对电子数据的基于群组的外部共享的制作方法

在当今时代，对诸如文档、照片、电子表格、演示、视频、歌曲等的存储几乎是必需品。以网络可访问的方式对这样的文件的中央化存储和访问允许从多种联网的设备容易地和有效地访问和保存所述文件。这样的存储的一种形式是在线存储平台，其能够通过互联网来访问，并且允许用户和/或组织向在线存储提供方创建账户，以便安全地上传、访问、编辑、和删除这样的电子文件。

利用对电子文件的数字存储，容易与其他人共享这样的文件以便对文档或项目进行协作。然而，在组织的上下文中，对电子文件的共享可能表现出安全性风险。如果文件是与组织之外的用户(外部用户)不适当地共享的，可能会引起公司秘密的泄露或者有其他不期望的效果。由此，组织对电子文件的外部共享是高度敏感的。

以上讨论仅仅提供了一般背景信息而不旨在用于帮助确定所要求保护主题的范围。

技术实现要素：

一种提供对电子内容的访问的计算系统，其包括处理器、数据存储、以及用户界面组件。该数据存储被耦合至该处理器，并且被配置为存储电子内容。用户界面组件被耦合至该处理器，并且被配置为生成用户界面，所述用户界面允许内部用户生成用于与外部用户共享电子内容的共享请求。该处理器被配置为确定内部用户是否是被允许向外部共享内容的群组的成员，并且如果该内部用户不是被允许向外部共享电子内容的群组的成员，则禁止对该电子内容的外部共享。

提供了该发明内容以用简化的形式引入在下文的具体实施方式中进一步描述的概念的选择。该发明内容不旨在标识所要求保护主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护主题的范围。所要求保护的主题不限于解决了在背景技术中所述的任何或全部缺点的实现。

附图说明

图1是在本文中所描述的实施例利用其特别有用的网络可访问的数据存储系统的图解图。

图2是根据在本文中所描述的实施例的、与数据存储系统进行交互的多个用户的图解图。

图3是根据一个实施例的管理控制台的图解图。

图4是根据一个实施例的管理控制台的图解图。

图5是用户尝试向外部共享文件的用户界面的图解图。

图6是根据一个实施例的利用电子数据存储器系统来处理共享请求的方法的流程图。

图7提供了客户端设备的组件的一般框图，所述客户端设备可以运行数据存储系统的组件以与数据存储系统进行交互。

图8和9是客户端设备的图解图，所述客户端设备可以运行数据存储系统的组件以与数据存储系统进行交互。

图10是计算设备的一般框图，所述计算设备可以运行数据访问系统的组件或者与该数据访问系统交互的客户端设备的组件或这两者。

具体实施方式

如在上文中所阐述的，许多组织关心可能导致泄露公司秘密的对文件的外部共享。由此，这样的组织通常不愿意针对组织的所有成员而使能外部共享。然而，当一些用户具有正当的商业需求以便针对组织内的一些团队或群组而使能外部共享时，这可能创建出一些困难。例如，组织的研究实验室部门中的雇员可能需要与学术界协作来进行研究，或者市场部门可能需要与广告代理商一起工作。当前，针对中央化电子数据存储系统的电子文件的外部共享通常被提供为全有或全无(all-or-nothing)条件。由此，对组织的文件的管理可以针对组织中的所有人而使能外部共享，由此允许所有用户与组织外的人进行共享。如将理解的，该情况可能不提供用于保存公司秘密和其他机密组织信息的最安全的场景。相反地，管理员当前能够禁止所有这样的外部共享，并且因此，没有用户将能够与组织之外的用户进行共享。由此，当前的全有或全无条件对组织提出了以下挑战：组织中的至少一些成员需要外部共享以便解决组织需求，但针对这些成员，这样的外部共享带来了不适当地共享组织文件的风险。

在本文中所公开的实施例通常基于群组成员资格来提供针对组织的电子数据的外部共享解决方案。可以选择在本文中被定义为安全群组的个体群组来向外部共享某些部分或组织内容或文件，而组织中的其他人可能不被允许共享组织文件。

尽管在本文中所描述的实施例通常具有对任何电子系统的宽泛可应用性，其中所述电子系统能够存储电子文件并且允许多个用户选择性地访问和共享这样的电子文件，但该描述中的其余部分将关于能够通过互联网访问的在线数据存储系统而被描述。

