使用至少一个任意用户组委托管理在一个数据库目录中的信息.pdf

使用至少一个任意用户组委托管理 在一个数据库目录中的信息
    【相关申请的交叉引用】

    这个申请要求享受于2000年10月19日提出的、标题为“ApproachAnd Design For Software To Facilitate DelegatedAdministration Of Information In A Directory”的美国临时申请60/241,645的优先权，该申请在此被包含在内作为参考。

    发明背景技术

    这个公开通常涉及基于团体的计算机服务，尤其涉及使用至少一个任意用户分组管理基于团体的计算机服务。

    通常，一个团体是一组通常共享一个共同利益的人。随着Internet和电子商务的到来，许多公司正通过内部网和外部网为雇员、供应商、合伙人和客户形成团体。团体使得让雇员、供应商、合伙人和客户一起工作变得更容易和较为便宜。在计算机服务的环境中，这些人被认为是计算机用户或者简单地被认为是用户。有关在团体中每一个用户的信息被保存在大量的目录和数据库中。该信息可以包含用户的姓名、位置、电话号码、机构、登录标识、密码等。其它信息可以包含用户对诸如应用程序和内容之类的资源的存取特权。该目录还可以存储有关在支持团体的网络中的物理设备(例如，个人计算机、服务器、打印机、路由器、通信服务器等)的信息。附加信息可以包含每一个物理设备可得到地服务(例如，操作系统、应用程序、共享文件系统、打印队列等)。所有上述信息通常被称为基于团体的计算机服务。

    随着团体在规模和复杂度方面中的增长，这些基于团体的计算机服务的管理(即，创建、维护、修改、更新、和禁用)变得困难了。在很多情况下，除非一个团体被细分成更多可管理的子团体，否则管理就变为一个几乎不可能完成的任务。随着这些子团体的创建，通过分配不同的个人来管理于团体，使用共同负责管理该团体的一个管理员队伍是所期望的。这种类型的管理被称为是委托管理。

    当前可用的、便于委托管理的管理工具确实具有它们的缺点。例如，这些工具没有提供标识其管理将要被委托的一个任意组用户的功能。尤其是，许多工具要求基于一个精确分层的机构模型进行管理的委托，其中在该机构中的每一个管理级别都具有管理向他们报告的人的权限。这种方法严重地限制了一个用户组能够被形成和管理的方式。例如，一个公司可能具有一个北美机构和一个南美机构。由于当前可用的管理工具要求基于一个精确分层的机构模型进行委托，所以不可能为该公司形成一个位于世界各处的技术人员团体。因此，提供把由该公司雇用并且位于世界各地的全部技术人员做为目标的联机服务是十分困难的。

    因此，需要一个提供了标识许多不同和任意用户组的性能的管理工具，其中该用户组的管理将被委托以便能够为任何类型的机构或者团体执行管理，而不用考虑它的结构。

    发明概述

    在这个公开的一个实施例中，有这样一种方法、系统和计算机可读介质，其存储了用于指示一个计算机系统来管理在一个数据库目录中的用户信息的指令。在这个实施例中，依据分配给该信息的属性值组织用户信息。该组织的用户信息被指定到至少一个任意的用户组中。然后管理与该至少一个任意用户组有关的用户信息。

    在这个公开的第二实施例中，有这样一种方法、系统和计算机可读介质，其存储了用于提供一个用户团体的委托管理的指令。在这个实施例中，该用户团体被指定到至少一个任意用户组中。从该至少一个任意用户组中形成一个管理域。管理特权被授予用于该管理域的一个管理员。该授予的管理特权能够被委托给用于该管理域的另一个管理员。

    在这个公开的第三实施例中，有这样一种系统、方法和计算机可读介质，其存储了用于指示一个计算机系统允许一个管理员控制一个用户团体的管理的指令。在这个实施例中，与该用户团体有关的用户信息被提供给一个管理员。该管理员被提示指定该用户团体到至少一个任意用户组中。该管理员被提示从该至少一个任意用户组中形成一个管理域。该管理员也被提示定义用于该管理域的管理特权。由该管理员定义的管理域和管理特权被用来控制该用户团体的管理。

