專利名稱:策略管理基礎(chǔ)結(jié)構(gòu)的制作方法
策略管理基礎(chǔ)結(jié)構(gòu) 魁
計算企業(yè)通常包括彼此交互的各種計算組件���。這些計算組件可包括一個或 多個網(wǎng)絡(luò)�、應(yīng)用程序����、服務(wù)和系統(tǒng)��。在計算企業(yè)中����,經(jīng)常實現(xiàn)策略來管理和控 制各單獨組件或多個組件的組���。例如���,經(jīng)常采用網(wǎng)絡(luò)安全策略來限制一個系統(tǒng) 對另一個系統(tǒng)的訪問。
在某些情況下�,策略間接管理和控制人,這至少是在這個人與各單獨計算 組件或多個計算組件的組的交互方面����。例如��,安全策略可以與特定用戶相關(guān)聯(lián) 以使得這一用戶可訪問相同的系統(tǒng)和數(shù)據(jù)而不管她用來從中獲取訪問權(quán)的系 統(tǒng)����。
除非此處的上下文另外指明,否則此處應(yīng)將"策略"理解為指對計算組件 (或多個組件的組)應(yīng)當如何或如何工作的聲明性描述���。策略并非程序性指令 列表����。此外,此處可將"策略"理解為一個或多個組件的狀態(tài)的謂詞和/或一個或 多個組件的行為的謂詞�。此外,"策略"指示由一個或多個組件執(zhí)行的動作��。一 般而言����,策略談及將要管理的東西。
基于策略的解決方案通常以管理計算企業(yè)中的復(fù)雜性�、規(guī)模和動態(tài)為中 心。然而�,常規(guī)的基于策略的方法在各種計算企業(yè)中發(fā)現(xiàn)的多種特定情形中不 夠豐富且細分。典型的情形的示例包括部署�、安全、網(wǎng)絡(luò)和存儲管理��。
不存在通用策略語言���。通常�����,每一種特定情形(例如��,數(shù)據(jù)保護或防火墻) 具有其自己的基于策略的解決方案����,該解決方案具有其自己的專用策略語言、 句法�、語義、策略創(chuàng)建用戶界面和特性����。
當今,不存在支持對在各種計算企業(yè)中發(fā)現(xiàn)的多種情形的總體管理的所有 要求的通用的基于策略的解決方案�。
鵬
此處所描述的是一種提供跨計算環(huán)境中的多種情形的通用的基于策略的 解決方案的策略管理基礎(chǔ)結(jié)構(gòu)的一個或多個實現(xiàn)。策略管理基礎(chǔ)結(jié)構(gòu)的至少一個實現(xiàn)定義如何相對于其他層中的數(shù)據(jù)來構(gòu)造基于策略的數(shù)據(jù)或?qū)ζ浞謱?����。?外���,所描述的實現(xiàn)提供一種用于確定策略中的"重疊"和"沖突"的機制。
提供本概述是為了以簡化的形式介紹將在以下詳細描述中進一步描述的 --些概念��。該概述不旨在標識所要求保護的主題的關(guān)鍵特征或必要特征����,也不 旨在用于幫助確定所要求保護的主題的范圍����。
附圖簡述
在各附圖中����,使用相同的標號來指示相同的元素和特征。
圖1是支持此處所描述的策略管理基礎(chǔ)結(jié)構(gòu)的一個或多個實現(xiàn)的示例性 情形�����。該附圖還示出了策略管理基礎(chǔ)結(jié)構(gòu)的邏輯組織�����。 ���、
圖2是此處所描述的方法實現(xiàn)的流程圖���。
詳細描述
在典型的情形中,策略是以服務(wù)(或者更嚴格而言�����,是該服務(wù)的模型)為 t〗標的����,并且對構(gòu)成該服務(wù)的各種系統(tǒng)應(yīng)用和修改該主題策略���。不管直接對目 標系統(tǒng)作出的變更或已嘗試的變更如何,對該目標系統(tǒng)應(yīng)用和修改策略以使得 該系統(tǒng)遵從該主題策略或者使得確定來自該主題策略的任何變化�。然而,對于 可應(yīng)用解決方案的各種情形存在許多不同類型的基于策略的解決方案�����。
此處描述了支持跨在各種計算企業(yè)中發(fā)現(xiàn)的多種情形的總體管理的所有 要求的通用的基于策略的解決方案的一個或多個實現(xiàn)���。此處所描述的通用的基 于策略的解決方案提供了用于定義如何相對于其他層中的數(shù)據(jù)來構(gòu)造基于策 略的數(shù)據(jù)或?qū)ζ浞謱拥牟呗怨芾砘A(chǔ)結(jié)構(gòu)����。
一般而言�����,該策略管理基礎(chǔ)結(jié)構(gòu)(即�����,體系結(jié)構(gòu))利用跨域共用和共享的 策略的各方面����。更具體而言,該基礎(chǔ)結(jié)構(gòu)利用由許多及各種策略共同引用的典 型的命名空間��。這些策略在諸如以下情形(作為示例而非限制)等不同的情形 中采用
軟件開發(fā)
打補丁
配置管理 漏洞評估
數(shù)據(jù)保護(備份)
數(shù)據(jù)保存
認證
授權(quán)
審核
信息保護(DRM)
入侵檢測
入侵防止
反惡意軟件
防火墻
網(wǎng)絡(luò)接入保護
健康監(jiān)控
服務(wù)水平監(jiān)控
負載平衡
清單
許可證管理
使用計量
越過隔離邊界的上下文共享
任務(wù)和作業(yè)執(zhí)行
災(zāi)難恢復(fù)
工作負載管理
資源管理
按需資源分配
電源和冷卻管理
變更管理和工作流
分發(fā)和發(fā)布管理
該策略管理基礎(chǔ)結(jié)構(gòu)不是通用策略語言����。相反,該基礎(chǔ)結(jié)構(gòu)合理化現(xiàn)有的 域?qū)S玫幕诓呗缘慕鉀Q方案以及與這些對應(yīng)于每一種特定情形(例如�����,數(shù)據(jù)保護或防火墻)的解決方案協(xié)作的工作����。該合理化至少部分地由該基礎(chǔ)結(jié)構(gòu)通 過利用所標識的公共命名空間并通過定義通用元策略來實現(xiàn)。
元策略控制各策略的行為���。元策略是應(yīng)如何��、何時及何處應(yīng)用和管理一個 或多個策略的聲明性描述��。簡而言之��,元策略是策略的策略����。
此處的術(shù)語系統(tǒng)是一個或多個計算組件;模型描述系統(tǒng)��,其組件以及 這些組件的關(guān)系����;策略指示該系統(tǒng)將看上去如何和如何工作;對模型并因此對 真實世界系統(tǒng)應(yīng)用策略��;元策略描述如何應(yīng)用和管理策略��。
策略管理基礎(chǔ)結(jié)構(gòu)