云计算提供了不要求终端用户了解传递服务的系统的物理位置或配置的计算、软件、数据访问、和存储服务。在各种实施例中，云计算使用合适的协议来通过诸如互联网之类的广域网来传递服务。例如，云计算提供方通过广域网传递应用并且它们能够通过web浏览器或任何其他计算组件而被访问。架构100的软件或组件以及对应的数据能够被存储在远程位置处的服务器上。云计算环境中的计算资源能够在远程数据中心位置处被联合或者它们可以是分散的。云计算基础结构可以通过共享的数据中心来传递服务，即使它们对于用户表现为单个接入点。因此，在本文中所描述的组件和功能可以使用云计算架构从远程位置处的服务提供方来提供。可替代地，它们可以从常规服务器来提供，或者它们可以直接被安装在客户端设备上，或者采用其他方式。

该描述旨在包括公共云计算和私有云计算两者。云计算(公共的和私有的两者)提供大体上无缝的资源池化，而且使得对管理和配置底层硬件基础结构的需求有所降低。

公共云是由供应方管理的，并且通常支持多个消费者使用同一基础结构。同样，与私有云相比，公共云可以将终端用户从对硬件的管理中释放出来。私有云可以由组织自己来管理并且该基础结构通常不与其他组织共享。组织仍然一定程度上维护硬件，例如安装和维修等。

图1是在本文中所描述的实施例利用其特别有用的在线数据存储系统的图解图。数据存储系统100包括处理器102、用户界面(ui)组件104、访问控制组件106、消息传送组件108、和数据存储110。另外地，尽管没有在图1中具体地示出，但数据存储系统100包括用于使得数据存储提供方100能够连接至网络以便提供对设备114、116、和118的访问的合适的电路或其他布置。设备114、116、和118中的每个经由合适的应用编程接口112而耦合至数据存储系统100或者与数据存储系统100交互。例如，移动设备114通过移动个设备应用api130来与数据存储系统100进行交互，而膝上型计算机116可以经由webapi132来与数据存储系统100进行交互。进一步地，可以明确构想到，诸如计算机118之类的其他设备可以经由其他api134来与数据存储系统100进行交互。尽管在一个实施例中，经由多种用户设备与数据存储系统100的所有这样的交互都是通过适用于该特定模态的合适的应用编程接口112进行的。

处理器102说明性地是计算机处理器，其具有相关联的存储器和计时电路，它们没有被分别地示出。处理器102说明性地是数据存储系统100的功能部件，并且在提供对数据存储110中的数据的访问方面促进数据存储系统100的功能。

ui组件104说明性地由数据存储提供方100中的其他组件、服务器、或项目来控制，以便生成用户界面显示以供用户使用设备114、116、和118。设备114、116、和118仅仅被提供为可以用于与系统100进行交互的各种用户设备的示例。在所示出的示例中，设备114是诸如智能电话之类的移动设备；设备116是膝上型或笔记本计算机；而设备118是台式计算机。然而，将注意到在设备114、116、和118上还可以存在也生成那些用户界面显示的用户界面组件。此外，将注意到用户界面组件104可以生成用户界面显示本身，或者在图1中所示出的其他项目的控制之下。

用户界面显示说明性地包括这样的用户输入机制，其允许用户控制和操纵数据存储提供方100，以便更新、访问、共享、和管理存储在数据存储110内的电子文件。用户输入机制可以包括宽泛的多种不同类型的用户输入机制，例如链接、图标、按钮、下拉菜单、文本框、勾选框等。另外，用户输入机制可以由用户以宽泛的多种不同的方式来致动。例如，它们可以使用触摸手势(其中，显示器是触摸感应的)、硬或软键盘或小键盘、指点或点击设备(例如，鼠标或轨迹球)、按钮、操纵杆、或其他制动器。另外地，在数据存储提供方100或设备114、116、和118中的一个具有话音识别组件的情况下，用户输入机制还可以通过使用语音命令来致动。