    在另一个实施例中，有一个用于管理与一个用户团体有关的用户信息的用户团体管理工具。在该用户团体管理工具中，有一个把该用户团体指定到至少一个任意用户组中的用户组指定组件和一个从其中形成一个管理域的域形成组件。一个管理特权组件授予用于该管理域的管理特权。一个信息管理组件根据被授予的管理特权管理与该管理域有关的用户信息。

    在还有的另一个实施例中，有一个用于管理与一个用户团体有关的用户信息的系统。这个系统包含一个包含有多个用户信息的数据库目录。一个用户团体管理工具管理在该数据库目录中的多个用户信息。该用户团体管理工具包含一个把该用户团体指定到至少一个任意用户组中的用户组指定组件和形成一个管理域的域形成组件。一个管理特权组件授予用于该管理域的管理特权。一个信息管理组件根据被授予的管理特权管理与该管理域有关的用户信息。一个计算单元被配置为服务于该用户团体管理工具和该数据库目录。

    附图简要说明

    图1显示了一个用户团体示例的示意图；

    图2显示了在图1中所示的用户团体的委托管理的一个示例；

    图3显示了从至少一个任意用户组中形成的一个用户团体的示例；

    图4显示了一个通用计算机系统的示意图，在该系统中创建并且管理至少一个任意用户组的委托管理工具将进行操作；

    图5显示了创建并且管理至少一个任意用户组、并且在如图4所示的计算机系统上进行操作的委托管理工具的一个高级组件体系结构框图；

    图6显示了一个用于实现如图5所示、创建并且管理至少一个任意用户组的委托管理工具的系统的一个体系结构框图；

    图7显示了利用如图5所示的委托管理工具，从至少一个任意用户组中创建一个管理域所执行的动作的一个流程图；

    图8显示了这样一个流程图，其描述了利用如图5所示的委托管理工具，为从至少一个任意用户组中形成的一个管理域分配用户权限所执行的动作；

    图9显示了这样一个流程图，其描述了利用如图5所示的委托管理工具、在编辑一个用于为一个管理域指定至少一个任意用户组的查询规则中执行的各个动作；以及

    图10a-10c显示了可以被呈现给如图5所示的委托管理工具的用户的各个屏幕显示。

    发明的详细说明

    图1显示了一个用户团体示例的示意图，该用户团体从一个医疗服务供应商接收一个服务团体。如图1所示的示例是一个用户团体概念的说明，且不意味着限制这个公开。在图1中，保健供应商A-D是从医疗服务供应商X接收基于计算机的服务的团体。这种基于计算机的服务的示例可以包含：医学信息、定购医药用品的能力、调度患者预约的能力、为患者服务存档要求的能力。用于这个方案的、基于计算机服务的其它说明性示例可以包含：基准信息、保健统计、以及对可下载软件的访问。保健供应商还可能想向他们的客户、合伙人、厂家、供应商等提供基于计算机的服务。在图1中，保健供应商B把从医疗服务供应商X建立的、基于计算机的服务提供给和它具有关系的一个本地诊所和本地医院。该基于计算机的服务还能够提供给他们的雇员。在图1中，基于计算机的服务被提供给在该本地医院中的各个部门，诸如心脏病科、放射科、肠胃病科、医学研究机构等。基于计算机服务的类似类型分配能够为其它保健供应商(即，保健供应商A、C和D)提供。

    医疗服务供应商X在一个数据库目录中存储有关在该团体中每一个用户的信息。该信息可以包含用户的姓名、位置、电话号码、机构、登录标识、密码等。其它信息可以包含该用户对由医疗服务供应商X提供的某些诸如应用程序和内容之类的资源的存取特权。该医疗服务供应商的数据库目录还可以存储有关在支持该团体的网络中的物理设备(例如，个人计算机、服务器、打印机、路由器、通信服务器、等)的信息。保存在该数据库目录中的附加信息包含每一个物理设备可得到的服务(例如，操作系统、应用程序、共享文件系统、打印队列、等)。