圖1示出了根據(jù)此處所描述的一個或多個實現(xiàn)的策略管理基礎(chǔ)結(jié)構(gòu)100 的安排��。它包括策略管理系統(tǒng)110和策略管理數(shù)據(jù)模型120��,該模型包括元策 略122的若干層及相關(guān)聯(lián)的支持公共命名空間124�����。策略管理系統(tǒng)IIO是基于 此處所描述的策略管理基礎(chǔ)結(jié)構(gòu)100來執(zhí)行用于策略管理的邏輯的一個或多個 程序模塊�����。策略管理數(shù)據(jù)模型120定義此處所描述的策略管理基礎(chǔ)結(jié)構(gòu)100中 的數(shù)據(jù)的組織和關(guān)系。
如圖所描繪的�����,策略管理系統(tǒng)110和策略管理數(shù)據(jù)模型120被存儲在計算 機132的存儲器130中和/或在其中處理�。計算機132通常包括各種處理器可讀 介質(zhì)(包括存儲器130)���。這樣的介質(zhì)可以是能由計算機132訪問的任何可用 介質(zhì)�,包括易失性和非易失性介質(zhì)以及可移動和不可移動介質(zhì)��。計算機132可 連接到--個或多個其他網(wǎng)絡(luò)計算機134�。這些網(wǎng)絡(luò)計算機可以是策略的目標節(jié) 點。
使用策略管理基礎(chǔ)結(jié)構(gòu)100,策略管理系統(tǒng)110出于若干目的來對策略進 行推斷��。例如�����,策略之間沖突是其中推斷是必要的常見情形��。例如�,如果Alice 說防火墻已啟動而超級管理員Bob說防火墻已停機并且同時對同一系統(tǒng)應(yīng)用 這些策略,則策略管理系統(tǒng)110 (使用策略管理基礎(chǔ)結(jié)構(gòu))檢測到該沖突并通 知Alice她的策略已被覆蓋����。反之�,如果Alice的策略正在實行中而Bob實行 —策略����,則應(yīng)告知Bob他對Alice做了什么。
驗證覆蓋是策略管理系統(tǒng)110推斷策略的另一良好目的���。有了該基礎(chǔ)結(jié) 構(gòu)����,可向策略管理系統(tǒng)110驗證每次對每一個資源實行的策略��。影響分析是策 略管理系統(tǒng)110推斷策略的另一良好目的���。如果一個人作出策略變更��,則該基礎(chǔ)結(jié)構(gòu)可幫助確定哪些系統(tǒng)受到影響�。例如�,如果一個人變更綁定到隔離的安 全策略,則多少用戶明天早上將無法登錄到內(nèi)部公司網(wǎng)絡(luò)�?其中有多少是副 主管?元策略層如圖所示�����,策略管理數(shù)據(jù)模型120包括例如,十個分層地排序和分層的元 策略(從底層到頂層地列出)����。層0:實現(xiàn)映射140層l:域?qū)S貌呗?41層2:管理142層3:合并和沖突解決143層4:有效時間表和條件144層5:適用性和自適應(yīng)性145層6:—致性146層7:定標和分發(fā)147i^8:發(fā)布和制定148層9:變更和批準工作流149層排序的基礎(chǔ)是一層中的元策略只可影響較低編號的層中的元策略。例如��, 旦完成定標(即����,層7)�����,就知道對一組特定計算機應(yīng)用策略�。(此處,"應(yīng) 用"指應(yīng)用一種常見定標風格�,且并非只有這一種風格才是可能的。)有了該 信息�,策略管理系統(tǒng)只在這些計算機上評估適用性元策略(即,層5)以確定 是否對這些計算機應(yīng)用策略�����,例如,因為它們安裝了特定軟件片段�����。該排序的 好處包括(但不限于)以下各項 處理效率在以上示例中�,定標減少了必需對其評估適用性的計算 機數(shù)量;定標通??苫诩惺綌?shù)據(jù)庫和目錄中的信息來髙效地確定, 而適用性通常需要訪問每一個計算機。類似地�,通常必需對每一個計 算機持續(xù)評估有效時間表和條件(即,層4)�,因為計算機是移動的并 且條件隨著計算機連接到各種網(wǎng)絡(luò)和設(shè)備并隨著時間進展而變化;通 常���,對目標計算機完成該評估�,并 只有在策略是適用的情況下試圖跟蹤每一個托管計算機上的本地時間顯然是低效的并且將限制策略 管理系統(tǒng)的可伸縮性�。
服務(wù)器側(cè)策略管理基礎(chǔ)結(jié)構(gòu)與托管系統(tǒng)上的本地處理之間的工作劃 分某些策略能夠并且已經(jīng)由中央基礎(chǔ)結(jié)構(gòu)處理,其他策略能夠并且 已經(jīng)在本地機器上處理��,并且該工作劃分要求正確地對策略進行排序���。 試圖在中央服務(wù)器系統(tǒng)中評估諸如計算機連接到什么網(wǎng)絡(luò)以及連接了 如通用串行總線(USB)棒等什么可移動設(shè)備等環(huán)境條件對于每一個 目標計算機實際上是不可能的���,因為計算機可能間歇地斷開連接���。因 此,棧中的各層應(yīng)當以應(yīng)在服務(wù)器上評估的所有策略應(yīng)當比應(yīng)在托管 系統(tǒng)上評估的策略編號更高的方式來排序����。該概念可被推廣到多層 解決方案可具有其中在層9和8中的元策略的控制下完成變更管理和 制定以及發(fā)布的中央系統(tǒng)和數(shù)據(jù)庫;向提供地理范圍復(fù)制和高可用性 特性的分發(fā)基礎(chǔ)結(jié)構(gòu)發(fā)布策略�����,并且定標(即�����,層7)由該基礎(chǔ)結(jié)構(gòu) 處理��;并且較低層元策略在每一個托管節(jié)點上處理����。同樣����,正確的排 序?qū)τ谑沟媚軌蜻@樣分配處理同時保存元策略的語義是必需的。 這些好處不僅應(yīng)用于策略的應(yīng)用�,而且應(yīng)用于諸如沖突和覆蓋等分析�。當然�,其他實現(xiàn)可使用一組不同的層,并且可不同地對其進行排序以解決不同需求����。層0:實現(xiàn)映射對于由該元策略管理的策略,該層中的每一個抽象概念都映射到實際環(huán)境 中的實現(xiàn)�����。這可通過發(fā)現(xiàn)(找出當前它是如何配置的)和同步(如何在它是不 正確的情況下將其設(shè)為正確)的規(guī)約來完成����。例如,域?qū)S貌呗?即���,層l) 可以指被稱為認證技術(shù)的抽象設(shè)置��,并且實現(xiàn)映射(即���,層0)指定該設(shè)置所 在的注冊表鍵。一個或多個實現(xiàn)可釆用聲明性發(fā)現(xiàn)和同步規(guī)約并且這些實現(xiàn)可提供能夠 處理從設(shè)置注冊標鍵到運行安裝或部署虛擬機(VM)的大多數(shù)常見類型的策 略項的多個標準引擎�。