选项卡 "访问权限

注意

关于数据安全的建议

为了最大限度地降低数据安全违规的风险，我们建议对运行应用程序的系统采取以下组织和技术措施。尽可能避免将 PLC 和控制网络暴露在开放网络和互联网上。使用额外的数据链路层进行保护，如用于远程访问的 VPN，并安装防火墙机制。限制授权人员访问，在初始调试期间更改任何现有的默认密码，并定期更改。

注意

有关设备用户管理概念和使用的详细信息，请参阅 "设备用户管理的处理"。

您还可以在这里找到以下关于如何使用编辑器的说明：

首次登录控制器，编辑和查看用户管理
在控制器的用户管理中设置新用户
在控制器的用户管理中更改控制器对象的访问权限
在脱机模式下，从 *.dum 文件加载用户管理，对其进行修改并下载到控制器中

在设备编辑器的此选项卡上，您可以定义设备用户对控制器上对象的设备访问权限。与项目用户管理一样，用户必须至少是一个用户组的成员，只有用户组才能被授予某些访问权限。

显示“访问权限” 选项卡的要求：

在CODESYS 选项中，在“Device Editor” 类别中，必须选择“Show access rights page” 选项。

请注意，CODESYS 选项可被设备描述覆盖。

授予用户组访问权限的要求

控制器上必须有一个用户管理组件。这是首要条件。
必须在“Users and Groups” 选项卡上配置用户和用户组。

表格 433：选项卡的工具栏
同步	打开或关闭编辑器与设备上用户管理之间的同步。如果按钮未按下，则说明编辑器是空白的，或者其中包含从硬盘加载的配置。按下按钮后，CODESYS 会将编辑器中的显示内容与连接设备上的当前用户管理内容持续同步。当编辑器中包含尚未与设备同步的用户配置时，如果启用同步，系统会提示编辑器内容将发生什么变化。选项： “从设备上传并覆盖编辑器内容” ：设备上的配置将加载到编辑器中，并覆盖当前内容。 “将编辑器内容下载到设备，并覆盖那里的用户管理” ：编辑器中的配置会传输到设备并在设备中应用。
从磁盘导入	小心：通过`‎.dum2‎` 文件导入设备用户管理会完全覆盖设备上现有的用户管理。之后要再次登录设备，需要新用户管理的身份验证数据。这意味着您必须在导入后从导入的用户管理中以用户身份登录。单击“用户和组” 选项卡上的按钮导入“设备用户管理文件 .dum2” 时，会打开选择文件的默认对话框，从硬盘中选择设备用户管理文件。选择文件后，将打开“输入密码” 对话框。您必须指定导出文件时分配的密码。然后启用用户管理。请注意：在 V3.5 SP16 之前，“设备用户管理文件 (.dum)” 文件类型不需要任何加密。单击“访问权限” 选项卡上的按钮导入“设备权限管理文件 .drm” 时，会打开选择文件的默认对话框，从硬盘中选择相应的文件。对话框中的现有配置将被导入的文件覆盖。
导出到磁盘	单击“用户和组” 选项卡上的按钮后，首先会打开“输入密码” 对话框，用于为设备用户管理文件分配密码。请注意：以后导入该文件时必须重复该密码，以便在控制器上启用该用户管理。关闭密码分配对话框后，将打开用于从硬盘选择和导入用户管理配置的默认对话框。在这种情况下，文件类型为“设备用户管理文件 (.dum2)” 。请注意：在 V3.5 SP16 之前，“设备用户管理文件 (.dum)” 文件类型不需要任何加密。单击“访问权限” 选项卡上的按钮时，文件类型为“设备权限管理文件 (*.drm)” 。在这种情况下，保存前无需为文件指定密码。
“设备用户”	当前在设备上登录的用户的用户名

表格 434： “对象”
在树形结构中，列出了可在运行时执行操作的对象。每个对象由其对象源分配，并按对象组进行部分排序。在“Rights” 视图中，可以配置用户组对选定对象的访问选项。
对象源（根节点） “文件系统对象设备” ：在这些对象中，权限可授予控制器当前执行目录下的文件夹。 “运行时对象 /” ：在这些对象中，所有对象都是在控制器中进行在线访问的管理对象，因此必须控制访问权限。表中有这些对象的说明。 ⮫ “对象概览”
对象组和对象（缩进）示例：“设备” ，带子节点“Logger”,“PlcLogic”,“Settings”,“UserManagement”.

