説明

コンピュータシステムにおけるユーザー権限の管理

【課題】コンピュータシステムにおけるユーザー権限の管理のためにコンピュータと組み合わせてプリンタを作動させる方法を提供する。
【解決手段】この方法は、コンピュータに存在する1つまたは複数のプリンタドライバの権限を、オペレーティングシステムが管理するオブジェクトに関連付けること、および当該印刷デバイスで印刷が試行された場合、またはプリンタドライバのユーザーインタフェースが開かれた場合に、オペレーティングシステム管理オブジェクトの1つまたは複数のセキュリティ設定に従い、当該権限の状態を設定することで構成される。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータシステムにおけるユーザー権限の管理に関連するものであり、特に(必ずしもこれに限られず)ユーザー端末の印刷権限の管理にも応用可能なものである。ユーザー権限は、コンピュータシステムのユーザーに与えられる許可、権限または権利である。
【背景技術】
【0002】
クライアントコンピュータがプリンタを使用できるようにするため、通常、クライアントコンピュータには、印刷情報の生成に使用されるアプリケーションおよびプリンタ間の橋渡し役を果たすプリンタドライバが提供される。印刷中のプリンタドライバの役割は、ユーザーが意識せずに済むものであり、プリンタドライバには一般に、ユーザーが印刷動作を制限された形ながら制御できるようにするユーザーインタフェースが備わっている。Windows(登録商標)オペレーティングシステムを使用しているクライアントコンピュータの場合、アプリケーションの印刷オプションを選択し、特定のプリンタを選択するか、または [スタート] メニューからプリンタの設定を選択することで、プリンタドライバのユーザーインタフェースを表示できる。
【0003】
プリンタコンソールへの従来技術によるアプローチは、次の特許文献1〜20にて検討されている。
【特許文献1】特開2002−149362号公報
【特許文献2】米国特許出願公開2004/141203号公報
【特許文献3】米国特許出願公開2004/223182号公報
【特許文献4】欧州特許出願公開0911723号公報
【特許文献5】米国特許5580177号公報
【特許文献6】米国特許6396594号公報
【特許文献7】米国特許出願公開2001/030755号公報
【特許文献8】米国特許出願公開2002/143773号公報
【特許文献9】米国特許出願公開2003/112456号公報
【特許文献10】米国特許出願公開2003/135549号公報
【特許文献11】米国特許出願公開2004/017580号公報
【特許文献12】米国特許出願公開2004/105112号公報
【特許文献13】米国特許出願公開2004/125398号公報
【特許文献14】米国特許出願公開2004/136023号公報
【特許文献15】米国特許出願公開2004/227973号公報
【特許文献16】国際公開2004/084078号公報
【特許文献17】特開2003−228470号公報
【特許文献18】特開2004−021554号公報
【特許文献19】特開2004−334660号公報
【特許文献20】特開2004−280227号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
企業LAN(Local Area Network)またはWAN(Wide Area Network)のような企業ネットワークの場合、ネットワーク管理者は、個人ユーザーが利用できる印刷オプションを制限する場合がある。たとえば、特定のプリンタに対して、管理者が、一部ユーザーにはカラーおよびモノクロ印刷をできるよう許可し、他のユーザーにはモノクロ印刷のみを行えるようにする場合である。これまでは、このような柔軟性は、ユーザーに別々の
ドライバを配布することによってのみ可能であった。しかしこれは、「1つのドライバですべてに対応できる」ことを望むシステム管理者にとっては頭の痛い問題である。またこうしたアプローチを取ると、容易かつ効率的にユーザー権限を修正できなくなってしまう。
【課題を解決するための手段】
【0005】
本発明の第1の観点は、コンピュータシステムで実行可能なソフトウェアのユーザー権限を指定、制御する方法である。この方法は、ソフトウェア実体の1つまたは複数の権限を、オペレーティングシステムが管理しているオブジェクト(オペレーティング管理オブジェクト)に関連付けることで構成される。
