专利名称:策略管理基础结构的制作方法
策略管理基础结构 魁
计算企业通常包括彼此交互的各种计算组件。这些计算组件可包括一个或 多个网络、应用程序、服务和系统。在计算企业中,经常实现策略来管理和控 制各单独组件或多个组件的组。例如,经常采用网络安全策略来限制一个系统 对另一个系统的访问。
在某些情况下,策略间接管理和控制人,这至少是在这个人与各单独计算 组件或多个计算组件的组的交互方面。例如,安全策略可以与特定用户相关联 以使得这一用户可访问相同的系统和数据而不管她用来从中获取访问权的系 统。
除非此处的上下文另外指明,否则此处应将"策略"理解为指对计算组件 (或多个组件的组)应当如何或如何工作的声明性描述。策略并非程序性指令 列表。此外,此处可将"策略"理解为一个或多个组件的状态的谓词和/或一个或 多个组件的行为的谓词。此外,"策略"指示由一个或多个组件执行的动作。一 般而言,策略谈及将要管理的东西。
基于策略的解决方案通常以管理计算企业中的复杂性、规模和动态为中 心。然而,常规的基于策略的方法在各种计算企业中发现的多种特定情形中不 够丰富且细分。典型的情形的示例包括部署、安全、网络和存储管理。
不存在通用策略语言。通常,每一种特定情形(例如,数据保护或防火墙) 具有其自己的基于策略的解决方案,该解决方案具有其自己的专用策略语言、 句法、语义、策略创建用户界面和特性。
当今,不存在支持对在各种计算企业中发现的多种情形的总体管理的所有 要求的通用的基于策略的解决方案。
鹏
此处所描述的是一种提供跨计算环境中的多种情形的通用的基于策略的 解决方案的策略管理基础结构的一个或多个实现。策略管理基础结构的至少一个实现定义如何相对于其他层中的数据来构造基于策略的数据或对其分层。此 外,所描述的实现提供一种用于确定策略中的"重叠"和"冲突"的机制。
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的 --些概念。该概述不旨在标识所要求保护的主题的关键特征或必要特征,也不 旨在用于帮助确定所要求保护的主题的范围。
附图简述
在各附图中,使用相同的标号来指示相同的元素和特征。
图1是支持此处所描述的策略管理基础结构的一个或多个实现的示例性 情形。该附图还示出了策略管理基础结构的逻辑组织。 、
图2是此处所描述的方法实现的流程图。
详细描述
在典型的情形中,策略是以服务(或者更严格而言,是该服务的模型)为 t〗标的,并且对构成该服务的各种系统应用和修改该主题策略。不管直接对目 标系统作出的变更或已尝试的变更如何,对该目标系统应用和修改策略以使得 该系统遵从该主题策略或者使得确定来自该主题策略的任何变化。然而,对于 可应用解决方案的各种情形存在许多不同类型的基于策略的解决方案。
此处描述了支持跨在各种计算企业中发现的多种情形的总体管理的所有 要求的通用的基于策略的解决方案的一个或多个实现。此处所描述的通用的基 于策略的解决方案提供了用于定义如何相对于其他层中的数据来构造基于策 略的数据或对其分层的策略管理基础结构。
一般而言,该策略管理基础结构(即,体系结构)利用跨域共用和共享的 策略的各方面。更具体而言,该基础结构利用由许多及各种策略共同引用的典 型的命名空间。这些策略在诸如以下情形(作为示例而非限制)等不同的情形 中采用
软件开发
打补丁
配置管理 漏洞评估
数据保护(备份)
数据保存
认证
授权
审核
信息保护(DRM)
入侵检测
入侵防止
反恶意软件
防火墙
网络接入保护
健康监控
服务水平监控
负载平衡
清单
许可证管理
使用计量
越过隔离边界的上下文共享
任务和作业执行
灾难恢复
工作负载管理
资源管理
按需资源分配
电源和冷却管理
变更管理和工作流
分发和发布管理
该策略管理基础结构不是通用策略语言。相反,该基础结构合理化现有的 域专用的基于策略的解决方案以及与这些对应于每一种特定情形(例如,数据保护或防火墙)的解决方案协作的工作。该合理化至少部分地由该基础结构通 过利用所标识的公共命名空间并通过定义通用元策略来实现。
元策略控制各策略的行为。元策略是应如何、何时及何处应用和管理一个 或多个策略的声明性描述。简而言之,元策略是策略的策略。
此处的术语系统是一个或多个计算组件;模型描述系统,其组件以及 这些组件的关系;策略指示该系统将看上去如何和如何工作;对模型并因此对 真实世界系统应用策略;元策略描述如何应用和管理策略。
策略管理基础结构
图1示出了根据此处所描述的一个或多个实现的策略管理基础结构100 的安排。它包括策略管理系统110和策略管理数据模型120,该模型包括元策 略122的若干层及相关联的支持公共命名空间124。策略管理系统IIO是基于 此处所描述的策略管理基础结构100来执行用于策略管理的逻辑的一个或多个 程序模块。策略管理数据模型120定义此处所描述的策略管理基础结构100中 的数据的组织和关系。
