处理设备的用户管理和权限
对于支持设备用户管理的设备,设备编辑器包括 用户和群组 和 访问权限 选项卡。当设备提供时,您可以在此处查看设备的用户管理,也可以在同步模式(非在线模式)下对其进行编辑。在这里,您可以向定义的用户组授予或拒绝控制器的特定权限。然后,用户需要此处定义的凭据才能登录控制器。
设备用户管理已经可以在设备描述中设置。
注意
对于 CODESYS Control for <device> SL 版本 >= 3.5 SP17 时,用户管理是 强制执行 默认情况下作为通信策略。对于回到 3.5 SP14 的旧版本,必须明确启用和强制执行。即使是较旧的版本也仅提供非常简单的用户管理。
提示
注意里面的命令 .您可以在当前登录的控制器上轻松添加、编辑或删除用户帐户。
提示
为了 访问权限 选项卡将在设备编辑器中可用,相应的 CODESYS 必须在设备编辑器中启用该选项,并在设备描述中解锁。如果设备编辑器对话框不可用,请联系控制器供应商。
权限只能授予群组,不能授予个人用户。因此,每个用户都必须是群组的成员。有预定义的默认用户组(见下文)。这些群组及其他群组和用户是在设备编辑器上配置的 用户和群组 选项卡。在控制器上设置用户管理后,您可以配置控制器的权限。
如果设备的用户管理尚不 “激活”,则可以通过以下操作之一将其启用:
在设备编辑器中切换到同步模式 用户和群组 选项卡。
使用添加新用户 命令。
系统提示启用时同意 建立连接并首次登录控制器。
提示
为了 CODESYS Control 设备,默认情况下强制执行用户管理。
的设备用户管理中的默认用户组 CODESYS Control
有以下预定义的用户组:
管理员:所有权限。
当您首次登录 PLC 时,系统将指示您启用设备用户管理,然后在 管理员 组。作为该用户,您可以设置其他用户和群组并授予权限。
开发者:下载、在线更改、调试和强制执行的权限
服务:备份和恢复 IEC 应用程序,更新 IEC 应用程序(转移启动项目),但不对 IEC 应用程序进行编程/调试
观看:只读
权限
可以为在控制器的各个对象上执行的以下操作授予访问权限:
添加/删除
调整
看法
执行
控制器上的一个对象通常只分配给一个控制器组件。
每个对象都可以使用所有列出的操作,但通常只需要对对象进行以下操作的权限:
看法
调整
对象以树结构组织。这两种对象有两个根对象:
Runtime objects → Device:在这些对象中,管理所有在控制器中具有在线访问权限的对象,因此必须控制权限。 对象也存在于此处和其下方Access Rights对象,一个Groups对象,以及Users对象。在下面Groups对象,有所有已定义的用户组,然后可以向其授予用户组的权限。有关更多信息,请参阅: 物体概述。File system objects → /:在这些对象中,可以向控制器当前执行目录的文件夹授予权限。
子对象继承根对象的访问权限(也 Device 或者 ”/")。如果用户组的权限被拒绝或明确授予父对象,则这会影响所有子对象。
可以明确授予或拒绝单个权限(绿色加号或红色减号),或保持“中性”(浅灰色字符)。中性意味着权限既没有被明确授予也没有被拒绝。在这种情况下,应用父对象的权限。
如果在对象的整个层次结构中没有明确授予或拒绝任何权限,则根据定义它是拒绝的。因此,所有权限最初都被拒绝(例外: View 行动)。最初,此权限是明确授予每个用户组的 Device 运行时对象以及“/" 文件系统对象。这允许对所有对象进行读取访问,除非它在子对象中被明确拒绝。
有关对象的概述表,请参阅: 选项卡:访问权限。
有关在编辑器中进行设备用户管理的以下说明:
要求:已配置与控制器的连接。该控制器支持设备用户管理,但尚未激活。
首先将与控制器的通信设置为 “加密”,这样在转移用户管理权时就不会向网络中的其他参与者泄露任何凭据。这可以在设备编辑器中的设备编辑器中 通信设置 选项卡或在 安全屏幕 观点。有关更多信息,请参阅: 使用证书加密通信并更改安全策略。
在设备树中,双击控制器对象,然后在设备编辑器中选择 用户和群组 选项卡。点击
按钮。将打开一个对话框,提示是否应进行设备用户管理 已激活。
点击 是的 确认对话提示。
这 添加设备用户 对话框打开。
现在创建一个设备用户,以便以该用户的身份编辑用户管理。在这种情况下,只有 管理员 群组可用。定义一个 姓名 和 密码 对于用户来说。显示密码强度。另请注意有关密码更改的设置选项。默认情况下,用户可以随时更改密码。
按钮将凭据存储在 密码管理器。点击 好吧 进行确认。
这 设备用户登录 对话框打开。
指定一个 用户名 和 密码 对于您刚刚定义的用户。
在你点击之后 好吧 为了确认,设备用户管理显示在编辑器视图中。它包含的用户
Administrator你刚才定义的群组。用户名也显示在窗口的任务栏中 设备用户。
要求:控制器有设备用户管理。您有相应的访问数据。
在设备树中,双击控制器设备对象。 用户和群组 选项卡。
点击
按钮(同步)将用户管理配置从控制器加载到编辑器。如果您尚未登录设备,则 设备用户登录 对话框打开,用于输入用户名和密码。设备的用户管理配置显示在编辑器中。
在里面 用户 查看,点击 添加.
