情報処理装置、ポリシー適用方法、プログラム、及びシステム
【課題】Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置等を提供する。
【解決手段】本発明に係る情報処理装置は、第1のOSを有し、情報処理装置に対しまた情報処理装置のユーザ等に対しポリシーを適用するサーバと、第2のOSを有する第2の情報処理装置とにネットワークを介して接続される第1のOSを有する第1の情報処理装置であって、サーバからポリシーを取得し保存するポリシー管理手段と、第1のOSから第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、保存されたポリシーをフィルタリングするフィルタ手段とを有し、フィルタリングされたポリシーは、第2の情報処理装置若しくは第2の情報処理装置ユーザ等に適用される。
【解決手段】本発明に係る情報処理装置は、第1のOSを有し、情報処理装置に対しまた情報処理装置のユーザ等に対しポリシーを適用するサーバと、第2のOSを有する第2の情報処理装置とにネットワークを介して接続される第1のOSを有する第1の情報処理装置であって、サーバからポリシーを取得し保存するポリシー管理手段と、第1のOSから第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、保存されたポリシーをフィルタリングするフィルタ手段とを有し、フィルタリングされたポリシーは、第2の情報処理装置若しくは第2の情報処理装置ユーザ等に適用される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、ポリシー適用方法、プログラム、及びシステムの分野に関する。
【背景技術】
【0002】
従来より、Windows(登録商標:以下当該表記は省略)サーバは、Active Directoryによりドメインを構築できることが知られている。Active Directoryとはディレクトリサービスを提供するものであり、ネットワーク用語でディレクトリは、ネットワークオブジェクトの情報を格納する入れ物を意味する。ユーザがログインするときに使うユーザカウント、ユーザが使用するコンピュータのコンピュータアカウント、コンピュータ上にあるファイルを共有する共有フォルダ、ユーザがネットワーク経由で印刷するプリンタなどはすべてActive Directoryのオブジェクトに含まれる。ディレクトリサービスは、ディレクトリ内の情報を管理者やユーザなどが利用できるようにするサービスである。ディレクトリサービスにより、ネットワークオブジェクトの検索やアクセスができ、またそのネットワークオブジェクトの一元管理をすることができる。
【0003】
またActive Directoryでは、ユーザやユーザグループ毎のポリシーについても一元管理可能である。規定されるポリシーにより、セキュリティの設定、Windowsデスクトップのカスタマイズ、アプリケーションの配布などが行える。例えば、ポリシーの具体例として、パスワードポリシー、アカウントロックポリシー、Windows Update(登録商標:以下当該表記は省略)ポリシー、共有フォルダポリシーなどが挙げられる。
【0004】
このような上記Active Directoryの機能を利用して、管理者はネットワーク環境下においてWindowsサーバによりユーザ又はユーザグループ単位で、ユーザ名、パスワード、ポリシーなどのユーザ情報を一元的に管理することができる。ここで、上記ネットワーク環境下において、例えばMFP(多機能周辺装置:Multifunction Peripheral)を導入する場合、特にそのMFPがWindowsとは異なるOS(例えばUnix(登録商標)系)を搭載しているシステムであると、既設のWindowsサーバが管理するポリシーにはWindows特有のポリシーも含まれているため、管理者が一元管理するユーザ情報をMFPに適用し、Windowsサーバの管理下にそのまま入ることは難しいという問題がある。
【0005】
これに関連する技術として、特許文献1には、Windows(R)等のOS(Operating System)により管理されているユーザ情報とジョブアカウントシステムにより管理されているユーザ情報との同期を自動的に行なうことが可能なジョブ管理装置の発明が記載されている。
【0006】
なお、上記MFPは、特に多機能プリンタ(Multifunction Printer)の略称として認識される場合も少なくない。従って本明細書においてのMFPは、ファックス、プリンタ、コピーおよびスキャナなどの各装置の機能を1つの筐体内に収納した画像形成装置であるものとする。
【発明の概要】
【発明が解決しようとする課題】
【0007】
さて実際、上述のように既にWindowsサーバを構築し、Windowsクライアントのユーザに対して規定された各種ポリシーを適用しながらユーザ管理、運用しているネットワーク環境(顧客ネットワーク環境下)において、非Windows OSのMFPが導入される場合がある。そして、MFPが既存ネットワーク環境下に接続される以上、管理者としては導入するMFPについてもできるだけWindowsサーバでそのユーザ情報を管理し、またユーザ(又はユーザグループ)に対して規定されるポリシーも適用したいという要請があった。
【0008】
しかし、実際そのOSの違いからWindowsサーバのポリシーをMFPにそのまま適用することは難しく、それでも実現しようとすると場合によってはWindowsサーバ又はMFP側に対して相当な作り込みをしたり、特別なアプリケーションを付加しなくてはならず(例えば特許文献1参照)、既存Windowsネットワーク環境下にMFPを容易に適用できないという問題があった。
【0009】
即ち、ユーザ又はユーザグループ単位で、ユーザ名、パスワード、ポリシーなどのユーザ情報が一元的に管理されるWindowsネットワーク環境下において、非Windows OSのMFPが導入されるとき、MFP導入の敷居を下げられるよう、MFPが容易に既存のWindowsポリシーの枠組みに参加可能な構成が望まれる。
【0010】
本発明では上記のような問題に鑑みて、Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置、ポリシー適用方法、プログラム、及びシステムを提供することを目的とする。
【課題を解決するための手段】
【0011】
そこで上記課題を解決するため、本発明に係る情報処理装置は、第1のOSを有し、情報処理装置に対しまた情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと、2のOSを有する第2の情報処理装置と、ネットワークを介して接続される第1のOSを有する第1の情報処理装置であって、前記サーバから前記ポリシーを取得し保存するポリシー管理手段と、前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手段により保存されたポリシーをフィルタリングするフィルタ手段と、を有し、前記フィルタリングされたポリシーは、前記第2の情報処理装置若しくは前記第2の情報処理装置ユーザ又はユーザグループに適用されることを特徴とする。
【0012】
また上記課題を解決するため、前記情報処理装置において、前記サーバが管理するユーザ情報及び第2の情報処理装置が管理するユーザ情報と、自装置が管理するユーザ情報とを同期させる同期手段と、を有することを特徴とする。
【0013】
また上記課題を解決するため、前記情報処理装置において、複数の前記第2の情報処理装置が接続され、前記フィルタリングされたポリシーは、複数の前記第2の情報処理装置若しくは複数の前記第2の情報処理装置ユーザ又はユーザグループに適用される。
【0014】
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、などに適用したものも本発明の態様として有効である。
【発明の効果】
【0015】
本発明によれば、Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置、ポリシー適用方法、プログラム、及びシステムを提供することができる。
【図面の簡単な説明】
【0016】
【図1】本実施形態に係るネットワーク環境の一例を示す。
【図2】本実施形態に係るWindowsサーバ100、IT−BOX200、及びMFP300の主要機能構成を示す機能ブロック図である。
【図3】各種ポリシーの具体例を示す。
【図4】フィルタリングされたポリシーの具体的を示す。
【図5】MFP300、IT−BOX200、Windowsサーバ100の処理を説明するフローチャートである。
【図6】本実施形態に係るWindowsサーバ100、IT−BOX220、及びMFP320の主要機能構成を示す機能ブロック図である。
【図7】ユーザ情報211の具体例を示す。
【図8】MFP320、IT−BOX220、Windowsサーバ100の処理を説明するフローチャートである。
【図9】イベント情報の一例を示す。
【図10】本実施形態に係るネットワーク環境の一例を示す。
【発明を実施するための形態】
【0017】
本発明を実施するための形態を各実施形態において図面を用いて説明する。なお、本発明を説明するにあたって、情報処理装置の一実施形態であるMFP(画像形成装置)に本発明を適用した例を以下に示す。MFPは、プリンタ、コピーおよびスキャナなどの複数の機能を一つの筐体内に収納した画像形成装置である。またこれら基本機能だけでなく、デジタル画像技術の高度化やMFPに関連する技術の進化に伴い多彩な機能を有し、ユーザ環境において様々な利用形態を提供している。
【0018】
[実施形態1]
<ネットワーク環境>
図1は、本実施形態に係るネットワーク環境の一例を示す。図に示されるように、Windowsサーバ100、情報処理装置(以下IT-BOXと称する)200、MFP300が、ネットワークを介して接続される。
【0019】
Windowsサーバ100は、管理者によりActive Directoryの機能を有して構築され、Windowsネットワーク環境下において、ユーザやユーザグループ、ポリシー(詳細後述)を管理しているサーバである。IT−BOX200は、MFP300の導入に伴い付随して導入された情報処理装置であり、そのOSはWindows(例えばWindows XP Professional等)により動作するシステムである。IT−BOX200は、その仲介的動作(詳細後述)により非WindowsシステムであるMPF300に対して、Windowsサーバ100の管理するユーザやユーザグループのポリシーを適用させる。MFP300は、Windowsネットワーク環境下に導入された画像形成装置であり、非Windows OS(例えばUnix(登録商標)、Linux等)により動作するシステムである。またネットワークには、例えばWindows XP ProfessionalなどのWindows OSにより動作するWindowsクライアントを接続できる(非図示)。
【0020】
このように本実施形態に係るネットワーク環境では、Windowsサーバ100によるWindowsネットワークに、Windows OSにより動作するIT−BOX200及び非Windows OSにより動作するMFP300が接続される。
【0021】
<機能>
図2は、本実施形態に係るWindowsサーバ100、IT−BOX200、及びMFP300の主要機能構成を示す機能ブロック図である。以下、順に各装置について説明していく。
【0022】
(Windowsサーバ)
図に示されるように、Windowsサーバ100は主な機能として、ポリシー管理部101、設定情報管理部105を有し、パスワードポリシー102、アカウントロックアウトポリシー103、Windows Updateポリシー104、共有フィルダポリシー107、ユーザ情報106を保持している。Windowsサーバ100において、ポリシー管理部101、設定情報管理部105はActive Directoryにより実現されており、Active Directoryによりドメインを構築している。
【0023】
設定情報管理部105はユーザ情報106を管理し、ユーザ情報106には、ユーザが使用するクライアントコンピュータのコンピュータアカウント、ユーザがログインするときに使うユーザカウント(ユーザ名とパスワード)が登録されている。Active Directoryドメインに参加するWindowsクライアントは、コンピュータ起動時やユーザログイン時にWindowsサーバ100の設定情報管理105を介しユーザ情報106に問い合わせ、入力されたアカウントでログインできるか否かの認証がなされる。そしてWindowsクライアントに対して、Windowsサーバ100へのログインを許可する又は許可しない、の認証結果が返信される。なおユーザ情報106は、ユーザカウントがグループ化されている場合、複数のユーザメンバから構成されるユーザグループ情報を含んでいる。
【0024】
ポリシー管理部101は、ユーザやユーザグループ(以下単にグループという)に適用すべきポリシーを管理している。ポリシーは、ユーザやグループ毎に応じて適用させるべきルールが規定されているものであり、本実施形態では一実施例として、パスワードポリシー102、アカウントロックポリシー103、Windows Updateポリシー104、共有フォルダポリシー107が示されている。図3に、各種ポリシーの具体例を示す。
【0025】
パスワードポリシー102では、例えば「パスワードの長さ」、「パスワードの変更禁止期間」、「パスワードの有効期間」、「パスワードの履歴記録」、「パスワードの複雑さ」などが規定される。アカウントロックポリシー103では、例えば何回ログインに失敗したらアカウントをロックしログインできないようするかの「アカウントロック閾値」、ログオンに失敗した回数を何分後にリセットするかの「ロックアウトカウントのリセット」、ロックアウトされたアカウントを何分後に自動的にロックアウト解除するかの「ロックアウト期間」などが規定される。Windows Updateポリシー104では、Windowsシステムソフトウェアのアップデートを自動更新するか否かを設定する「自動更新を構築する」、アップデートするソフトウェアの検出時間を設定する「自動更新の検出頻度」、ソフトウェアのインストールをダウンロード後すぐに行うか否かを設定する「自動更新を直ちにインストールすることを許可する」などが規定される。共有フォルダポリシー107では、ユーザが共有フォルダをActive Directoryに公開するか否かの設定が規定される。