如图所描绘的,策略管理系统110和策略管理数据模型120被存储在计算 机132的存储器130中和/或在其中处理。计算机132通常包括各种处理器可读 介质(包括存储器130)。这样的介质可以是能由计算机132访问的任何可用 介质,包括易失性和非易失性介质以及可移动和不可移动介质。计算机132可 连接到--个或多个其他网络计算机134。这些网络计算机可以是策略的目标节 点。
使用策略管理基础结构100,策略管理系统110出于若干目的来对策略进 行推断。例如,策略之间冲突是其中推断是必要的常见情形。例如,如果Alice 说防火墙已启动而超级管理员Bob说防火墙已停机并且同时对同一系统应用 这些策略,则策略管理系统110 (使用策略管理基础结构)检测到该冲突并通 知Alice她的策略已被覆盖。反之,如果Alice的策略正在实行中而Bob实行 —策略,则应告知Bob他对Alice做了什么。
验证覆盖是策略管理系统110推断策略的另一良好目的。有了该基础结 构,可向策略管理系统110验证每次对每一个资源实行的策略。影响分析是策 略管理系统110推断策略的另一良好目的。如果一个人作出策略变更,则该基础结构可帮助确定哪些系统受到影响。例如,如果一个人变更绑定到隔离的安 全策略,则多少用户明天早上将无法登录到内部公司网络?其中有多少是副 主管?元策略层如图所示,策略管理数据模型120包括例如,十个分层地排序和分层的元 策略(从底层到顶层地列出)。层0:实现映射140层l:域专用策略141层2:管理142层3:合并和冲突解决143层4:有效时间表和条件144层5:适用性和自适应性145层6:—致性146层7:定标和分发147i^8:发布和制定148层9:变更和批准工作流149层排序的基础是一层中的元策略只可影响较低编号的层中的元策略。例如, 旦完成定标(即,层7),就知道对一组特定计算机应用策略。(此处,"应 用"指应用一种常见定标风格,且并非只有这一种风格才是可能的。)有了该 信息,策略管理系统只在这些计算机上评估适用性元策略(即,层5)以确定 是否对这些计算机应用策略,例如,因为它们安装了特定软件片段。该排序的 好处包括(但不限于)以下各项 处理效率在以上示例中,定标减少了必需对其评估适用性的计算 机数量;定标通常可基于集中式数据库和目录中的信息来髙效地确定, 而适用性通常需要访问每一个计算机。类似地,通常必需对每一个计 算机持续评估有效时间表和条件(即,层4),因为计算机是移动的并 且条件随着计算机连接到各种网络和设备并随着时间进展而变化;通 常,对目标计算机完成该评估,并 只有在策略是适用的情况下试图跟踪每一个托管计算机上的本地时间显然是低效的并且将限制策略 管理系统的可伸縮性。
服务器侧策略管理基础结构与托管系统上的本地处理之间的工作划 分某些策略能够并且已经由中央基础结构处理,其他策略能够并且 已经在本地机器上处理,并且该工作划分要求正确地对策略进行排序。 试图在中央服务器系统中评估诸如计算机连接到什么网络以及连接了 如通用串行总线(USB)棒等什么可移动设备等环境条件对于每一个 目标计算机实际上是不可能的,因为计算机可能间歇地断开连接。因 此,栈中的各层应当以应在服务器上评估的所有策略应当比应在托管 系统上评估的策略编号更高的方式来排序。该概念可被推广到多层 解决方案可具有其中在层9和8中的元策略的控制下完成变更管理和 制定以及发布的中央系统和数据库;向提供地理范围复制和高可用性 特性的分发基础结构发布策略,并且定标(即,层7)由该基础结构 处理;并且较低层元策略在每一个托管节点上处理。同样,正确的排 序对于使得能够这样分配处理同时保存元策略的语义是必需的。 这些好处不仅应用于策略的应用,而且应用于诸如冲突和覆盖等分析。当然,其他实现可使用一组不同的层,并且可不同地对其进行排序以解决不同需求。层0:实现映射对于由该元策略管理的策略,该层中的每一个抽象概念都映射到实际环境 中的实现。这可通过发现(找出当前它是如何配置的)和同步(如何在它是不 正确的情况下将其设为正确)的规约来完成。例如,域专用策略(即,层l) 可以指被称为认证技术的抽象设置,并且实现映射(即,层0)指定该设置所 在的注册表键。一个或多个实现可釆用声明性发现和同步规约并且这些实现可提供能够 处理从设置注册标键到运行安装或部署虚拟机(VM)的大多数常见类型的策 略项的多个标准引擎。这些声明性规约可包括例如,诸如注册表等应接收策略12的软件系统与指示特定位置的统一资源标识符组合的规约。 一个或多个实现可支持包括脚本在内的程序性同步和发现。在许多情况下,该映射简单地描述策略向策略消费者的交付。