這些聲明性規(guī)約可包括例如,諸如注冊表等應(yīng)接收策略12的軟件系統(tǒng)與指示特定位置的統(tǒng)一資源標識符組合的規(guī)約。 一個或多個實現(xiàn)可支持包括腳本在內(nèi)的程序性同步和發(fā)現(xiàn)�。在許多情況下,該映射簡單地描述策略向策略消費者的交付���。將物理實現(xiàn)與域?qū)S貌呗苑珠_的一個優(yōu)點是其允許以與在特定系統(tǒng)上實現(xiàn)受影響的功能的方式分開的抽象方式來表達該域?qū)S貌呗?。這意味著策略可 以對于具有不同實現(xiàn)的新版本的系統(tǒng)來容易地調(diào)整�。例如,安全策略可包含復(fù)雜表達式�����,但當計算機系統(tǒng)以將安全相關(guān)設(shè)置定位在不同的位置����,或許在數(shù)據(jù) 庫而非注冊表中的方式來修改時,僅僅必須修改相對簡單的實現(xiàn)元策略����,而非 復(fù)雜的安全策略本身��。這還意味著具有不同專家經(jīng)驗的人可維護策略的單獨部 分��。例如�,安全專家可指定關(guān)于認證的策略,而具有對安全復(fù)雜性的極少理解 的更初級的工作人員可在版本化軟件時編輯物理實現(xiàn)元策略�����。這還意味著可簡 單地通過應(yīng)用不同的實現(xiàn)映射元策略來容易地調(diào)整域?qū)S貌呗砸员銘?yīng)用于具 有不同實現(xiàn)的不同系統(tǒng)。當然��,所有這些好處僅在不同的系統(tǒng)或不同版本的系 統(tǒng)具有一致的語義的情況下應(yīng)用��,因此能夠有意義地應(yīng)用域?qū)S貌呗浴?域?qū)S貌呗栽搶釉斒龈鞣N域?qū)S貌呗缘募毠?jié)��。該層本身并非元策略�����。它不是策略的策 略(這是元策略的定義)���;相反����,它是一個或多個實際策略���。在一個或多個實 現(xiàn)中�����,架構(gòu)化這些策略���。只要表達每一個域?qū)S貌呗缘募毠?jié)�����,表達細節(jié)的確切 方式就是實現(xiàn)細節(jié)�����。層2:管理許多策略被交付給一策略消費者并因此這些策略由該策略消費者來強制 實施因此��,策略管理基礎(chǔ)結(jié)構(gòu)的實現(xiàn)無需在將策略移交給策略消費者后管理 這些策略����。策略消費者的示例包括資源管理器(例如�,文件系統(tǒng)中的訪問控制) 或服務(wù)(例如,備份)���。但某些策略由于資源管理器不知道策略而沒有強制實施���。例如���,某些操作 系統(tǒng)(OS)無法阻止列入黑名單的軟件執(zhí)行�����,因為這些OS沒有提供這一這樣 做的機制�。即使策略在技術(shù)上是可強制實施的,但可能期望將該策略標記為不 強制實施但在監(jiān)視下的�����,因為嚴格的強制實施對于給定情形交付起來可能過于 繁:乾�。例如,當任務(wù)關(guān)鍵服務(wù)器偏離配置遵從性�����,IT職員可能優(yōu)選在還原配置之前調(diào)査變更的原因�,因為可能已經(jīng)存在該配置變更的有效但未知的原因。并 且在某些情況下���,可能期望例如在維護系統(tǒng)或為其服務(wù)時臨時禁用策略的強制 實施����。
策略管理基礎(chǔ)結(jié)構(gòu)的實現(xiàn)使用該層中的數(shù)據(jù)來顯式地管理策略��,而不是僅 僅將強制實施的責任移交給策略消費者。該元策略定義將要如何管理有效策 略�。例如,它可管理觸發(fā)策略遵從性確認�、對非遵從性的響應(yīng)(例如,糾正動 作�����、警告�����、報告)����、臨時禁用策略以便維護、調(diào)整容忍度參數(shù)的時間表或事件�����。
在策略管理基礎(chǔ)結(jié)構(gòu)中�����,該元策略層提供托管節(jié)點上的通用管理子基礎(chǔ)結(jié) 構(gòu)�。該通用管理自基礎(chǔ)結(jié)構(gòu)提供遵從性監(jiān)視、補救�����、報告和警告���。
層3:合并和沖突解決
若干策略沖突并非不常見����。有時同時對同一系統(tǒng)上的恰好同一資源實行同 --管理域的多個策略����。以下是這些沖突的示例
部門管理員想要防火墻停機,安全管理員想要該防火墻啟動 應(yīng)用程序需要防火墻停機��,安全管理員想要該防火墻啟動 兩個應(yīng)用程序具有關(guān)于OS設(shè)置的沖突的要求
安全策略想要緊急作出需要重啟的配置變更�,而服務(wù)窗口策略禁止在 工作時間重啟
該元策略定義用于合并策略和/或解決沖突的方法。 一般而言��,該方法可 被稱為"計算策略結(jié)果集(RSOP)"�����。面對視在沖突��,該元策略可為該視在沖 突定義解決方案(即,RSOP)�����。以下是可能的解決選項的某些示例
無霧會^^f裕該選項也在資源管理器具有無法用通用元策略來表達
的復(fù)雜解決算法時使用��; 當主管理員擁有一切時��,該管理員顯式地委托權(quán)限并指定
對于沖突的合并策略�����; 發(fā)t^^^ i^汰在無法跟蹤委托鏈時有用�����; 欲貧使用以最大范圍(企業(yè)策略獲勝)或最小范圍(最具體的策略 獲勝)定義的策略�;
麕^銜勞y性^e麕^^展虔y性游ir夠^r應(yīng);
14 ^覃,效范房或好/審表游交桌(例如����, 一個服務(wù)器主存各自具有服務(wù)
窗口的四個服務(wù),該服務(wù)器獲取這些服務(wù)窗口的交集)�����; ,浮不嘗試合并策略,向IT職員警告沖突�。
該元策略可解決策略中的視在沖突所涉及的其他復(fù)雜性。例如�,策略合并 的粒度可能需要解決��。沖突可通過禁用完整策略中的一個來解決����。或者�,系統(tǒng) 可在逐語句的基礎(chǔ)上選擇獲勝的策略。
層4:有效時間表和條件
不同的策略在不同的時刻實行是常見的例如�,人力資源(HR)職員可 在工作時間而不是在晚上訪問HR應(yīng)用程序。該元策略為策略定義有效時間表����。
該元策略為按照日歷表達的時間表定義公共模式。 一種有用的增強是準許例如
通過將上午9點到下午5點的工作時間時間表與工作日時間表組合并排除假日 時間表中的日子來合成多個時間表��。
許多策略包括被表達為環(huán)境狀態(tài)上的謂詞的條件例如��,HR職員可在 用強憑證(例如��,智能卡)登錄到其公司桌面時訪問HR應(yīng)用程序�����;在膝上型