访问控制组件106可以采用访问控制列表或其他合适的结构，其包括指示能够使用数据存储提供方100的每个用户或用户的群组的许可或访问权限的信息。另外地，访问控制组件106可以保存数据存储提供方100为其提供数据存储服务的每个组织或租户的经授权的用户的列表。在一个实施例中，访问控制组件106可以提供活动目录(activedirectory)服务以便认证和授权用户和/或各种设备114、116、和118。由此，组织内的用户(即，内部用户)的列表将由访问控制组件106来保存，由此允许访问控制组件106将其他用户(组织外的用户)识别为没有被列出为特定组织的成员的任何用户。这样的用户被认为是外部用户。与外部用户共享电子文件可能对组织而言是安全风险，并且应当被仔细控制。访问控制组件106还可以包括一个或多个安全群组的列表，以及指示针对该特定的安全性群组是否允许外部共享的组织内容范围信息。在一个示例中，安全群组可以是包括组织市场部门的多个用户，并且可以允许外部共享以用于市场推广数据存储110内的项目文件。

消息传送组件108可以包括消息传送服务器或者能够创作和/或向用户发送消息的其他合适的设备或逻辑。由此，消息传送组件108可以包括支持已知的简单邮件传输协议(smtp)的电子邮件服务器。然而，消息传送组件108还可以包括即时消息传送服务器(sms)或者能够向用户提供消息的任何其他设备或逻辑。更进一步地，在对数据存储提供方100的访问是经由在所述设备上执行的应用而被提供至设备114、116、和118中的一个或多个的实施例中。消息传送组件108可以包括用于在这样的用户设备上的应用内显现这样的消息或通知的代码和/或合适的电路。尽管消息传送组件108被示出为数据存储提供方100的组件，但可以明确地构想到消息传送组件108可以远离数据存储提供方100，并且由数据存储系统100控制或者以其他方式占用从而生成合适的消息，例如外部共享邀请。

数据存储110被示出为数据存储提供方100本地的单个数据存储。然而，应当注意的是，数据存储110实际上可以由多个不同的数据存储组成，其全都可以是数据存储提供方100本地的、其一些可以是数据存储提供方100本地的、或者其全都可以是远离数据存储提供方100的。数据存储110说明性地将多个电子文件120存储在文件夹122内。然而，其他形式的数据124也可以由数据存储110来存储，并且由数据存储提供方100使其对用户可访问。

图2是由管理员相对于组织内容所定义的多个群组的图解图。如在图2中所示出的，管理员150已经将第一群组152定义为具有成员a、b、和c。进一步地，群组152已经被定义为允许对组织内容156内的组织站点154的外部共享。由此，当用户a、b、和c中的任何一个想要共享站点154内的任何内容时，数据存储系统100将允许这样的操作。然而，如果群组152中的任何成员尝试向外部共享来自站点158的内容，则这样的操作将被拒绝。如在图2中所示出的，管理员150已经将群组160定义为由单个用户(d)组成，该用户d被允许向外部共享站点154内的内容的子集162。由此，如果用户d尝试向外部共享其他内容(例如，内容164)，则该操作将被拒绝。最终，管理员150已经将群组166定义为由用户e、f、和g组成。这些用户被允许向外部共享组织内容156的任何信息。

图3是由数据存储系统100经由ui组件104提供给管理员150的管理控制台的图解图。管理控制台200可以由管理员150使用的无论哪个设备114、116、和118来显示。控制台200给管理员150提供了关于用户可以如何与组织外部的人们共享内容的多个选项。如在用户界面元素202处所指示的，管理员可以选择在组织之外不允许共享。在用户界面元素204处指示了另一选项，其中，在被选择之后，共享将仅仅被允许与已经在组织的目录中存在的外部用户进行。在图3中所示出的示例中，管理员150已经选择了用户界面元素206，以使得组织的用户将被允许邀请并且与经认证的外部用户进行共享。在用户界面元素208处示出了管理员可以选择的最后的选项，其允许向外部用户共享并且使用匿名访问链接。根据一个实施例，可以向用户提供用户界面元素210，以允许管理员150指示仅仅组织内的某些用户或群组将被允许与组织外的用户进行共享。通过选择用户界面元素210，管理员可以使用字段212来定义一个或多个安全群组。

图4是管理控制台200的图解图，其中，管理员150已经将一对群组标识符输入到字段212中。特别地，管理员150已经选择了contoso市场群组以及contoso经销商管理员将被允许与组织之外的用户进行共享。另外地，如在上文中所阐述的，该外部共享还可以关于组织中的所有信息、组织的所选择的站点、组织的所选择的文件夹、或者甚至组织的所选择的文件而被指定，如所期望的那样。

