880005B1 (en) * 2000-03-31 2005-04-12 Intel Corporation Managing policy rules in a network
US7051069B2 (en) * 2000-09-28 2006-05-23 Bea Systems, Inc. System for managing logical process flow in an online environment
US7260838B2 (en) * 2000-12-18 2007-08-21 International Business Machines Corporation Incorporating password change policy into a single sign-on environment
US20020091819A1 (en) * 2001-01-05 2002-07-11 Daniel Melchione System and method for configuring computer applications and devices using inheritance
AUPR333101A0 (en) * 2001-02-23 2001-03-22 I-Sprint Innovations Pte Limited A hierarchy model
US8298160B2 (en) * 2001-03-16 2012-10-30 Ev3 Inc. Wire convertible from over-the-wire length to rapid exchange length
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
JP2002290708A (ja) * 2001-03-27 2002-10-04 Fujitsu Ltd サービス機能実行システムにおける安全性確保方式
ATE413744T1 (de) * 2001-03-30 2008-11-15 Nokia Corp Methode zur konfiguration eines netwerkes durch definieren von clustern
US20030041050A1 (en) * 2001-04-16 2003-02-27 Greg Smith System and method for web-based marketing and campaign management
US7499948B2 (en) * 2001-04-16 2009-03-03 Bea Systems, Inc. System and method for web-based personalization and ecommerce management
KR100398281B1 (ko) * 2001-04-17 2003-09-19 시큐아이닷컴 주식회사 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법
GB2374687A (en) * 2001-04-19 2002-10-23 Ibm Managing configuration changes in a data processing system
US7003578B2 (en) * 2001-04-26 2006-02-21 Hewlett-Packard Development Company, L.P. Method and system for controlling a policy-based network
US7584418B2 (en) * 2001-05-31 2009-09-01 Oracle International Corporation Methods, systems, and articles of manufacture for prefabricating an information page
US7392546B2 (en) * 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
US7962962B2 (en) * 2001-06-19 2011-06-14 International Business Machines Corporation Using an object model to improve handling of personally identifiable information
US7603317B2 (en) * 2001-06-19 2009-10-13 International Business Machines Corporation Using a privacy agreement framework to improve handling of personally identifiable information
US6854035B2 (en) 2001-10-05 2005-02-08 International Business Machines Corporation Storage area network methods and apparatus for display and management of a hierarchical file system extension policy
US7367014B2 (en) 2001-10-24 2008-04-29 Bea Systems, Inc. System and method for XML data representation of portlets
US8261095B1 (en) 2001-11-01 2012-09-04 Google Inc. Methods and systems for using derived user accounts
JP2003173301A (ja) * 2001-12-07 2003-06-20 Hitachi Ltd ネットワーク,サーバおよびストレージのポリシーサーバ
US7350226B2 (en) * 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
US7890639B1 (en) 2002-01-30 2011-02-15 Novell, Inc. Method and apparatus for controlling access to portal content from outside the portal
US7987421B1 (en) 2002-01-30 2011-07-26 Boyd H Timothy Method and apparatus to dynamically provide web content resources in a portal
US7496687B2 (en) * 2002-05-01 2009-02-24 Bea Systems, Inc. Enterprise application platform
US20040010598A1 (en) * 2002-05-01 2004-01-15 Bea Systems, Inc. Portal setup wizard
US7725560B2 (en) * 2002-05-01 2010-05-25 Bea Systems Inc. Web service-enabled portlet wizard
US7191469B2 (en) 2002-05-13 2007-03-13 Green Border Technologies Methods and systems for providing a secure application environment using derived user accounts
EP1525522A2 (en) 2002-06-06 2005-04-27 Green Border Technologies Method and system for implementing a secure application execution environment using derived user accounts for internet content
KR100497230B1 (ko) * 2002-07-23 2005-06-23 삼성에스디아이 주식회사 플라즈마 디스플레이 패널의 구동 장치 및 구동 방법
