最佳实践

FactoryTalk
 系统进行设置,以实现对用户验证和授权的高效管理时,应留意以下提示。
Administrator 帐户
  • 总是有一个以上的用户帐户
    FactoryTalk
     Administrators 组的成员。如果一个管理员帐户的密码丢失,可以使用另一个管理员帐户重新设置该帐户的密码。如果用户帐户的密码丢失,则不能恢复。如果第一个管理员密码丢失,另一个管理员帐户可避免因被锁定而无法进入
    FactoryTalk
     系统。
  • 总是有至少一个
    Windows
     关联帐户是
    FactoryTalk
     管理员组的成员。如果
    Windows
     关联管理员帐户被锁定,例如因为用户超过了最大的登录尝试次数,
    Windows
     域管理员可以重置该帐户。此外,用户还可以等待
    Windows
     自动重置并解锁该帐户。等待时间由
    Windows
     中的“帐户锁定时间”策略决定。
Windows
 关联帐户
FactoryTalk 不会缓存 Windows 关联用户或组的凭据。但是,默认情况下,Windows 操作系统会缓存每个唯一用户最近十次有效登录的 Windows 安全令牌。有关缓存的安全凭据的更多信息,请参阅 Microsoft.com。此缓存验证程序允许对 Windows 关联用户帐户进行身份验证,即使域控制器未连接或无法提供身份验证也是如此。Windows 负责对此缓存验证程序进行加密。但是,此缓存不适用于 Windows 关联组。FactoryTalk Directory 系统和 Windows 操作系统都不会缓存 Windows 域组信息;当与域断开连接时,FactoryTalk 系统无法确定哪些域帐户是 Windows 关联组的成员。如果要使用 FactoryTalk 系统中的组,并且希望与域断开连接,建议使用包含 Windows 关联用户的 FactoryTalk 用户组。
权限
  • 为组而不是为用户分配权限。
  • 仅在例外情况为用户帐户分配权限。直接维护用户帐户效率较低。
  • 应尽可能移除
    允许
    权限,而不是分配明确的
    拒绝
    权限。明确权限的优先级高于继承权限,因此管理起来更加简单,
    拒绝
    权限的优先级则高于
    允许
    权限。
  • 使用
    拒绝
    权限进行以下操作:
    • 排除组中具有
      允许
      权限的组的子集
    • 在已为用户或组授予完全控制的情况下排除一个特殊权限
提供反馈
对本文档有问题或反馈吗? 请在这里提交您的反馈
Normal