用于控制对文件系统访问的系统和方法【专利说明】用于控制对文件系统访问的系统和方法[0001]相关申请的交叉引用[0002]参照受让人拥有的以下专利和专利申请,这些专利的公开内容通过引证结合于此:[0003]美国专利号7,555,482和7,606,801;[0004]美国专利申请的公开号:2007/0244899、2008/0271157、2009/0100058、2009/0119298;2009/0265780;2011/0010758;2011/0060916;2011/0061093、2011/0061111、2011/0184989、2011/0296490以及2012/0054283;以及[0005]美国专利申请的申请号:13/106,023;13/159,903;13/303,826以及13/413,748。
技术领域:
[0006]本发明总体上涉及用于控制对具有数据元素的文件系统的访问的计算机实现的系统和方法。【
背景技术:
】[0007]通常根据个人在企业中的作用,对个人授权和撤销在企业中对文件系统的元素的访问权限。更新访问权限,以和在组织内的不断变化的角色持续对应,这是一个复杂的挑占戈。【
发明内容】[0008]本发明试图提供用于控制对具有数据元素的文件系统的访问的计算机实现的系统和方法。[0009]根据本发明的一个优选实施方式,这样提供了一种用于控制对具有数据元素的文件系统的访问的计算机实现方法,包括以下步骤:保持所述文件系统的用户对所述数据元素的相应实际访问的记录;限定从所述用户的超集中建议移除一组所述用户,其中,所述超集的成员对所述数据元素的一部分具有公共访问特权,并且其中,在实现所述建议的移除之后,所述组的成员对所述数据元素保留相应的建议的剩余访问权限;在所述建议的移除的所述实现之前,通过所述相应的建议的剩余访问权限,自动确定所述组的所述成员或者具有与所述组的所述成员的实际访问配置文件相似的实际访问配置文件的所述组的非成员的至少一个所述相应的实际访问是不允许的;以及响应于所述自动确定的步骤,生成错误指示。[0010]优选地,所述数据元素包括文件和目录,并且其中,所述文件系统包括所述文件和目录的层次结构,并且其中,所述数据元素的所述部分包括:第一目录;以及在所述层次结构中位于所述第一目录之下的所有所述文件和目录。[0011]优选地,所述用户在相应的备选用户组内具有资格,所述备选用户组中的每一个都具有访问所述数据元素的相应备选部分的组权限,其中,所述用户的所述相应的建议的剩余访问权限包括所述备选用户组的所述组权限。优选地,所述保持记录的步骤包括构造所述用户的唯一的实际访问的合计表(aggregatedtable)。优选地,自动执行所述限定建议的移除的步骤。[0012]根据本发明的另一个优选实施方式,还提供了一种用于控制对具有在其上储存的数据元素的文件系统的访问的计算机实现系统,包括:实际访问监控功能,可操作地用于保持所述文件系统的用户对所述数据元素的相应实际访问的记录;用户移除建议功能,可操作地用于限定从所述用户的超集中建议移除一组所述用户,其中,所述超集的成员对所述数据元素的一部分具有公共访问特权,并且其中,在实现所述建议的移除之后,所述组的成员对所述数据元素保留相应的建议的剩余访问权限;剩余访问权限确定功能,可操作地用于在所述建议的移除的所述实现之前,通过所述相应的建议的剩余访问权限,自动确定所述组的所述成员或者具有与组成员的实际访问配置文件相似的实际访问配置文件的所述组的非成员的至少一个所述相应的实际访问是不允许的;以及错误指示生成功能,可操作地用于响应于所述自动确定的步骤,生成错误指示。[0013]优选地,所述文件系统包括所述文件和目录的层次结构,并且其中,所述数据元素的所述部分包括:第一目录;以及在所述层次结构中位于所述第一目录之下的所有所述文件和目录。[0014]优选地,所述用户在相应的备选用户组内具有资格,所述备选用户组中的每一个都具有访问所述数据元素的相应备选部分的组权限,其中,所述用户的所述相应的建议的剩余访问权限包括所述备选用户组的所述组权限。【附图说明】[0015]从结合附图进行的以下详细描述中,更完整地理解和了解本发明,其中:[0016]图1是根据本发明的一个优选实施方式操作的在用于控制对具有在其上储存数据元素的文件系统的访问的方法的操作中的步骤的一个实例的简化插图;[0017]图2是在图1的方法的操作中的步骤的简化方框示意图;以及[0018]图3是根据本发明的优选实施方式构造和操作的用于控制对具有在其上储存数据元素的文件系统的访问的系统的简化方框示意图。【具体实施方式】[0019]现在,参照图1,该图是根据本发明的一个优选实施方式操作的在用于控制对具有在其上储存数据元素的文件系统的访问的方法的操作中的步骤的一个实例的简化插图。[0020]在图1中显示的方法由系统实现,该系统通常位于连接至企业范围的计算机网络102的服务器100上,所述网络具有不同的服务器104以及与其连接的计算机106。网络102优选地还包括多个储存资源108,所述资源通常位于服务器104和/或计算机106内。[0021]服务器100的系统优选地连续监控网络102,以自动保持所述文件系统的用户对储存在储存资源108上的数据元素的相应实际访问的记录。[0022]要理解的是,通常通过控制用户对用户组的资格,控制用户对在企业网络中的数据元素的访问权限,所述用户组对数据元素具有访问权限。在图1的实例中,‘法律’用户组可以对包含法律信息的文件具有访问权限,并且‘金融’可以对包含有关金融信息的文件具有访问权限。[0023]如图1中所示,公司的网络102的IT经理使用服务器100的系统来确定在与‘法律’用户组保持资格的同时,作为公司的法律部门的前雇员以及公司的金融部门的当前雇员的John近期没有访问法律文件。因此,IT经理进一步使用服务器100的系统来建议从‘法律’用户组中移除John,所示移除可能撤销John对‘法律’用户组的成员具有访问权限并且John将来可能需要访问的法律文件的访问权限。[0024]要理解的是,John是对法律文件具有访问权限的额外用户组的成员,因此,要理解的是,甚至在实现建议从‘法律’用户组中移除John之后,John依然保持对法律文件的剩余访问权限。[0025]如图1中进一步所示,IT经理进一步查询服务器100的系统,以在实现建议的移除之前,自动确定在实现建议的移除之后,John保留其可能需要访问的文件的剩余访问权限。[0026]本发明的这个实施方式的一个特定特征在于,为了确定在实现建议从用户组中移除用户组的第一成员之后,第一成员对可能需要访问的文件是否保持剩余访问权限,通常足以确定在移除用户组的至少一个其他成员之后(所述至少一个其他成员具有与第一成员的实际访问配置文件相似的实际访问配置文件),所述至少一个其他成员对近期实际上访问了的文件是否保持剩余访问权限。为了本申请的目的,术语“实际访问配置文件”限定为特定用户的近期实际文件访问的集合。在申请人的美国专利7,606,801中,详细描述了用于确定在实际访问配置文件之间的相似性的方法的详细描述,该专利通过引证结合于此。[0027]因此,要理解的是,关于图1的实例,为了确定John继续需要访问哪些文件,服务器100的系统进行操作,以确定具有与John的实际访问配置文件相似的实际访问配置文件的用户近期实际上访问了哪些文件。在图1的实例中,具有与John的实际访问配置文件相似的实际访问配置文件当前第1页1 2