US6819967B2 (en) 2002-07-24 2004-11-16 International Business Machines Corporation Relational database for producing bill-of-materials from planning information
US20040030764A1 (en) * 2002-08-08 2004-02-12 International Business Machines Corporation Identity assertion token principal mapping for common secure interoperability
US7236977B1 (en) * 2002-09-20 2007-06-26 Novell, Inc. Method for dynamically distributing items for changes based on group membership
US7149738B2 (en) * 2002-12-16 2006-12-12 International Business Machines Corporation Resource and data administration technologies for IT non-experts
EP1431873A1 (en) * 2002-12-19 2004-06-23 Hewlett-Packard Company, A Delaware Corporation Computer programming
US7660843B1 (en) 2003-01-21 2010-02-09 Novell, Inc. Method and apparatus for dynamically delivering a gadget
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
US6917975B2 (en) * 2003-02-14 2005-07-12 Bea Systems, Inc. Method for role and resource policy management
US7653930B2 (en) * 2003-02-14 2010-01-26 Bea Systems, Inc. Method for role and resource policy management optimization
US8831966B2 (en) * 2003-02-14 2014-09-09 Oracle International Corporation Method for delegated administration
US7293286B2 (en) 2003-02-20 2007-11-06 Bea Systems, Inc. Federated management of content repositories
US7840614B2 (en) * 2003-02-20 2010-11-23 Bea Systems, Inc. Virtual content repository application program interface
US7483904B2 (en) * 2003-02-20 2009-01-27 Bea Systems, Inc. Virtual repository content model
US7415478B2 (en) * 2003-02-20 2008-08-19 Bea Systems, Inc. Virtual repository complex content model
US20040167880A1 (en) * 2003-02-20 2004-08-26 Bea Systems, Inc. System and method for searching a virtual repository content
US20040167871A1 (en) * 2003-02-20 2004-08-26 Bea Systems, Inc. Content mining for virtual content repositories
US7562298B2 (en) * 2003-02-20 2009-07-14 Bea Systems, Inc. Virtual content repository browser
US20040230557A1 (en) * 2003-02-28 2004-11-18 Bales Christopher E. Systems and methods for context-sensitive editing
US7810036B2 (en) * 2003-02-28 2010-10-05 Bea Systems, Inc. Systems and methods for personalizing a portal
US20040230917A1 (en) * 2003-02-28 2004-11-18 Bales Christopher E. Systems and methods for navigating a graphical hierarchy
US8214377B2 (en) * 2003-04-07 2012-07-03 International Business Machines Corporation Method, system, and program for managing groups of objects when there are different group types
US7529981B2 (en) * 2003-04-17 2009-05-05 International Business Machines Corporation System management infrastructure for corrective actions to servers with shared resources
US7669225B2 (en) * 2003-05-06 2010-02-23 Portauthority Technologies Inc. Apparatus and method for assuring compliance with distribution and usage policy
US7657599B2 (en) * 2003-05-29 2010-02-02 Mindshare Design, Inc. Systems and methods for automatically updating electronic mail access lists
US7480798B2 (en) * 2003-06-05 2009-01-20 International Business Machines Corporation System and method for representing multiple security groups as a single data object
US7676559B2 (en) * 2003-06-24 2010-03-09 Alcatel Lucent Real-time policy evaluation mechanism
US7562119B2 (en) * 2003-07-15 2009-07-14 Mindshare Design, Inc. Systems and methods for automatically updating electronic mail access lists
US7644432B2 (en) * 2003-10-10 2010-01-05 Bea Systems, Inc. Policy inheritance through nested groups
US20050257245A1 (en) * 2003-10-10 2005-11-17 Bea Systems, Inc. Distributed security system with dynamic roles
US7594224B2 (en) 2003-10-10 2009-09-22 Bea Systems, Inc. Distributed enterprise security system
