标签：访问权限

数据保护建议

为了将违反数据安全的风险降到最低，我们建议对运行您的应用程序的系统采取以下组织和技术措施。尽可能避免将 PLC 和控制网络暴露于开放网络和 Internet。使用额外的数据链路层进行保护，例如用于远程访问的 VPN，并安装防火墙机制。仅限授权人员访问，并在初始调试期间更改任何现有的默认密码，并定期更改。

重要

有关设备用户管理的概念和使用的详细信息，请参阅设备用户管理的处理章节。

在那里，您还将找到有关如何使用编辑器的以下说明：

首次登录控制器进行用户管理编辑查看
在控制器的用户管理中设置新用户
在控制器的用户管理中更改对控制器对象的访问权限
从 *.dum 文件加载用户管理，对其进行修改，并在离线模式下将其下载到控制器

在此选项卡上，您可以定义设备用户对控制器上对象的设备访问权限。与项目用户管理一样，用户必须至少是一个用户组的成员，并且只有用户组才能被授予某些访问权限。

. 要求访问权要显示的选项卡：

这显示访问权限页面必须在 den 中选择选项 CODESYS 中的选项设备编辑器类别。
请注意，这 CODESYS 选项可以被设备描述覆盖。

. 授予用户组访问权限的要求

用于用户管理的组件必须在控制器上可用。这是首要要求。
用户和用户组必须在用户和组标签。

选项卡的工具栏

同步	打开和关闭编辑器与设备上的用户管理之间的同步。如果按钮未“按下”，则编辑器为空白或包含您从硬盘加载的配置。当您在编辑器包含尚未与设备同步的用户配置时启用同步时，系统会提示您编辑器内容应该发生什么。选项：从设备上传并覆盖编辑器内容：设备上的配置被加载到编辑器中，覆盖当前内容。将编辑器内容下载到设备并覆盖那里的用户管理：编辑器中的配置被传输到设备并在那里应用。
从磁盘导入	当你点击按钮上的用户和组选项卡导入设备用户管理文件.dum2，选择文件的默认对话框打开以从硬盘驱动器中选择设备用户管理文件。选择文件后，输入密码对话框打开。您必须指定导出文件时分配的密码。然后启用用户管理。注意：在 V3.5 SP16 之前，设备用户管理文件 (.dum) 使用了不需要任何加密的文件类型。当你点击按钮上的访问权选项卡导入设备权限管理文件 *.drm，选择文件的默认对话框打开以从硬盘驱动器中选择相应的文件。对话框中的现有配置被导入的文件覆盖。
导出到磁盘	当你点击按钮上的用户和组选项卡，首先是输入密码为设备用户管理文件分配密码的对话框打开。注意：稍后导入此文件时必须重复此密码才能在控制器上启用此用户管理。密码分配对话框关闭后，用于从硬盘选择和导入用户管理配置的默认对话框打开。在这种情况下，文件类型是设备用户管理文件 (.dum2). 注意：在 V3.5 SP16 之前，设备用户管理文件 (.dum) 使用了不需要任何加密的文件类型。当你点击按钮上的访问权选项卡，文件类型为设备权限管理文件 (*.drm).在这种情况下，保存前不必为文件分配密码。
设备用户	当前登录设备的用户的用户名

表 51. 对象

在树形结构中，列出了可以在运行时对其执行操作的对象。每个对象都由它们的对象源分配，并在对象组中部分排序。在里面权利查看，您可以配置用户组对选定对象的访问选项。

. 对象源（根节点）

文件系统对象 → 设备：在这些对象中，可以将权限授予控制器当前执行目录的文件夹。
运行时对象 → /：在这些对象中，所有在控制器中具有在线访问权限的对象都被管理，因此必须控制权限。

对象的描述位于对象概述桌子。

对象组和对象（缩进）

例子：设备有子节点记录器, 逻辑逻辑, 设置, 用户管理.