    由于如图1所示的用户团体能够是相当大和复杂的，所以细分和委托这些团体的管理是所期望的。图2显示了在图1中显示的用户团体的委托管理的一个示例。在这个示例中，有一个用于每一个团体、负责管理各种动作的管理员，这些动作包含但不局限于：修改用户信息、更新对某些资源的许可、禁用用户帐号、创建用户帐号、以及维护用户帐号。例如，超级管理员管理用于医疗服务供应商X的动作；管理员A管理用于与保健供应商B有关的本地诊所以及该本地医院中的心脏病科的动作；管理员B管理用于保健供应商A和B的动作；管理员C管理用于保健供应商D的动作；管理员D管理用于与保健供应商B有关的本地医院、与保健供应商B有关的本地医院中的医学研究机构、以及保健供应商C的动作；管理员E管理用于与保健供应商B有关的本地医院中的心脏病科和放射科的动作；且管理员F管理用于与保健供应商B有关的本地医院中的肠胃病科的动作。管理员A-F管理动作的范围完全取决于他们具有的权限类型。用于这个示例的其它形式的委托管理对于本领域技术人员来说可能是显而易见的。

    为了说明这个公开提供的委托管理，在图2的用户团体中的每个块(即，医疗服务供应商X、保健供应商A-D、本地诊所、本地医院、心脏病科、放射科、肠胃病科、医学研究机构)都表示一个管理域。一个管理域是一个包含一组用户、一组能够被修改的用户属性、以及一组用于那些数据字段的允许值的管理对象，一个管理员在该管理对象上具有权限。用户属性的可能示例可以包含但不局限于：雇主、角色或者工作说明、已经被授予权限进行访问的资源、地址以及使用的设备。通常，一个管理员的权限可以包含编辑权限和/或委托权限。当一个管理员可以编辑用户的某些属性时，他或她在该管理域内具有编辑权限。当一个管理员可以定义该用户的给一个子集并且标识用于修改的属性时，他或她在该管理域内具有委托权限，以便创建一个管理子域。把该管理子域分配给一个人就是那个域的委托。创建一个管理子域并且分配那个域给一个用户的能力是委托权限。尽管在这个公开中描述的权限通常涉及编辑权限和委托权限，但是本领域普通技术人员将会意识到：诸如查看、修改、删除、临时委托以及类似操作、但是在可视数据范围上具有限制的其它权限类型同样是可能的。能够在除委托和编辑权限以外、代替委托和编辑权限、或者结合委托和编辑权限一起使用这些权限示例。

    如上所述，能够基于任何用户信息创建团体而不用考虑在数据库目录中基础用户数据的结构或者格式是所期望的。这将允许一个管理员管理以许多不同和任意组形成的用户组，这与那些从通常在定义中就不可改变的组(例如，精确分层的机构模型)中形成的组相反。例如，一个管理员能够依据诸如用户位置、用户对其具有存取特权的应用程序、用户已经执行的合同协议等信息管理任何任意的用户分组。

    图3显示了从至少一个任意用户组中形成的一个用户团体示例。在图3中，用户团体包含放射学家作为一个组，保健供应商B的雇员作为第二个组，以及位于威斯康星州(Wisconsin)中的雇员作为第三个组。管理员G是分配给这三个用户团体的管理员。假定管理员G已经被授予了用于至少一个团体的至少委托权限(有可能能够被授予了诸如编辑、查看、修改、删除等其它类型的权限)，则他或者她能够从这些用户组中形成一个管理域。在图3中，由管理员G形成的管理域包含在威斯康星州中为保健供应商B工作的放射学家。在图3中的一个交叉部分表示在威斯康星州中为保健供应商B工作的放射学家管理域。再次假定管理员G具有委托权限，则他或者她能够授予用于管理包含在威斯康星州中为保健供应商B工作的放射学家的管理域的管理特权。在图3中，管理员G已经把管理特权分配给管理员H，用于包含在威斯康星州中为保健供应商B工作的放射学家的管理域。假定管理员H已经从管理员G处被授予了用于这个域的至少委托权限，则管理员H还有可能通过从这个域中指定一个附加的任意用户组，从在威斯康星州中为保健供应商B工作的放射学家的域中创建一个管理子域。该指定的附加任意用户组能够基于任何期望的用户属性而不用考虑基础用户数据的结构或者格式。例如，管理员H能够创建一个用于被委员会认证的、在威斯康星州(Madison)工作的、并且为保健供应商B工作的放射学家的子域。则如果期望的话，管理员H能够把管理特权授予用于这个子域的另一个管理员。在图3中显示的示例说明了从至少一个任意用户组中创建一个用户团体、管理域或者子域的概念，而并不是意图限制这个公开。