w算機連接到內(nèi)部公司網(wǎng)絡(luò)時使用一個默認打印機�,但在家里連接時使用不同 的默認打印機。條件可被定義為命名空間上的邏輯表達式��,而不是使用對于這 些條件的公共模式。這些條件看上去像策略中的狀態(tài)謂詞����。當對于該元策略提 取這些條件時,可表達條件的通用單元以便跨域?qū)S貌呗哉Z言來重用����。例如, 通過在該元策略中放置"強認證的"���,可標識取決于強認證的所有域策略而不 解析域?qū)S谜Z言�。
^5:適用性和自適應(yīng)性
適用性元策略通過決定實際上對哪些目標系統(tǒng)應(yīng)用策略來細化定標�。例
如,SQL策略只應(yīng)對具有SQL的機器應(yīng)用��。這是有用的��,因為系統(tǒng)管理員可 將策略的目標確定為包含不同種類的系統(tǒng)的服務(wù)。在該情形中�,管理系統(tǒng)使用 適用性元策略來確定對該異構(gòu)結(jié)構(gòu)中的哪里應(yīng)用該策略。該元策略還使得策略 變成自適應(yīng)的�。例如,先前未實行的策略可在將通用串行總線(USB)設(shè)備插 入膝上型計算機時變?yōu)檫m用的�����。
該元策略還可支持受限形式的模型自適應(yīng)性��。在存在若干相關(guān)策略(例如����, 用于文件服務(wù)器上的數(shù)據(jù)保護的策略��、用于數(shù)據(jù)庫服務(wù)器的策略���、用于郵件服計為一致的并且旨在在
-個服務(wù)中一起應(yīng)用��,則該基礎(chǔ)結(jié)構(gòu)的實現(xiàn)可(a)為每一個策略定義適用性元 策略����,和/或(b)將這些策略一起分組到以該服務(wù)為目標的容器策略中�����。適用性 元策略集體定義策略自適應(yīng)元策略。
模型自適應(yīng)使得該模型適合真實世界����。與策略無關(guān)的是,發(fā)現(xiàn)服務(wù)找出給 定系統(tǒng)上存在什么實例并在本地模型中創(chuàng)建合適的實例和關(guān)系��。該元策略定義 策略如何適應(yīng)模型實例���。例如��,在機器上可能存在不止一個SQL實例���,并且 為每--個SQL實例實例化健康監(jiān)控策略。
層6:—致性
在 -般慣例中�,通常在沒有事務(wù)語義的情況下應(yīng)用系統(tǒng)策略,這出于若干 原因�,諸如
獲得策略的系統(tǒng)不支持事務(wù)
策略被部署到許多位置中的許多計算機系統(tǒng),并且在地理范圍進行分
布式事務(wù)被認為是極其困難的 某些計算機系統(tǒng)可能間歇地斷開連接�����,并且由于它們將阻塞策略到其
他計算機的部署而無法參與分布式事務(wù)�。
無需協(xié)調(diào)的部署,每一個計算機系統(tǒng)上的最大努力部署已足夠 但在某些情況下,策略應(yīng)用需要用事務(wù)語義來完成����,這出于若干原因,諸
如
若干策略在單個時間點有效地形成必須作為原子單元來部署的內(nèi)部一 致的集合����,因為遞增應(yīng)用將會將系統(tǒng)暫時置于不一致的狀態(tài)
若千策略形成必須所有一起應(yīng)用或者一個都不應(yīng)用的內(nèi)部一致的集 介,因為部分應(yīng)用將會將系統(tǒng)置于不--致的狀態(tài)
策略應(yīng)用必須是另一系統(tǒng)中的事務(wù)的一部分����,例如在策略指定數(shù)據(jù)庫 群集中的操作變更時,該變更可能需要與數(shù)據(jù)庫事務(wù)協(xié)調(diào)
該--致性元策略層指定策略具有什么一致性要求�����,選項如不要求一致性�、 單個計算機中的原子應(yīng)用���、以及與另一系統(tǒng)中的事務(wù)協(xié)調(diào)�、跨若干計算機的原 子應(yīng)用�。
層7:定標和分發(fā)通常選擇性地將策略的目標確定為計算機系統(tǒng),并且控制交付��。以下是兩 種常見類型的定標的示例
被認為是同構(gòu)("多合一 (many-as-one)"管理)的管理組。這些組通 ?����;谀夸浄?wù)����,但從其他源輸入的任意分組也是有用的,諸如"基 于清單"的定標�,其中管理工具取得計算機系統(tǒng)的特性或配置的清單; "枚舉定標",其中顯式地列出計算機ID的列表���;或這兩者的組合���。
由被認為是同構(gòu)的系統(tǒng)結(jié)構(gòu)組成的服務(wù)模型,并且該策略智能地應(yīng)用 于服務(wù)中的每一個系統(tǒng)�����。
定標與適用性協(xié)同工作�����。例如�,如果對總部中具有SQL的所有系統(tǒng)應(yīng)用 策略��,則可創(chuàng)建實現(xiàn)以使得使用該層來將該策略的目標確定為總部中的所有系 統(tǒng)����,并且令適用性元策略將該目標組向下過濾到SQL系統(tǒng)�����。但如果對所有生 產(chǎn)SQL系統(tǒng)應(yīng)用策略����,則適用性規(guī)則可能無法發(fā)現(xiàn)系統(tǒng)是生產(chǎn)還是測試,因 此使用定標元策略來標識生產(chǎn)系統(tǒng)的組并且該定標元策略與將該策略向下過 濾到SQL系統(tǒng)的適用性元策略組合��。
該層還包括分發(fā)策略�����,諸如"在上午6點之前將該策略分發(fā)給目標"或者"每 6小時且在網(wǎng)絡(luò)登錄時刷新該策略"�����。更復(fù)雜的分發(fā)策略可能指示"如果漫游用 /'在他正在訪問的服務(wù)器上不可用的場所需要大型軟件包�,則不通過長距離網(wǎng) 絡(luò)來傳輸該包�����,等待直到他返回他的常規(guī)位置"。然而�,該元策略無需包括詳 細的分發(fā)規(guī)則,諸如使用哪一個分發(fā)點服務(wù)器��、帶寬分配或壓縮技術(shù)���。這些是 關(guān)于分發(fā)結(jié)構(gòu)而不是包的分發(fā)細節(jié)��。該元策略聚焦于時間表�����、優(yōu)先級和預(yù)算��。
除了將策略的目標確定為計算機系統(tǒng)之外��,將許多策略的目標確定為其他 元素用戶或用戶組���、軟件應(yīng)用程序、數(shù)據(jù)庫中的數(shù)據(jù)或者文檔系統(tǒng)中的文 檔或者郵件系統(tǒng)�����。在任何時刻,這些目標系統(tǒng)存在于計算機系統(tǒng)上或以其他方 式在計算機系統(tǒng)的控制下�����;當目標系統(tǒng)不在計算機系統(tǒng)的控制下時���,它們不被 某于計箅機的策略覆蓋并且在本發(fā)明的范圍之外�。但優(yōu)選直接將策略的目標確 定為預(yù)期對象而不是顯式地確定為計算機系統(tǒng)���,這出于兩個原因