【0026】
このようにポリシー管理101は、各種ポリシーの設定を行うとともに、ユーザやグループに応じて適用すべきポリシー及びそのポリシーの規定値の読み出しを行う。
【0027】
なお、上記ポリシーは次の2種類に分類できる。1つは、Windows クライアント(例えばIT−BOX200)の起動時に反映され、どのユーザカウントでログインしてもそのWindows クライアントに適用される「コンピュータの構成」に関するポリシーがある。もう1つは、起動後、ユーザカウントによるログイン時に伴い適用され、どのWindows クライアントでログインしても、そのユーザカウントに適用される「ユーザの構成」ポリシーがある。パスワードポリシー102及びアカウントロックポリシー103は、「コンピュータの構成」ポリシーに分類され、Windows Updateポリシー104及び共有フォルダポリシー107は、「ユーザの構成」ポリシーに分類できる。「コンピュータの構成」ポリシーと「ユーザの構成」ポリシーが適用されるタイミングは、上記の他に定期的(例えば90分毎)にも適用されうる。
【0028】
(IT-BOX)
図に示されるように、IT−BOX200は主な機能として、セッション管理部203、Windows サーバ認証処理部204、ポリシー管理部205、レジストリ206、フィルタ部207、ポリシーフィルタ208、レジストリ209を有している。
【0029】
IT−BOX200は、MFP300の導入に伴い付随して導入された情報処理装置であり、そのOSはWindows(例えばWindows XP Professional等)により動作するシステムである。従ってIT−BOX200は、Windowsドメイン(Active Directoryのドメイン含む)に参加するWindows201の機能が備わっている。一方Windows201の枠外に示される機能ブロック(セッション管理203、フィルタ部207、フィルタポリシー208、レジストリ209等)は、IT−BOX用ソフトウェアとして組み込まれている機能である。
【0030】
セッション管理部203は、主にセッション管理を司り、例えばWindowsサーバ100、MFP300とのセッションを管理する機能部である。
【0031】
Windows201内のWindows サーバ認証処理部204は、Windowsサーバ100のActive Directoryドメインへの参加機能を有しており、例えばMFP300の操作部308から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログインを行う。つまり、MFP300で入力されたユーザ名とパスワードを使用して、仲介的にWindowsサーバの設定情報管理105に問い合わせ、Directoryドメインへログインできるかの認証を行う。Windowsドメインへの参加が許可された場合(又は失敗した場合)、MFP300の操作部308にその旨表示させる。
【0032】
ここで、IT−BOX200がWindowsサーバ100へのログインに成功すると、Windowsサーバ100のActive Directoryドメインへの参加機能でログインすることになる。よって、ポリシー管理部205は、ログインしたユーザに適用されるポリシー(この場合「ユーザの構成」ポリシーであるWindows Updateポリシーと共有フォルダポリシー)を、Windowsサーバ100からポリシー管理101を介して読み出し、Windows201内のレジストリ206に保存(反映)しておく。
【0033】
また、「コンピュータの構成」ポリシーであるパスワードポリシーとアカウントロックポリシーは、IT−BOX200の起動時にコンピュータアカウントによる認証を経て、Windows201内のポリシー管理205によりレジストリ206に既に保存(反映)されている。IT−BOX200はWindowsをベースとするシステムであるため、Windowsサーバ100からのポリシーはIT−BOX200自身にも当該ポリシーが反映される。例えば、IT−BOX200がWindowsサーバ100への起動時ログインが成功すると、「コンピュータの構成」ポリシーが適用されるため、パスワードポリシーに反する場合、これを満たさせるように動作し、また共有フォルダのActive Directoryへの公開設定が「有効」に設定されている場合はIT−BOX200内の共有フォルダがActive Directoryへ公開される。
【0034】
フィルタ部207は、フィルタポリシー208に基づいてレジストリ206のポリシーのフィルタを行う。上述のように、Windowsサーバ100のポリシーはレジストリ206に保存されている。ここで、パスワードポリシー102、アカウントロックアウトポリシー103、共有フォルダポリシーはMFP300に適用可能なポリシーであるが、Windows Updateポリシー104は非Windows OSのMFP300には適用できないポリシーである。このようにフィルタポリシー208には、予めMFP300に適用可能、不可能なポリシーが規定されているので、フィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP300に適用できないポリシーをフィルタリングする。フィルタリングされたポリシーは、レジストリ209に保存しておく。
【0035】
図4は、フィルタリングされたポリシーの具体的を示す。フィルタリングされた、即ちMFP300に適用しうるポリシーとして、パスワードポリシー、アカウントロックアウトポリシー、共有フォルダポリシーが記述されている。フィルタリングされMPF300に適用されるポリシーは、MFP300のポリシー管理308に反映される。
【0036】
(MFP)
上述のようにMFP300は、Windowsサーバ100及びIT−BOX200とは異なる種類のOSによる画像形成装置システムである。図に示されるように、MFP300は主な機能として、リクエスト管理部302、セッション管理部305、認証処理部306、ポリシー管理部307、操作部308を有している。
【0037】
操作部308は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示する。操作部308からユーザカウントが入力されると、リクエスト管理部302、セッション管理部305を介して、IT−BOX200のWindows サーバ認証処理部204に認証のリクエストを行う。IT−BOX200のWindows サーバ認証処理部204は、MFP300の操作部308から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログインを行う。
【0038】
ポリシー管理部307は、IT−BOX200のレジストリ209からフィルタリングされたポリシーを取得、参照する。そしてポリシーに従うように動作を行う。IT−BOX200の仲介によりWindowsサーバ100にて認証(認証成功)されると、上述したようにIT−BOX200にていわばMFP300用のフィルタリングされたポリシーがレジストリ209に保存されているので、ポリシー管理部307は、IT−BOX200のレジストリ209からフィルタリングされたポリシーを取得し、当該ポリシーに適合しない場合にはMFP300が当該ポリシーに従うように動作を行う。例えば、T−BOX200のレジストリ209からフィルタリングされたポリシーにおいて、パスワードポリシーの「パスワードの有効期限」がMPF300に適用され、当該ユーザカウントのパスワードの有効期限が切れている場合、操作部308にはパスワードの有効期限が切れている旨のメッセージが表示され、パスワードの変更をユーザに促す。また例えば、共有フォルダポリシーが当該ユーザカウントに適用される場合、共有フォルダのActive Directoryへの公開設定が「有効」に設定されていれば、MFP300にて保管されているデータ(文書データなど)を、Active Directoryへ公開する。
【0039】
認証処理部306は、IT−BOX200の仲介によりWindowsサーバ100にて認証(認証成功)されると、MFP300自身へのログイン処理を行う。また当該ポリシーに適合しない場合にはMFP300が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP300自身へのログイン処理を行う。
【0040】
<動作>
図5は、MFP300、IT−BOX200、Windowsサーバ100の処理を説明するフローチャートである。上述と重複する点もあるが以下確認的に説明を行う。
【0041】
MFP300の操作部308は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示する。ユーザにより操作部308からユーザカウントが入力されると(S501)、リクエスト管理部302、セッション管理部305を介して、IT−BOX200のWindows サーバ認証処理部204に認証のリクエストを行う(S502)。
【0042】
IT−BOX200のWindows サーバ認証処理部204は、MFP300の操作部308から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログイン要求を行う(S503)。
【0043】
Windowsサーバ100の設定情報管理部105は、入力されたユーザ名とパスワードを用いて、ユーザ情報106に基づきログイン認証を行う(S504)。ここでは入力されたユーザ名とパスワードがユーザ情報106に登録されており認証は成功とする。なお認証失敗の場合はその旨IT−BOX200に通知すればよい。最終的にMFP300に通知され、MFP300の操作部308に認証失敗の旨、表示される。
【0044】
認証が成功すると、Windowsサーバ100のポリシー管理部101は、当該ユーザカウント(又は属するグループ)に適用すべきポリシーをIT−BOX200へ通知する(S505)。
【0045】
IT−BOX200のポリシー管理部205は、通知されたポリシーをWindows201内のレジストリ206に保存(反映)する(S506)。
【0046】
IT−BOX200のフィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP300に適用できないポリシーをフィルタリングする(S507)。そしてフィルタリングされたポリシーをレジストリ209に保存する(S508)。
【0047】
またIT−BOX200のセッション管理部203は、MFP300のセッション管理部305に対して、認証結果を通知する(S509)。
【0048】
MFP300のポリシー管理部307は、認証成功の通知を受けて、IT−BOX200のレジストリ209からフィルタリングされたポリシーを取得、参照する(S510)。
なおフィルタリングされたポリシーは認証結果(認証成功の場合)とともに通知してもよい。
【0049】
そしてポリシー管理部307は、当該ポリシーへの適合判定を行う(S511)。当該ポリシーに適合しない場合、MFP300が当該ポリシーに従うように適合処理動作を行う(S512)。例えば、IT−BOX200のレジストリ209からフィルタリングされたポリシーにおいて、パスワードポリシーの「パスワードの有効期限」がMPF300に適用され、当該ユーザカウントのパスワードの有効期限が切れている場合、操作部308にはパスワードの有効期限が切れている旨のメッセージを表示し、ポリシーに適合するようにパスワードの変更をユーザに促す。
【0050】
一方、当該ポリシーに適合している場合(S511)、MFP300の認証処理部306は、IT−BOX200の仲介によりWindowsサーバ100にて認証(認証成功)しているので、続いてMFP300自身へのログイン処理を行う(S513)。また当該ポリシーに適合していない場合にはMFP300が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP300自身へのログイン処理を行う。
【0051】
以上のように、既にWindowsサーバでユーザー及びグループ単位で、ユーザー名・パスワード、ポリシーなどのユーザ情報を一元的に管理しているユーザー環境に、多機能周辺装置MFPを導入する場合、特にMFPがWindowsとは異なるOSを搭載していると、Windowsサーバが管理するポリシーにはWindows特有のポリシーも含まれており、管理者が一元管理するユーザ情報にMFPもその管理下にそのまま入ることが困難である。本実施形態によれば、IT−BOXをWindowsサーバとMFP間に仲介させることで、IT−BOXにWindowsサーバが管理するドメインへの参加のために特別な対応を施すことなく、MFPをWindowsサーバのドメインに参加させ、またWindowsサーバが管理するポリシーを適用することができる。
【0052】
なおまた、IT−BOXが仲介役となることでWindowsサーバ、MFPの何れの立場からも管理する機器がIT−BOX一つだけであるので、今後のシステム(Windowsサーバ、IT−BOX、MFP)の拡張を考える上でもIT−BOXでシステム内のバージョンアップなどによる差異を吸収することができる。
【0053】
[実施形態2]
上述の実施形態1において、IT−BOX200は、MFP300とWindows サーバ100のやり取りについて仲介的な動作を行うことにより、非Windows OSのMFP300に対してWindows ドメイン下における各種ポリシーを適用させた。本実施形態2においては、IT−BOX200を実装レベルにより近づけた装置とした上で本発明の適用を行う。
【0054】
IT−BOX220は、Windows201をベースとした装置であり、MFP320のオプション的な位置づけの装置である。MFP320には、各種画像形成機能が実装されているが、MFP320は概して、コピー・ファクス・スキャン・プリントなどの基本機能およびそのH/W制御を行うソフトウェア実装が中心である。一方、MFP320に連携するように装着したIT−BOX220は、MFP320のコピー・ファクス・スキャン・プリントなどの基本機能より取得された画像データや情報などを用いて、画像データの大容量蓄積や高度な画像処理など、付加価値機能を提供できるようになっている。このようなIT−BOX220の実装レベルの役割からすると、そのOSには汎用的なWindows OSが採用されることが望ましい。短期間で高品質な付加価値機能(ソフトウェア)の開発、提供が容易だからである。