    作为一个例子，上述用于创建和管理至少一个任意用户组的委托管理性能能够以软件形式实现。图4显示了一个通用计算机系统10的一个示意图，在该系统中有一个创建并且管理至少一个任意用户组的委托管理工具进行操作。计算机系统10通常包含：至少一个处理器12、一个存储器14、输入/输出设备、以及连接处理器、存储器和输入/输出设备的数据通道(例如，总线)16。处理器12从存储器14中接收指令和数据并且执行各种计算。处理器12包含一个执行算术和逻辑操作的算术逻辑单元(ALU)，以及一个从存储器14中提取指令并且解码和执行它们的控制单元，该控制单元在必要时调用ALU。存储器14通常包含一个随机存取存储器(RAM)和一个只读存储器(ROM)；然而可以有其它类别的存储器，诸如可编程只读存储器(PROM)、可擦可编程只读存储器(EPROM)、以及电可擦可编程只读存储器(EEPROM)。此外，更可取地是存储器14包含一个在处理器12上执行的操作系统。操作系统执行包含识别输入、发送输出到输出设备、跟踪文件和目录、以及控制各种外围设备的基本任务。

    输入/输出设备可以包含输入数据与指令到计算机系统10中的一个键盘18和一个鼠标20。此外，一个显示器22可以用来允许一个用户看到计算机已经完成了什么。其它输出设备可以包含一台打印机、绘图仪、合成器和扬声器。一个诸如一个电话或者电缆调制解调器的通信设备24或者一个诸如一个Ethernet适配器、局域网(LAN)适配器、综合业务数字网络(ISDN)适配器、或者数字用户路(DigitalSubscriber Line，DSL)适配器的网卡，允许计算机系统10访问在一个诸如LAN或者广域网(WAN)的网络上的其它计算机和资源。一个大容量存储设备26可以用来允许计算机系统10永久地保持大量数据。该大容量存储设备可以包含所有类型的磁盘驱动器，诸如软盘、硬盘和光盘、以及能够读和写数据到一个包含数字录音带(DAT)、数字线性带(DLT)、或者其它磁性编码介质的磁带上面的磁带驱动器。以上描述的计算机系统10能够采取手提式数字计算机、个人数字助理计算机、笔记本计算机、个人计算机、工作站、小型计算机、大型计算机或者巨型计算机的形式。

    图5显示了一个能够创建并管理至少一个任意用户组、并且在如图4所示的计算机系统上进行操作的委托管理工具28的高级组件体系结构框图。委托管理工具28包含一个用户组指定组件29，它允许一个管理员为诸如如图3所示用户团体的一个用户团体指定至少一个任意用户组。被指定的每个任意用户组都具有与它的每一个用户有关的属性以及这些属性的允许值。管理员经由用户组指定组件29使用用于每一个用户的可能属性值组合作为用于指定该至少一个任意用户组的条件。被指定的至少一个任意用户组能够基于任何由管理员期望的用户属性而不用考虑基础用户数据的结构或者格式。例如，参见图3，一个管理员能够使用用户组指定组件29来使用诸如雇主(保健供应商B)、工作说明(放射学家)以及地址(Wisconsin)的用户属性和值形成一个用户团体。

    该用户组指定组件29通过由管理员构造的一个查询规则形成该至少一个任意用户组，以查询一个包含用户信息的数据库目录。该查询规则定义了在该至少一个任意用户组内的用户。因为诸如用户的交叉功能、用户的不同位置等变量，不能依据期望的用户分组组织数据库目录，所以查询规则在指定至少一个任意用户组方面帮助管理员。因为在数据库目录中满足该查询规则的用户数据实时动态地变为在该至少一个任意用户组内的一个管理用户，所以该至少一个任意用户组的形成是动态的。也就是说，该至少一个任意用户组由该查询的执行按要求形成。因此，如果任何新的用户被添加到该数据库目录中而且他或者她的数据将导致满足该查询规则，则那个用户实时动态地变为在从该至少一个任意用户组中形成的域内的一个管理用户。做为选择，如果一个用户从该数据库目录中删除，则那个用户动态地和实时地被排除在作为用于从该至少一个任意用户组中形成的域的一个管理用户之外。该至少一个任意用户组的动态形成允许一个管理员确定谁当前正在从该至少一个任意用户组中形成的管理域中以及谁不在其中。