表格 435： “权利”
一般情况下，访问权限从根对象（也可以是“设备” 或“/” ）继承到子对象。这意味着，如果用户组的某项权限被拒绝或明确授予父对象，则首先会影响所有子对象。该表适用于当前在树中选中的对象。对于每个用户组，它显示了当前为该对象上的可能操作配置的权限。对对象可能采取的行动： “添加/删除” “Modify” “查看” “执行”
点击对象后，右侧的表格会显示所选对象的可用用户组访问权限。这样就可以快速查看：对象评估哪些访问权限哪个用户组对哪个对象拥有哪些有效权限符号的含义 :明确授予的访问权 :明确拒绝访问权 :通过继承授予的访问权 :因继承而被剥夺的使用权 :访问权限没有明确授予或拒绝，也没有被父对象继承。无法访问。无符号：选择具有不同访问权限的多个对象。点击符号更改权限。

示例

“访问权限” 标签页上的“记录仪” 对象由 "记录仪 "组件创建并控制其访问权限。它位于“Device” 运行时对象的正下方。

该对象的可能访问权限只能为“View” 操作授予。

最初，每个对象都有读取权限。这意味着每个用户都可以读取控制器的 "日志"。如果要拒绝单个用户组（示例中为“Service” ）的访问权限，则必须明确拒绝对记录仪对象的读取访问权限。

对象概览

“运行时对象设备”
“Logger”	记录仪的在线访问为只读。因此，这里只能授予或拒绝“View” 访问权。
“PlcLogic”	在下载过程中，所有 IEC 应用程序都会作为子对象自动插入此处。删除应用程序时，它会自动移除。这样就可以对应用程序的在线访问进行特定控制。访问权限可集中分配给“PlcLogic” 中的所有应用程序。“Administrator” 和“Developer” 用户组可完全访问 IEC 应用程序。“Service” 和“Watch” 用户组只有读取权限（例如只读监控值）。
	下表显示了为 IEC 应用程序授予特定访问权限时，哪些操作会受到特别影响。 `‎x‎` :权利必须明确设定。 `‎-‎` :权利并不重要。
	“应用”	运行	访问权限
			“添加/删除”	“执行”	“Modify”	“查看”
		登录	`‎-‎`	`‎-‎`	`‎-‎`	`‎x‎`
		创建	`‎x‎`	`‎-‎`	`‎-‎`	`‎-‎`
		创建子对象	`‎x‎`	`‎-‎`	`‎-‎`	`‎-‎`
		删除	`‎x‎`	`‎-‎`	`‎-‎`	`‎-‎`
		下载/在线更改	`‎x‎`	`‎-‎`	`‎-‎`	`‎-‎`
		创建启动应用程序	`‎x‎`	`‎-‎`	`‎-‎`	`‎-‎`
		读取变量	`‎-‎`	`‎-‎`	`‎-‎`	`‎x‎`
		写入变量	`‎-‎`	`‎-‎`	`‎x‎`	`‎x‎`
		强制变量	`‎-‎`	`‎-‎`	`‎x‎`	`‎x‎`
		设置和删除断点	`‎-‎`	`‎x‎`	`‎x‎`	`‎-‎`
		设置下一条声明	`‎-‎`	`‎x‎`	`‎x‎`	`‎-‎`
		读取调用堆栈	`‎-‎`	`‎-‎`	`‎-‎`	`‎x‎`
		单循环	`‎-‎`	`‎x‎`	`‎-‎`	`‎-‎`
		开启流量控制	`‎-‎`	`‎x‎`	`‎x‎`	`‎-‎`
		启动/停止	`‎-‎`	`‎x‎`	`‎-‎`	`‎-‎`
		重置	`‎-‎`	`‎x‎`	`‎-‎`	`‎-‎`
		恢复保留变量	`‎-‎`	`‎x‎`	`‎-‎`	`‎-‎`
		保存保留变量	`‎-‎`	`‎-‎`	`‎-‎`	`‎x‎`
“PlcShell”	此时只对“修改” 权限进行评估。这意味着，只有当“Modify” 权限被授予一个用户组时，PLC shell 命令才能被评估。
“RemoteConnections”	可在此节点下方配置与控制器的其他外部连接。目前，可在此处配置访问CODESYS OPC UA 服务器。
“设置”	这是对控制器配置设置的在线访问。默认情况下，只有管理员才能访问“Modify” 。
“UserManagement”	这是对控制器用户管理的在线访问。默认情况下，读/写权限只授予管理员。
“X509”	这可以控制 X.509 证书的在线访问。这里有两种不同的访问方式：读取 (“查看”) Write (“Modify”) 每项操作都分配给这两种访问权限中的一种。每个操作都作为子对象插入到 X509 下面。因此，现在可以对每次操作的访问进行更精细的调整。

“文件系统对象 /”
	控制器执行路径中的所有文件夹都会插入到 "“/”" 文件系统对象下方。这样就可以为文件系统的每个文件夹授予特定权限。

另见