管理員可直接表達用戶�、應(yīng)用程序或文檔方面的意圖����,并且令策略管理系 統(tǒng)關(guān)注將策略發(fā)送到一個或多個正確的計算機系統(tǒng)的機械方面;這簡化了管理 并允許以有意義的方式表達報告和分析�。如用戶、軟件應(yīng)用程序�����、數(shù)據(jù)和文檔等對象通常是移動的�����,在計算機系統(tǒng) 的網(wǎng)絡(luò)上移動且與這些計算機系統(tǒng)的關(guān)系是臨時且含糊的�。按照預(yù)期對象來表 達策略定標允許策略管理系統(tǒng)動態(tài)處理策略在正確的計算機系統(tǒng)上的應(yīng)用和 移除。
層8:發(fā)布和制定
該層是指定在給定時間/日期(例如��,在4月4日上午6點)應(yīng)用策略的 地方并且可能提供期滿日期����。盡管類似于有效時間表,但發(fā)布和制定時間表達 到不同的目的���。該層聚焦于從中央管理中驅(qū)動的發(fā)布管理��,而有效時間表由策 略引擎來本地地解釋并且可無限地保持有效�。發(fā)布管理提供豐富的管理功能���, 包括版本管理�、審核日志��、回退以及復(fù)雜的發(fā)布策略��。例如���,如果應(yīng)用新策略 需要重啟并因此服務(wù)中斷�����,則該元策略可指定維護窗口�����。用于打補丁的常見發(fā) 布策略是例如����,"在2月20日到2月25日之間的任何時間應(yīng)用變更,但向用 戶耍求許可���;如果該變更在2月25日午夜尚未作出��,則在之后的第一個機會 強制實施該變更"�。
層3-8構(gòu)成總策略管理基礎(chǔ)結(jié)構(gòu)的至少一個實現(xiàn)的策略交付子基礎(chǔ)結(jié)構(gòu)�。 這包括調(diào)度和定標以及大型凈荷的高效且有效的傳輸。該分布式服務(wù)具有在結(jié) 構(gòu)中和托管節(jié)點上的組件�。在托管節(jié)點上,該子基礎(chǔ)結(jié)構(gòu)處理適用性和自適應(yīng) 以及策略合并(RSOP)�。交付服務(wù)將策略存儲在托管節(jié)點上,并且將該策略以 策略消費想要的任何形式移交給該消費者��。在一個或多個實現(xiàn)中,該交付服務(wù) 將處理在策略到達�����、通知對應(yīng)用程序的變更��、重啟和其他異常情形時不運行的 服務(wù)����。
層9:變更和批準工作流
該元策略定義用于定義�����、審閱�、批準和部署策略變更的工作流。例如��,該 元策略基于范圍��、目標�,影響、問題域來標識例如誰能夠批準策略變更����。該元 策略還可標識例如在主批準者不可用的情況下還有誰可批準。該元策略還可標 識例如需要什么類型的影響和沖突分析。
在該策略管理基礎(chǔ)結(jié)構(gòu)中���,該元策略層管理策略的生存周期��。該層處的管 理依賴于配置管理數(shù)據(jù)庫(CMDB)以及涉及人類的工作流�。CMDB是包含關(guān) 于系統(tǒng)或企業(yè)中的計算組件和這些組件之間的關(guān)系的所有相關(guān)信息的數(shù)據(jù)庫��。其他層排序
該策略管理基礎(chǔ)結(jié)構(gòu)中的元策略的數(shù)據(jù)層排序提供了在定義各種元策略 (尤其是在沖突解決的情況下)的關(guān)系方面的有價值的優(yōu)點��。然而����,以上所呈 現(xiàn)的只是該策略管理基礎(chǔ)結(jié)構(gòu)的一個實現(xiàn)的排序。取決于給定情況���,可能需要 元策略的其他排序��。
例如�,許多策略引擎完全能夠處理有效時間表和條件以及合并和沖突解決 元策略�����。這能夠證明重排這些層是正確的���。然而��,仍然可能期望將這些功能作 為通川基礎(chǔ)結(jié)構(gòu)的一部分來包括�。通過在該基礎(chǔ)結(jié)構(gòu)中實現(xiàn)該邏輯,可將邏輯 添加到缺乏該能力的策略消費者���。例如,注冊表和防火墻可能不理解有效時間 表��。策略基礎(chǔ)結(jié)構(gòu)能夠?qū)τ诠ぷ骱头枪ぷ鲿r間應(yīng)用不同的防火墻策略�。
但對于不支持該策略基礎(chǔ)結(jié)構(gòu)的策略引擎而言,可能期望具有不同的層
排列��,其中將層3和4移至管理層(即�,層2)之下并移至"策略消費者"分類 中。在實踐中�����,這可通過使得時間表和合并元策略僅向下通過所有策略來實現(xiàn)����。 支持公共命名空間
如圖所示,策略管理數(shù)據(jù)模型100還包括相關(guān)聯(lián)的支持公共命名空間120��。 這些命名空間的示例包括由資源管理器使用的時間表、目錄服務(wù)���、系統(tǒng)定義模 型(SDM)和命名空間����。如此處所使用的���,公共命名空間提供由許多(或所有) 策略并因此所有元策略共享的公共上下文�。
時間表
時間表出于許多目的而在策略系統(tǒng)中(以及在別處)使用�。對于時間表, 該策略管理基礎(chǔ)結(jié)構(gòu)定義公共模式�����、公共服務(wù)以及模式的公共存儲�。以下是這 些定義的示例
,效好/眾表允許策略指示例如,"Bob可在工作時間期間訪問這些文 件"或者"該機器可在星期六的上午3點到4點切斷服務(wù)"或者"在 主要交易時間期間該服務(wù)對于95%的請求應(yīng)在3秒內(nèi)響應(yīng)"�。
發(fā)"^浙勞y定/^/眾:^指示例如,"該策略在5月1日實行"�。
爻/^好/眾^f旨示例如,"該策略應(yīng)在5月1日上午8點之前交付�����,應(yīng)提 供給用戶以便批準并且應(yīng)在5月5日下午8點前強制安裝"。
^V^^/眾^ 旨示例如�����,"在網(wǎng)絡(luò)登錄時���、在USB設(shè)備插入后或在每天 上午3點確認與該策略的遵從性"��。
/^/矽虔^^/^^定義時間段���,尤其是時間線上的布爾函數(shù)����,諸如"除假日 之外的每一星期一到星期五的9點到5點"或者"季度的最后一個工作 H"。時間表服務(wù)所提供的基本功能是"該時間表中包括該時間點嗎����?" 時間表能夠以不同的方式合成并、交等���。即使時間表基于時間段��, 服務(wù)也可在該時間表周圍激發(fā)通知事件�。
