用户权限意外遭到拒绝

可能原因和解决方案:
  • 安全策略
    所有客户端计算机均需要计算机帐户
    已设置为
    启用
    ,并且用户正尝试使用远程桌面服务对
    FactoryTalk
     Network Directory 进行远程访问。
    如果用户需要使用远程桌面服务访问
    FactoryTalk
     Network Directory,请将安全策略
    所有客户端计算机均需要计算机帐户
    设置更改为
    禁用
    此外,检查
    用于识别终端服务器客户端的名称:
    的策略设置
    • 如果设置为
      终端客户端
      ,所有连接到 Network Directory 的计算机必须在 Network Directory 中具有计算机帐户才能登录。
    • 如果设置为
      服务器计算机
      ,远程桌面会话主机必须在 Network Directory 中具有帐户,以便客户端登录。
  • 权限集存在冲突。如果在同一级别设置了冲突的明确权限,
    拒绝
    优先于
    允许
    。例如,如果明确拒绝 Operators 组对应用程序的访问,但是明确允许个别用户帐户 (Jane) 对应用程序的访问,“拒绝”优先于“允许”,Jane 不能访问该应用程序,如果她的用户帐户是 Operators 组的成员。这是因为在同一资源上设置了冲突的明确权限。要允许 Jane 访问应用程序,就必须拒绝 Operators 组访问分层结构中更高级别的资源(如应用程序所在的
    FactoryTalk
     Network Directory 或
    FactoryTalk
    Local Directory),然后明确允许应用程序的例外情况。
    检查用户和用户所属组的权限,并根据需要修改权限以允许访问。
  • 具有
    Windows
     关联帐户的用户使用空密码。用户不应该为
    Windows
     关联帐户使用空密码,否则他们可能遇到间歇的安全故障或不能登录。出于安全考虑,不要对帐户使用空密码。
    如果可能的话,让用户将其
    Windows
     帐户更改为使用密码。如果存在用户不为
    Windows
     关联帐户使用密码的操作要求,请在每个用户的本地计算机上禁用
    Windows
     本地安全策略帐户:
    本地帐户空密码的使用仅限于控制台登录
  • 对用户帐户的组成员身份更改待处理。
    如果用户帐户的组成员身份已经更改,或者如果用户帐户被添加到用户组帐户,用户就必须从
    FactoryTalk
     注销,然后重新登录,更改才能生效。
  • 在用户会话期间删除了操作组。
    如果删除了操作组,用户可能被拒绝该操作组明确允许的权限。要更正此问题,可采用以下两种方法:
    • 重新创建操作组,然后重新为用户和资源分配权限(不能通过使用与删除的操作组名称相同的名称重新创建操作组来还原权限)
    • 为用户或组帐户明确分配所需要的权限。
    • 如果在多个资源中使用该操作组,从备份还原
      FactoryTalk Directory
       可能比重新创建操作组和重新创建它的权限更快速简单。
  • 操作组明确拒绝权限
    如果正在使用操作组,并且明确拒绝了该组的权限,包括用户完成任务所需要的操作,请从操作组中移除受影响的操作,然后为这些操作重置权限。
  • 还原
    FactoryTalk Directory
    、“系统”文件夹或应用程序后未定义权限
    • 如果正在使用本地工作站帐户作为
      Windows
       工作组的一部分,
      Windows
       关联用户帐户的安全设置会消失。这是因为由于安全原因与帐户相关联的唯一标识符不会被重新附加到还原的帐户。还原
      Windows
       关联帐户后,必须重新创建权限。要防止发生此问题,请使用
      Windows
       域,而不是工作组。
    • 如果将没有相关联的“系统”文件夹的应用程序还原到一个不同的目录或不同计算机上的目录,那么与原始应用程序关联的安全权限就不会在与不同的“系统”文件夹关联的还原的应用程序中生效。不再生效的安全设置用灰掉的用户图标表示,后面是帐户的唯一 ID。还原后重新创建这些权限。
  • 没有为目录配置安全设置
    Network Directory 中的安全设置与 Local Directory 中的安全设置是完全相互独立的。对 Network Directory 中的安全设置进行的更改不会影响到 Local Directory,反之亦然。如果同时使用 Network Directory 和 Local Directory,则应分别在每个目录中进行安全设置。此外,确保用户登录到了正确的目录。
  • 如果在连接到运行早期版本 FactoryTalk Network Directory 服务器的客户端计算机上安装
    FactoryTalk Services Platform
     或升级它的版本,可能会导致
    Rockwell Automation
     应用程序出现意外的结果。这是因为更高版本的
    FactoryTalk Services Platform
     可能包含新的产品策略或新的可保护操作。
    为了避免出现此问题,请将托管
    FactoryTalk
     Network Directory 服务器的计算机上的
    FactoryTalk
     平台软件升级到与网络中任何客户端计算机上安装的
    FactoryTalk Services Platform
     最新版本相同的版本。
提供反馈
对本文档有问题或反馈吗? 请在这里提交您的反馈
Normal