表 52. 权限

通常，子对象从根对象继承权限（设备要么 /）。这意味着如果用户组的权限被拒绝或明确授予父对象，那么这首先会影响所有子对象。

该表适用于当前在树中选择的对象。对于每个用户组，它显示当前为对该对象的可能操作配置的权限。

. 对对象可能的操作：

添加/删除
调整
看法
执行

单击对象时，右侧的表格会显示所选对象的可用用户组的访问权限。

这使您可以快速查看：

对象评估哪些访问权限
哪个用户组对哪个对象有哪些有效权限

. 符号的含义

: 明确授予的访问权限
: 访问权限被明确拒绝
: 通过继承授予的访问权限
: 通过继承拒绝访问权限
: 访问权限未被显式授予或拒绝，也未被父对象继承。无法访问。
无符号：选择了具有不同访问权限的多个对象。

通过单击符号更改权限。

例 510. 例子

这记录器对象上访问权选项卡由“记录器”组件创建并控制其访问权限。它位于正下方设备运行时对象。

此对象的可能访问权限只能授予看法行动。

最初，每个对象都有读取权限。这意味着每个用户都可以读取控制器的“记录器”。如果应拒绝单个用户组的此访问权限 (服务在示例中），则必须明确拒绝对记录器对象的读取访问。

对象概述

运行时对象 → 设备

Logger

对记录器的在线访问是只读的。因此，只有看法可以在此处授予或拒绝访问权限。

PlcLogic

下载期间，所有 IEC 应用程序都会自动作为子对象插入此处。删除应用程序时，该应用程序也会自动移除。

这允许对应用程序的在线访问进行特定控制。访问权限可以集中分配给所有应用程序 PLC逻辑

这行政人员和开发商用户组可以完全访问 IEC 应用程序。这服务和手表用户组只有读取权限（例如，对于值的只读监视）。

下表显示了特别是在为 IEC 应用程序授予特定访问权限时受影响的操作。

x ：必须明确设置权限。

-: 权限无关。

应用

手术

访问权

添加/删除

执行

调整

看法

-

x

创建

x

-

创建子对象

x

-

删除

x

-

下载/在线更改

x

-

创建引导应用程序

x

-

读取变量

-

x

写变量

-

x

强制变量

-

x

设置和删除断点

-

x

-

设置下一条语句

-

x

-

读取调用堆栈

-

x

单循环

-

x

-

开启流量控制

-

x

-

开始/停止

-

x

-

重置

-

x

-

恢复保留变量

-

x

-

保存保留变量

-

x

PLCShell

只有调整此时评估权限。这意味着只有当调整已向用户组授予权限，还可以评估 PLC shell 命令。

RemoteConnections

可以在此节点下配置到控制器的其他外部连接。目前，可以在此处配置对 OPCUA 服务器的访问。

Settings

这是对控制器配置设置的在线访问。

Security Settings：默认情况下，访问调整安全设置的权限仅授予管理员。

UserManagement

这是对控制器用户管理的在线访问。默认情况下，读/写访问权限仅授予管理员。

Access Rights：选中该对象后，可以在权限管理中配置权限权利看法。这意味着您可以配置允许哪个用户组简单地读取权限管理，以及允许哪个用户组更改权限管理。
Groups：为设备用户管理的每个用户组自动创建一个单独的对象并显示在下方团体.选择用户组对象后，可以配置用户组的权限。这意味着您可以配置允许哪个用户组读取或修改用户组（例如，将新用户添加到用户组）。
默认情况下，对象可用于以下用户组：
- Administrator
- Developer
- Service
- Watch
这允许设置分级或受限的管理员组。例如，可以设置可视化管理员组，只能将现有用户添加到可视化用户组，不能创建新用户，也不能修改现有用户的密码。
Users：选中该对象时，可以配置用户组对用户的权限。这意味着您可以配置允许哪个用户组读取、修改或添加用户（例如，添加新用户）。

有关详细信息，请参阅：设备用户管理的处理设备用户管理的处理

X509

这控制对 X.509 证书的在线访问。这里区分了两种访问类型：

读（看法)
写（调整)

每个操作都分配给这两个访问权限之一。每个操作都作为子对象插入 X509 下面。因此，现在可以进一步微调每个操作的访问权限。

文件系统对象 → /

控制器执行路径中的所有文件夹都插入到“/" 文件系统对象。这允许您向文件系统的每个文件夹授予特定权限。

本节内容如下:

标签：访问权限

数据保护建议

重要

选项卡的工具栏

对象概述

搜索结果