【0055】
即ち本実施形態2において、IT−BOX220は、MFP320の導入に伴い、より付加価値的な画像形成処理機能を提供するために付随して導入された情報処理装置であり、そのためそのOSはWindows(例えばWindows XP Professional等)により動作するシステムになっている。以下説明する。
【0056】
<機能>
図6は、本実施形態に係るWindowsサーバ100、IT−BOX220、及びMFP320の主要機能構成を示す機能ブロック図である。上述の実施形態1(図2)と比べ、Windowsサーバ100は同様であり、IT−BOX220及びMFP320においてはその構成がやや異なる。本実施形態にて想定されるネットワーク環境は、上述の実施形態1(図1)と同様である。以下説明を進めるが、実施形態1と同様の点などその説明を省略又は簡略する場合がある。
【0057】
(IT-BOX)
図に示されるように、IT−BOX220は主な機能として、セッション管理部203、Windows サーバ認証処理部204、ポリシー管理部205、レジストリ206、フィルタ部207、ポリシーフィルタ208、レジストリ209に加え、MFP認証処理部210、設定情報管理部212、パスワードフィルタ部213、ログ管理部215、アカウント管理部214、操作部216、ユーザ情報211を有している。
【0058】
IT−BOX220は、MFP320の導入に伴い付随して導入された情報処理装置であり、そのOSはWindows(例えばWindows XP Professional等)により動作するシステムである。従ってIT−BOX220は、Windowsドメイン(Active Directoryのドメイン含む)に参加するWindows201の機能が備わっている。一方Windows201の枠外に示される機能ブロック(セッション管理203、フィルタ部207、フィルタポリシー208、レジストリ209、MFP認証処理部210、設定情報管理部212、操作部216等)は、IT−BOX用ソフトウェアとして組み込まれている機能である。
【0059】
IT−BOX220は、Windows201をベースとした装置であり、MFP320のオプション的な位置づけの装置である。MFP320には、各種画像形成機能が実装されているが、MFP320は概して、コピー・ファクス・スキャン・プリントなどの基本機能およびそのH/W制御を行うソフトウェア実装が中心である。一方、MFP320に連携するように装着したIT−BOX220は、MFP320のコピー・ファクス・スキャン・プリントなどの基本機能より取得された画像データや情報などを用いて、画像データの大容量蓄積や高度な画像処理など、付加価値機能を提供できるようになっている。
【0060】
IT−BOX220に汎用的なWindows OSを採用するのは、短期間で高品質な付加価値機能の開発、提供が容易だからである。理由としては、既に製品化されているWindowsベースのソフトウェアやドライバー及びWindowsの標準機能をそのまま採用できる点、開発人口が多い点、開発統合環境(Visual Studio等)のリモートデバッグ機能など、デバッグ環境が充実している点、などが挙げられる。
【0061】
設定情報管理部212は、IT−BOX220が管理するユーザ情報211を管理する。Windowsサーバ100のユーザ情報106と、IT−BOX220のユーザ情報211は別々に管理されるものであるが、ユーザ名などのユーザを判別する情報は基本的に共通である。即ちユーザは共通であるが、IT−BOX220で管理されるユーザ情報211には、IT−BOXソフトウェア固有の情報が含まれる。図7は、ユーザ情報211の具体例を示す。例えばユーザカウントやユーザ関連情報を含んでいる。
【0062】
MFP認証処理部210は、セッション管理部203を介し、MFP320に対してログイン要求を発行する。
【0063】
操作部216は、ユーザ名とパスワードを入力するログイン画面を表示し、ユーザはIT−BOX220がWindowsサーバ100にログインする場合、ユーザは操作部216からユーザ名とパスワードを入力する。
【0064】
セッション管理部203は、主にセッション管理を司り、例えばWindowsサーバ100、MFP320とのセッションを管理する機能部である。
【0065】
Windows201内のWindows サーバ認証処理部204は、Windowsサーバ100のActive Directoryドメインへの参加機能を有しており、例えばIT−BOX220の操作部216から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログインを行う。
【0066】
ここで、IT−BOX220がWindowsサーバ100へのログインに成功すると、Windowsサーバ100のActive Directoryドメインへの参加機能でログインすることになる。よって、ポリシー管理部205は、ログインしたユーザに適用されるポリシー(この場合「ユーザの構成」ポリシーであるWindows Updateポリシーと共有フォルダポリシー)を、Windowsサーバ100からポリシー管理101を介して読み出し、Windows201内のレジストリ206に保存(反映)しておく。
【0067】
また、「コンピュータの構成」ポリシーであるパスワードポリシーとアカウントロックポリシーは、IT−BOX220の起動時にコンピュータアカウントによる認証を経て、Windows201内のポリシー管理205によりレジストリ206に既に保存(反映)されている。
【0068】
フィルタ部207は、フィルタポリシー208に基づいてレジストリ206のポリシーのフィルタを行う。上述のように、Windowsサーバ100のポリシーはレジストリ206に保存されている。ここで、パスワードポリシー102、アカウントロックアウトポリシー103、共有フォルダポリシーはMFP320に適用可能なポリシーであるが、Windows Updateポリシー104は非Windows OSのMFP320には適用できないポリシーである。このようにフィルタポリシー208には、予めMFP320に適用可能、不可能なポリシーが規定されているので、フィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP320に適用できないポリシーをフィルタリングする。フィルタリングされたポリシーは、レジストリ209に保存しておく。
【0069】
(MFP)
MFP320は、Windowsサーバ100及びIT−BOX200とは異なる種類のOSによる画像形成装置システムである。図に示されるように、MFP320は、操作部308、リクエスト管理部302、セッション管理部305、認証処理部306、ポリシー管理部307に加え、設定情報管理部303、ユーザ情報304を有している。
【0070】
操作部308は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示する。
【0071】
ポリシー管理部307は、フィルタされたポリシーを読み出して適合しているかどうか確認する。当該ポリシーに適合しない場合にはMFP320が当該ポリシーに従うように動作を行う。
【0072】
認証処理部306は、MFP320自身へのログイン処理を行う。また当該ポリシーに適合しない場合にはMFP320が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP320自身へのログイン処理を行う。
【0073】
設定情報管理部303は、MFP320が管理するユーザ情報304を管理する。IT−BOX220のユーザ情報106とIT−BOX220のユーザ情報211とMFP320の管理するユーザ情報304とは別々に管理されるものであるが、ユーザ名などのユーザを判別する情報は基本的に共通である。即ちユーザは共通であるが、MFP320で管理されるユーザ情報304には、MFP固有の情報(ユーザ毎の画像形成動作権限等)が含まれる。
【0074】
<動作>
図8は、MFP320、IT−BOX220、Windowsサーバ100の処理を説明するフローチャートである。以下説明を行う。
【0075】
IT−BOX220の操作部216は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示している。ユーザにより操作部216からユーザカウントが入力されると(S801)、入力されたユーザ名とパスワードを用いて、IT−BOX220のユーザ情報211に当該ユーザが存在するか否かを確認してから、セッション管理203を経由しWindowsサーバ100にログイン要求を行う(S802)。
【0076】
Windowsサーバ100の設定情報管理部105は、入力されたユーザ名とパスワードを用いて、ユーザ情報106に基づきログイン認証を行う(S803)。ここでは入力されたユーザ名とパスワードがユーザ情報106に登録されており認証は成功とする。なお認証失敗の場合はその旨IT−BOX220に通知され、操作部216に認証失敗の旨、表示される。
【0077】
認証が成功すると、Windowsサーバ100のポリシー管理部101は、当該ユーザカウント(又は属するグループ)に適用すべきポリシーをIT−BOX220へ通知する(S804)。
【0078】
IT−BOX220のポリシー管理部205は、通知されたポリシーをWindows201内のレジストリ206に保存(反映)する(S805)。
【0079】
IT−BOX220のフィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP320に適用できないポリシーをフィルタリングする(S806)。そしてフィルタリングされたポリシーをレジストリ209に保存する(S807)。
【0080】
MFP認証処理部210は、セッション管理部203を介し、MFP320に対してログイン要求を発行する(S808)。
【0081】
MFP320のユーザ情報304に当該ユーザカウントが存在するか否かを確認してから、MFP320のポリシー管理部307は、IT−BOX220のレジストリ209からフィルタリングされたポリシーを取得、参照する(S809)。
【0082】
そしてポリシー管理部307は、当該ポリシーへの適合判定を行う(S810)。当該ポリシーに適合しない場合、MFP320が当該ポリシーに従うように適合処理動作を行う(S811)。例えば、IT−BOX220のレジストリ209からフィルタリングされたポリシーにおいて、パスワードポリシーの「パスワードの有効期限」がMPF301に適用され、当該ユーザカウントのパスワードの有効期限が切れている場合、操作部308にはパスワードの有効期限が切れている旨のメッセージを表示し、ポリシーに適合するようにパスワードの変更をユーザに促す。この場合、設定情報管理部303がパスワードの変更を行う。
【0083】
一方、当該ポリシーに適合している場合(S810)、MFP320の認証処理部306は、続いてMFP320自身へのログイン処理を行う(S812)。また当該ポリシーに適合していない場合にはMFP320が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP320自身へのログイン処理を行う。
【0084】
<補足>
ここで、Windowsサーバ100で管理する各種ポリシー(パスワードポリシー102、アカウントロックアウトポリシー103、共有フォルダポリシー107)を、異なるOSを搭載しているMFP320にまで適用するには、ユーザのログイン時に適用されるユーザの構成ポリシーも含むため、各装置間(Windowsサーバ100、IT−BOX220、MFP320)でユーザが同期されていることが実現手段の一つとなる。
【0085】
上記では、基本的にWindowsサーバ100のユーザ情報106で管理しているユーザと、IT−BOX220のユーザ情報211で管理しているユーザは共通であると説明したが、Windowsサーバ100側、及びIT−BOX220側のWindows201でユーザの追加、削除又は及びユーザ情報の変更(パスワードの変更など)が行われた場合、その追加、削除、変更が発生した時点で、お互いのシステム(Windowsサーバ100とIT−BOX220)は、その追加、削除、変更(以下追加等という)が分からない。そのような場合、ユーザ情報に食い違いが生じてしまう。従って、以下Windowsサーバ100とIT−BOX220間でのユーザの追加等が発生した場合の対応方法を説明する。また併せてIT−BOX220とMFP3間のユーザの追加等への対応も説明する。
【0086】
(1)Windowsサーバ100でユーザ情報106の追加等が発生したケースを示す。
【0087】
Windowsサーバ100でユーザが追加された場合、IT−BOX220の操作部216からのログイン時、Windowsサーバ100に追加したユーザ名とパスワードを入力すればよい。Windowsサーバ100へのログインには成功する。その後、IT−BOX220の設定情報管理212を経由して、IT−BOX220のユーザ情報211にも当該ユーザを追加する。MFP320に対しては、IT−BOX220からのMFP320へのログイン要求時、MFP320のユーザ情報304にそのユーザが存在していなければ、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ追加を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304にユーザを追加する。
【0088】
Windowsサーバ100でユーザが削除された場合、IT−BOX220の操作部207から、削除されたユーザ名でWindowsサーバ100へのログインを試みても、Windowsサーバ100のユーザ情報106からはそのユーザは削除されているので、ログインに失敗する。この場合、IT−BOX220の設定情報管理(212)を経由して、IT−BOX220のユーザ情報211からユーザを削除する。MFP320に対しては、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対し当該ユーザの削除を要求する。そして MFP320の設定情報管理303は、MFP320のユーザ情報304から当該ユーザを削除する。
【0089】