    一个域形成组件30允许一个管理员从诸如如图3所示和描述的用户组的、指定的至少一个任意用户组中形成一个用户团体、管理域或者管理子域。例如，参见图3，域形成组件30允许一个管理员从具有由保健供应商B雇用、在威斯康星州中、作为放射学家的用户属性和值的至少一个任意用户组中形成一个管理域。

    委托管理工具28还包含一个管理特权组件32。根据上面描述的方式，管理特权组件32允许一个管理员为他或她具有权限的一个管理域或者管理子域授予管理特权。授予的管理特权可以包含委托权限和编辑权限中的至少一个。如上所述，授予其它类型的权限、诸如查看、修改、删除、临时委托等也是可能的。能够在除委托和编辑权限之外、代替委托和编辑权限、或者结合委托和编辑权限一起使用这些权限示例。

    管理特权组件32还允许一个管理员定义：在他或她操作并且对其具有权限的一个管理域或者子域中，哪些用户将具有该授予的管理特权。更具体地说，一个管理员能够使用这个组件以通过分配委托权限、编辑权限或者其它类型的权限给一个特定用户来为他们的操作域定义各个管理员。具有委托权限的管理员还能够使用用户组指定组件29、域形成组件30和管理特权组件32，通过构造一个查询规则、为这些最近形成的子域定义管理特权、以及定义谁将具有用于这些子域的委托权限、编辑权限或者其它类型的权限，来从一个附加用户组中为他们的操作域形成子域。只要一个管理员在一个特定域中具有委托权限，他就有可能继续使用用户组指定组件29、域形成组件30以及管理特权组件32，来使用一个查询规则以及用于他或者她进行操作的子域的委托管理以从至少一个任意用户组中创建一个子域。例如，使用一个较早的示例，管理员H能够创建一个用于被委员会认证的、在威斯康星Madison工作的、以及为保健供应商B工作的放射学家的子域。假定管理员H具有委托权限，如果希望的话，他或者她能够把管理特权授予其它用于这个子域的管理员。一个被分配了用于这个子域的委托权限的管理员能够继续创建当前域的一个附加子域(例如，在WisconsinMadison工作、为保健供应商B工作、并且被训练使用X射线扫描仪Z的委员会认证的放射学家)，并且把用于它的权限授予另一个管理员。相对于一个管理员的工作域而言，有可能继续到一个任意级别。

    委托管理工具28还包含一个信息管理组件36，它依据委托的管理特权管理与每一个管理域有关的信息。取决于委托的权限类型，一个管理员能够使用信息管理组件36来编辑、查看、或者删除用于在一个域中的用户的特定属性。信息管理组件36不局限于这些功能，而且可以执行其它诸如生成报告(例如，关于在一个域内的所有用户的报告)、分析数据(例如，确定某些类型的数据改变的频率)、执行统计分析、或者允许用户在某些属性(例如电话号码、电子邮件地址、口令等)上执行自我管理之类的功能。

    委托管理工具28不局限于一个软件实现。例如，用户组指定组件29、域形成组件30、管理特权组件32和信息管理组件36可以采取硬件、或者固件、或者软件、硬件、和固件的组合的形式。

    此外，委托管理工具28不局限于用户组指定组件29、域形成组件30、管理特权组件32和信息管理组件36。本领域普通技术人员将会意识到，委托管理工具28可能具有其它组件。例如，委托管理工具28还可以包含一个工作流程组件，它管理有关用户创建和管理的过程。此外，委托管理工具28还可以包含一个报告组件，它报告使用统计、错误状态等。还能够有一个事务管理组件，它使用两个阶段的提交/滚回来执行事务。委托管理工具28能够包含的另一个组件是一个用于查看与管理域的分级有关的信息的浏览组件。