将物理实现与域专用策略分开的一个优点是其允许以与在特定系统上实现受影响的功能的方式分开的抽象方式来表达该域专用策略。这意味着策略可 以对于具有不同实现的新版本的系统来容易地调整。例如,安全策略可包含复杂表达式,但当计算机系统以将安全相关设置定位在不同的位置,或许在数据 库而非注册表中的方式来修改时,仅仅必须修改相对简单的实现元策略,而非 复杂的安全策略本身。这还意味着具有不同专家经验的人可维护策略的单独部 分。例如,安全专家可指定关于认证的策略,而具有对安全复杂性的极少理解 的更初级的工作人员可在版本化软件时编辑物理实现元策略。这还意味着可简 单地通过应用不同的实现映射元策略来容易地调整域专用策略以便应用于具 有不同实现的不同系统。当然,所有这些好处仅在不同的系统或不同版本的系 统具有一致的语义的情况下应用,因此能够有意义地应用域专用策略。 域专用策略该层详述各种域专用策略的细节。该层本身并非元策略。它不是策略的策 略(这是元策略的定义);相反,它是一个或多个实际策略。在一个或多个实 现中,架构化这些策略。只要表达每一个域专用策略的细节,表达细节的确切 方式就是实现细节。层2:管理许多策略被交付给一策略消费者并因此这些策略由该策略消费者来强制 实施因此,策略管理基础结构的实现无需在将策略移交给策略消费者后管理 这些策略。策略消费者的示例包括资源管理器(例如,文件系统中的访问控制) 或服务(例如,备份)。但某些策略由于资源管理器不知道策略而没有强制实施。例如,某些操作 系统(OS)无法阻止列入黑名单的软件执行,因为这些OS没有提供这一这样 做的机制。即使策略在技术上是可强制实施的,但可能期望将该策略标记为不 强制实施但在监视下的,因为严格的强制实施对于给定情形交付起来可能过于 繁:乾。例如,当任务关键服务器偏离配置遵从性,IT职员可能优选在还原配置之前调査变更的原因,因为可能已经存在该配置变更的有效但未知的原因。并 且在某些情况下,可能期望例如在维护系统或为其服务时临时禁用策略的强制 实施。
策略管理基础结构的实现使用该层中的数据来显式地管理策略,而不是仅 仅将强制实施的责任移交给策略消费者。该元策略定义将要如何管理有效策 略。例如,它可管理触发策略遵从性确认、对非遵从性的响应(例如,纠正动 作、警告、报告)、临时禁用策略以便维护、调整容忍度参数的时间表或事件。
在策略管理基础结构中,该元策略层提供托管节点上的通用管理子基础结 构。该通用管理自基础结构提供遵从性监视、补救、报告和警告。
层3:合并和冲突解决
若干策略冲突并非不常见。有时同时对同一系统上的恰好同一资源实行同 --管理域的多个策略。以下是这些冲突的示例
部门管理员想要防火墙停机,安全管理员想要该防火墙启动 应用程序需要防火墙停机,安全管理员想要该防火墙启动 两个应用程序具有关于OS设置的冲突的要求
安全策略想要紧急作出需要重启的配置变更,而服务窗口策略禁止在 工作时间重启
该元策略定义用于合并策略和/或解决冲突的方法。 一般而言,该方法可 被称为"计算策略结果集(RSOP)"。面对视在冲突,该元策略可为该视在冲 突定义解决方案(即,RSOP)。以下是可能的解决选项的某些示例
无霧会^^f裕该选项也在资源管理器具有无法用通用元策略来表达
的复杂解决算法时使用; 当主管理员拥有一切时,该管理员显式地委托权限并指定
对于冲突的合并策略; 发t^^^ i^汰在无法跟踪委托链时有用; 欲貧使用以最大范围(企业策略获胜)或最小范围(最具体的策略 获胜)定义的策略;
麕^銜劳y性^e麕^^展虔y性游ir够^r應;
14 ^覃,效范房或好/审表游交桌(例如, 一个服务器主存各自具有服务
窗口的四个服务,该服务器获取这些服务窗口的交集); ,浮不尝试合并策略,向IT职员警告冲突。
该元策略可解决策略中的视在冲突所涉及的其他复杂性。例如,策略合并 的粒度可能需要解决。冲突可通过禁用完整策略中的一个来解决。或者,系统 可在逐语句的基础上选择获胜的策略。
层4:有效时间表和条件
不同的策略在不同的时刻实行是常见的例如,人力资源(HR)职员可 在工作时间而不是在晚上访问HR应用程序。该元策略为策略定义有效时间表。
该元策略为按照日历表达的时间表定义公共模式。 一种有用的增强是准许例如
通过将上午9点到下午5点的工作时间时间表与工作日时间表组合并排除假日 时间表中的日子来合成多个时间表。
许多策略包括被表达为环境状态上的谓词的条件例如,HR职员可在 用强凭证(例如,智能卡)登录到其公司桌面时访问HR应用程序;在膝上型