【0006】
本発明の実施例は、マップされたオペレーティングシステム管理オブジェクトに対するユーザーアクセス権限を適切に設定することにより、ソフトウェア実体の権限の状態(「許可」または「拒否」)を指定できるようにするものである。
【0007】
上記オペレーティングシステム管理オブジェクトは、パイプ、キュー、ポート、フラグ、共有メモリ、ファイル、ディレクトリのいずれかである。オブジェクトがファイルである場合には、ソフトウェア実体の権限を指定するために使用するユーザー権限は、読み取り権限、または読み取りおよび実行権限である。
【0008】
上記オペレーティングシステム管理オブジェクトは、オペレーティングシステムでサポートされている既存の管理可能オブジェクトの拡張(Microsoft Windows(登録商標)ADSオブジェクトのスキーマ更新による拡張、またはMicrosoft Windows(登録商標)ADAMオブジェクトが権限を扱えるようにするための追加機能など)により構成される。
【0009】
上記コンピュータシステムは、通信ネットワークと組み合わされ、ネットワークサーバーによって管理されたネットワークを持つクライアントコンピュータシステムであることが好ましい。ソフトウェア実体の権限に関連付けられたオブジェクトは、ネットワークサーバーに保存できる。インストール時および/またはソフトウェア実体の使用時に、ソフトウェアはネットワークサーバと通信し、権限の状態を判別できる。
【0010】
権限を変更することで、ソフトウェア実体により実行される機能へのアクセスを制御できる。権限の状態は、ソフトウェア実体を制御するためのユーザーインタフェースの状態を決定する。たとえば、権限の状態により、ユーザーインタフェースでボタンを選択できるようにするかどうかを判別できる。
【0011】
本発明の実施例において、上記ソフトウェア実体はプリンタドライバである。権限は、カラー印刷、オーバレイ、ウォーターマークなどに関連する場合がある。
【0012】
本発明の2番目の観点は、コンピュータシステムと組み合わせ、印刷デバイスを動作させる方法である。この方法は、コンピュータシステムに存在する1つまたは複数のプリンタドライバの権限を、オペレーティングシステムが管理するオブジェクトに関連付けること、および上記印刷デバイスで印刷が試行された場合、またはプリンタドライバのユーザーインタフェースが開かれた場合に、オペレーティングシステム管理オブジェクトの1つまたは複数のセキュリティ設定に従い、上記の権限の状態を設定することで構成される。
【0013】
上記オペレーティングシステム管理オブジェクトは、通信ネットワークを通じて、上記コンピュータシステムと組み合わされたネットワークサーバーに保存することができる。上記状態を設定する上記の手順は、上記ネットワークを通じ、上記コンピュータシステム
から上記オブジェクトにアクセスを試行することにより構成される。オブジェクトにアクセスが可能な場合には、権限の状態は「許可」に設定される。オブジェクトにアクセスできない場合には、権限の状態は「拒否」に設定される。
【0014】
本発明の第3の観点は、本発明の第1または第2の観点の方法を実行するようプログラムされたコンピュータである。
【発明を実施するための最良の形態】
【0015】
本発明の理解を容易にするため、および同様のことを実現する方法を示すため、次のような図を含む例を示すことにより、参考情報を提供する。
【0016】
ここでは、印刷オプションの制御を可能にするという問題に対する解決策を提示する。この解決策は、クライアント端末およびネットワークオペレーティングシステム間で動作するユーザー権限システムに基づくものである。この権限システムは、独自の方法でオペレーティングシステムの機能を拡張している。プリンタの供給業者は、(Windows(登録商標)、Linux(登録商標)、BeOS、MacOS(登録商標)、Symbian(登録商標)オペレーティングシステムまたは同種のシステム、Novell NetWare(登録商標)、または代替ソリューションを問わず)通常のオペレーティングシステム環境において管理可能な権限を定義できるようになる。これらの権限は、たとえば、ユーザー端末に表示されるプリンタドライバのグラフィカルユーザーインタフェース(GUI(Graphical User Interface))に任意の項目を表示させるかどうか(プリンタドライバのすべてのタブを表示するかどうか)を決定し、またクライアント端末によって使用可能なハードウェア機能にも影響を持つ(たとえばカラー印刷またはモノクロ印刷)。また、この権限は、デバイスドライバ(本件においてはプリンタドライバ)からオペレーティングシステムに報告されるデバイス機能(以下「DevCaps」という。)にも影響を持つ。
