[发明专利]一种用户终端服务的分配方法和装置

说明书

技术领域

本发明涉及计算机技术领域，特别涉及一种用户终端服务的分配方法和装置。

背景技术

LDAP(Lightweight Directory Access Protocol，轻量级目录访问协议)是一种轻量级的目录访问协议。LDAP目录中可以存储各种类型的数据如电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤。Windows AD(Windows Active Directory)是LDAP在Windows系统的实现。

在企业中，通常需要将Windows AD上边的用户同步到网络管理系统中。为了对网络进行更加精细的控制，可以对不同的用户进行不同的接入控制。例如将一类用户归入一个Windows AD用户组，这个组使用它自己的服务，服务是指网络运营商预先设定的使用特性和计费策略的组合，包括计费策略，安全策略和访问控制策略等。因此，如何有效的为不同部门的员工分配合适的服务就成为用户管理的一个重要问题。

通过为每一个用户指定一个服务，在用户数量比较少的情况下是一种可行的方案，在用户数量多的情况下，为成千上万的用户逐个的指定用户的服务显然是一件很繁琐的事情，用户数量和服务的组合将是一个庞大的数字。

现有用户服务分配所通常采用的方法为采用基于角色的访问控制方式，具体的，对资源上的操作构成权限，不同权限的集合构成角色，通过为用户指定一个或者多个角色，实现为用户分配置一定的服务。

现有技术中存在的缺点在于，必须手工为每一个用户指定一个或者多个角色，不能根据组织关系自动查找用户应该分配的服务，导致处理效率很低。

发明内容

本发明提供一种用户终端服务分配的方法和装置，用于自动为分配用户服务。

本发明提供一种用户终端服务分配的方法，包括：

获取组与组之间的隶属关系，将所述组与组之间的隶属关系通过分层的树状结构表示；在不同的组中选择关键组并指定所述关键组的服务；设置默认服务、以及在所述分层的树状结构中查找的最大层数；

获取用户终端所属的组；

根据所述用户终端所属的组与其他组的隶属关系，为所述用户终端分配对应的组的服务，所述为所述用户终端分配对应的组的服务具体包括：

在所述最大层数的限制下，在所述用户终端所属的组、以及所述用户终端所属的组所隶属的其他组中，选择为所述用户终端分配的服务；所述选择具体为：为所述用户终端分配具有最高层优先级的关键组的服务；与所述用户终端所属的组相差的层数最少的关键组的服务具有最高层优先级。

其中，所述将所述组与组之间的隶属关系通过分层的树状结构表示后，还包括：

对于相互包含的多个组形成的隶属关系直接剪掉其中的分支。

其中，所述在所述最大层数的限制下，在所述用户终端所属的组、以及所述用户终端所属的组所隶属的其他组中，选择为所述用户终端分配的服务；所述选择还包括：

所述用户终端具有多个具有相同层优先级的关键组的服务时，为所述用户终端分配具有最高服务优先级的关键组的服务。

其中，向所述用户终端分配的关键组的服务不存在时，为所述用户终端分配默认服务。

本发明的实施例还提供一种用户终端服务的分配装置，包括：

隶属关系获取单元，用于获取组与组之间的隶属关系，将所述组与组之间的隶属关系通过分层的树状结构表示；

配置单元，用于在不同的组中选择关键组并指定所述关键组的服务；并设置默认服务、以及在所述分层的树状结构中查找的最大层数；

组获取单元，用于获取用户终端所属的组；

服务分配单元，用于根据所述用户终端所属的组与其他组的隶属关系，为所述用户终端分配对应的组的服务，所述服务分配单元具体用于：

在所述最大层数的限制下，在所述用户终端所属的组、以及所述用户终端所属的组所隶属的其他组中，选择为所述用户终端分配的服务；所述服务分配单元具体包括：

第一服务分配子单元，用于为所述用户终端分配具有最高层优先级的关键组的服务；与所述用户终端所属的组相差的层数最少的关键组的服务具有最高层优先级。。

其中，还包括：

分支剪除单元，用于对于所述隶属关系获取单元获取到的隶属关系中，对于相互包含的多个组形成的隶属关系直接剪掉其中的分支。

其中，所述服务分配单元具体还包括：