事Wv^/坊4^定義事件模式,諸如"每天上午3點"����、"在網(wǎng)絡(luò)登錄時"、"在 USB設(shè)備插入后"或者"在3次失敗的登錄嘗試后"���。事件時間表只可作 為并集來組合����,但事件時間表能夠與時間段時間表相交���?���?赡艽嬖诎?括抖動(jitter)的某些高級函數(shù)"具有RAND (15分鐘)的延遲的 上午9點"���。
以上列表中的后兩個時間表(時間段和事件時間表)具有非常不同的模式 和語義����。有了該策略管理基礎(chǔ)結(jié)構(gòu)�����,該模式允許通過引用來合成。 目錄服務(wù)
許多策略函數(shù)引用用戶�����、計算機系統(tǒng)�����、組織單元以及通常在目錄服務(wù)中維 護的其他實體的身份�。目錄服務(wù)提供命名結(jié)構(gòu)和提供特定導(dǎo)航和査詢功能的應(yīng) 用程序編程接口,并且這些功能可基于行業(yè)范圍標準或可以是專用的��。策略和 元策略可引用該目錄中的實體����,并且策略管理基礎(chǔ)結(jié)構(gòu)在需要引用時解析引 用�。例如,如果將策略的目標確定為諸如OU等標準目錄結(jié)構(gòu)中的管理組�����,則 該目錄可提供該OU中所包括的系統(tǒng)的列表并由此使得策略基礎(chǔ)結(jié)構(gòu)能夠推斷 山管理組定標暗示的系統(tǒng)定標���。
系統(tǒng)定義模型
托管系統(tǒng)由系統(tǒng)定義模型(SDM)中所定義的模型來描述�����。該模型描述 系統(tǒng)的組件及其關(guān)系��,包括通用類型和實際實例兩者�。通常,存在模型的兩種 特色當前狀態(tài)("是怎樣")以及所需狀態(tài)("應(yīng)怎樣")���。在其他模型中���,存 在其他特色,包括歷史��、預(yù)測負載和狀態(tài)����、所提議的和如果-怎么辦版本。該 模型可包括用于訪問控制的角色定義�。模型還包括資源;資源的命名模式(諸 如氣tmp)被表達為由每一個資源管理器來定義��。
20資源管理器
資源管理器是管理通常是策略的主題的資源的服務(wù)����。每一個資源管理器都 具有其自己的特性和命名空間����。策略可引用資源��。例如�����,文件系統(tǒng)是管理文件 的資源管理器����,并且這些文件通過包括分層目錄結(jié)構(gòu)、文件名和指定類型的擴 展名的命名模式來標識�;每一個文件都具有諸如大小和上次修改日期等附加屬 性。諸如微軟的SQL服務(wù)器等關(guān)系型數(shù)據(jù)庫也是管理表��、索引�����、過程和其他 資源的資源管理器��,并且這些資源用不同的命名結(jié)構(gòu)來標識并具有不同特性�����。 該資源符理器的命名結(jié)構(gòu)對于策略和元策略的規(guī)約是重要的����。例如,引用常規(guī) 文件系統(tǒng)中的文件的策略或元策略可使用表達式"*.doc"來指示W(wǎng)ord文檔類 型的所有文件���,但這- -表達式對于SQL服務(wù)器資源管理器將不會有效�����。
力法實現(xiàn)
圖2示出了策略管理基礎(chǔ)結(jié)構(gòu)100的上下文中的策略管理方法200���。該方 法200由圖l所描繪的各種組件中的一個或多個來執(zhí)行。此外����,該方法200可 以用軟件、硬件�、固件或其組合來執(zhí)行。
在圖2的框202�����,策略管理系統(tǒng)110生成多個元策略,其中元策略控制策 略對-個或多個目標計算節(jié)點的應(yīng)用�。當生成元策略時,該系統(tǒng)分層組織這些 元策略��。在至少一個實現(xiàn)中���,元策略層以如圖l所示且在上文中描述的策略管 理基礎(chǔ)結(jié)構(gòu)IOO所示的方式組織����。
在圖2的框204�,策略管理系統(tǒng)110在分層的多個元策略的上下文中分析 多個實際策略的數(shù)據(jù)。在這樣做時���,系統(tǒng)確定與策略的"重疊"和"沖突"的存在 和位置�。"重疊"在同一策略域中的兩個或更多策略指向同一對象并且在相同條 件下在同-計算機系統(tǒng)上同時實行時發(fā)生���。例如���,如果一個策略的目標被確定 為公司域中的所有計算機系統(tǒng)并且在工作時間期間實行,而另一策略的目標被 確定為相同的計算機系統(tǒng)并且始終實行�,則這兩個策略重疊。相反�����,如果一個 策略在工作時間期間實行而另一個策略在非工作時間期間實行�,則它們不重 疊。
系統(tǒng)無需為了定位重疊而去了解策略的域?qū)S眉毠?jié)�,該細節(jié)完全通過分析 元策略和資源管理器命名空間來確定。"沖突"在兩個策略重疊并且作出沖突的 陳述時發(fā)生����。例如,如果一個策略指示防火墻應(yīng)在工作時間期間停機���,而另一
21個策略指示該防火墻應(yīng)當始終啟動���,則這兩個策略沖突。相反����,如果一個策略 指示防火墻應(yīng)在工作時間期間啟動而另一個策略指示該防火墻應(yīng)始終啟動,則 這兩個策略不沖突�,即使它們的確重疊。
系統(tǒng)無需為了定位沖突而去了解域?qū)S眉毠?jié)����,因為沖突由策略的含義來確 定����。例如�,很容易確定防火墻啟動和防火墻停機是沖突的,因為防火墻設(shè)置是
具有兩個互斥值的布爾值�����,但如果一個策略指示Bob具有對一文件的讀訪問權(quán) 而另一重疊策略指示Bob對一文件具有完全訪問權(quán)����,則這些策略不沖突,因為 "完全"訪問權(quán)包括"讀"訪問權(quán)�����,并且這只可由理解文件系統(tǒng)訪問語義的系統(tǒng)來 確定�����,該分析是訪問控制策略域?qū)S玫?����。鑒于此�,沖突分析和檢測可通過只觀 察域不可知元策略的通用重疊檢測系統(tǒng)來實現(xiàn)��,并且在已經(jīng)標識重疊后���,域?qū)?用沖突分析系統(tǒng)可確定重疊的策略事實上是否的確沖突���。
還可分析策略和元策略來尋找覆蓋完整性����。例如��,如果一個策略在工作時 問期間實行而另一個策略在非工作時間期間實行��,則這兩個策略在其間提供完 全覆蓋�。相反,如果對匹配命名模式'�����,doc"的所有文件應(yīng)用一個策略而對匹配 命名模式"-.xls"的所有文件應(yīng)用另一個策略�����,則這兩個策略未提供對文件系統(tǒng) 的完整覆蓋�����,因為存在不匹配這兩個命名模式中的任一個的文件。覆蓋檢測與 重疊檢測的相似之處在于其無需理解域?qū)S貌呗约毠?jié)����,這只通過分析元策略和 資源管理器命名空間來完成。