【0017】
権限をもとにしたメカニズムは、ドライバを適切に使用するために保存されるデータのランタイム使用を管理できる。データには、オーバレイマクロ、ウォーターマーク、ファクシミリ、ヘッダページ、およびジョブチケット、ジャーナルファイル、プリントファイルなどのメタデータが含まれるが、これらに限るものではない。オーバレイ機能の場合を例として挙げることとする。オーバレイは、印刷ジョブとして同時に印刷可能な、特殊な情報「ページ」である。典型的な例としては、レターヘッドオーバレイがある。この場合、レターヘッドは、ワードプロセッサのテンプレートを必要とすることなく、ドキュメントと一緒に印刷可能となる。オーバレイの別の使用例としては、フォーム印刷がある。ここで紹介するソリューションでは、オーバレイの使用、オーバレイの作成、およびオーバレイの削除などの機能を使用するユーザー権限を制御可能である。この制御は、たとえば、必要な権限を持たないユーザーに対して、ドライバGUIのオーバレイ関連のボタンを無効にすることにより実現可能となる。完全なオーバレイ権限とプリントマネージャ権限を持つユーザーは、図1に示すようなGUIを使用して、オーバレイの作成、オーバレイの削除、およびプリンタへのオーバレイの送信が可能である。図2は、オーバレイ削除オプションを使用する権限を持たない別のユーザーが利用可能なGUIを示している。
【0018】
このソリューションは、ソフトウェアによって使用されるデータストアのデータへのアクセスを管理するために使用できる。この方法により、たとえば、特定のオーバレイへのアクセスを一部のユーザーにのみ制限することが可能となる。データストアは、ネットワークまたはローカルコンピュータ上に配置でき、別の場所に配信することができる。ただし、ここで提案するソリューションは、ソフトウェア内からアクセスを管理するものである。
【0019】
ここに記載するソリューションは、あらゆるプリンタ関連のコントロールで使用できる。これは「ボタン」を、(上記の例のように単に無効化するだけでなく)ユーザー権限に基づいてユーザーインタフェースから削除できることを意味する。例としてはカラーの使用が挙げられる。図3のサンプルのGUIに示すように、プリンタドライバが一部のユーザーにはカラードライバとして表示され、図4のサンプルに示すように、他のユーザーにはモノクロドライバとして表示されるようにするなど、カラーの使用を必要なアクセス権限のみに容易に制限できるようになる。同様の方法で制御可能な他の機能には、ウォーターマークへのユーザーアクセスがある。
【0020】
図5は、Windows(登録商標)環境における、従来技術によるネットワーク印刷へのアプローチの概要を図示したものである。ユーザー端末(PC(Personal Computer))にドライバがインストールされると、ユーザーが印刷オプションを選択した場合でも、ユーザーがネットワークにログインした後、サーバーの論理的な関与は発生しない。ネットワーク管理者は、ドライバ/プリンタの一般的な可用性を制御することを除き、ドライバ/プリンタの管理には関与しない。このことは図6にさらに詳細に示されている。
【0021】
ここに示すソリューションでは、権限の管理は、IT(Information Technology)システム管理者により、Windows(登録商標)(Windows NT(登録商標)以上)のUserGroupメンバーシップ機能または「アクティブディレクトリ」(Active Directory(登録商標)、ADS)のいずれかを使用して実行される。ADSの場合、オブジェクトはドライバ(または同一の権限定義を共有するドライバのグループ)を表し、このオブジェクトは関連付けられた権限(Access Watermarkダイアログボックスなど)を有している。IT管理者はADSセキュリティタブを使用し、または相手先ブランド製造(OEM(Original Equipment Manufacturer))メーカーは、これらの権限を付与または拒否するためのカスタムツールを提供し、既存の権限割り当てを表示することができる。Novell NetWare(登録商標)またはLinux(登録商標)ベースシステムなどのWindows(登録商標)以外のシステムでもこの拡張機能が使用できるため、ドライバインフラストラクチャはプラットフォームに依存しないものとなり、権限を適切に有効化/拒否するためにオペレーティングシステムの機能を使用できる。