w算机连接到内部公司网络时使用一个默认打印机,但在家里连接时使用不同 的默认打印机。条件可被定义为命名空间上的逻辑表达式,而不是使用对于这 些条件的公共模式。这些条件看上去像策略中的状态谓词。当对于该元策略提 取这些条件时,可表达条件的通用单元以便跨域专用策略语言来重用。例如, 通过在该元策略中放置"强认证的",可标识取决于强认证的所有域策略而不 解析域专用语言。
^5:适用性和自适应性
适用性元策略通过决定实际上对哪些目标系统应用策略来细化定标。例
如,SQL策略只应对具有SQL的机器应用。这是有用的,因为系统管理员可 将策略的目标确定为包含不同种类的系统的服务。在该情形中,管理系统使用 适用性元策略来确定对该异构结构中的哪里应用该策略。该元策略还使得策略 变成自适应的。例如,先前未实行的策略可在将通用串行总线(USB)设备插 入膝上型计算机时变为适用的。
该元策略还可支持受限形式的模型自适应性。在存在若干相关策略(例如, 用于文件服务器上的数据保护的策略、用于数据库服务器的策略、用于邮件服计为一致的并且旨在在
-个服务中一起应用,则该基础结构的实现可(a)为每一个策略定义适用性元 策略,和/或(b)将这些策略一起分组到以该服务为目标的容器策略中。适用性 元策略集体定义策略自适应元策略。
模型自适应使得该模型适合真实世界。与策略无关的是,发现服务找出给 定系统上存在什么实例并在本地模型中创建合适的实例和关系。该元策略定义 策略如何适应模型实例。例如,在机器上可能存在不止一个SQL实例,并且 为每--个SQL实例实例化健康监控策略。
层6:—致性
在 -般惯例中,通常在没有事务语义的情况下应用系统策略,这出于若干 原因,诸如
获得策略的系统不支持事务
策略被部署到许多位置中的许多计算机系统,并且在地理范围进行分
布式事务被认为是极其困难的 某些计算机系统可能间歇地断开连接,并且由于它们将阻塞策略到其
他计算机的部署而无法参与分布式事务。
无需协调的部署,每一个计算机系统上的最大努力部署已足够 但在某些情况下,策略应用需要用事务语义来完成,这出于若干原因,诸
如
若干策略在单个时间点有效地形成必须作为原子单元来部署的内部一 致的集合,因为递增应用将会将系统暂时置于不一致的状态
若千策略形成必须所有一起应用或者一个都不应用的内部一致的集 介,因为部分应用将会将系统置于不--致的状态
策略应用必须是另一系统中的事务的一部分,例如在策略指定数据库 群集中的操作变更时,该变更可能需要与数据库事务协调
该--致性元策略层指定策略具有什么一致性要求,选项如不要求一致性、 单个计算机中的原子应用、以及与另一系统中的事务协调、跨若干计算机的原 子应用。
层7:定标和分发通常选择性地将策略的目标确定为计算机系统,并且控制交付。以下是两 种常见类型的定标的示例
被认为是同构("多合一 (many-as-one)"管理)的管理组。这些组通 常基于目录服务,但从其他源输入的任意分组也是有用的,诸如"基 于清单"的定标,其中管理工具取得计算机系统的特性或配置的清单; "枚举定标",其中显式地列出计算机ID的列表;或这两者的组合。
由被认为是同构的系统结构组成的服务模型,并且该策略智能地应用 于服务中的每一个系统。
定标与适用性协同工作。例如,如果对总部中具有SQL的所有系统应用 策略,则可创建实现以使得使用该层来将该策略的目标确定为总部中的所有系 统,并且令适用性元策略将该目标组向下过滤到SQL系统。但如果对所有生 产SQL系统应用策略,则适用性规则可能无法发现系统是生产还是测试,因 此使用定标元策略来标识生产系统的组并且该定标元策略与将该策略向下过 滤到SQL系统的适用性元策略组合。
该层还包括分发策略,诸如"在上午6点之前将该策略分发给目标"或者"每 6小时且在网络登录时刷新该策略"。更复杂的分发策略可能指示"如果漫游用 /'在他正在访问的服务器上不可用的场所需要大型软件包,则不通过长距离网 络来传输该包,等待直到他返回他的常规位置"。然而,该元策略无需包括详 细的分发规则,诸如使用哪一个分发点服务器、带宽分配或压縮技术。这些是 关于分发结构而不是包的分发细节。该元策略聚焦于时间表、优先级和预算。
除了将策略的目标确定为计算机系统之外,将许多策略的目标确定为其他 元素用户或用户组、软件应用程序、数据库中的数据或者文档系统中的文 档或者邮件系统。在任何时刻,这些目标系统存在于计算机系统上或以其他方 式在计算机系统的控制下;当目标系统不在计算机系统的控制下时,它们不被 某于计箅机的策略覆盖并且在本发明的范围之外。但优选直接将策略的目标确 定为预期对象而不是显式地确定为计算机系统,这出于两个原因
管理员可直接表达用户、应用程序或文档方面的意图,并且令策略管理系 统关注将策略发送到一个或多个正确的计算机系统的机械方面;这简化了管理 并允许以有意义的方式表达报告和分析。如用户、软件应用程序、数据和文档等对象通常是移动的,在计算机系统 的网络上移动且与这些计算机系统的关系是临时且含糊的。按照预期对象来表 达策略定标允许策略管理系统动态处理策略在正确的计算机系统上的应用和 移除。