在圖2的框206�,系統(tǒng)對實際策略應(yīng)用多個元策略。在這樣做時��,系統(tǒng)在 確定存在沖突和/或重疊時促進策略結(jié)果集(RSOP)的計算�����。系統(tǒng)利用策略管 理基礎(chǔ)結(jié)構(gòu)100 (如圖1所示且如上所述)的各定序且排序?qū)又械臄?shù)據(jù)的分層 來確定策略的效果���。
由系統(tǒng)執(zhí)行的RSOP計算促進實際上可包括RSOP計算本身�����,或另選地���, 系統(tǒng)可將定標的策略發(fā)送給策略消費者以供該策略消費者進行結(jié)果RSOP計 算。
在圖2的框208�����,策略管理系統(tǒng)110將結(jié)果策略分發(fā)給策略消費者,該策 略消費者被配置成對--個或多個目標計算節(jié)點應(yīng)用經(jīng)處理的策略中的至少一 個�。該策略消費者可將經(jīng)處理的策略映射到該策略消費者的域?qū)S眉毠?jié)。編后記
此處所描述的技術(shù)可以按許多方式實現(xiàn)����,包括(但不限于)程序模塊���、通 用和專用計算系統(tǒng)�、網(wǎng)絡(luò)服務(wù)器和設(shè)備���、專用電子產(chǎn)品和硬件����、固件��、作為一 個或多個計算機網(wǎng)絡(luò)的一部分或其組合����。此外,其他實現(xiàn)可釆用適用的公知計 算系統(tǒng)�����、環(huán)境和/或配置,諸如(作為示例而非限制)個人計算機(PC)����、 服務(wù)器計算機、手持式或膝上型設(shè)備��、多處理器系統(tǒng)����、基于微處理器的系統(tǒng)、 可編程消費電子產(chǎn)品��、無線電話和設(shè)備�、通用和專用電器、專用集成電路 (ASIC)���、網(wǎng)絡(luò)PC���、瘦客戶機、胖客戶機�、機頂盒、小型計算機、大型計算機�、
包括上述系統(tǒng)或設(shè)備中的任一個的分布式計算環(huán)境、以及類似系統(tǒng)或設(shè)備的任 意組合����。
雖然已經(jīng)用對結(jié)構(gòu)特征和/或方法步驟專用的語言描述了一個或多個上述 實現(xiàn),但可以理解�����,其他實現(xiàn)可以在沒有此處所描述的具體示例性特征或步驟 的情況下實踐���。相反,各具體示例性特征和步驟是作為一個或多個實現(xiàn)的較 佳形式來公開的�����。在某些情況下�����,可能已經(jīng)省略或簡化公知特征以闡明對 各示例性實現(xiàn)的描述���。此外����,為了易于理解,將某些方法步驟描繪為單獨
的步驟�;然而,這些單獨描繪的步驟不應(yīng)被解釋為必須依賴于其執(zhí)行順序�����。
權(quán)利要求
1.一種計算機實現(xiàn)的策略管理方法(200)����,包括生成多個元策略(140-149)(202),其中元策略控制策略對一個或多個目標計算節(jié)點的應(yīng)用����;在所述多個元策略(140-149)的上下文中分析對于所述一個或多個目標計算節(jié)點的主題策略(204);基于所述分析動作(204)��,確定所述多個元策略(140-149)中的重疊和所述主題策略中的沖突的存在(206)��;基于所述確定動作(206)���,促進策略結(jié)果集(RSOP)的計算(206)����;向策略消費者分發(fā)對于所述一個或多個目標計算節(jié)點的RSOP(208)。
2. 如權(quán)利要求1所述的方法(200)�����,其特征在于����,所述生成動作(202) 包括產(chǎn)生表示所述多個元策略(140-149)的多層數(shù)據(jù)模型(122)。
3. 如權(quán)利要求1所述的方法(200)�����,其特征在于��,促進動作(206)包括 將主題策略傳送給策略消費者���,由此使得所述策略消費者能夠至少部分地計算 所述RSOP。
4. 如權(quán)利要求1所述的方法(200),其特征在于�,所述多個元策略 (140-149)和所述主題策略利用用于調(diào)度、目錄服務(wù)�、系統(tǒng)定義模型或其組合的公共命名空間(124)。
5. —種計算機實現(xiàn)的策略管理方法(200)���,包括 生成多個元策略(140-149) (202)�,其中元策略控制策略對一個或多個目標計算節(jié)點的應(yīng)用,所述生成動作(202)包括產(chǎn)生表示所述多個元策略 (140-149)的多層數(shù)據(jù)模型(122),所述數(shù)據(jù)模型具有多個經(jīng)排序的數(shù)據(jù)層;在所述多個元策略(140-149)的上下文中分析對于所述一個或多個目標 計算節(jié)點的主題策略(204);基于所述分析動作(204)���,確定所述多個元策略(140-149)中的重疊和所述主題策略中的沖突的存在(206);基于所述確定動作(206)����,促進策略結(jié)果集(RSOP)的計算�; 向策略消費者分發(fā)對于所述--個或多個目標計算節(jié)點的RSOP。
6. 如權(quán)利要求5所述的方法(200)�,其特征在于,促進動作(206)包括 將主題策略傳送給策略消費者�,由此使得所述策略消費者能夠至少部分地計算 所述RSOP。
7. 如權(quán)利要求5所述的方法(200)�,其特征在于,所述多個元策略 (140.-149)和所述主題策略利用由一個或多個資源管理器使用的公共命名空間(124)�����。
8. 如權(quán)利要求5所述的方法(200)�,其特征在于,所述多個元策略 (140-149)和所述主題策略利用由一個或多個資源管理器使用的公共命名空間(124)�,所述方法(200)還包括提供用于分析公共命名空間(204)以尋 找重疊和覆蓋的安裝服務(wù)。
9. 如權(quán)利要求5所述的方法(200)���,其特征在于�,所述多個元策略 (140-149)和所述主題策略利用由一個或多個資源管理器使用的公共命名空間(124),所述方法(200)還包括提供用于分析域?qū)S貌呗?204)以尋找 沖突的安裝服務(wù)��。