【0022】
図7では、ユーザープリンタ権限を制御するための修正されたアプローチが示されている。ユーザーが印刷オプションを選択(実際の印刷およびプリンタドライバGUIを開く動作を含む)した場合、プリンタドライバはネットワークサーバーと通信を行って、そのユーザーに対する適切な権限を決定する。ユーザーに表示されるGUIは、サーバーによって返される権限に基づいて構成される。これは図8にさらに詳細に示されている。プリンタドライバからプリンタに送信される印刷ジョブは、利用可能な権限による制限を受ける。
【0023】
オペレーティングシステムが管理するオブジェクトを使用して、コンピュータソフトウェア(プリンタドライバまたはその他のソフトウェア)の異なる機能およびGUIエレメントにアクセス権限を与えることにより、ユーザー権限の作成と制御を円滑化できる。名前を付けられた権限は、これらのオブジェクトに効果的にマップされる。これにより、作成可能なオペレーティングシステム管理オブジェクトは、名前の付いた権限を表すことができるようになる。オペレーティングシステム管理オブジェクトには、たとえば、パイプ、キュー、ポート、フラグ、共有メモリ、ファイル、ディレクトリなどが含まれる。これらのオブジェクトはすべて、ネットワーク管理者によって管理可能なセキュリティプロパティを備えている点で共通している。そのため、権限を管理するためにカスタムデータベースを構築する必要は解消される。これらはすでに存在しているオペレーティングシステムのメカニズムを通じて利用可能である。
【0024】
必要となる管理オブジェクトは、適切なアプリケーション・プログラミング・インタフェース(API(Application Programming Interface))を使用して、ソフトウェアデベロッパが作成可能である。オブジェクトには、そのオブジェクトが(直接的または間接的に)表す特定の権限を示す名前が与えられる。クライアント端末で実行中のソフトウェアは、実行時(プリンタドライバの場合には、印刷時、ユーザーインタフェースの表示時、またはプリンタドライバのその他のイベント時)にこれらの権限を読み取り、これらの権限に基づいて動作を修正することができる。提案ソリューションは、ソフトウェアアプリケーション独自の設計要件に基づき、オペレーティングシステム内で利用可能な権限を拡張するもので、オペレーティングシステムによる制約を受けない。しかし既存のオペレーティングシステムの権限は、ソフトウェアによって制限/アクセス権限が追加された場合を除き、何らの影響を受けることなく動作可能である。
【0025】
通常、ネットワーク管理者によってドライバが最初にネットワークサーバーにインストールされた場合、インストールプロセスは、各権限について適切な名前のオブジェクトを作成する。これらのオブジェクトは通常ネットワークサーバーに保存される。ただしこれは必須ではない。APIによって作成され、個々の権限にマップされたオブジェクトがファイルとなるシナリオを例として挙げる。図9は、usecolour、overlays_creategrantedなどの権限に対応した、Microsoft Internet Explorer(登録商標)で表示されるファイルを示している。この図は、ネットワーク管理者がusecolourファイルを選択したことを示している。Windows(登録商標) O/Sでは、このファイルの権限を設定するためには、管理者がファイルを選択して右クリックし、「プロパティ」オプションを選択する。そして管理者が「セキュリティ」タブを選択すると、図10に示すようなパネルが表示される。ネットワークに属する個人またはユーザーのグループは、表示されたパネルの上部にあるボックスで選択できる。次に管理者は、下部のボックスに表示される「許可」および「拒否」チェックボックスを使用して、ユーザーのアクセス権限を設定する。具体的には、ユーザーまたはユーザーグループに権限を与えるには、「読み取り&実行」「許可」チェックボックスを選択しなければならない。
【0026】