Windowsサーバ100でユーザ情報が変更された場合、パスワードが変更されている場合は、そのパスワードを利用者がIT−BOX220の操作部207に入力すればよい。その後、IT−BOX220の設定情報管理212を経由して、IT−BOX220のユーザ情報211にも当該ユーザのパスワードを変更する。MFP320に対しては、IT−BOX220からのMFP320へのログイン要求時、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対し該ユーザのパスワード変更を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304に当該ユーザのパスワード変更をする。
【0090】
Windowsサーバ100でポリシーが変更されている場合、IT−BOX220からのWindowsサーバ100へのログイン後、ポリシーはIT−BOX220のWindows201のレジストリ206に反映される。MFP320に対しては、レジストリ209のフィルタリングされたポリシーによって反映される。
【0091】
(2)IT−BOX220のWindows201におけるWindowsへのユーザ追加等の検出方法を示す。
【0092】
アカウント管理214にて、Windowsへのユーザ追加、削除、ユーザ情報の変更を検出する。変更が発生すると、ログ管理215によってWindowsのセキュリティイベントログに出力される。イベントログには発生したイベント種を判別するためのイベントIDが記載されている。また、どのユーザに発生したイベントなのかは、メンバIDに記載されている。これらはアカウント管理214、ログ管理215ともにWindowsに備わっている機能である。設定情報管理212にて、イベントログを解析し、イベントの種別と、どのユーザで発生したイベントであるかを取得する。設定情報管理212が、イベント内容に応じてユーザ情報211へ反映する。図9は、イベント情報の一例を示す。
【0093】
ここでパスワード情報はアカウント管理214では取得できないため、以下の別手段を講じる。パスワードの変更は、パスワードフィルタ213より変更通知および変更したパスワードの情報が可能である。変更通知の通知は設定情報管理212で受ける。変更したパスワード情報の取得及びユーザ情報211への反映も設定情報管理212が行う。パスワードフィルタもWindowsに備わっている機能である。
【0094】
IT−BOX220にユーザが追加された場合、仮にクライアント側であるIT−BOX220に追加したユーザを、IT−BOX220の操作部216からのログイン時にWindowsサーバ100に自動登録してしまうと、Windowsサーバ100でのユーザ一元管理が崩れてしまう。このケースは、サーバ管理者がWindowsサーバ100側よりIT−BOX220に追加したユーザを登録する。MFP320に対しては、IT−BOX220からのMFP320へのログイン要求時、MFP320のユーザ情報304にそのユーザが存在していなければ、IT−BOX220の設定情報管理212より、MFP320の設定情報管理303に対し当該ユーザ追加を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304に当該ユーザを追加する。
【0095】
IT−BOX220でユーザが削除された場合、ユーザが削除されているので、IT−BOX220の操作部216からのログインに失敗する。Windowsサーバ100へのログイン前にIT−BOX220のユーザ情報211にユーザが存在するか否かを確認するので、ユーザが削除されていることを判断できる。一連のログイン動作はIT−BOX220のユーザ情報を起点とするので、Windowsサーバ100のユーザ情報106は変更せず、そのままとする。MFP320に対しては、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ削除を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304から当該ユーザを削除する。
【0096】
IT−BOX220でユーザ情報が変更された場合、パスワードが変更されている場合は、そのパスワードをユーザがIT−BOX220の操作部216に入力すればよい。ポリシーはWindowsサーバ100が一元管理しているので、クライアント側であるIT−BOX220では変更できない。MFP320に対しては、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ情報(ここではパスワード)の 変更を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304の当該ユーザ情報を変更する。
【0097】
(3)MFP320でユーザ情報304の追加等が発生したケースを示す。
【0098】
MFP320でユーザが追加された場合、一連のログイン動作はIT−BOX220のユーザ情報を起点とするので、その一連の流れにおいてIT−BOX220側からMFP320のユーザを追加することはできない。IT−BOX220とMFP320間のユーザ情報は、IT−BOX220からMFP320へのログイン要求時に、IT−BOX220の設定情報管理212と、MFP320の設定情報管理303間で、お互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。また、IT−BOX220からMFP320へのログイン要求時だけでなく、一定時間間隔でもお互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映するようにもできる。
【0099】
MFP320でユーザが削除された場合、IT−BOX220の操作部216から、Windowsサーバ100へのログイン成功後、IT−BOX220からのMFP320へのログイン要求が発生する。MFP320のユーザ情報304から当該ユーザが削除されていると、IT−BOX220からのログイン要求が失敗する。IT−BOX220は、ログイン要求が失敗すると、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ追加を要求する。MFP320の設定情報管理303によりMFP320のユーザ情報304にユーザを追加する。また、IT−BOX220からMFP320へのログイン要求時だけでなく、一定時間間隔でもお互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。
【0100】
MFP320でユーザ情報が変更された場合、IT−BOX220とMFP320間のユーザ情報は、IT−BOX220からMFP320へのログイン要求時に、IT−BOX220の設定情報管理212とMFP320の設定情報管理303間で、お互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。また、IT−BOX220からMFP320へのログイン要求時だけでなく、一定時間間隔でもお互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。
【0101】
以上、本実施形態によれば、実施形態1と同様に、IT−BOXをWindowsサーバとMFP間に仲介させることで、IT−BOXにWindowsサーバが管理するドメインへの参加のために特別な対応を施すことなく、MFPをWindowsサーバのドメインに参加させ、またWindowsサーバが管理するポリシーを適用することができる。
【0102】
なおまた、IT−BOXが仲介役となることでWindowsサーバ、MFPの何れの立場からも管理する機器がIT−BOX一つだけであるので、今後のシステム(Windowsサーバ、IT−BOX、MFP)の拡張を考える上でもIT−BOXでシステム内のバージョンアップなどによる差異を吸収することができる。そして、IT−BOXをWindowsサーバとMFP間に仲介させることで、ユーザ情報の同期を行う為、サーバ側にアプリケーションを導入する必要や、Windowsサーバ側の設定を変更する必要もない。よって管理者の余計な負担や手間を与えることもなく、新たなセキュリティホールに懸念する必要もなくなるという効果も有する。
【0103】
[実施形態3]
図10は、本実施形態に係るネットワーク環境の一例を示す。図に示されるように、Windowsサーバ100、IT−BOX200、MFP300に加え、MFP300−2、MFP300−3がネットワークを介して接続される。
【0104】
実施形態1において、IT−BOX200が仲介役となって、Windowsサーバ100で管理するポリシーを含めたユーザー情報の一元管理をWindows OSとは異なるOSを搭載しているMFP300に対しても適用できることを説明した。本実施形態3では、IT−BOX200は1台のMFP300のみならず、複数台のMFP300を接続でき、同様の仲介的動作を行える。図に示されるように、1つのIT−BOX200に対して、3台のMFP300、MFP300−2、MFP300−3、が接続される様子が示されている。
【0105】
また実施形態2においても、IT−BOX220が仲介役となって、Windowsサーバ100で管理するポリシーを含めたユーザー情報の一元管理をWindows OSとは異なるOSを搭載しているMFP320に対しても適用できることを説明した。本実施形態3では、同様に、IT−BOX220は1台のMFP320のみならず、複数台のMFP320を接続でき、同様の仲介的動作を行える。図に示されるように、1つのIT−BOX220に対して、3台のMFP320、MFP320−2、MFP320−3、が接続される様子が示されている(符号は括弧書きで示されるもの)。
【0106】
IT−BOX220の設定情報管理212が主(マスター)となり、それぞれのMFPの設定情報管理303、303−2、303−3などと同期し、IT−BOX220のユーザ情報211と、それぞれのMFPのユーザ情報304、304−2、304−3などとデータ同期する。同期方法例は、上述したとおりでIT−BOX220からMFPへのログイン要求時及び一定時間間隔でもお互いのユーザー情報の変化(追加・削除・変更)を確認し合うことでその変化をお互いのユーザー情報に反映する。
【0107】
以上のように、IT−BOXが複数台のMFPを接続し、上述の仲介的動作を行うので、複数台のMFPに対してもMFP側に変更を加えることなく、今後のシステムバージョンアップなどによる拡張をIT−BOXで吸収することができる。
【0108】
以上、本発明によれば、Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置等を提供できる。
【0109】
本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0110】
100 Windowsサーバ
101 ポリシー管理部
102 パスワードポリシー102
103 アカウントロックアウトポリシー
104 Windows Updateポリシー
105 設定情報管理部
107 共有フィルダポリシー
106 ユーザ情報
200 IT−BOX
201 Windows
203 セッション管理部
204 Windows サーバ認証処理部
205 ポリシー管理部
206 レジストリ
207 フィルタ部
208 ポリシーフィルタ
209 レジストリ
210 MFP認証処理部
211 ユーザ情報
212 設定情報管理部
213 パスワードフィルタ部
214 アカウント管理部
215 ログ管理部
216 操作部
220 IT−BOX
300 MFP
302 リクエスト管理部
303 設定情報管理部
304 ユーザ情報
305 セッション管理部
306 認証処理部
307 ポリシー管理部
308 操作部
320 MFP
320−2 MFP
320−3 MFP
【先行技術文献】
【特許文献】
【0111】
【特許文献1】特開2005−284950号
【技術分野】
【0001】
本発明は、情報処理装置、ポリシー適用方法、プログラム、及びシステムの分野に関する。
【背景技術】
【0002】
従来より、Windows(登録商標:以下当該表記は省略)サーバは、Active Directoryによりドメインを構築できることが知られている。Active Directoryとはディレクトリサービスを提供するものであり、ネットワーク用語でディレクトリは、ネットワークオブジェクトの情報を格納する入れ物を意味する。ユーザがログインするときに使うユーザカウント、ユーザが使用するコンピュータのコンピュータアカウント、コンピュータ上にあるファイルを共有する共有フォルダ、ユーザがネットワーク経由で印刷するプリンタなどはすべてActive Directoryのオブジェクトに含まれる。ディレクトリサービスは、ディレクトリ内の情報を管理者やユーザなどが利用できるようにするサービスである。ディレクトリサービスにより、ネットワークオブジェクトの検索やアクセスができ、またそのネットワークオブジェクトの一元管理をすることができる。
【0003】
またActive Directoryでは、ユーザやユーザグループ毎のポリシーについても一元管理可能である。規定されるポリシーにより、セキュリティの設定、Windowsデスクトップのカスタマイズ、アプリケーションの配布などが行える。例えば、ポリシーの具体例として、パスワードポリシー、アカウントロックポリシー、Windows Update(登録商標:以下当該表記は省略)ポリシー、共有フォルダポリシーなどが挙げられる。
【0004】
このような上記Active Directoryの機能を利用して、管理者はネットワーク環境下においてWindowsサーバによりユーザ又はユーザグループ単位で、ユーザ名、パスワード、ポリシーなどのユーザ情報を一元的に管理することができる。ここで、上記ネットワーク環境下において、例えばMFP(多機能周辺装置:Multifunction Peripheral)を導入する場合、特にそのMFPがWindowsとは異なるOS(例えばUnix(登録商標)系)を搭載しているシステムであると、既設のWindowsサーバが管理するポリシーにはWindows特有のポリシーも含まれているため、管理者が一元管理するユーザ情報をMFPに適用し、Windowsサーバの管理下にそのまま入ることは難しいという問題がある。
【0005】
これに関連する技術として、特許文献1には、Windows(R)等のOS(Operating System)により管理されているユーザ情報とジョブアカウントシステムにより管理されているユーザ情報との同期を自動的に行なうことが可能なジョブ管理装置の発明が記載されている。
【0006】