层8:发布和制定
该层是指定在给定时间/日期(例如,在4月4日上午6点)应用策略的 地方并且可能提供期满日期。尽管类似于有效时间表,但发布和制定时间表达 到不同的目的。该层聚焦于从中央管理中驱动的发布管理,而有效时间表由策 略引擎来本地地解释并且可无限地保持有效。发布管理提供丰富的管理功能, 包括版本管理、审核日志、回退以及复杂的发布策略。例如,如果应用新策略 需要重启并因此服务中断,则该元策略可指定维护窗口。用于打补丁的常见发 布策略是例如,"在2月20日到2月25日之间的任何时间应用变更,但向用 户耍求许可;如果该变更在2月25日午夜尚未作出,则在之后的第一个机会 强制实施该变更"。
层3-8构成总策略管理基础结构的至少一个实现的策略交付子基础结构。 这包括调度和定标以及大型净荷的高效且有效的传输。该分布式服务具有在结 构中和托管节点上的组件。在托管节点上,该子基础结构处理适用性和自适应 以及策略合并(RSOP)。交付服务将策略存储在托管节点上,并且将该策略以 策略消费想要的任何形式移交给该消费者。在一个或多个实现中,该交付服务 将处理在策略到达、通知对应用程序的变更、重启和其他异常情形时不运行的 服务。
层9:变更和批准工作流
该元策略定义用于定义、审阅、批准和部署策略变更的工作流。例如,该 元策略基于范围、目标,影响、问题域来标识例如谁能够批准策略变更。该元 策略还可标识例如在主批准者不可用的情况下还有谁可批准。该元策略还可标 识例如需要什么类型的影响和冲突分析。
在该策略管理基础结构中,该元策略层管理策略的生存周期。该层处的管 理依赖于配置管理数据库(CMDB)以及涉及人类的工作流。CMDB是包含关 于系统或企业中的计算组件和这些组件之间的关系的所有相关信息的数据库。其他层排序
该策略管理基础结构中的元策略的数据层排序提供了在定义各种元策略 (尤其是在冲突解决的情况下)的关系方面的有价值的优点。然而,以上所呈 现的只是该策略管理基础结构的一个实现的排序。取决于给定情况,可能需要 元策略的其他排序。
例如,许多策略引擎完全能够处理有效时间表和条件以及合并和冲突解决 元策略。这能够证明重排这些层是正确的。然而,仍然可能期望将这些功能作 为通川基础结构的一部分来包括。通过在该基础结构中实现该逻辑,可将逻辑 添加到缺乏该能力的策略消费者。例如,注册表和防火墙可能不理解有效时间 表。策略基础结构能够对于工作和非工作时间应用不同的防火墙策略。
但对于不支持该策略基础结构的策略引擎而言,可能期望具有不同的层
排列,其中将层3和4移至管理层(即,层2)之下并移至"策略消费者"分类 中。在实践中,这可通过使得时间表和合并元策略仅向下通过所有策略来实现。 支持公共命名空间
如图所示,策略管理数据模型100还包括相关联的支持公共命名空间120。 这些命名空间的示例包括由资源管理器使用的时间表、目录服务、系统定义模 型(SDM)和命名空间。如此处所使用的,公共命名空间提供由许多(或所有) 策略并因此所有元策略共享的公共上下文。
时间表
时间表出于许多目的而在策略系统中(以及在别处)使用。对于时间表, 该策略管理基础结构定义公共模式、公共服务以及模式的公共存储。以下是这 些定义的示例
,效好/眾表允许策略指示例如,"Bob可在工作时间期间访问这些文 件"或者"该机器可在星期六的上午3点到4点切断服务"或者"在 主要交易时间期间该服务对于95%的请求应在3秒内响应"。
发"^浙劳y定/^/眾:^指示例如,"该策略在5月1日实行"。
爻/^好/眾^f旨示例如,"该策略应在5月1日上午8点之前交付,应提 供给用户以便批准并且应在5月5日下午8点前强制安装"。
^V^^/眾^ 旨示例如,"在网络登录时、在USB设备插入后或在每天 上午3点确认与该策略的遵从性"。
/^/矽虔^^/^^定义时间段,尤其是时间线上的布尔函数,诸如"除假日 之外的每一星期一到星期五的9点到5点"或者"季度的最后一个工作 H"。时间表服务所提供的基本功能是"该时间表中包括该时间点吗?" 时间表能够以不同的方式合成并、交等。即使时间表基于时间段, 服务也可在该时间表周围激发通知事件。
事Wv^/坊4^定义事件模式,诸如"每天上午3点"、"在网络登录时"、"在 USB设备插入后"或者"在3次失败的登录尝试后"。事件时间表只可作 为并集来组合,但事件时间表能够与时间段时间表相交。可能存在包 括抖动(jitter)的某些高级函数"具有RAND (15分钟)的延迟的 上午9点"。
以上列表中的后两个时间表(时间段和事件时间表)具有非常不同的模式 和语义。有了该策略管理基础结构,该模式允许通过引用来合成。 目录服务