ドライバが最初にクライアント端末にインストールされると、必要な権限のリストが作成され保存される。次にドライバは、ネットワーク管理者の設定に従い、ネットワークサーバーと通信し、各権限の状態を決定する。このチェックにはドライバが権限にマップされたファイルの読み取りを試行することのみが伴う。読み取りアクセスが許可されると、権限が与えられたとみなされる。反対に読み取りアクセスが拒否されると、権限が拒否されたものとみなされる。
【0027】
このソリューションは、APIを使用し、コンピュータアクセス用に実装された認証システムを通じて、管理オブジェクトを存在可能にするものであるため、Microsoft Windows(登録商標)プリンタドライバまたはアプリケーションなどのクライアントベースのソフトウェアでは、サーバで異なるオペレーティングシステム環境が複数使用されている場合でもソフトウェアの管理を行うことができる。たとえば、Novell NetWare(登録商標)またはUnix(登録商標)ベースのユーザー認証システムも、本発明を使用して動作する。
【0028】
提案ソリューションは、ローカルストア上に継承された権限により一定レベルのオフラインサポートを提供できる。これは、一時的に接続が切断された権限をベースとする管理を考慮したもので、ローカルストアの例としては、プリンタドライバまたは他のアプリケーションソフトウェアに関連付けられたレジストリベースのデータなどがある。この規則は、一定のタイムアウト期間が経過した後に、ドライバ/アプリケーションソフトウェアが指定されたデフォルトの動作に戻ることを考慮したもので、タイムアウト期間中、ドラ
イブはネットワークサーバにアクセスできない。本発明の範囲から逸れることなく、上記の具体的応用に対しさまざまな修正が行われうることについては、当技術の専門知識を持つ人物によって理解されたい。
【図面の簡単な説明】
【0029】
【図1】完全なユーザー権限を持つ、オーバレイ設定を制御するためのWindows(登録商標)プリンタドライバユーザインターフェイス(GUI)を示したものである。
【図2】部分的なユーザー権限を持つ、オーバレイ設定を制御するためのWindows(登録商標)プリンタドライバGUIを示したものである。
【図3】フルカラー印刷用に設定されたWindows(登録商標)プリンタドライバUIを示したものである。
【図4】モノクロ印刷用に設定されたWindows(登録商標)プリンタドライバUIを示したものである。
【図5】従来のWindows(登録商標)印刷プロセスの概要を図示したものである。
【図6】図5のプロセスに関連するコンポーネントの概要を図示したものである。
【図7】修正されたWindows(登録商標)印刷プロセスの概要を図示したものである。
【図8】図7のプロセスに関連するコンポーネントの概要を図示したものである。
【図9】プリンタドライバ権限を示すオペレーティングシステム管理ファイルを表示しているWindows(登録商標) Internet Explorer(登録商標)パネルを示したものである。
【図10】図9のパネルで図示されたファイルの1つについて、Windows(登録商標) Securityタブを示したものである。
【符号の説明】
【0030】
501 ユーザ、503 プリンタ・ドライバ、505 プリンタ、502,504,506,507 ステップ、508,509 管理者、601 パーソナル・コンピュータ、602 文書、603 プリンタ・ドライバ、604 データベース、605 オペレーティング・システム、606 プリンタ、607 ネットワーク・サーバ、608 データベース、701 ユーザ、702 ステップ、703 プリンタ・ドライバ、704 ステップ、705 プリンタ、706,707,708 ステップ、709 管理者、801 パーソナル・コンピュータ、802 文書、803 プリンタ・ドライバ、804 許可レジスタ及び再構成、805 データベース、806 オペレーティング・システム、807 プリンタ、808 ネットワークサーバ、809 データベース、810 延長許可、811 データベース。

【特許請求の範囲】
【請求項1】
コンピュータシステムで実行可能なソフトウェア実体のユーザー権限を指定、制御する方法であって、前記方法は、ソフトウェア実体の1つまたは複数の権限を、オペレーティングシステムが管理しているオブジェクトに関連付けることで構成される。
【請求項2】
前記権限は「許可」または「拒否」のいずれかとなる、請求項1に記載の方法。
【請求項3】