なお、上記MFPは、特に多機能プリンタ(Multifunction Printer)の略称として認識される場合も少なくない。従って本明細書においてのMFPは、ファックス、プリンタ、コピーおよびスキャナなどの各装置の機能を1つの筐体内に収納した画像形成装置であるものとする。
【発明の概要】
【発明が解決しようとする課題】
【0007】
さて実際、上述のように既にWindowsサーバを構築し、Windowsクライアントのユーザに対して規定された各種ポリシーを適用しながらユーザ管理、運用しているネットワーク環境(顧客ネットワーク環境下)において、非Windows OSのMFPが導入される場合がある。そして、MFPが既存ネットワーク環境下に接続される以上、管理者としては導入するMFPについてもできるだけWindowsサーバでそのユーザ情報を管理し、またユーザ(又はユーザグループ)に対して規定されるポリシーも適用したいという要請があった。
【0008】
しかし、実際そのOSの違いからWindowsサーバのポリシーをMFPにそのまま適用することは難しく、それでも実現しようとすると場合によってはWindowsサーバ又はMFP側に対して相当な作り込みをしたり、特別なアプリケーションを付加しなくてはならず(例えば特許文献1参照)、既存Windowsネットワーク環境下にMFPを容易に適用できないという問題があった。
【0009】
即ち、ユーザ又はユーザグループ単位で、ユーザ名、パスワード、ポリシーなどのユーザ情報が一元的に管理されるWindowsネットワーク環境下において、非Windows OSのMFPが導入されるとき、MFP導入の敷居を下げられるよう、MFPが容易に既存のWindowsポリシーの枠組みに参加可能な構成が望まれる。
【0010】
本発明では上記のような問題に鑑みて、Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置、ポリシー適用方法、プログラム、及びシステムを提供することを目的とする。
【課題を解決するための手段】
【0011】
そこで上記課題を解決するため、本発明に係る情報処理装置は、第1のOSを有し、情報処理装置に対しまた情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと、2のOSを有する第2の情報処理装置と、ネットワークを介して接続される第1のOSを有する第1の情報処理装置であって、前記サーバから前記ポリシーを取得し保存するポリシー管理手段と、前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手段により保存されたポリシーをフィルタリングするフィルタ手段と、を有し、前記フィルタリングされたポリシーは、前記第2の情報処理装置若しくは前記第2の情報処理装置ユーザ又はユーザグループに適用されることを特徴とする。
【0012】
また上記課題を解決するため、前記情報処理装置において、前記サーバが管理するユーザ情報及び第2の情報処理装置が管理するユーザ情報と、自装置が管理するユーザ情報とを同期させる同期手段と、を有することを特徴とする。
【0013】
また上記課題を解決するため、前記情報処理装置において、複数の前記第2の情報処理装置が接続され、前記フィルタリングされたポリシーは、複数の前記第2の情報処理装置若しくは複数の前記第2の情報処理装置ユーザ又はユーザグループに適用される。
【0014】
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、などに適用したものも本発明の態様として有効である。
【発明の効果】
【0015】
本発明によれば、Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置、ポリシー適用方法、プログラム、及びシステムを提供することができる。
【図面の簡単な説明】
【0016】
【図1】本実施形態に係るネットワーク環境の一例を示す。
【図2】本実施形態に係るWindowsサーバ100、IT−BOX200、及びMFP300の主要機能構成を示す機能ブロック図である。
【図3】各種ポリシーの具体例を示す。
【図4】フィルタリングされたポリシーの具体的を示す。
【図5】MFP300、IT−BOX200、Windowsサーバ100の処理を説明するフローチャートである。
【図6】本実施形態に係るWindowsサーバ100、IT−BOX220、及びMFP320の主要機能構成を示す機能ブロック図である。
【図7】ユーザ情報211の具体例を示す。
【図8】MFP320、IT−BOX220、Windowsサーバ100の処理を説明するフローチャートである。
【図9】イベント情報の一例を示す。
【図10】本実施形態に係るネットワーク環境の一例を示す。
【発明を実施するための形態】
【0017】
本発明を実施するための形態を各実施形態において図面を用いて説明する。なお、本発明を説明するにあたって、情報処理装置の一実施形態であるMFP(画像形成装置)に本発明を適用した例を以下に示す。MFPは、プリンタ、コピーおよびスキャナなどの複数の機能を一つの筐体内に収納した画像形成装置である。またこれら基本機能だけでなく、デジタル画像技術の高度化やMFPに関連する技術の進化に伴い多彩な機能を有し、ユーザ環境において様々な利用形態を提供している。
【0018】
[実施形態1]
<ネットワーク環境>
図1は、本実施形態に係るネットワーク環境の一例を示す。図に示されるように、Windowsサーバ100、情報処理装置(以下IT-BOXと称する)200、MFP300が、ネットワークを介して接続される。
【0019】
Windowsサーバ100は、管理者によりActive Directoryの機能を有して構築され、Windowsネットワーク環境下において、ユーザやユーザグループ、ポリシー(詳細後述)を管理しているサーバである。IT−BOX200は、MFP300の導入に伴い付随して導入された情報処理装置であり、そのOSはWindows(例えばWindows XP Professional等)により動作するシステムである。IT−BOX200は、その仲介的動作(詳細後述)により非WindowsシステムであるMPF300に対して、Windowsサーバ100の管理するユーザやユーザグループのポリシーを適用させる。MFP300は、Windowsネットワーク環境下に導入された画像形成装置であり、非Windows OS(例えばUnix(登録商標)、Linux等)により動作するシステムである。またネットワークには、例えばWindows XP ProfessionalなどのWindows OSにより動作するWindowsクライアントを接続できる(非図示)。
【0020】
このように本実施形態に係るネットワーク環境では、Windowsサーバ100によるWindowsネットワークに、Windows OSにより動作するIT−BOX200及び非Windows OSにより動作するMFP300が接続される。
【0021】
<機能>
図2は、本実施形態に係るWindowsサーバ100、IT−BOX200、及びMFP300の主要機能構成を示す機能ブロック図である。以下、順に各装置について説明していく。
【0022】
(Windowsサーバ)
図に示されるように、Windowsサーバ100は主な機能として、ポリシー管理部101、設定情報管理部105を有し、パスワードポリシー102、アカウントロックアウトポリシー103、Windows Updateポリシー104、共有フィルダポリシー107、ユーザ情報106を保持している。Windowsサーバ100において、ポリシー管理部101、設定情報管理部105はActive Directoryにより実現されており、Active Directoryによりドメインを構築している。
【0023】
設定情報管理部105はユーザ情報106を管理し、ユーザ情報106には、ユーザが使用するクライアントコンピュータのコンピュータアカウント、ユーザがログインするときに使うユーザカウント(ユーザ名とパスワード)が登録されている。Active Directoryドメインに参加するWindowsクライアントは、コンピュータ起動時やユーザログイン時にWindowsサーバ100の設定情報管理105を介しユーザ情報106に問い合わせ、入力されたアカウントでログインできるか否かの認証がなされる。そしてWindowsクライアントに対して、Windowsサーバ100へのログインを許可する又は許可しない、の認証結果が返信される。なおユーザ情報106は、ユーザカウントがグループ化されている場合、複数のユーザメンバから構成されるユーザグループ情報を含んでいる。
【0024】
ポリシー管理部101は、ユーザやユーザグループ(以下単にグループという)に適用すべきポリシーを管理している。ポリシーは、ユーザやグループ毎に応じて適用させるべきルールが規定されているものであり、本実施形態では一実施例として、パスワードポリシー102、アカウントロックポリシー103、Windows Updateポリシー104、共有フォルダポリシー107が示されている。図3に、各種ポリシーの具体例を示す。
【0025】
パスワードポリシー102では、例えば「パスワードの長さ」、「パスワードの変更禁止期間」、「パスワードの有効期間」、「パスワードの履歴記録」、「パスワードの複雑さ」などが規定される。アカウントロックポリシー103では、例えば何回ログインに失敗したらアカウントをロックしログインできないようするかの「アカウントロック閾値」、ログオンに失敗した回数を何分後にリセットするかの「ロックアウトカウントのリセット」、ロックアウトされたアカウントを何分後に自動的にロックアウト解除するかの「ロックアウト期間」などが規定される。Windows Updateポリシー104では、Windowsシステムソフトウェアのアップデートを自動更新するか否かを設定する「自動更新を構築する」、アップデートするソフトウェアの検出時間を設定する「自動更新の検出頻度」、ソフトウェアのインストールをダウンロード後すぐに行うか否かを設定する「自動更新を直ちにインストールすることを許可する」などが規定される。共有フォルダポリシー107では、ユーザが共有フォルダをActive Directoryに公開するか否かの設定が規定される。
【0026】
このようにポリシー管理101は、各種ポリシーの設定を行うとともに、ユーザやグループに応じて適用すべきポリシー及びそのポリシーの規定値の読み出しを行う。
【0027】
なお、上記ポリシーは次の2種類に分類できる。1つは、Windows クライアント(例えばIT−BOX200)の起動時に反映され、どのユーザカウントでログインしてもそのWindows クライアントに適用される「コンピュータの構成」に関するポリシーがある。もう1つは、起動後、ユーザカウントによるログイン時に伴い適用され、どのWindows クライアントでログインしても、そのユーザカウントに適用される「ユーザの構成」ポリシーがある。パスワードポリシー102及びアカウントロックポリシー103は、「コンピュータの構成」ポリシーに分類され、Windows Updateポリシー104及び共有フォルダポリシー107は、「ユーザの構成」ポリシーに分類できる。「コンピュータの構成」ポリシーと「ユーザの構成」ポリシーが適用されるタイミングは、上記の他に定期的(例えば90分毎)にも適用されうる。
【0028】
(IT-BOX)
図に示されるように、IT−BOX200は主な機能として、セッション管理部203、Windows サーバ認証処理部204、ポリシー管理部205、レジストリ206、フィルタ部207、ポリシーフィルタ208、レジストリ209を有している。
【0029】
IT−BOX200は、MFP300の導入に伴い付随して導入された情報処理装置であり、そのOSはWindows(例えばWindows XP Professional等)により動作するシステムである。従ってIT−BOX200は、Windowsドメイン(Active Directoryのドメイン含む)に参加するWindows201の機能が備わっている。一方Windows201の枠外に示される機能ブロック(セッション管理203、フィルタ部207、フィルタポリシー208、レジストリ209等)は、IT−BOX用ソフトウェアとして組み込まれている機能である。
【0030】
セッション管理部203は、主にセッション管理を司り、例えばWindowsサーバ100、MFP300とのセッションを管理する機能部である。
【0031】
Windows201内のWindows サーバ認証処理部204は、Windowsサーバ100のActive Directoryドメインへの参加機能を有しており、例えばMFP300の操作部308から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログインを行う。つまり、MFP300で入力されたユーザ名とパスワードを使用して、仲介的にWindowsサーバの設定情報管理105に問い合わせ、Directoryドメインへログインできるかの認証を行う。Windowsドメインへの参加が許可された場合(又は失敗した場合)、MFP300の操作部308にその旨表示させる。
【0032】
ここで、IT−BOX200がWindowsサーバ100へのログインに成功すると、Windowsサーバ100のActive Directoryドメインへの参加機能でログインすることになる。よって、ポリシー管理部205は、ログインしたユーザに適用されるポリシー(この場合「ユーザの構成」ポリシーであるWindows Updateポリシーと共有フォルダポリシー)を、Windowsサーバ100からポリシー管理101を介して読み出し、Windows201内のレジストリ206に保存(反映)しておく。
【0033】
また、「コンピュータの構成」ポリシーであるパスワードポリシーとアカウントロックポリシーは、IT−BOX200の起動時にコンピュータアカウントによる認証を経て、Windows201内のポリシー管理205によりレジストリ206に既に保存(反映)されている。IT−BOX200はWindowsをベースとするシステムであるため、Windowsサーバ100からのポリシーはIT−BOX200自身にも当該ポリシーが反映される。例えば、IT−BOX200がWindowsサーバ100への起動時ログインが成功すると、「コンピュータの構成」ポリシーが適用されるため、パスワードポリシーに反する場合、これを満たさせるように動作し、また共有フォルダのActive Directoryへの公開設定が「有効」に設定されている場合はIT−BOX200内の共有フォルダがActive Directoryへ公開される。