许多策略函数引用用户、计算机系统、组织单元以及通常在目录服务中维 护的其他实体的身份。目录服务提供命名结构和提供特定导航和査询功能的应 用程序编程接口,并且这些功能可基于行业范围标准或可以是专用的。策略和 元策略可引用该目录中的实体,并且策略管理基础结构在需要引用时解析引 用。例如,如果将策略的目标确定为诸如OU等标准目录结构中的管理组,则 该目录可提供该OU中所包括的系统的列表并由此使得策略基础结构能够推断 山管理组定标暗示的系统定标。
系统定义模型
托管系统由系统定义模型(SDM)中所定义的模型来描述。该模型描述 系统的组件及其关系,包括通用类型和实际实例两者。通常,存在模型的两种 特色当前状态("是怎样")以及所需状态("应怎样")。在其他模型中,存 在其他特色,包括历史、预测负载和状态、所提议的和如果-怎么办版本。该 模型可包括用于访问控制的角色定义。模型还包括资源;资源的命名模式(诸 如气tmp)被表达为由每一个资源管理器来定义。
20资源管理器
资源管理器是管理通常是策略的主题的资源的服务。每一个资源管理器都 具有其自己的特性和命名空间。策略可引用资源。例如,文件系统是管理文件 的资源管理器,并且这些文件通过包括分层目录结构、文件名和指定类型的扩 展名的命名模式来标识;每一个文件都具有诸如大小和上次修改日期等附加属 性。诸如微软的SQL服务器等关系型数据库也是管理表、索引、过程和其他 资源的资源管理器,并且这些资源用不同的命名结构来标识并具有不同特性。 该资源符理器的命名结构对于策略和元策略的规约是重要的。例如,引用常规 文件系统中的文件的策略或元策略可使用表达式"*.doc"来指示Word文档类 型的所有文件,但这- -表达式对于SQL服务器资源管理器将不会有效。
力法实现
图2示出了策略管理基础结构100的上下文中的策略管理方法200。该方 法200由图l所描绘的各种组件中的一个或多个来执行。此外,该方法200可 以用软件、硬件、固件或其组合来执行。
在图2的框202,策略管理系统110生成多个元策略,其中元策略控制策 略对-个或多个目标计算节点的应用。当生成元策略时,该系统分层组织这些 元策略。在至少一个实现中,元策略层以如图l所示且在上文中描述的策略管 理基础结构IOO所示的方式组织。
在图2的框204,策略管理系统110在分层的多个元策略的上下文中分析 多个实际策略的数据。在这样做时,系统确定与策略的"重叠"和"冲突"的存在 和位置。"重叠"在同一策略域中的两个或更多策略指向同一对象并且在相同条 件下在同-计算机系统上同时实行时发生。例如,如果一个策略的目标被确定 为公司域中的所有计算机系统并且在工作时间期间实行,而另一策略的目标被 确定为相同的计算机系统并且始终实行,则这两个策略重叠。相反,如果一个 策略在工作时间期间实行而另一个策略在非工作时间期间实行,则它们不重 叠。
系统无需为了定位重叠而去了解策略的域专用细节,该细节完全通过分析 元策略和资源管理器命名空间来确定。"冲突"在两个策略重叠并且作出冲突的 陈述时发生。例如,如果一个策略指示防火墙应在工作时间期间停机,而另一
21个策略指示该防火墙应当始终启动,则这两个策略冲突。相反,如果一个策略 指示防火墙应在工作时间期间启动而另一个策略指示该防火墙应始终启动,则 这两个策略不冲突,即使它们的确重叠。
系统无需为了定位冲突而去了解域专用细节,因为冲突由策略的含义来确 定。例如,很容易确定防火墙启动和防火墙停机是冲突的,因为防火墙设置是
具有两个互斥值的布尔值,但如果一个策略指示Bob具有对一文件的读访问权 而另一重叠策略指示Bob对一文件具有完全访问权,则这些策略不冲突,因为 "完全"访问权包括"读"访问权,并且这只可由理解文件系统访问语义的系统来 确定,该分析是访问控制策略域专用的。鉴于此,冲突分析和检测可通过只观 察域不可知元策略的通用重叠检测系统来实现,并且在已经标识重叠后,域专 用冲突分析系统可确定重叠的策略事实上是否的确冲突。
还可分析策略和元策略来寻找覆盖完整性。例如,如果一个策略在工作时 问期间实行而另一个策略在非工作时间期间实行,则这两个策略在其间提供完 全覆盖。相反,如果对匹配命名模式',doc"的所有文件应用一个策略而对匹配 命名模式"-.xls"的所有文件应用另一个策略,则这两个策略未提供对文件系统 的完整覆盖,因为存在不匹配这两个命名模式中的任一个的文件。覆盖检测与 重叠检测的相似之处在于其无需理解域专用策略细节,这只通过分析元策略和 资源管理器命名空间来完成。
在图2的框206,系统对实际策略应用多个元策略。在这样做时,系统在 确定存在冲突和/或重叠时促进策略结果集(RSOP)的计算。系统利用策略管 理基础结构100 (如图1所示且如上所述)的各定序且排序层中的数据的分层 来确定策略的效果。