图5是根据一个实施例的、向数据存储系统100的组织用户提供的用户界面的图解图。如在用户界面300中所示出的，用户可以具有示出了用户能够访问的多个文件和文件夹的主要显示部分302。在图5中所示出的示例中，用户已经选择了标题为“销售2015演示.pptx”的文件以用于共享。响应于用户选择了指定的文件以用于共享，用户的设备将与合适的api112进行交互以确定是否针对该用户而允许对指定文件的外部共享。在这样做时，访问控制组件106将审阅针对特定用户的所有群组成员身份，以确定是否有任何这样的成员身份允许对所选择的文件的外部共享。在图5中所示出的示例中，用户不被允许向外部进行共享。如在用户界面300的部分304中示出的，用户已经接收到指示该用户不被允许与组织外部的人进行共享的通知。由此，尝试的将“销售2015演示.pptx”与adam@fabrikam.com(外部用户)的共享将失败。尽管在本文中所描述的实施例通常可以在用户选择ok按钮308之前给该用户提供通知306，但是还可以构想到对用户是否被允许向外部进行共享的确定可以在对ok按钮308的选择之后被执行。

图6是根据一个实施例的利用电子数据存储器系统来处理共享请求的方法的流程图。方法400在框402处开始，其中数据存储系统接收外部共享请求。在一个实施例中，该外部共享请求是通过api接收的，如在框404处所指示的。然而，在其他实施例中，请求可以以其他方式接收，如在框406处所指示的。接着，在框408处，数据存储系统确定外部共享的请求者的身份。在框410处，数据存储系统100或者其组件(例如，访问控制组件106)确定在408处所识别的请求者是否是外部共享被允许的任何安全群组的成员。如果请求者不是外部共享被允许的任何安全群组的成员，则控制传递至框412，其中提供指示对外部共享请求的拒绝的一个或多个通知。如所指示的，该通知可以被提供给请求者，如在框414处所指示的，和/或通知可以被提供给管理员，如在框416处所指示的。另一方面，如果在框410处确定请求者是外部共享被允许的安全群组的成员，则可以允许共享操作。在一个实施例中，可选的框418被执行以确定所提出的共享操作的内容(例如，站点420、文件夹422、和/或文件424)是否针对外部共享被允许的安全群组而被允许。由此，在一些实施例中，即使当用户是外部共享被允许的群组的成员时，在用户尝试共享的内容没有针对特定的安全群组被授权的情况下也可以拒绝一些外部共享请求。在框426处，外部共享请求是由数据存储系统授权的。在一些实施例中，这样的授权是以共享链接被提供给内容与其共享的请求者和/或外部用户的形式来提供的。

在本文中所描述的实施例通常提供管理员或责任方可以具体地针对组织内的用户的群组而允许外部共享的非常具体和颗粒化的方式。可以相信，这将使得这样的管理员能够以至少两个不同的等级来选择可以与组织外部的人进行共享的用户。在租户等级，管理员能够决定外部共享可以针对组织内的所有用户而被约束或被允许。此外，更加具体的共享等级可以针对站点集合、项目、文件夹、或者甚至文件而被设置。如果管理员在站点集合等级设定了外部共享，则根据一个实施例，这将优先于在租户等级所设定的约束。类似地，根据一个实施例，以较窄的范围所设定的约束将优先于以较大的范围所设定的约束。

在设定或者以其他方式配置对站点集合的外部共享时，可以给管理员提供用于附加租户等级的外部共享策略或者通过指定本地策略来将其覆写的选项。例如，如果在租户等级处，管理员已经定义了只有群组a内的用户可以向外部共享，但关于站点集合foo，管理员选择不附加至租户等级的策略并且选择群组b以向外部进行共享，则在站点集合foo内，只有群组中的成员将被允许向外部进行共享。

尽管关于管理控制台200描述了实施例，但可以明确地构想到，这样的能力可以被显露为在租户管理powershell中的powershell命令。此外，在一个实施例中，站点集合管理员将不具有用于设定他/她自己的站点集合的特权或者管理控制台。在一个实施例中，只有租户管理员可以进行设定是一种策略。

如在上文中所阐述的，在进行共享的时间中，数据存储系统100将检查以确定想要向外部共享的用户是否属于在站点和/或在租户中被“允许”的群组中的一个。如果想要向外部共享文件的用户不被允许进行这样的共享，则该用户将接收错误消息。在一个实施例中，该外部共享策略的实行是在api等级使用api112来执行的，以由此保护通过所有进入点(webux、移动应用、办公客户端、以及api调用)的共享。