【0034】
フィルタ部207は、フィルタポリシー208に基づいてレジストリ206のポリシーのフィルタを行う。上述のように、Windowsサーバ100のポリシーはレジストリ206に保存されている。ここで、パスワードポリシー102、アカウントロックアウトポリシー103、共有フォルダポリシーはMFP300に適用可能なポリシーであるが、Windows Updateポリシー104は非Windows OSのMFP300には適用できないポリシーである。このようにフィルタポリシー208には、予めMFP300に適用可能、不可能なポリシーが規定されているので、フィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP300に適用できないポリシーをフィルタリングする。フィルタリングされたポリシーは、レジストリ209に保存しておく。
【0035】
図4は、フィルタリングされたポリシーの具体的を示す。フィルタリングされた、即ちMFP300に適用しうるポリシーとして、パスワードポリシー、アカウントロックアウトポリシー、共有フォルダポリシーが記述されている。フィルタリングされMPF300に適用されるポリシーは、MFP300のポリシー管理308に反映される。
【0036】
(MFP)
上述のようにMFP300は、Windowsサーバ100及びIT−BOX200とは異なる種類のOSによる画像形成装置システムである。図に示されるように、MFP300は主な機能として、リクエスト管理部302、セッション管理部305、認証処理部306、ポリシー管理部307、操作部308を有している。
【0037】
操作部308は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示する。操作部308からユーザカウントが入力されると、リクエスト管理部302、セッション管理部305を介して、IT−BOX200のWindows サーバ認証処理部204に認証のリクエストを行う。IT−BOX200のWindows サーバ認証処理部204は、MFP300の操作部308から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログインを行う。
【0038】
ポリシー管理部307は、IT−BOX200のレジストリ209からフィルタリングされたポリシーを取得、参照する。そしてポリシーに従うように動作を行う。IT−BOX200の仲介によりWindowsサーバ100にて認証(認証成功)されると、上述したようにIT−BOX200にていわばMFP300用のフィルタリングされたポリシーがレジストリ209に保存されているので、ポリシー管理部307は、IT−BOX200のレジストリ209からフィルタリングされたポリシーを取得し、当該ポリシーに適合しない場合にはMFP300が当該ポリシーに従うように動作を行う。例えば、T−BOX200のレジストリ209からフィルタリングされたポリシーにおいて、パスワードポリシーの「パスワードの有効期限」がMPF300に適用され、当該ユーザカウントのパスワードの有効期限が切れている場合、操作部308にはパスワードの有効期限が切れている旨のメッセージが表示され、パスワードの変更をユーザに促す。また例えば、共有フォルダポリシーが当該ユーザカウントに適用される場合、共有フォルダのActive Directoryへの公開設定が「有効」に設定されていれば、MFP300にて保管されているデータ(文書データなど)を、Active Directoryへ公開する。
【0039】
認証処理部306は、IT−BOX200の仲介によりWindowsサーバ100にて認証(認証成功)されると、MFP300自身へのログイン処理を行う。また当該ポリシーに適合しない場合にはMFP300が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP300自身へのログイン処理を行う。
【0040】
<動作>
図5は、MFP300、IT−BOX200、Windowsサーバ100の処理を説明するフローチャートである。上述と重複する点もあるが以下確認的に説明を行う。
【0041】
MFP300の操作部308は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示する。ユーザにより操作部308からユーザカウントが入力されると(S501)、リクエスト管理部302、セッション管理部305を介して、IT−BOX200のWindows サーバ認証処理部204に認証のリクエストを行う(S502)。
【0042】
IT−BOX200のWindows サーバ認証処理部204は、MFP300の操作部308から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログイン要求を行う(S503)。
【0043】
Windowsサーバ100の設定情報管理部105は、入力されたユーザ名とパスワードを用いて、ユーザ情報106に基づきログイン認証を行う(S504)。ここでは入力されたユーザ名とパスワードがユーザ情報106に登録されており認証は成功とする。なお認証失敗の場合はその旨IT−BOX200に通知すればよい。最終的にMFP300に通知され、MFP300の操作部308に認証失敗の旨、表示される。
【0044】
認証が成功すると、Windowsサーバ100のポリシー管理部101は、当該ユーザカウント(又は属するグループ)に適用すべきポリシーをIT−BOX200へ通知する(S505)。
【0045】
IT−BOX200のポリシー管理部205は、通知されたポリシーをWindows201内のレジストリ206に保存(反映)する(S506)。
【0046】
IT−BOX200のフィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP300に適用できないポリシーをフィルタリングする(S507)。そしてフィルタリングされたポリシーをレジストリ209に保存する(S508)。
【0047】
またIT−BOX200のセッション管理部203は、MFP300のセッション管理部305に対して、認証結果を通知する(S509)。
【0048】
MFP300のポリシー管理部307は、認証成功の通知を受けて、IT−BOX200のレジストリ209からフィルタリングされたポリシーを取得、参照する(S510)。
なおフィルタリングされたポリシーは認証結果(認証成功の場合)とともに通知してもよい。
【0049】
そしてポリシー管理部307は、当該ポリシーへの適合判定を行う(S511)。当該ポリシーに適合しない場合、MFP300が当該ポリシーに従うように適合処理動作を行う(S512)。例えば、IT−BOX200のレジストリ209からフィルタリングされたポリシーにおいて、パスワードポリシーの「パスワードの有効期限」がMPF300に適用され、当該ユーザカウントのパスワードの有効期限が切れている場合、操作部308にはパスワードの有効期限が切れている旨のメッセージを表示し、ポリシーに適合するようにパスワードの変更をユーザに促す。
【0050】
一方、当該ポリシーに適合している場合(S511)、MFP300の認証処理部306は、IT−BOX200の仲介によりWindowsサーバ100にて認証(認証成功)しているので、続いてMFP300自身へのログイン処理を行う(S513)。また当該ポリシーに適合していない場合にはMFP300が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP300自身へのログイン処理を行う。
【0051】
以上のように、既にWindowsサーバでユーザー及びグループ単位で、ユーザー名・パスワード、ポリシーなどのユーザ情報を一元的に管理しているユーザー環境に、多機能周辺装置MFPを導入する場合、特にMFPがWindowsとは異なるOSを搭載していると、Windowsサーバが管理するポリシーにはWindows特有のポリシーも含まれており、管理者が一元管理するユーザ情報にMFPもその管理下にそのまま入ることが困難である。本実施形態によれば、IT−BOXをWindowsサーバとMFP間に仲介させることで、IT−BOXにWindowsサーバが管理するドメインへの参加のために特別な対応を施すことなく、MFPをWindowsサーバのドメインに参加させ、またWindowsサーバが管理するポリシーを適用することができる。
【0052】
なおまた、IT−BOXが仲介役となることでWindowsサーバ、MFPの何れの立場からも管理する機器がIT−BOX一つだけであるので、今後のシステム(Windowsサーバ、IT−BOX、MFP)の拡張を考える上でもIT−BOXでシステム内のバージョンアップなどによる差異を吸収することができる。
【0053】
[実施形態2]
上述の実施形態1において、IT−BOX200は、MFP300とWindows サーバ100のやり取りについて仲介的な動作を行うことにより、非Windows OSのMFP300に対してWindows ドメイン下における各種ポリシーを適用させた。本実施形態2においては、IT−BOX200を実装レベルにより近づけた装置とした上で本発明の適用を行う。
【0054】
IT−BOX220は、Windows201をベースとした装置であり、MFP320のオプション的な位置づけの装置である。MFP320には、各種画像形成機能が実装されているが、MFP320は概して、コピー・ファクス・スキャン・プリントなどの基本機能およびそのH/W制御を行うソフトウェア実装が中心である。一方、MFP320に連携するように装着したIT−BOX220は、MFP320のコピー・ファクス・スキャン・プリントなどの基本機能より取得された画像データや情報などを用いて、画像データの大容量蓄積や高度な画像処理など、付加価値機能を提供できるようになっている。このようなIT−BOX220の実装レベルの役割からすると、そのOSには汎用的なWindows OSが採用されることが望ましい。短期間で高品質な付加価値機能(ソフトウェア)の開発、提供が容易だからである。
【0055】
即ち本実施形態2において、IT−BOX220は、MFP320の導入に伴い、より付加価値的な画像形成処理機能を提供するために付随して導入された情報処理装置であり、そのためそのOSはWindows(例えばWindows XP Professional等)により動作するシステムになっている。以下説明する。
【0056】
<機能>
図6は、本実施形態に係るWindowsサーバ100、IT−BOX220、及びMFP320の主要機能構成を示す機能ブロック図である。上述の実施形態1(図2)と比べ、Windowsサーバ100は同様であり、IT−BOX220及びMFP320においてはその構成がやや異なる。本実施形態にて想定されるネットワーク環境は、上述の実施形態1(図1)と同様である。以下説明を進めるが、実施形態1と同様の点などその説明を省略又は簡略する場合がある。
【0057】
(IT-BOX)
図に示されるように、IT−BOX220は主な機能として、セッション管理部203、Windows サーバ認証処理部204、ポリシー管理部205、レジストリ206、フィルタ部207、ポリシーフィルタ208、レジストリ209に加え、MFP認証処理部210、設定情報管理部212、パスワードフィルタ部213、ログ管理部215、アカウント管理部214、操作部216、ユーザ情報211を有している。
【0058】
IT−BOX220は、MFP320の導入に伴い付随して導入された情報処理装置であり、そのOSはWindows(例えばWindows XP Professional等)により動作するシステムである。従ってIT−BOX220は、Windowsドメイン(Active Directoryのドメイン含む)に参加するWindows201の機能が備わっている。一方Windows201の枠外に示される機能ブロック(セッション管理203、フィルタ部207、フィルタポリシー208、レジストリ209、MFP認証処理部210、設定情報管理部212、操作部216等)は、IT−BOX用ソフトウェアとして組み込まれている機能である。
【0059】
IT−BOX220は、Windows201をベースとした装置であり、MFP320のオプション的な位置づけの装置である。MFP320には、各種画像形成機能が実装されているが、MFP320は概して、コピー・ファクス・スキャン・プリントなどの基本機能およびそのH/W制御を行うソフトウェア実装が中心である。一方、MFP320に連携するように装着したIT−BOX220は、MFP320のコピー・ファクス・スキャン・プリントなどの基本機能より取得された画像データや情報などを用いて、画像データの大容量蓄積や高度な画像処理など、付加価値機能を提供できるようになっている。
【0060】
IT−BOX220に汎用的なWindows OSを採用するのは、短期間で高品質な付加価値機能の開発、提供が容易だからである。理由としては、既に製品化されているWindowsベースのソフトウェアやドライバー及びWindowsの標準機能をそのまま採用できる点、開発人口が多い点、開発統合環境(Visual Studio等)のリモートデバッグ機能など、デバッグ環境が充実している点、などが挙げられる。
【0061】
設定情報管理部212は、IT−BOX220が管理するユーザ情報211を管理する。Windowsサーバ100のユーザ情報106と、IT−BOX220のユーザ情報211は別々に管理されるものであるが、ユーザ名などのユーザを判別する情報は基本的に共通である。即ちユーザは共通であるが、IT−BOX220で管理されるユーザ情報211には、IT−BOXソフトウェア固有の情報が含まれる。図7は、ユーザ情報211の具体例を示す。例えばユーザカウントやユーザ関連情報を含んでいる。
【0062】
MFP認証処理部210は、セッション管理部203を介し、MFP320に対してログイン要求を発行する。
【0063】
操作部216は、ユーザ名とパスワードを入力するログイン画面を表示し、ユーザはIT−BOX220がWindowsサーバ100にログインする場合、ユーザは操作部216からユーザ名とパスワードを入力する。
【0064】
セッション管理部203は、主にセッション管理を司り、例えばWindowsサーバ100、MFP320とのセッションを管理する機能部である。
【0065】