由系统执行的RSOP计算促进实际上可包括RSOP计算本身,或另选地, 系统可将定标的策略发送给策略消费者以供该策略消费者进行结果RSOP计 算。
在图2的框208,策略管理系统110将结果策略分发给策略消费者,该策 略消费者被配置成对--个或多个目标计算节点应用经处理的策略中的至少一 个。该策略消费者可将经处理的策略映射到该策略消费者的域专用细节。编后记
此处所描述的技术可以按许多方式实现,包括(但不限于)程序模块、通 用和专用计算系统、网络服务器和设备、专用电子产品和硬件、固件、作为一 个或多个计算机网络的一部分或其组合。此外,其他实现可釆用适用的公知计 算系统、环境和/或配置,诸如(作为示例而非限制)个人计算机(PC)、 服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、 可编程消费电子产品、无线电话和设备、通用和专用电器、专用集成电路 (ASIC)、网络PC、瘦客户机、胖客户机、机顶盒、小型计算机、大型计算机、
包括上述系统或设备中的任一个的分布式计算环境、以及类似系统或设备的任 意组合。
虽然已经用对结构特征和/或方法步骤专用的语言描述了一个或多个上述 实现,但可以理解,其他实现可以在没有此处所描述的具体示例性特征或步骤 的情况下实践。相反,各具体示例性特征和步骤是作为一个或多个实现的较 佳形式来公开的。在某些情况下,可能已经省略或简化公知特征以阐明对 各示例性实现的描述。此外,为了易于理解,将某些方法步骤描绘为单独
的步骤;然而,这些单独描绘的步骤不应被解释为必须依赖于其执行顺序。
权利要求
1.一种计算机实现的策略管理方法(200),包括生成多个元策略(140-149)(202),其中元策略控制策略对一个或多个目标计算节点的应用;在所述多个元策略(140-149)的上下文中分析对于所述一个或多个目标计算节点的主题策略(204);基于所述分析动作(204),确定所述多个元策略(140-149)中的重叠和所述主题策略中的冲突的存在(206);基于所述确定动作(206),促进策略结果集(RSOP)的计算(206);向策略消费者分发对于所述一个或多个目标计算节点的RSOP(208)。
2. 如权利要求1所述的方法(200),其特征在于,所述生成动作(202) 包括产生表示所述多个元策略(140-149)的多层数据模型(122)。
3. 如权利要求1所述的方法(200),其特征在于,促进动作(206)包括 将主题策略传送给策略消费者,由此使得所述策略消费者能够至少部分地计算 所述RSOP。
4. 如权利要求1所述的方法(200),其特征在于,所述多个元策略 (140-149)和所述主题策略利用用于调度、目录服务、系统定义模型或其组合的公共命名空间(124)。
5. —种计算机实现的策略管理方法(200),包括 生成多个元策略(140-149) (202),其中元策略控制策略对一个或多个目标计算节点的应用,所述生成动作(202)包括产生表示所述多个元策略 (140-149)的多层数据模型(122),所述数据模型具有多个经排序的数据层;在所述多个元策略(140-149)的上下文中分析对于所述一个或多个目标 计算节点的主题策略(204);基于所述分析动作(204),确定所述多个元策略(140-149)中的重叠和所述主题策略中的冲突的存在(206);基于所述确定动作(206),促进策略结果集(RSOP)的计算; 向策略消费者分发对于所述--个或多个目标计算节点的RSOP。
6. 如权利要求5所述的方法(200),其特征在于,促进动作(206)包括 将主题策略传送给策略消费者,由此使得所述策略消费者能够至少部分地计算 所述RSOP。
7. 如权利要求5所述的方法(200),其特征在于,所述多个元策略 (140.-149)和所述主题策略利用由一个或多个资源管理器使用的公共命名空间(124)。
8. 如权利要求5所述的方法(200),其特征在于,所述多个元策略 (140-149)和所述主题策略利用由一个或多个资源管理器使用的公共命名空间(124),所述方法(200)还包括提供用于分析公共命名空间(204)以寻 找重叠和覆盖的安装服务。
9. 如权利要求5所述的方法(200),其特征在于,所述多个元策略 (140-149)和所述主题策略利用由一个或多个资源管理器使用的公共命名空间(124),所述方法(200)还包括提供用于分析域专用策略(204)以寻找 冲突的安装服务。