US20050097352A1 (en) * 2003-10-10 2005-05-05 Bea Systems, Inc. Embeddable security service module
US20050097353A1 (en) * 2003-10-10 2005-05-05 Bea Systems, Inc. Policy analysis tool
US20050251852A1 (en) * 2003-10-10 2005-11-10 Bea Systems, Inc. Distributed enterprise security system
US20050251851A1 (en) * 2003-10-10 2005-11-10 Bea Systems, Inc. Configuration of a distributed security system
US7660857B2 (en) * 2003-11-21 2010-02-09 Mindshare Design, Inc. Systems and methods for automatically updating electronic mail access lists
US7734750B2 (en) 2003-12-19 2010-06-08 International Business Machines Corporation Real-time feedback for policies for computing system management
US20050188295A1 (en) * 2004-02-25 2005-08-25 Loren Konkus Systems and methods for an extensible administration tool
US8224937B2 (en) * 2004-03-04 2012-07-17 International Business Machines Corporation Event ownership assigner with failover for multiple event server system
US7774601B2 (en) * 2004-04-06 2010-08-10 Bea Systems, Inc. Method for delegated administration
US7240076B2 (en) * 2004-04-13 2007-07-03 Bea Systems, Inc. System and method for providing a lifecycle for information in a virtual content repository
US20050228784A1 (en) * 2004-04-13 2005-10-13 Bea Systems, Inc. System and method for batch operations in a virtual content repository
US20060041558A1 (en) * 2004-04-13 2006-02-23 Mccauley Rodney System and method for content versioning
US7246138B2 (en) * 2004-04-13 2007-07-17 Bea Systems, Inc. System and method for content lifecycles in a virtual content repository that integrates a plurality of content repositories
US7580953B2 (en) * 2004-04-13 2009-08-25 Bea Systems, Inc. System and method for schema lifecycles in a virtual content repository that integrates a plurality of content repositories
US20060028252A1 (en) * 2004-04-13 2006-02-09 Bea Systems, Inc. System and method for content type management
US7236975B2 (en) * 2004-04-13 2007-06-26 Bea Systems, Inc. System and method for controlling access to anode in a virtual content repository that integrates a plurality of content repositories
US20050228816A1 (en) * 2004-04-13 2005-10-13 Bea Systems, Inc. System and method for content type versions
US7162504B2 (en) * 2004-04-13 2007-01-09 Bea Systems, Inc. System and method for providing content services to a repository
US7236990B2 (en) * 2004-04-13 2007-06-26 Bea Systems, Inc. System and method for information lifecycle workflow integration
US7475091B2 (en) 2004-04-13 2009-01-06 Bea Systems, Inc. System and method for viewing a virtual content repository
US7236989B2 (en) * 2004-04-13 2007-06-26 Bea Systems, Inc. System and method for providing lifecycles for custom content in a virtual content repository
JP4878433B2 (ja) * 2004-05-11 2012-02-15 株式会社日立製作所 記憶装置構成管理システムおよび構成管理方法
US20050256899A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. System and method for representing hierarchical data structures
US20050257172A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. Interface for filtering for portal and webserver administration
US20050256906A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. Interface for portal and webserver administration-efficient updates
US20050257154A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. Graphical association of elements for portal and webserver administration
US7533097B2 (en) * 2004-06-29 2009-05-12 International Business Machines Corporation Dynamic user interface creation based on user responsibilities and company policies
US8078707B1 (en) * 2004-11-12 2011-12-13 Juniper Networks, Inc. Network management using hierarchical domains
US7783670B2 (en) * 2004-11-18 2010-08-24 Bea Systems, Inc. Client server conversion for representing hierarchical data structures