本讨论已经提及了处理器和服务器。在一个实施例中，处理器和服务器包括具有相关联的存储器和定时电路(它们没有被分别示出)的计算机处理器。它们是其所属且由其激活的系统或设备的功能部件，并且促进那些系统中的其他组件或项目的功能。

已经讨论了多个数据存储。应当注意的是，它们可以各自被分成多个数据存储。其全都可以在访问它们的系统本地、全都是远程的、或者一些是本地的而其他是远程的。在本文中可以构想到所有这些配置。

同样，附图示出了具有归因于每个框的功能的多个框。应当注意的是，可以使用较少的框，因此功能是由较少的组件执行的。同样，可以使用具有在多个组件间分布的功能的更多个框。

还应当注意的是，架构100或其一部分能够被部署在宽泛的多种不同设备上。那些设备中的一些包括服务器、台式计算机、膝上型计算机、平板计算机、或其他移动设备，例如掌上计算机、蜂窝电话、智能电话、多媒体播放机、个人数字助理等。

图7是可以用作用户或客户端的手持设备16的手持或移动计算设备的一个说明性示例的简化框图，本系统(或其一部分)可以被部署在其中。图8和图9是手持或移动设备的示例。

图7提供了可以运行架构100的组件或者与系统100进行交互、或两者的客户端设备16的组件的总体框图。在设备16中，提供允许手持设备与其他计算设备进行通信的通信链路13，并且在某些实施例中，提供用于自动地接收信息(例如，通过扫描)的信道。通信链路13的示例包括红外端口、串行/usb端口、诸如以太网端口之类的有线网络端口、以及允许通过一个或多个通信协议进行通信的无线网络端口，所述一个或多个通信协议包括通用分组无线电服务(gprs)、lte、hspa、hspa+和其他3g与4g无线协议、1xrtt和短消息服务(其是用于提供至网络的蜂窝接入的无线服务)、以及提供至网络的本地无线连接的802.11和802.11b(wi-fi)协议和蓝牙协议。

在其他实施例中，在连接至可移动安全数字(sd)卡接口15的可移动sd卡上接收应用或系统(例如，消息传送应用24)。sd卡接口15和通信链路13沿着总线19与处理器17进行通信，其中总线19也连接至存储器21和输入/输出(i/o)组件23、以及时钟25和位置系统27。

在一个实施例中，提供i/o组件23以促进输入和输出操作。设备16的各种实施例的i/o组件23可以包括诸如按钮、触摸传感器、多点触摸传感器、光学或视频传感器、语音传感器、触摸屏、接近度传感器、麦克风、倾斜传感器、以及重力开关之类的输入组件以及诸如显示设备、扬声器、和/或打印机端口之类的输出组件。也可以使用其他i/o组件23。

时钟25说明性地包括输出时间和日期的实时时钟组件。还可以说明性地为处理器17提供定时功能。

位置系统27说明性地包括输出设备16的当前地理位置的组件。这可以包括例如全球定位系统(gps)接收机、loran系统、航位推算系统、蜂窝三角测量系统、或其他定位系统。还可以包括例如生成期望的地图、导航路线、和其他地理功能的地图软件或者导航软件。

存储器21存储操作系统29、网络设置31、应用33、应用配置设置35、数据存储37、通信驱动器39、以及通信配置设置41。存储器21可以包括所有类型的有形的易失性和非易失性计算机可读存储器设备。其还可以包括计算机存储介质(在下文中所描述的)。存储器21存储计算机可读指令，所述计算机可读指令当由处理器17执行时，使得该处理器根据这些指令来执行计算机实现的步骤或功能。存储器21还可以存储消息传送应用24以便允许用户发送和接收电子消息。另外地，存储器21还可以存储专用数据，其允许用户通过合适的应用编程接口来与在线存储系统100进行交互。

网络设置31的示例包括诸如代理信息、互联网连接信息、以及映射之类的事情。应用配置设置35包括针对具体的企业或用户来定制应用的设置。通信配置设置41提供用于与其他计算机进行通信的参数，并包括诸如gprs参数、sms参数、连接用户名和密码之类的项目。

应用33可以是先前已经存储在设备16上的应用，或者在使用期间安装的应用，但这些应用也可以是操作系统29的一部分，或者托管在设备16外部。

图8示出了在其中设备16是平板计算机600的一个实施例。在图8中，计算机600被示为具有用户界面显示屏602。屏幕602可以是触摸屏(因此可以使用来自用户的手指的触摸手势来与应用进行交互)，或者是从笔或者触笔接收输入的支持笔的界面。其也可以使用屏上虚拟键盘。当然，也可以通过合适的附接机制(例如，无线链路或者usb端口)将其附接至键盘或者其他用户输入设备。计算机600也可以说明性地接收语音输入。