这 添加用户 对话框打开。
指定新用户的名称并将用户分配给组。这算作用户所需的最低“默认组”。稍后可以将用户分配到其他组。定义并确认 密码 为用户。定义用户是否可以更改密码以及用户是否必须在首次登录时更改密码。点击 行 确认。
新用户出现在 用户 将其视为一个新节点并在 团体 查看为选定默认组的新子条目。
提示
根据这些说明,还可以在 团体 看法。为每个用户组自动创建一个运行时系统对象并显示在 访问权 下面的选项卡 UserManagement 目的。这允许设置分级或受限的管理员组。例如,可以设置可视化管理员组,只能将现有用户添加到可视化用户组,不能创建新用户,也不能修改现有用户的密码。
有关更多信息,请参阅: 物体概述。
要求:控制器有设备用户管理。您有相应的访问数据。
在设备树中,双击控制器设备对象。点击 访问权限 选项卡。
点击
按钮(同步)将权限管理配置从控制器加载到编辑器。如果您尚未登录设备,则 设备用户登录 对话框打开以输入访问数据。设备的权限配置显示在编辑器中。
在对象树的左侧选择要更改其访问权限的对象。
在里面 权限 视图中,表格显示了所有已配置用户组的此对象的权限。
双击要更改的表中的右侧。
如果该对象有子对象,则会出现一个对话框提示您是否要修改子对象的权限。
点击 是的 或者 不 关闭提示。
权限从
“授予”给 
“拒绝”,或者相反。表格单元格中的符号会相应更改。明确设置的权限在表中显示为绿色或红色符号。从父对象继承的权限显示为灰色符号。
提示
在 V3.5 SP16 及更高版本中,使用密码加密的文件 (*.dum2) 用于导出用户管理。
双击设备树中的控制器设备对象。
设备编辑器打开。
点击 用户和组 标签。
点击
按钮。从本地文件系统中选择文件的对话框打开。
选择文件(
<file name>.dum2) 使用本地文件系统中所需的用户管理,然后单击 打开 确认。这 输入密码 对话框打开。
指定导出用户管理文件时分配的密码(可以通过
按钮)。注意:通过
*.dum2文件完全覆盖设备上现有的用户管理。为了以后再次登录设备,您需要来自最近导入的用户管理的身份验证数据。正确输入密码后,下载的用户管理文件中的配置现在会显示在编辑器视图中。
根据需要编辑配置。例如,更改用户密码或添加新用户。
每个更改都会立即下载到设备。
禁用用户管理
重要
禁用用户管理后,控制器网络中的所有人都可以再次访问您的控制器。因此,只有在合理的特殊情况下或使用的客户端不支持任何用户管理的情况下,才应这样做。
提示
要启用用户管理,至少要有一个 CODESYS V3.5 SP16 开发系统是必要的。这意味着,如果强制用户管理尚未启用,则无法连接到较旧的开发系统。
要将强制的主动用户管理重置为 “可选”,请按以下步骤操作:
在设备树中,双击控制器。 通信设置 选项卡,单击 扫描网络 然后连接到您的控制器。
在 通信设置 选项卡,选择 设备 → 更改运行时安全策略 命令。注意:仅当您未登录设备时,该菜单才可用。
在 更改运行时安全策略 对话框,在 设备用户管理 区域,选择 可选的用户管理 作为 新政策 然后点击 好吧。
设备用户管理的安全策略设置为 “可选”。
连接到控制器,然后在 在线 菜单点击 重置原始设备 命令。这将删除仍处于活动状态的用户管理,并配置控制器应仅具有可选用户管理的设置。注意:在 CODESYS V3.5.16.20 及更高版本,可以在执行时将启动应用程序排除在删除操作之外 重置原始设备。