    图6显示了一个用于实现如图5所示的委托管理工具的系统38的一个体系结构框图。图6显示了访问委托管理工具28的几种方式。一个计算单元40允许一个管理员访问委托管理工具28。该管理员能够是超级管理员或者具有委托权限、编辑权限或者其它类型权限的管理员。此外，在该域中的用户可以通过一个计算单元40访问委托管理工具28以执行某些基本的自我管理。计算单元40能够采取手提式数字计算机、个人数字助理计算机、笔记本计算机、个人计算机、或工作站的形式。管理员和用户使用一个诸如Microsoft INTERNET EXPLORER或Netscape NAVIGATOR之类的网络浏览器42以在计算单元40上定位和显示委托管理工具28。一个诸如一个电子或无线网络的通信网络连接计算单元40到委托管理工具28。图6显示了计算单元40可以通过一个诸如一个外部网或内部网的专用网络44、或一个诸如一个WAN(例如，国际互连网)的全球网络46连接到委托管理工具28。如图6所示，委托管理工具28驻留在一个服务器48中，该服务器48包含一个为委托管理工具28和一个数据库目录52(或多个目录)服务的网络服务器50，该数据库目录包含用于在形成团体的所有域中的用户的各种信息。然而，委托管理工具不是必须与服务器48共同驻留的。如果希望的话，系统38可以具有允许对访问委托管理工具28的用户进行验证和访问控制的功能。验证和访问控制都能够在网络服务器级别处由委托管理工具28它自己、或是市场上可买到的诸如NetegritySITEMINDER的程序包来处理。

    如上所述，在数据库目录52中的信息可以包含诸如用户的姓名、位置、电话号码、机构、登录标识、口令等之类的信息。其它信息可以包含该用户对诸如应用程序和内容之类的某些资源的存取特权。数据库目录52还可以存储与在支持团体的网络中的物理设备(例如，个人计算机、服务器、打印机、路由器、通信服务器等)有关的信息。存储在该数据库目录52中的附加信息可以包含每一个物理设备可得到的服务(例如，操作系统、应用程序、共享文件系统、打印队列等)。数据库目录52能够采取一个轻型目录访问协议(LDAP)数据库的形式；然而，能够和委托管理工具28一起使用具有其它类型模式的其它目录类型数据库，包括关系数据库、面向对象的数据库、平面文件、或其它数据管理系统。

    使用如图6所示的系统38，诸如一个超级管理员或一个具有委托或编辑权限的管理员的一个管理员能够使用委托管理工具28来使用至少一个任意用户组管理一个团体。此外，该团体的用户能够使用委托管理工具28来执行某些自我管理。图7显示了这样一个流程图，它描述了利用委托管理工具28从至少一个任意用户组中创建一个管理域所执行的动作；为了创建一个管理域，用户必须是一个超级管理员或者一个具有委托权限的管理员。在块54处，超级管理员或具有委托权限的管理员进行注册。注册动作能够包含输入身份和安全信息(例如，一个有效的用户名和口令)。在56处，委托管理工具验证该用户名和口令。在58处，委托管理工具然后确定该用户是否具有创建一个管理域的许可(即，该用户是一个超级管理员或者具有委托权限的管理员)。如果该用户没有被验证或者不具有创建一个管理域的许可，则该用户不被允许创建一个域。

    在60处，该用户标识能够为该管理域处理的属性。如上所述，属性包含任何数据，其描述了有关一个用户的信息(例如，雇主、工作说明、已经被授予访问许可的资源、地址、使用的设备等)。如果期望的话，能够限制某些属性。例如，一个国家属性能够被限制在国家缩写的一个有限集合中。例如，为了表示国家美国、加拿大和墨西哥，能够分别定义诸如USA、CAN或者MEX的一组值。对于这些类型的受限制属性中的某些，让该受限制的属性以一个下拉菜单的形式向该用户显示可能是所希望的。所有被标识的属性然后能够在一个随后时间被查看、编辑或者删除。在62处，用户在需要的地方为这些标识的属性分配允许值。