也可以使用设备16的额外的示例。设备16可以是功能电话、智能电话、或移动电话。电话可以包括用于拨打电话号码的一组键盘、能够显示包括应用图像、图标、网页、照片、和视频在内的图像的显示器、以及用于选择在显示器上所示出的项目的控制按钮51。电话包括用于接收诸如通用分组无线服务(gprs)和1xrtt之类的蜂窝电话信号以及短消息服务(sms)信号的天线。在一些实施例中，电话还包括接受安全数字(sd)卡的sd卡插槽。

移动设备也可以是个人数字助理或多媒体播放器或平板计算设备、等等(在下文中被称为pda)。pda包括感应屏，其感测当触笔(或者其他指向器，例如用户的手指)位于该屏幕上时该触笔的位置。这允许用户选择、突出显示和移动屏幕上的项目、以及画和写。pda还包括多个用户输入键或者按钮，其允许用户滚动浏览在显示器上所显示的菜单选项或其他显示选项，并且允许用户在不接触显示器的情况下改变应用或者选择用户输入功能。尽管没有示出，但pda也可以包括内置天线和支持与其他计算机进行无线通信的红外发射机/接收机、以及支持至其他计算设备的硬件连接的连接端口。通常而言，这样的硬件连接是通过支架(cradle)来实现的，该支架通过串行或usb端口连接至其他计算机。因此，这些连接是非网络连接。

图9是在本文中所描述的实施例在其中特别有用的另一移动设备的图解图。智能电话71具有显示图标或图块(tile)或者其他用户输入机制75的触摸感应显示器73。用户可以使用机制75来运行应用、进行通话、执行数据传输操作等。通常而言，智能电话71被构建在移动操作系统上，并且提供比功能电话更先进的计算能力和连通性。应当注意的是，其他形式的设备16是可能的。

图10是其中可以部署架构100或其部分的计算环境的一个实施例。参考图10，用于实现一些实施例的示例系统包括以计算机810为形式的通用计算设备。计算机810的组件可以包括但不限于：处理单元820、系统存储器830、以及将包括系统存储器的各种系统组件耦合至处理单元820的系统总线821。系统总线821可以是几种类型的总线结构中的任何一种，包括使用多种总线架构中的任何一种的存储器总线或存储器控制器、外围总线、以及本地总线。作为示例而非限制，这样的架构包括工业标准结构(isa)总线、微通道架构(mca)总线、增强型isa(eisa)总线、视频电子标准关联(vesa)本地总线、以及外围组件互连(pci)总线(也被称为mezzanine总线)。关于图1所描述的存储器和程序可以部署在图10的对应的部分中。

计算机810通常包括宽泛的多种计算机可读介质。计算机可读介质可以是能够由计算机810来访问的任何可用的介质，并且包括易失性介质和非易失性介质两者、可移动介质和不可以移动介质两者。作为示例而非限制，计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质不同于并且不包括经调制的数据信号或载波。计算机存储介质包括硬件存储介质，所述硬件存储介质包括以用于存储信息(例如，计算机可读指令、数据结构、程序模块、或其他数据)的任何方法或技术来实现的易失性和非易失性的、可以移动和不可移动的介质。计算机存储介质包括但不限于：ram、rom、eeprom、闪速存储器或其他存储器技术、cd-rom、数字通用盘(dvd)或者其他光盘存储、盒式磁带、磁带、磁盘存储或其他磁存储设备、或者可以用于存储期望的信息并且可以由计算机810来访问的任何其他介质。通常而言，通信介质实施计算机可读指令、数据结构、程序模块、或传输机制中的其他数据，并且包括任何信息传递介质。术语“已调制的数据信号”是指这样的信号：具有使该信号的特性中的一个或多个以如将信息编码在信号中的方式来设置或改变的信号。作为示例而非限制，通信介质包括诸如有线网络或直接有线连接之类的有线介质，以及诸如声学、rf、红外、和其他无线介质之类的无线介质。上文中的任何组合也应当被包括在计算机可读介质的范围内。