US7478419B2 (en) * 2005-03-09 2009-01-13 Sun Microsystems, Inc. Automated policy constraint matching for computing resources
US20060212407A1 (en) * 2005-03-17 2006-09-21 Lyon Dennis B User authentication and secure transaction system
US8086615B2 (en) * 2005-03-28 2011-12-27 Oracle International Corporation Security data redaction
US20060224628A1 (en) * 2005-03-29 2006-10-05 Bea Systems, Inc. Modeling for data services
US7748027B2 (en) * 2005-05-11 2010-06-29 Bea Systems, Inc. System and method for dynamic data redaction
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US20070028291A1 (en) 2005-07-29 2007-02-01 Bit 9, Inc. Parametric content control in a network security system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US20070073663A1 (en) * 2005-09-26 2007-03-29 Bea Systems, Inc. System and method for providing full-text searching of managed content
US20070073638A1 (en) * 2005-09-26 2007-03-29 Bea Systems, Inc. System and method for using soft links to managed content
US7818344B2 (en) 2005-09-26 2010-10-19 Bea Systems, Inc. System and method for providing nested types for content management
US7917537B2 (en) 2005-09-26 2011-03-29 Oracle International Corporation System and method for providing link property types for content management
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US8019845B2 (en) * 2006-06-05 2011-09-13 International Business Machines Corporation Service delivery using profile based management
US7747736B2 (en) * 2006-06-05 2010-06-29 International Business Machines Corporation Rule and policy promotion within a policy hierarchy
US20080072280A1 (en) * 2006-08-30 2008-03-20 Tardo Joseph J Method and system to control access to a secure asset via an electronic communications network
US7861289B2 (en) 2006-09-22 2010-12-28 Oracle International Corporation Pagelets in adaptive tags in non-portal reverse proxy
US8635618B2 (en) * 2007-11-20 2014-01-21 International Business Machines Corporation Method and system to identify conflicts in scheduling data center changes to assets utilizing task type plugin with conflict detection logic corresponding to the change request
JP5087441B2 (ja) * 2008-03-19 2012-12-05 矢崎総業株式会社 電力供給装置
CA2760692C (en) * 2009-05-03 2016-10-25 Research In Motion Limited Systems and methods for mobility server administration
US8966017B2 (en) * 2009-07-09 2015-02-24 Novell, Inc. Techniques for cloud control and management
US8464319B2 (en) 2010-01-08 2013-06-11 Microsoft Corporation Resource access based on multiple scope levels
US9021055B2 (en) 2010-11-24 2015-04-28 Oracle International Corporation Nonconforming web service policy functions
US9589145B2 (en) * 2010-11-24 2017-03-07 Oracle International Corporation Attaching web service policies to a group of policy subjects
US8650250B2 (en) 2010-11-24 2014-02-11 Oracle International Corporation Identifying compatible web service policies
US8635682B2 (en) 2010-11-24 2014-01-21 Oracle International Corporation Propagating security identity information to components of a composite application
US9122765B1 (en) * 2010-12-22 2015-09-01 Vmware, Inc. Efficient overcommitment of main-memory based virtual database system to disk
US8560819B2 (en) 2011-05-31 2013-10-15 Oracle International Corporation Software execution using multiple initialization modes
WO2013025785A1 (en) * 2011-08-15 2013-02-21 Arizona Board Of Regents, For And On Behalf Of, Arizona State University Systems methods, and media for policy-based monitoring and controlling of applications
US8914843B2 (en) 2011-09-30 2014-12-16 Oracle International Corporation Conflict resolution when identical policies are attached to a single policy subject