前記オペレーティングシステムが管理しているオブジェクトは、パイプ、キュー、ポート、フラグ、共有メモリ、ファイル、ディレクトリのいずれかとなる、請求項1または請求項2に記載の方法。
【請求項4】
前記オペレーティングシステムが管理しているオブジェクトは、オペレーティングシステム内でサポートされている既存の管理可能なオブジェクトを拡張したものである、請求項1または請求項2に記載の方法。
【請求項5】
前記オペレーティングシステムが管理しているオブジェクトはファイルであり、ソフトウェア実体の権限の指定に使用されるファイルのユーザー権限は、「読み取り」または「読み取りおよび実行」権限である、請求項1または請求項2に記載の方法。
【請求項6】
前記コンピュータシステムは、通信ネットワークと組み合わされ、ネットワークサーバーによって管理されたネットワークを持つクライアントコンピュータシステムである、請求項1〜5のいずれか1項に記載の方法。
【請求項7】
ソフトウェア実体の権限に関連付けられた前記オペレーティングシステムを管理しているオブジェクトは、ネットワークサーバーに保存される、請求項6に記載の方法。
【請求項8】
インストール時および/またはソフトウェア実体の使用時における、ソフトウェア実体が権限の状態を識別するための、ソフトウェア実体およびネットワークサーバー間の通信で構成される、請求項7に記載の方法。
【請求項9】
権限の状態により、ソフトウェア実体により実行される機能へのアクセスを制御する、請求項1〜8のいずれか1項に記載の方法。
【請求項10】
権限の状態により、ソフトウェア実体を制御するためのユーザーインタフェースの状態を決定する、請求項1〜9のいずれか1項に記載の方法。
【請求項11】
権限の状態により、ソフトウェア実体により使用されるデータストアの特定データへのアクセス権限を決定する、請求項1〜10のいずれか1項に記載の方法。
【請求項12】
権限の状態により、ソフトウェア実体を制御するためのデータストアの特定データへのアクセス権限を決定する、請求項1〜11のいずれか1項に記載の方法。
【請求項13】
権限の状態により、データストアの特定データを作成、管理、またはアクセスするためのアクセス権限を決定する、請求項のいずれか1項に記載の方法。
【請求項14】
前記のソフトウェア実体はプリンタドライバである、請求項1〜13のいずれか1項に記載の方法。
【請求項15】
前記のコンピュータシステムは、プリンタドライバによって制御される印刷デバイスと
組み合わされる、請求項14に記載の方法。
【請求項16】
前記ソフトウェア実体は管理アプリケーションである、請求項1〜15のいずれか1項に記載の方法。
【請求項17】
コンピュータシステムと組み合わせ、印刷デバイスを動作させる方法であって、前記方法は、コンピュータシステムに存在する1つまたは複数のプリンタドライバの権限を、オペレーティングシステムが管理するオブジェクトに関連付けること、および前記印刷デバイスで印刷が試行された場合、またはプリンタドライバのユーザーインタフェースが開かれた場合に、オペレーティングシステムが管理するオブジェクトの1つまたは複数のセキュリティ設定に従い、前記権限の状態を設定することで構成される。
【請求項18】
前記オペレーティングシステムを管理するオブジェクトは、通信ネットワークを通じて、前記コンピュータシステムと組み合わされたネットワークサーバーに保存される、請求項17に記載の方法。
【請求項19】
前記権限の状態を設定する前記の手順は、前記ネットワークを通じ、前記コンピュータシステムから前記オブジェクトへのアクセスを試行することにより構成され、前記オブジェクトにアクセスできない場合には、権限の状態は「拒否」に設定され、オブジェクトへのアクセスが可能な場合には、権限の状態は「許可」に設定される、請求項18に記載の方法。
【請求項20】
請求項1〜19のいずれか1項に記載の方法を実行するようにプログラムされた、コンピュータ。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate


【公開番号】特開2007−87395(P2007−87395A)
【公開日】平成19年4月5日(2007.4.5)
【国際特許分類】
【出願番号】特願2006−255722(P2006−255722)
【出願日】平成18年9月21日(2006.9.21)
【出願人】(505388322)ソフトウェア 2000 リミテッド (3)
【Fターム(参考)】