10. 如权利要求5所述的方法(200),其特征在于,所述数据模型具 有以下多个数据层中的至少两个 被配置成存储关于策略管理的数据的策略管理元策略层; 被配置成存储关于策略合并和冲突解决的数据的合并和冲突解决元 策略层; 被配置成存储定义策略的有效时间表和条件的数据的有效时间表和 条件元策略层 被配置成存储关于策略的适用性和自适应的数据的适用性和自适应 元策略层; 被配置成存储关于策略的一致性的数据的一致性元策略层; 被配置成存储关于定标和分发策略的数据的定标和分发元策略层; 被配置成存储关于策略的交付的数据的发布和制定元策略层; 被配置成存储关于策略的生存周期的数据的变更和批准工作流元策 略层。
11. 一种或多种具有处理器可执行指令的处理器可读介质,所述指令在 由处理器执行时执行一种方法,包括生成多个元策略,其中元策略控制策略对一个或多个目标计算节点的应 用,所述生成包括产生表示所述多个元策略的数据模型,所述数据模型具有以 下多个数据层中的至少三个 被配置成存储关于策略管理的数据的策略管理元策略层; 被配置成存储关于策略合并和冲突解决的数据的合并和冲突解决元 策略层 被配置成存储定义策略的有效时间表和条件的数据的有效时间表和 条件元策略层; 被配置成存储关于策略的适用性和自适应的数据的适用性和自适应 元策略层; 被配置成存储关于策略的一致性的数据的一致性元策略层; 被配置成存储关于定标和分发策略的数据的定标和分发元策略层; 被配置成存储关于策略的交付的数据的发布和制定元策略层; 被配置成存储关于策略的生存周期的数据的变更和批准工作流元策 略层;在所述多个元策略的上下文中分析对于所述一个或多个目标计算节点的 主题策略;基于所述分析动作,确定所述多个元策略中的重叠和所述主题策略中的冲 突的存在;基亍所述确定动作,促进策略结果集(RSOP)的计算。
12. —种计算机实现的策略管理方法,包括生成多个元策略,其中元策略控制策略对一个或多个目标计算节点的应用,所述生成动作包括产生表示所述多个元策略的多层数据模型(122),所 述数据模型具有多个经排序的数据层;在所述多个元策略的上下文中分析对于所述一个或多个目标计算节点的 主题策略;基于所述分析动作,确定所述多个元策略中的重叠和所述主题策略中的冲 突的存在基于所述确定动作,促进策略结果集(RSOP)的计算 向策略消费者分发对于所述一个或多个目标计算节点的RSOP。
13. 如权利要求12所述的方法,其特征在于,促进动作包括至少部分 地计算所述RSOP。
14. 如权利要求12所述的方法,其特征在于,促进动作包括将主题策 略传送给策略消费者,由此使得所述策略消费者能够至少部分地计算所述 RSOP。
15. 如权利要求12所述的方法,其特征在于,所述多个元策略和所述 主题策略利用由 一个或多个资源管理器使用的公共命名空间。
16. 如权利要求12所述的方法,其特征在于,所述多个元策略和所述 主题策略利用用于调度、目录服务、系统定义模型或其组合的公共命名空间。
17. 如权利要求12所述的方法,其特征在于,所述多个元策略和所述 主题策略利用由一个或多个资源管理器使用的公共命名空间,所述方法还包括 提供用于分析公共命名空间以寻找重叠和覆盖的安装服务。
18. 如权利要求12所述的方法,其特征在于,所述多个元策略和所述 主题策略利用由一个或多个资源管理器使用的公共命名空间,所述方法还包括 提供用于分析域专用策略以寻找冲突的安装服务。
19. 如权利要求12所述的方法,其特征在于,所述数据模型具有所述 多个经排序的数据层中的包括管理层以及合并和冲突层的至少两个数据层。
20. 如权利要求12所述的方法,其特征在于,所述数据模型具有以下 多个数据层中的至少两个 被配置成存储关于策略管理的数据的策略管理元策略层; 被配置成存储关于策略合并和冲突解决的数据的合并和冲突解决元 策略层; 被配置成存储定义策略的有效时间表和条件的数据的有效时间表和 条件元策略层; 被配置成存储关于策略的适用性和自适应的数据的适用性和自适应 元策略层 被配置成存储关于策略的一致性的数据的一致性元策略层; 被配置成存储关于定标和分发策略的数据的定标和分发元策略层 被配置成存储关于策略的交付的数据的发布和制定元策略层; 被配置成存储关于策略的生存周期的数据的变更和批准工作流元策 略层。
全文摘要
此处所描述的是一种提供跨计算环境中的多种情形的通用的基于策略的解决方案的策略管理基础结构的一个或多个实现。策略管理基础结构的至少一个实现定义如何相对于其他层中的数据来构造基于策略的数据或对其分层。此外,所描述的实现提供一种用于确定策略中的“重叠”和“冲突”的机制。
文档编号G06Q10/00GK101657831SQ200880011871
公开日2010年2月24日 申请日期2008年3月20日 优先权日2007年4月16日
发明者A·B·温贝格, M·N·穆罕默德, S·P·布恩斯 申请人:微软公司