US9027077B1 (en) * 2012-04-30 2015-05-05 Palo Alto Networks, Inc. Deploying policy configuration across multiple security devices through hierarchical configuration templates
US9215144B2 (en) * 2012-10-18 2015-12-15 International Business Machines Corporation Recommending a policy for an IT asset
US8738791B1 (en) * 2013-07-17 2014-05-27 Phantom Technologies, Inc. Location based network usage policies
US9246752B2 (en) 2013-06-18 2016-01-26 International Business Machines Corporation Ensuring health and compliance of devices
US20160292445A1 (en) 2015-03-31 2016-10-06 Secude Ag Context-based data classification
EP3196798A1 (en) 2016-01-19 2017-07-26 Secude AG Context-sensitive copy and paste block
US10673696B2 (en) * 2018-07-27 2020-06-02 International Business Machines Corporation Delegating dispersed storage network configuration capabilities while preserving ownership constraints
US10489144B1 (en) * 2019-07-22 2019-11-26 Capital One Services, Llc Automated bucket policy management arrangements
CN113760790B (zh) * 2021-09-08 2022-06-14 东莞市海能电子有限公司 扩展坞信息指令的配置和传输方法、装置及扩展坞
KR20230138083A (ko) * 2022-03-23 2023-10-05 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. 그룹 계층 구조에서 그룹 정책에 의한 화상 형성 장치의 환경 설정 제어

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4584639A (en) * 1983-12-23 1986-04-22 Key Logic, Inc. Computer security system
US4914590A (en) * 1988-05-18 1990-04-03 Emhart Industries, Inc. Natural language understanding system
US5187790A (en) * 1989-06-29 1993-02-16 Digital Equipment Corporation Server impersonation of client processes in an object based computer operating system
US5129083A (en) * 1989-06-29 1992-07-07 Digital Equipment Corporation Conditional object creating system having different object pointers for accessing a set of data structure objects
US5278946A (en) * 1989-12-04 1994-01-11 Hitachi, Ltd. Method of presenting multimedia data in a desired form by comparing and replacing a user template model with analogous portions of a system
US5159685A (en) * 1989-12-06 1992-10-27 Racal Data Communications Inc. Expert system for communications network
US5276775A (en) * 1990-12-07 1994-01-04 Texas Instruments Inc. System and method for building knowledge-based applications
US5559958A (en) * 1991-06-24 1996-09-24 Compaq Computer Corporation Graphical user interface for computer management system and an associated management information base
JPH077422B2 (ja) * 1991-08-23 1995-01-30 インターナショナル・ビジネス・マシーンズ・コーポレイション コンピュータ処理データベース・システムにおけるジョインの実行方法及びシステム
JPH05197573A (ja) * 1991-08-26 1993-08-06 Hewlett Packard Co <Hp> タスク指向パラダイムによるタスク管理システム
US5555346A (en) * 1991-10-04 1996-09-10 Beyond Corporated Event-driven rule-based messaging system
JP2711204B2 (ja) * 1992-03-09 1998-02-10 インターナショナル・ビジネス・マシーンズ・コーポレイション リレーショナルデータベースのユーザインターフェースを生成する方法
US5414812A (en) * 1992-03-27 1995-05-09 International Business Machines Corporation System for using object-oriented hierarchical representation to implement a configuration database for a layered computer network communications subsystem
US5390282A (en) * 1992-06-16 1995-02-14 John R. Koza Process for problem solving using spontaneously emergent self-replicating and self-improving entities
EP0592080A2 (en) * 1992-09-24 1994-04-13 International Business Machines Corporation Method and apparatus for interprocess communication in a multicomputer system
US5421004A (en) * 1992-09-24 1995-05-30 International Business Machines Corporation Hierarchical testing environment
US5581750A (en) * 1993-03-15 1996-12-03 International Business Machines Corporation System and method for improving data recovery performance
US5550971A (en) * 1993-06-30 1996-08-27 U S West Technologies, Inc. Method and system for generating a user interface adaptable to various database management systems
