示例:视线
FactoryTalk Security
允许根据机器位置采用不同的安全设置。计算机帐户用于验证以及授权或拒绝访问来自 FactoryTalk
自动控制系统中的各个计算机的操作。例如,可以使用计算机帐户确保某些操作仅通过位于受控设备直接视野内的计算机执行。这种做法有时被称为视线安全性。
重要提示:
请勿使用需要视线安全的 ,因为无法可靠地确定供用户运行系统的计算机位置。这可能会产生意外结果。例如,如果限制远程用户计算机的写操作安全性,则在远程用户注销后远程计算机的会话仍然持续,因此本地用户可能被意外拒绝访问。
Windows
远程桌面要规划系统安全,应先制定用户列表。将用户分为几组,并规划各组用户需要访问的资源。接下来规划允许用户对这些资源进行哪些操作,以及通过哪台计算机或计算机组执行这些操作。只能在
FactoryTalk
Network Directory 中配置计算机帐户安全。在 FactoryTalk
Local Directory 中,所有可保护操作都被限制为仅本地计算机。想象一个简单的场景,一家面包店需要在
FactoryTalk
Network Directory 中保护其应用程序。本例中,要保护应用程序的每个区域,以提供以下用户和计算机的访问权限:- 面包店用户被分入名为 Operators、Shift Leaders 和 Supervisors 的几个分组中。
- 有多个操作员组,每组负责操作自己的面包店区域(Ingredients、Mixing、Baking 和 Packaging)。
- 操作员使用面包店的机器执行日常操作,并对自己区域中的控制器进行数值读写操作。他们也可以从面包店其他区域中的控制器读取值,但是不能修改这些控制器中的值。
- 操作员必须位于正在操作的重型机器的视线范围内。
- 值班经理执行与操作员相同的操作,他们可以修改面包店中任何区域中的值,但只能通过位于设备视线范围内的计算机修改。值班经理也可以通过任何计算机查看控制系统中任何位置发生的事件。
- 主管不位于现场,无法操作各个机器。他们只能查看控制系统中任何位置发生的事件。
每个用户组的安全需求都不同:
对象 | 需要访问的资源 | 进行什么操作 | 位置 |
|---|---|---|---|
Operators Ingredients | Ingredients | 读取与写入 | 设备视线范围内的计算机 |
Mixing、Baking、Packaging | 读取 | 任何计算机 | |
Operators Mixing | Ingredients、Baking、Packaging | 读取 | 任何计算机 |
Mixing | 读取与写入 | 设备视线范围内的计算机 | |
Operators Baking | Ingredients、Mixing、Packaging | 读取 | 任何计算机 |
Baking | 读取与写入 | 设备视线范围内的计算机 | |
Operators Packaging | Ingredients、Mixing、Baking | 读取 | 任何计算机 |
Packaging | 读取与写入 | 设备视线范围内的计算机 | |
Shift Leaders | All | 读取与写入 | 设备视线范围内的计算机 |
All | 读取 | 任何计算机 | |
主管 | All | 读取 | 任何计算机 |
本例中,要创建以下用户组:
用户组 | 成员 |
|---|---|
Operators | 所有操作员的所有用户帐户 |
Operators Ingredients | Ingredients 区域中操作员的用户帐户 |
Operators Mixing | Mixing 区域中操作员的用户帐户 |
Operators Baking | Baking 区域中操作员的用户帐户 |
Operators Packaging | Packaging 区域中操作员的用户帐户 |
Shift Leaders | 所有值班经理的用户帐户 |
主管 | 所有主管的用户帐户 |
接下来创建计算机组,然后用各计算机帐户填充组。例如,计算机组“Operators Mixing”应只包含属于该区域的计算机帐户。
最后,对各资源进行保护。对于每个需要保护的资源,右键单击该资源(例如,每个区域),然后选择
安全
,查看资源的安全设置
。要允许特定用户和计算机组的操作,请选择该用户和计算机组,然后为相应的操作分配允许
权限。在分配写入
权限之前分配读取
权限。权限示例:
- 在Ingredients区域,允许 Operators Ingredients、Operators Mixing、Operators Baking、Operators Packaging、Shift Leaders 和 Supervisors 从所有计算机进行的读取访问。
- 在Ingredients区域,允许 Operators Ingredients 和 Shift Leaders 仅从 Ingredients 区域的视线范围内的计算机组进行的写入访问。
- 在Mixing区域,允许 Operators Ingredients、Operators Mixing、Operators Baking、Operators Packaging、Shift Leaders 和 Supervisors 从所有计算机进行的读取访问。
- 在Mixing区域,允许 Operators Mixing 和 Shift Leaders 仅从 Ingredients 区域的视线范围内的计算机组进行的写入访问。
提供反馈