10. 如權(quán)利要求5所述的方法(200)��,其特征在于����,所述數(shù)據(jù)模型具 有以下多個數(shù)據(jù)層中的至少兩個 被配置成存儲關(guān)于策略管理的數(shù)據(jù)的策略管理元策略層; 被配置成存儲關(guān)于策略合并和沖突解決的數(shù)據(jù)的合并和沖突解決元 策略層�; 被配置成存儲定義策略的有效時間表和條件的數(shù)據(jù)的有效時間表和 條件元策略層 被配置成存儲關(guān)于策略的適用性和自適應(yīng)的數(shù)據(jù)的適用性和自適應(yīng) 元策略層; 被配置成存儲關(guān)于策略的一致性的數(shù)據(jù)的一致性元策略層�; 被配置成存儲關(guān)于定標和分發(fā)策略的數(shù)據(jù)的定標和分發(fā)元策略層; 被配置成存儲關(guān)于策略的交付的數(shù)據(jù)的發(fā)布和制定元策略層����; 被配置成存儲關(guān)于策略的生存周期的數(shù)據(jù)的變更和批準工作流元策 略層。
11. 一種或多種具有處理器可執(zhí)行指令的處理器可讀介質(zhì)��,所述指令在 由處理器執(zhí)行時執(zhí)行一種方法�����,包括生成多個元策略��,其中元策略控制策略對一個或多個目標計算節(jié)點的應(yīng) 用�����,所述生成包括產(chǎn)生表示所述多個元策略的數(shù)據(jù)模型���,所述數(shù)據(jù)模型具有以 下多個數(shù)據(jù)層中的至少三個 被配置成存儲關(guān)于策略管理的數(shù)據(jù)的策略管理元策略層����; 被配置成存儲關(guān)于策略合并和沖突解決的數(shù)據(jù)的合并和沖突解決元 策略層 被配置成存儲定義策略的有效時間表和條件的數(shù)據(jù)的有效時間表和 條件元策略層��; 被配置成存儲關(guān)于策略的適用性和自適應(yīng)的數(shù)據(jù)的適用性和自適應(yīng) 元策略層����; 被配置成存儲關(guān)于策略的一致性的數(shù)據(jù)的一致性元策略層; 被配置成存儲關(guān)于定標和分發(fā)策略的數(shù)據(jù)的定標和分發(fā)元策略層�; 被配置成存儲關(guān)于策略的交付的數(shù)據(jù)的發(fā)布和制定元策略層; 被配置成存儲關(guān)于策略的生存周期的數(shù)據(jù)的變更和批準工作流元策 略層�����;在所述多個元策略的上下文中分析對于所述一個或多個目標計算節(jié)點的 主題策略���;基于所述分析動作�,確定所述多個元策略中的重疊和所述主題策略中的沖 突的存在��;基亍所述確定動作,促進策略結(jié)果集(RSOP)的計算�����。
12. —種計算機實現(xiàn)的策略管理方法����,包括生成多個元策略,其中元策略控制策略對一個或多個目標計算節(jié)點的應(yīng)用���,所述生成動作包括產(chǎn)生表示所述多個元策略的多層數(shù)據(jù)模型(122)��,所 述數(shù)據(jù)模型具有多個經(jīng)排序的數(shù)據(jù)層�����;在所述多個元策略的上下文中分析對于所述一個或多個目標計算節(jié)點的 主題策略�;基于所述分析動作�,確定所述多個元策略中的重疊和所述主題策略中的沖 突的存在基于所述確定動作,促進策略結(jié)果集(RSOP)的計算 向策略消費者分發(fā)對于所述一個或多個目標計算節(jié)點的RSOP�。
13. 如權(quán)利要求12所述的方法,其特征在于�����,促進動作包括至少部分 地計算所述RSOP�����。
14. 如權(quán)利要求12所述的方法���,其特征在于����,促進動作包括將主題策 略傳送給策略消費者��,由此使得所述策略消費者能夠至少部分地計算所述 RSOP�。
15. 如權(quán)利要求12所述的方法,其特征在于����,所述多個元策略和所述 主題策略利用由 一個或多個資源管理器使用的公共命名空間。
16. 如權(quán)利要求12所述的方法����,其特征在于,所述多個元策略和所述 主題策略利用用于調(diào)度�����、目錄服務(wù)、系統(tǒng)定義模型或其組合的公共命名空間�。
17. 如權(quán)利要求12所述的方法,其特征在于�,所述多個元策略和所述 主題策略利用由一個或多個資源管理器使用的公共命名空間,所述方法還包括 提供用于分析公共命名空間以尋找重疊和覆蓋的安裝服務(wù)�����。
18. 如權(quán)利要求12所述的方法���,其特征在于�,所述多個元策略和所述 主題策略利用由一個或多個資源管理器使用的公共命名空間�����,所述方法還包括 提供用于分析域?qū)S貌呗砸詫ふ覜_突的安裝服務(wù)�����。
19. 如權(quán)利要求12所述的方法���,其特征在于����,所述數(shù)據(jù)模型具有所述 多個經(jīng)排序的數(shù)據(jù)層中的包括管理層以及合并和沖突層的至少兩個數(shù)據(jù)層。
20. 如權(quán)利要求12所述的方法����,其特征在于���,所述數(shù)據(jù)模型具有以下 多個數(shù)據(jù)層中的至少兩個 被配置成存儲關(guān)于策略管理的數(shù)據(jù)的策略管理元策略層�����; 被配置成存儲關(guān)于策略合并和沖突解決的數(shù)據(jù)的合并和沖突解決元 策略層�; 被配置成存儲定義策略的有效時間表和條件的數(shù)據(jù)的有效時間表和 條件元策略層���; 被配置成存儲關(guān)于策略的適用性和自適應(yīng)的數(shù)據(jù)的適用性和自適應(yīng) 元策略層 被配置成存儲關(guān)于策略的一致性的數(shù)據(jù)的一致性元策略層����; 被配置成存儲關(guān)于定標和分發(fā)策略的數(shù)據(jù)的定標和分發(fā)元策略層 被配置成存儲關(guān)于策略的交付的數(shù)據(jù)的發(fā)布和制定元策略層�; 被配置成存儲關(guān)于策略的生存周期的數(shù)據(jù)的變更和批準工作流元策 略層。
全文摘要
此處所描述的是一種提供跨計算環(huán)境中的多種情形的通用的基于策略的解決方案的策略管理基礎(chǔ)結(jié)構(gòu)的一個或多個實現(xiàn)��。策略管理基礎(chǔ)結(jié)構(gòu)的至少一個實現(xiàn)定義如何相對于其他層中的數(shù)據(jù)來構(gòu)造基于策略的數(shù)據(jù)或?qū)ζ浞謱?���。此外���,所描述的實現(xiàn)提供一種用于確定策略中的“重疊”和“沖突”的機制。
文檔編號G06Q10/00GK101657831SQ200880011871
公開日2010年2月24日 申請日期2008年3月20日 優(yōu)先權(quán)日2007年4月16日
發(fā)明者A·B·溫貝格, M·N·穆罕默德, S·P·布恩斯 申請人:微軟公司