系统存储器830包括以易失性存储器和/或非易失性存储器为形式的计算机存储介质，例如只读存储器(rom)831和随机存取存储器(ram)832。通常将基本输入/输出系统833(bios)(其包含有助于例如在启动期间，在计算机810中的元件之间传输信息的基本例程)存储在rom831中。ram832通常包含可以由处理单元820立即访问和/或目前由处理单元820操作的数据和/或程序模块。作为示例而非限制，图10示出了操作系统834、应用程序835、其他程序模块836、以及程序数据837。

计算机810还可以包括其他可移动/不可移动易失性/非易失性计算机存储介质。仅仅作为示例，图10示出了从不可移动、非易失性磁介质中读取信息或者向其写入信息的硬盘驱动器841，用于从可移动、非易失性磁盘852中读取信息或者向其写入信息的磁盘驱动器851，以及用于从可移动、非易失性光盘856(例如，cdrom或其他光学介质)中读取信息或者向其写入信息的光盘驱动器855。可以在示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于：盒式磁带、闪速存储器卡、数字通用盘、数字视频磁带、固态ram、固态rom等。硬盘驱动器841通常通过不可移动存储器接口(例如，接口840)而连接至系统总线821，磁盘驱动器851和光盘驱动器855通常通过可移动存储器接口(例如，接口850)连接至系统总线821。

可替代地或另外地，在本文中所描述的功能可以至少部分地由一个或多个硬件逻辑组件来执行。作为示例而非限制，可以使用的说明性类型的硬件逻辑组件包括：现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、片上系统(soc)、复杂可编程逻辑器件(cpld)等。

在上文中讨论并在图10中示出的驱动器及其相关联的计算机存储介质提供对计算机可读指令、数据结构、程序模块、和针对计算机810的其他数据的存储。例如，在图10中，硬盘驱动器841被示出为对操作系统844、应用程序845、其他程序模块846、以及程序数据847进行存储。应当注意的是，这些组件可以与操作系统834、应用程序835、其他程序模块836、以及程序数据837相同或不同。在这里，给操作系统844、应用程序845、其他程序模块846、以及程序数据847以不同的标号从而说明至少它们是不同的复本。

用户可以通过诸如键盘862、麦克风863、以及指向设备861(例如，鼠标、轨迹球、或触摸板)之类的输入设备来向计算机810中输入命令和信息。其他输入设备(未示出)可以包括：操纵杆、游戏垫、碟式卫星天线、扫描仪等。这些和其他输入设备通常通过耦合至系统总线的用户输入接口860而连接至处理单元820，但也可以通过诸如并行端口、游戏端口、或通用串行总线(usb)之类的其他接口和总线结构而连接。可视显示器891或者其他类型的显示设备也经由诸如视频接口890之类的接口而连接至系统总线821。除了监视器之外，计算机还可以包括其他外围输出设备，例如扬声器897和打印机896，它们可以通过输出外围接口895而连接。

计算机810是使用至一个或多个远程计算机(例如，远程计算机880)的逻辑连接而在网络化环境下操作的。远程计算机880可以是个人计算机、手持设备、服务器、路由器、网络pc、对等设备、或其他公共网络节点，并且通常包括在上文中相对于计算机810所描述的元件中的许多个或全部元件。在图10中所描绘的逻辑连接包括局域网(lan)871和广域网(wan)873，但也可以包括其他网络。这样的网络环境在办公室、企业范围的计算机网络、内联网、以及互联网中是常见的。

当在lan网络环境中使用时，将计算机810通过网络接口或者适配器870连接至lan871。当在wan网络环境中使用时，计算机810通常包括调制解调器872、或者用于通过wan873(例如，互联网)来设定通信的其他单元。可以将调制解调器872(其可以是内置的或者外置的)经由用户输入接口860或者其他合适的机制连接至系统总线821。在网络化环境中，可以将相对于计算机810或其一部分所描述的程序模块存储在远程存储器存储设备中。作为示例而非限制，图10将远程应用程序885示出为驻留在远程计算机880上。应当理解的是，所示出的网络连接是示例性的，并且也可以使用在计算机之间设定通信链路的其他方式。

还应当注意的是，可以以不同的方式对在本文中所描述的不同的实施例进行组合。即，可以将一个或多个实施例的部分与一个或多个其他实施例的部分进行组合。在本文中构想到所有这些组合。