Windows201内のWindows サーバ認証処理部204は、Windowsサーバ100のActive Directoryドメインへの参加機能を有しており、例えばIT−BOX220の操作部216から入力されたユーザ名とパスワードを用いて、セッション管理203を経由しWindowsサーバ100にログインを行う。
【0066】
ここで、IT−BOX220がWindowsサーバ100へのログインに成功すると、Windowsサーバ100のActive Directoryドメインへの参加機能でログインすることになる。よって、ポリシー管理部205は、ログインしたユーザに適用されるポリシー(この場合「ユーザの構成」ポリシーであるWindows Updateポリシーと共有フォルダポリシー)を、Windowsサーバ100からポリシー管理101を介して読み出し、Windows201内のレジストリ206に保存(反映)しておく。
【0067】
また、「コンピュータの構成」ポリシーであるパスワードポリシーとアカウントロックポリシーは、IT−BOX220の起動時にコンピュータアカウントによる認証を経て、Windows201内のポリシー管理205によりレジストリ206に既に保存(反映)されている。
【0068】
フィルタ部207は、フィルタポリシー208に基づいてレジストリ206のポリシーのフィルタを行う。上述のように、Windowsサーバ100のポリシーはレジストリ206に保存されている。ここで、パスワードポリシー102、アカウントロックアウトポリシー103、共有フォルダポリシーはMFP320に適用可能なポリシーであるが、Windows Updateポリシー104は非Windows OSのMFP320には適用できないポリシーである。このようにフィルタポリシー208には、予めMFP320に適用可能、不可能なポリシーが規定されているので、フィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP320に適用できないポリシーをフィルタリングする。フィルタリングされたポリシーは、レジストリ209に保存しておく。
【0069】
(MFP)
MFP320は、Windowsサーバ100及びIT−BOX200とは異なる種類のOSによる画像形成装置システムである。図に示されるように、MFP320は、操作部308、リクエスト管理部302、セッション管理部305、認証処理部306、ポリシー管理部307に加え、設定情報管理部303、ユーザ情報304を有している。
【0070】
操作部308は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示する。
【0071】
ポリシー管理部307は、フィルタされたポリシーを読み出して適合しているかどうか確認する。当該ポリシーに適合しない場合にはMFP320が当該ポリシーに従うように動作を行う。
【0072】
認証処理部306は、MFP320自身へのログイン処理を行う。また当該ポリシーに適合しない場合にはMFP320が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP320自身へのログイン処理を行う。
【0073】
設定情報管理部303は、MFP320が管理するユーザ情報304を管理する。IT−BOX220のユーザ情報106とIT−BOX220のユーザ情報211とMFP320の管理するユーザ情報304とは別々に管理されるものであるが、ユーザ名などのユーザを判別する情報は基本的に共通である。即ちユーザは共通であるが、MFP320で管理されるユーザ情報304には、MFP固有の情報(ユーザ毎の画像形成動作権限等)が含まれる。
【0074】
<動作>
図8は、MFP320、IT−BOX220、Windowsサーバ100の処理を説明するフローチャートである。以下説明を行う。
【0075】
IT−BOX220の操作部216は、ユーザカウント(ユーザ名とパスワード)を入力するログイン画面を表示している。ユーザにより操作部216からユーザカウントが入力されると(S801)、入力されたユーザ名とパスワードを用いて、IT−BOX220のユーザ情報211に当該ユーザが存在するか否かを確認してから、セッション管理203を経由しWindowsサーバ100にログイン要求を行う(S802)。
【0076】
Windowsサーバ100の設定情報管理部105は、入力されたユーザ名とパスワードを用いて、ユーザ情報106に基づきログイン認証を行う(S803)。ここでは入力されたユーザ名とパスワードがユーザ情報106に登録されており認証は成功とする。なお認証失敗の場合はその旨IT−BOX220に通知され、操作部216に認証失敗の旨、表示される。
【0077】
認証が成功すると、Windowsサーバ100のポリシー管理部101は、当該ユーザカウント(又は属するグループ)に適用すべきポリシーをIT−BOX220へ通知する(S804)。
【0078】
IT−BOX220のポリシー管理部205は、通知されたポリシーをWindows201内のレジストリ206に保存(反映)する(S805)。
【0079】
IT−BOX220のフィルタ部207は、フィルタポリシー208を参照し、レジストリ206に保存されているポリシーからMFP320に適用できないポリシーをフィルタリングする(S806)。そしてフィルタリングされたポリシーをレジストリ209に保存する(S807)。
【0080】
MFP認証処理部210は、セッション管理部203を介し、MFP320に対してログイン要求を発行する(S808)。
【0081】
MFP320のユーザ情報304に当該ユーザカウントが存在するか否かを確認してから、MFP320のポリシー管理部307は、IT−BOX220のレジストリ209からフィルタリングされたポリシーを取得、参照する(S809)。
【0082】
そしてポリシー管理部307は、当該ポリシーへの適合判定を行う(S810)。当該ポリシーに適合しない場合、MFP320が当該ポリシーに従うように適合処理動作を行う(S811)。例えば、IT−BOX220のレジストリ209からフィルタリングされたポリシーにおいて、パスワードポリシーの「パスワードの有効期限」がMPF301に適用され、当該ユーザカウントのパスワードの有効期限が切れている場合、操作部308にはパスワードの有効期限が切れている旨のメッセージを表示し、ポリシーに適合するようにパスワードの変更をユーザに促す。この場合、設定情報管理部303がパスワードの変更を行う。
【0083】
一方、当該ポリシーに適合している場合(S810)、MFP320の認証処理部306は、続いてMFP320自身へのログイン処理を行う(S812)。また当該ポリシーに適合していない場合にはMFP320が当該ポリシーに従うように動作を行い、ポリシーに適合した後、MFP320自身へのログイン処理を行う。
【0084】
<補足>
ここで、Windowsサーバ100で管理する各種ポリシー(パスワードポリシー102、アカウントロックアウトポリシー103、共有フォルダポリシー107)を、異なるOSを搭載しているMFP320にまで適用するには、ユーザのログイン時に適用されるユーザの構成ポリシーも含むため、各装置間(Windowsサーバ100、IT−BOX220、MFP320)でユーザが同期されていることが実現手段の一つとなる。
【0085】
上記では、基本的にWindowsサーバ100のユーザ情報106で管理しているユーザと、IT−BOX220のユーザ情報211で管理しているユーザは共通であると説明したが、Windowsサーバ100側、及びIT−BOX220側のWindows201でユーザの追加、削除又は及びユーザ情報の変更(パスワードの変更など)が行われた場合、その追加、削除、変更が発生した時点で、お互いのシステム(Windowsサーバ100とIT−BOX220)は、その追加、削除、変更(以下追加等という)が分からない。そのような場合、ユーザ情報に食い違いが生じてしまう。従って、以下Windowsサーバ100とIT−BOX220間でのユーザの追加等が発生した場合の対応方法を説明する。また併せてIT−BOX220とMFP3間のユーザの追加等への対応も説明する。
【0086】
(1)Windowsサーバ100でユーザ情報106の追加等が発生したケースを示す。
【0087】
Windowsサーバ100でユーザが追加された場合、IT−BOX220の操作部216からのログイン時、Windowsサーバ100に追加したユーザ名とパスワードを入力すればよい。Windowsサーバ100へのログインには成功する。その後、IT−BOX220の設定情報管理212を経由して、IT−BOX220のユーザ情報211にも当該ユーザを追加する。MFP320に対しては、IT−BOX220からのMFP320へのログイン要求時、MFP320のユーザ情報304にそのユーザが存在していなければ、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ追加を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304にユーザを追加する。
【0088】
Windowsサーバ100でユーザが削除された場合、IT−BOX220の操作部207から、削除されたユーザ名でWindowsサーバ100へのログインを試みても、Windowsサーバ100のユーザ情報106からはそのユーザは削除されているので、ログインに失敗する。この場合、IT−BOX220の設定情報管理(212)を経由して、IT−BOX220のユーザ情報211からユーザを削除する。MFP320に対しては、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対し当該ユーザの削除を要求する。そして MFP320の設定情報管理303は、MFP320のユーザ情報304から当該ユーザを削除する。
【0089】
Windowsサーバ100でユーザ情報が変更された場合、パスワードが変更されている場合は、そのパスワードを利用者がIT−BOX220の操作部207に入力すればよい。その後、IT−BOX220の設定情報管理212を経由して、IT−BOX220のユーザ情報211にも当該ユーザのパスワードを変更する。MFP320に対しては、IT−BOX220からのMFP320へのログイン要求時、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対し該ユーザのパスワード変更を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304に当該ユーザのパスワード変更をする。
【0090】
Windowsサーバ100でポリシーが変更されている場合、IT−BOX220からのWindowsサーバ100へのログイン後、ポリシーはIT−BOX220のWindows201のレジストリ206に反映される。MFP320に対しては、レジストリ209のフィルタリングされたポリシーによって反映される。
【0091】
(2)IT−BOX220のWindows201におけるWindowsへのユーザ追加等の検出方法を示す。
【0092】
アカウント管理214にて、Windowsへのユーザ追加、削除、ユーザ情報の変更を検出する。変更が発生すると、ログ管理215によってWindowsのセキュリティイベントログに出力される。イベントログには発生したイベント種を判別するためのイベントIDが記載されている。また、どのユーザに発生したイベントなのかは、メンバIDに記載されている。これらはアカウント管理214、ログ管理215ともにWindowsに備わっている機能である。設定情報管理212にて、イベントログを解析し、イベントの種別と、どのユーザで発生したイベントであるかを取得する。設定情報管理212が、イベント内容に応じてユーザ情報211へ反映する。図9は、イベント情報の一例を示す。
【0093】
ここでパスワード情報はアカウント管理214では取得できないため、以下の別手段を講じる。パスワードの変更は、パスワードフィルタ213より変更通知および変更したパスワードの情報が可能である。変更通知の通知は設定情報管理212で受ける。変更したパスワード情報の取得及びユーザ情報211への反映も設定情報管理212が行う。パスワードフィルタもWindowsに備わっている機能である。
【0094】
IT−BOX220にユーザが追加された場合、仮にクライアント側であるIT−BOX220に追加したユーザを、IT−BOX220の操作部216からのログイン時にWindowsサーバ100に自動登録してしまうと、Windowsサーバ100でのユーザ一元管理が崩れてしまう。このケースは、サーバ管理者がWindowsサーバ100側よりIT−BOX220に追加したユーザを登録する。MFP320に対しては、IT−BOX220からのMFP320へのログイン要求時、MFP320のユーザ情報304にそのユーザが存在していなければ、IT−BOX220の設定情報管理212より、MFP320の設定情報管理303に対し当該ユーザ追加を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304に当該ユーザを追加する。
【0095】
IT−BOX220でユーザが削除された場合、ユーザが削除されているので、IT−BOX220の操作部216からのログインに失敗する。Windowsサーバ100へのログイン前にIT−BOX220のユーザ情報211にユーザが存在するか否かを確認するので、ユーザが削除されていることを判断できる。一連のログイン動作はIT−BOX220のユーザ情報を起点とするので、Windowsサーバ100のユーザ情報106は変更せず、そのままとする。MFP320に対しては、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ削除を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304から当該ユーザを削除する。
【0096】
IT−BOX220でユーザ情報が変更された場合、パスワードが変更されている場合は、そのパスワードをユーザがIT−BOX220の操作部216に入力すればよい。ポリシーはWindowsサーバ100が一元管理しているので、クライアント側であるIT−BOX220では変更できない。MFP320に対しては、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ情報(ここではパスワード)の 変更を要求する。そしてMFP320の設定情報管理303は、MFP320のユーザ情報304の当該ユーザ情報を変更する。