    接下来，用户使用与在一个用户团体中的用户有关的属性值或者这些值的组合来指定至少一个任意用户组。尤其是，该用户在64处构造一个查询规则以从该数据库目录中获取为该管理域指定的至少一个任意用户组。查询的结果定义了在该团体或者域中的用户组的成员。在已经构造了该查询规则之后，在65处形成该团体或者域。接下来，在66处，用用于最新创建的管理域的数据更新该数据库目录。如果一个具有委托权限的管理员想要从他们的操作域中创建另一个域，则重复块58-66。否则，每当一个超级管理员或者一个具有委托权限的管理员希望创建用于他们的操作域的一个管理域时，则重复块54到66。注意到，用于一个用户团体的超级管理员能够对一个管理域执行他或者她期望的任何功能，诸如创建、修改、删除、查看、等。

    图8显示了这样一个流程图，其描述了为一个域分配用户委托权限、编辑权限或者其它类型权限而执行的动作。  能够分配委托权限和/或编辑权限的唯一用户必须是一个超级管理员或者一个具有委托权限的管理员。如果该超级管理员或者具有委托权限的管理员还没有登录到该委托管理工具上，则他或者她必须在68处注册。在70处委托管理工具验证该用户名和口令。做为选择，如果该超级管理员或者具有委托权限的管理员已经登录到该委托管理工具上，则可以绕过块68-70。在72处，如果有的话，则委托管理工具确定用户对哪些域具有委托权限。因此，如果该用户是一个具有委托权限的管理员，则他或者她将具有为他们所被分配的域分配委托权限和/或编辑权限的许可。

    在73处，该超级管理员或者具有委托权限的管理员选择一个特定的管理域进行操作。该超级管理员或者具有委托权限的管理员可以通过输入期望的域或者一个描述该域的字符串、或者使用两者的结合来选择管理域。本领域普通技术人员将会意识到，有其它输入技术可用于选择一个域。在74处，超级管理员或者具有委托权限的管理员在该数据库目录中搜索满足已经制订的搜索条件的用户。在76处，该委托管理工具分析并且格式化该搜索结果，并且向该用户呈现该结果。在78处，超级管理员或者具有委托权限的管理员然后从该结果中选择单个用户用于分配权限给那个人。在79处，该超级管理员或者具有委托权限的管理员然后选择该有效域的一个子域，其中用于该有效域的权限将被分配给那个用户。然后在80处，超级管理员或者具有委托权限的管理员选择将被分配的权限类型(即，委托权限、编辑权限或者其它类型的权限)。  如果期望的话，超级管理员或者具有委托权限的管理员可以为该分配的权限设置一个截止日期日。在已经分配了该权限之后，在82处用这个数据对数据库目录进行更新。因此，每当一个具有委托权限的管理员希望把一个分配了的管理域的权限委托给另一个用户时，则至少重复块73到82。

    图9显示了这样一个流程图，其描述了在编辑用于为一个管理域或者子域指定至少一个任意用户组的查询规则中执行的各个动作。能够为一个特定域编辑一个查询规则的唯一用户是一个超级管理员和一个在该操作域中具有委托权限的管理员，其中该操作域包含该特定的域。如果该超级管理员或者具有委托权限的管理员还没有登录到该委托管理工具上，则他或者她必须在100处注册。在102处委托管理工具验证该用户名和口令。做为选择，如果该超级管理员或者具有委托权限的管理员已经登录到该委托管理工具上，则可以绕过块100-102。在104处，如果有的话，该委托管理工具然后确定该用户对哪些域具有委托权限。因此，如果该用户是具有委托权限的一个管理员，则他或者她将具有为他们所被分配的域的任何子域编辑一个查询规则的许可。

    在106处，该超级管理员或者具有委托权限的管理员选择一个包含该查询规则的特定管理域，其中该查询规则是他或者她想要编辑的、并且他们具有权限这样做的规则。通常，在这个块处，该超级管理员或者具有委托权限的管理员输入该域名和/或一个描述该域的字符串。在108处，该委托管理工具显示与用于该域的至少一个任意用户组有关的当前查询规则。在110处，该超级管理员或者具有委托权限的管理员然后依照要求编辑该查询规则。在112处，该委托管理工具分析并且解释这些改变，并且利用这个数据更新数据库目录。