示例1是一种被配置为提供对电子内容的访问的计算系统，所述系统包括：处理器、数据存储、以及用户界面组件。数据存储被耦合至所述处理器并且被配置为存储所述电子内容。所述用户界面组件被耦合至所述处理器并且被配置为生成用户界面，所述用户界面允许内部用户生成用于与外部用户共享电子内容的共享请求。所述处理器被配置为确定所述内部用户是否是被允许向外部共享内容的群组的成员，并且如果所述内部用户不是被允许向外部共享所述电子内容的所述群组的成员，则禁止将所述电子内容与所述外部用户的外部共享。

示例2是根据任一或所有先前示例的计算系统，其中，所述处理器被配置为：如果所述内部是被允许向外部共享所述内容的群组的成员，则允许所述外部共享请求。

示例3是根据任一或所有先前示例的计算系统，其中，所述电子内容包括存储在所述数据存储中的站点。

示例4是根据任一或所有先前示例的计算系统，其中，所述电子内容包括存储在所述数据存储中的文件夹。

示例5是根据任一或所有先前示例的计算系统，其中，所述电子内容包括存储在所述数据存储中的文件。

示例6是根据任一或所有先前示例的计算系统，其中，所述处理器还被配置为生成所述共享请求已经被拒绝的通知。

示例7是根据任一或所有先前示例的计算系统，其中，所述通知被提供至所述内部用户。

示例8是根据任一或所有先前示例的计算系统，并且还包括访问控制组件，所述访问控制组件保存内部用户的列表以及针对所述内部用户的安全群组成员资格信息。

示例9是根据任一或所有先前示例的计算系统，其中，所述处理器被配置为占用所述访问控制组件以确定所述内部用户是否是被允许向外部共享所述电子内容的安全群组的成员。

示例10是根据任一或所有先前示例的计算系统，其中，所述访问控制组件包括可以针对每个安全群组而向外部共享的电子内容的列表。

示例11是根据任一或所有先前示例的计算系统，其中，所述处理器被配置为占用所述访问控制组件以确定所述内部用户是否是被允许向外部共享所述电子内容的安全群组的成员。

示例12是一种被配置为提供对电子内容的访问计算系统，所述系统包括：处理器、数据存储、用户界面组件、和访问控制组件。所述数据存储被耦合至所述处理器并且被配置为存储所述电子内容。所述用户界面组件被耦合至所述处理器并且被配置为生成用户界面，所述用户界面允许责任方指定被允许向外部共享至少一些内容的内部用户的群组。所述访问控制组件被配置为从内部用户接收外部共享请求，并且确定所述内部用户是否是所述内部用户的群组中的成员，并且如果所述用户是所述内部用户的群组中的成员，则选择性地允许所述共享请求。

示例13是根据任一或所有先前示例的计算系统，其中，所述访问控制组件还被配置为确定所述外部共享请求是否也是针对所述内部用户的群组被允许向外部共享的内容的。

示例14是根据任一或所有先前示例的计算系统，其中，所述处理器被配置为生成所述外部共享请求被拒绝了的通知。

示例15是根据任一或所有先前示例的计算系统，其中，所述处理器被配置为生成用于向外部共享所述内容的共享链接。

示例16是根据任一或所有先前示例的计算系统，其中，所述外部共享请求是通过应用编程接口(api)接收的。

示例17是一种使用数据存储系统来共享电子内容的计算机实现的方法。所述方法包括从内部用户接收用于向外部共享存储在所述数据存储系统中的电子内容的请求。所述方法确定所述内部用户是否是外部共享针对其被允许的内部用户的定义的群组中的成员。如果所述内部用户是外部共享针对其被允许的所述内部用户的定义的群组中的成员，则向外部共享所述电子内容。

示例18是根据任一或所有先前示例的计算机实现的方法，其中，所述请求是通过所述数据存储系统的应用编程接口接收的。

示例19是根据任一或所有先前示例的计算机实现的方法，其中，所述应用编程接口被配置为从多个不同的用户设备模态接收请求。

示例20是根据任一或所有先前示例的计算机实现的方法，并且还包括：如果所述内部用户不是外部共享针对其被允许的所述定义的群组中的成员，则生成指示所述内部用户不是所述定义的群组中的成员的通知。

尽管已经用特定于结构特征和/或方法行为的语言描述了本主题，但应当理解的是，在所附权利要求中所定义的主题非必须限于在上文中所描述的具体的特征或行为。相反，在上文中所描述的具体的特征或行为是作为实现所述权利要求的示例形式而公开的。