【0097】
(3)MFP320でユーザ情報304の追加等が発生したケースを示す。
【0098】
MFP320でユーザが追加された場合、一連のログイン動作はIT−BOX220のユーザ情報を起点とするので、その一連の流れにおいてIT−BOX220側からMFP320のユーザを追加することはできない。IT−BOX220とMFP320間のユーザ情報は、IT−BOX220からMFP320へのログイン要求時に、IT−BOX220の設定情報管理212と、MFP320の設定情報管理303間で、お互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。また、IT−BOX220からMFP320へのログイン要求時だけでなく、一定時間間隔でもお互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映するようにもできる。
【0099】
MFP320でユーザが削除された場合、IT−BOX220の操作部216から、Windowsサーバ100へのログイン成功後、IT−BOX220からのMFP320へのログイン要求が発生する。MFP320のユーザ情報304から当該ユーザが削除されていると、IT−BOX220からのログイン要求が失敗する。IT−BOX220は、ログイン要求が失敗すると、IT−BOX220の設定情報管理212よりMFP320の設定情報管理303に対しユーザ追加を要求する。MFP320の設定情報管理303によりMFP320のユーザ情報304にユーザを追加する。また、IT−BOX220からMFP320へのログイン要求時だけでなく、一定時間間隔でもお互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。
【0100】
MFP320でユーザ情報が変更された場合、IT−BOX220とMFP320間のユーザ情報は、IT−BOX220からMFP320へのログイン要求時に、IT−BOX220の設定情報管理212とMFP320の設定情報管理303間で、お互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。また、IT−BOX220からMFP320へのログイン要求時だけでなく、一定時間間隔でもお互いのユーザ情報の変化(追加・削除・変更)を確認し合い、変化をお互いのユーザ情報に反映する。
【0101】
以上、本実施形態によれば、実施形態1と同様に、IT−BOXをWindowsサーバとMFP間に仲介させることで、IT−BOXにWindowsサーバが管理するドメインへの参加のために特別な対応を施すことなく、MFPをWindowsサーバのドメインに参加させ、またWindowsサーバが管理するポリシーを適用することができる。
【0102】
なおまた、IT−BOXが仲介役となることでWindowsサーバ、MFPの何れの立場からも管理する機器がIT−BOX一つだけであるので、今後のシステム(Windowsサーバ、IT−BOX、MFP)の拡張を考える上でもIT−BOXでシステム内のバージョンアップなどによる差異を吸収することができる。そして、IT−BOXをWindowsサーバとMFP間に仲介させることで、ユーザ情報の同期を行う為、サーバ側にアプリケーションを導入する必要や、Windowsサーバ側の設定を変更する必要もない。よって管理者の余計な負担や手間を与えることもなく、新たなセキュリティホールに懸念する必要もなくなるという効果も有する。
【0103】
[実施形態3]
図10は、本実施形態に係るネットワーク環境の一例を示す。図に示されるように、Windowsサーバ100、IT−BOX200、MFP300に加え、MFP300−2、MFP300−3がネットワークを介して接続される。
【0104】
実施形態1において、IT−BOX200が仲介役となって、Windowsサーバ100で管理するポリシーを含めたユーザー情報の一元管理をWindows OSとは異なるOSを搭載しているMFP300に対しても適用できることを説明した。本実施形態3では、IT−BOX200は1台のMFP300のみならず、複数台のMFP300を接続でき、同様の仲介的動作を行える。図に示されるように、1つのIT−BOX200に対して、3台のMFP300、MFP300−2、MFP300−3、が接続される様子が示されている。
【0105】
また実施形態2においても、IT−BOX220が仲介役となって、Windowsサーバ100で管理するポリシーを含めたユーザー情報の一元管理をWindows OSとは異なるOSを搭載しているMFP320に対しても適用できることを説明した。本実施形態3では、同様に、IT−BOX220は1台のMFP320のみならず、複数台のMFP320を接続でき、同様の仲介的動作を行える。図に示されるように、1つのIT−BOX220に対して、3台のMFP320、MFP320−2、MFP320−3、が接続される様子が示されている(符号は括弧書きで示されるもの)。
【0106】
IT−BOX220の設定情報管理212が主(マスター)となり、それぞれのMFPの設定情報管理303、303−2、303−3などと同期し、IT−BOX220のユーザ情報211と、それぞれのMFPのユーザ情報304、304−2、304−3などとデータ同期する。同期方法例は、上述したとおりでIT−BOX220からMFPへのログイン要求時及び一定時間間隔でもお互いのユーザー情報の変化(追加・削除・変更)を確認し合うことでその変化をお互いのユーザー情報に反映する。
【0107】
以上のように、IT−BOXが複数台のMFPを接続し、上述の仲介的動作を行うので、複数台のMFPに対してもMFP側に変更を加えることなく、今後のシステムバージョンアップなどによる拡張をIT−BOXで吸収することができる。
【0108】
以上、本発明によれば、Windowsネットワーク環境下に非Windowsシステムが導入される場合、非Windowsシステムに対し、Windowsサーバの管理するユーザ等のポリシーを出来る限り容易に適用できるようにした情報処理装置等を提供できる。
【0109】
本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0110】
100 Windowsサーバ
101 ポリシー管理部
102 パスワードポリシー102
103 アカウントロックアウトポリシー
104 Windows Updateポリシー
105 設定情報管理部
107 共有フィルダポリシー
106 ユーザ情報
200 IT−BOX
201 Windows
203 セッション管理部
204 Windows サーバ認証処理部
205 ポリシー管理部
206 レジストリ
207 フィルタ部
208 ポリシーフィルタ
209 レジストリ
210 MFP認証処理部
211 ユーザ情報
212 設定情報管理部
213 パスワードフィルタ部
214 アカウント管理部
215 ログ管理部
216 操作部
220 IT−BOX
300 MFP
302 リクエスト管理部
303 設定情報管理部
304 ユーザ情報
305 セッション管理部
306 認証処理部
307 ポリシー管理部
308 操作部
320 MFP
320−2 MFP
320−3 MFP
【先行技術文献】
【特許文献】
【0111】
【特許文献1】特開2005−284950号
【特許請求の範囲】
【請求項1】
第1のOSを有し、情報処理装置に対しまた情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと、
第2のOSを有する第2の情報処理装置と、
にネットワークを介して接続される第1のOSを有する第1の情報処理装置であって、
前記サーバから前記ポリシーを取得し保存するポリシー管理手段と、
前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手段により保存されたポリシーをフィルタリングするフィルタ手段と、を有し、
前記フィルタリングされたポリシーは、前記第2の情報処理装置若しくは前記第2の情報処理装置ユーザ又はユーザグループに適用されること、
を特徴とする情報処理装置。
【請求項2】
前記サーバが管理するユーザ情報及び第2の情報処理装置が管理するユーザ情報と、自装置が管理するユーザ情報とを同期させる同期手段と、
を有することを特徴とする請求項1記載の情報処理装置。
【請求項3】
複数の前記第2の情報処理装置が接続され、
前記フィルタリングされたポリシーは、複数の前記第2の情報処理装置若しくは複数の前記第2の情報処理装置ユーザ又はユーザグループに適用されること、
を特徴とする請求項1又は2記載の情報処理装置。
【請求項4】
第1のOSを有し、情報処理装置に対しまた情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと、第2のOSを有する第2の情報処理装置と、にネットワークを介して接続される第1のOSを有する第1の情報処理装置におけるポリシー適用方法であって、
前記サーバから前記ポリシーを取得し保存するポリシー管理手順と、
前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手順により保存されたポリシーをフィルタリングするフィルタ手順と、
前記フィルタリングされたポリシーが、前記第2の情報処理装置若しくは前記第2の情報処理装置ユーザ又はユーザグループに適用される適用手順と、
を特徴とするポリシー適用方法。
【請求項5】
請求項4に記載のポリシー適用方法をコンピュータに実行させるためのプログラム。
【請求項6】
第1のOSを有する第1の情報処理装置と、
第2のOSを有する第2の情報処理装置と、
第1のOSを有し、前記第1及び第2の情報処理装置に対しまた前記第1及び第2情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと
を含み構成されるシステムであって、
前記第1の情報処理装置は、
前記サーバから前記ポリシーを取得し保存するポリシー管理手段と、
前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手段により保存されたポリシーをフィルタリングするフィルタ手段と、
を有し、
前記第2の情報処理装置は、
前記フィルタ手段によりフィルタリングされたポリシーを取得し保存するポリシー管理手段と、を有し、
前記フィルタリングされたポリシーは、当該第2の情報処理装置若しくは当該第2の情報処理装置ユーザ又はユーザグループに適用されること、
を特徴とするシステム。
【請求項1】
第1のOSを有し、情報処理装置に対しまた情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと、
第2のOSを有する第2の情報処理装置と、
にネットワークを介して接続される第1のOSを有する第1の情報処理装置であって、
前記サーバから前記ポリシーを取得し保存するポリシー管理手段と、
前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手段により保存されたポリシーをフィルタリングするフィルタ手段と、を有し、
前記フィルタリングされたポリシーは、前記第2の情報処理装置若しくは前記第2の情報処理装置ユーザ又はユーザグループに適用されること、
を特徴とする情報処理装置。
【請求項2】
前記サーバが管理するユーザ情報及び第2の情報処理装置が管理するユーザ情報と、自装置が管理するユーザ情報とを同期させる同期手段と、
を有することを特徴とする請求項1記載の情報処理装置。
【請求項3】
複数の前記第2の情報処理装置が接続され、
前記フィルタリングされたポリシーは、複数の前記第2の情報処理装置若しくは複数の前記第2の情報処理装置ユーザ又はユーザグループに適用されること、
を特徴とする請求項1又は2記載の情報処理装置。
【請求項4】
第1のOSを有し、情報処理装置に対しまた情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと、第2のOSを有する第2の情報処理装置と、にネットワークを介して接続される第1のOSを有する第1の情報処理装置におけるポリシー適用方法であって、
前記サーバから前記ポリシーを取得し保存するポリシー管理手順と、
前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手順により保存されたポリシーをフィルタリングするフィルタ手順と、
前記フィルタリングされたポリシーが、前記第2の情報処理装置若しくは前記第2の情報処理装置ユーザ又はユーザグループに適用される適用手順と、
を特徴とするポリシー適用方法。
【請求項5】
請求項4に記載のポリシー適用方法をコンピュータに実行させるためのプログラム。
【請求項6】
第1のOSを有する第1の情報処理装置と、
第2のOSを有する第2の情報処理装置と、
第1のOSを有し、前記第1及び第2の情報処理装置に対しまた前記第1及び第2情報処理装置のユーザ又はユーザグループに対しポリシーを適用するサーバと
を含み構成されるシステムであって、
前記第1の情報処理装置は、
前記サーバから前記ポリシーを取得し保存するポリシー管理手段と、
前記第1のOSから前記第2のOSへ適用可能なポリシーが規定されたフィルタポリシーに基づき、前記ポリシー管理手段により保存されたポリシーをフィルタリングするフィルタ手段と、
を有し、
前記第2の情報処理装置は、
前記フィルタ手段によりフィルタリングされたポリシーを取得し保存するポリシー管理手段と、を有し、
前記フィルタリングされたポリシーは、当該第2の情報処理装置若しくは当該第2の情報処理装置ユーザ又はユーザグループに適用されること、
を特徴とするシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−123841(P2011−123841A)
【公開日】平成23年6月23日(2011.6.23)
【国際特許分類】
【出願番号】特願2009−283309(P2009−283309)
【出願日】平成21年12月14日(2009.12.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成23年6月23日(2011.6.23)
【国際特許分類】
【出願日】平成21年12月14日(2009.12.14)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]