US5552995A (en) * 1993-11-24 1996-09-03 The Trustees Of The Stevens Institute Of Technology Concurrent engineering design tool and method
US5548726A (en) * 1993-12-17 1996-08-20 Taligeni, Inc. System for activating new service in client server network by reconfiguring the multilayer network protocol stack dynamically within the server node

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001518724A (ja) * 1997-07-24 2001-10-16 ワールドトーク・コーポレイション 格納された鍵による暗号化/暗号解読を用いた電子メール用ファイアウォール
JP2001516093A (ja) * 1997-08-13 2001-09-25 マイクロソフト コーポレイション ネットワークの位相的データの表現及び応用方法及び装置
JP2005513587A (ja) * 2001-05-10 2005-05-12 オラクル・インターナショナル・コーポレイション マルチポリシーリソーススケジューリングのための方法およびシステム
JP4787149B2 (ja) * 2003-02-14 2011-10-05 オラクル・インターナショナル・コーポレイション 階層的な役割ベース資格のためのシステム及び方法
JP2006012033A (ja) * 2004-06-29 2006-01-12 Internatl Business Mach Corp <Ibm> 木構造データによるアクセス制御手段
JP2012108628A (ja) * 2010-11-16 2012-06-07 Yahoo Japan Corp 情報処理システム、方法及びプログラム
JP2012108629A (ja) * 2010-11-16 2012-06-07 Yahoo Japan Corp ポリシ判定装置、方法及びプログラム
JP2014519131A (ja) * 2011-06-16 2014-08-07 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. ポリシー生成システム及び方法
US10536483B2 (en) 2011-06-16 2020-01-14 Hewlett Packard Enterprise Development Lp System and method for policy generation
JP2014530427A (ja) * 2011-09-30 2014-11-17 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. コンピュータシステムにおける仮想化装置の制御
US9390294B2 (en) 2011-09-30 2016-07-12 Hewlett-Packard Development Company, L.P. Virtualized device control in computer systems
WO2024034056A1 (ja) * 2022-08-10 2024-02-15 日本電信電話株式会社 ネットワーク管理装置、ネットワーク管理方法およびプログラム

Also Published As

Publication number Publication date
EP0752652B1 (en) 1998-12-16
DE69601149D1 (de) 1999-01-28
US5797128A (en) 1998-08-18
EP0752652A2 (en) 1997-01-08
EP0752652A3 (ja) 1997-01-22
DE69601149T2 (de) 1999-08-05

Similar Documents

Publication Publication Date Title
JPH0969077A (ja) コンピュータ・システム管理に階層的ポリシーを実施するためのシステム及び方法
US7185192B1 (en) Methods and apparatus for controlling access to a resource
US8117230B2 (en) Interfaces and methods for group policy management
US6289458B1 (en) Per property access control mechanism
Lupu et al. Conflicts in policy-based distributed systems management
US5720033A (en) Security platform and method using object oriented rules for computer-based systems using UNIX-line operating systems
US6625603B1 (en) Object type specific access control
Lupu et al. Conflict analysis for management policies
US5761669A (en) Controlling access to objects on multiple operating systems
US6535879B1 (en) Access control via properties system
US6772350B1 (en) System and method for controlling access to resources in a distributed environment
US20050015674A1 (en) Method, apparatus, and program for converting, administering, and maintaining access control lists between differing filesystem types
Heydon et al. Miro: Visual specification of security
US20070039045A1 (en) Dual layered access control list
Bertino et al. A system to specify and manage multipolicy access control models
Mohamed et al. Extended authorization policy for graph-structured data
Crampton et al. A logic of access control
Wood Coordination with attributes
JPH03196364A (ja) 探索項構築の制御テーブルの導入方法
Zhang et al. Information flow analysis on Role‐based access control model
US20020019824A1 (en) Method to generically describe and manipulate arbitrary data structures
JPH05181734A (ja) データベースのアクセス権管理制御方式およびファイルシステムのアクセス権管理制御方式
Van der Hoeven et al. A flexible access control mechanism for CAD frameworks.
LeMay et al. Policymorph: interactive policy transformations for a logical attribute-based access control framework
Krueger Modeling and Simulating a Software Architecture Design Space