    这个公开的上述流程图显示了该委托管理工具的功能和操作。在这方面，每个块可以表示一个模块、部分、或者部分代码，其包含一条或多条用于实现指定逻辑功能(多个功能)的可执行指令。也应注意到：在某些替换实现中，取决于所涉及的功能，在该块中指示的功能可能不以与在该图中指示的次序出现，或者例如，可能实际上被实质上同时或者以倒序执行。同时，本领域普通技术人员将会意识到：可以增加额外的块。此外，能够以诸如C++或者JAVA之类的编程语言实现这些功能；然而，能够使用其它语言。

    图10a-10c显示了可以被呈现给如图5所示的委托管理工具的一个用户的各个屏幕显示。这些屏幕显示仅仅是用于说明性目的，而且不是其它类型显示的穷举。此外，该显示的实际外观能够在实现期间稍微或者实质上被改变了。图10a-10b显示了在一个用户登录到该委托管理工具28中之后并且在该用户对从至少一个任意用户组中增加一个管理域感兴趣时，可以向一个用户呈现的屏幕显示。尤其是，图10a显示了一个允许一个用户从至少一个任意用户组中创建或者编辑一个管理域的屏幕显示。在图10a中，该用户标识能够为该域处理的管理域名称和属性。图10b显示了这样一个屏幕显示，它允许一个用户构造或者编辑一个用于为形成一个管理域或者子域指定至少一个任意用户组的查询规则。在一行上的每一个查询规则包含：一个用于搜索的属性字段；一个诸如“等于”、“小于”、“大于”、“小于或等于”、“大于或等于”、“不等于”、“包含”、“不包含”、“除外”、或者“不除外”的操作符；一个用于指定一个用以搜索该指定属性的字符串或者模式的字段；以及另一个诸如“AND”或者“OR”、用于连接这个特定查询规则到任何其它规则的操作符。本领域普通技术人员将会意识到：其它字段以及额外的属性操作符能够用于构造一个查询规则。在图10b中的屏幕显示还向该用户显示了构造他或者她自己定制的查询规则的选项。能够通过使用布尔逻辑、一个自然语言查询、或者一个SQL查询来实现构造一个定制的查询规则。

    图10c显示了一个可以在一个用户登录到该委托管理工具28中之后，并且对分配委托权限、编辑权限或者任何其它类型的权限感兴趣时，向该用户呈现的屏幕显示。在图10c中，该用户已经选择了一个特定用户用于委托管理，并且标识该管理域名称和该用户将在那个域上具有的权限类型(例如，委托权限和/或编辑权限)。此外，能够指定用于该分配的管理域和权限的一个截至日期。注意到：能够把多于一个管理域分配给一个用户。类似地，多于一个的用户可以被分配给一个域。用于域名称、权限类型和截至日期的选择在图10c中被显示为下拉菜单；然而，如果期望的话，可以使用用于输入数据的其它选项。

    以上描述的委托管理工具包含用于实现逻辑功能的可执行指令的一个有序列表。该有序列表能够被包含在任何计算机可读介质中，用于由能够检索该指令并且执行它们的基于计算机的系统使用或者与之结合使用。在这个申请的上下文中，计算机可读介质能够是任何能包含、存储、传递、传播、传输或者传送该指令的装置。该计算机可读介质能够是一个电子的、磁的、光的、电磁的、或者红外的系统、装置、或设备。该计算机可读介质的一个说明性的、但未穷举的列表能够包含：一个具有一条或多条电线的电连接(电子的)、一个便携式计算机磁盘(磁的)、一个随机存取存储器(RAM)(磁的)、一个只读存储器(ROM)(磁的)、一个可擦可编程只读存储器(EPROM或者闪速存储器)(磁的)、一个光纤(光的)、以及一个便携式光盘只读存储器(CDROM)(光的)。

    注意到，计算机可读介质可以包含在上面打印指令的纸张或者另一种适当介质。例如，该指令能够经由该纸张或者其它介质的光学扫描被电子地捕获，然后如果必要的话以一种适当的方式被编译、解释或者处理，然后被保存在一个计算机存储器中。

    很显然这里已经根据这个发明提供了一个委托管理工具。虽然已经结合它的一个最佳实施例详细地显示和描述了本发明，但是应当理解，本领域普通技术人员可以实施变化和修改而没有背离本发明的精神和范围。