基于域账户及西门子simatic logon的集中权限管理的实现

本文主要是介绍基于域账户及西门子simatic logon的集中权限管理的实现，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

原创 Luis Wang 智能大大号引文：博途工控人平时在哪里技术交流博途工控人社群

西门子在工业自动化领域可谓傲视群雄，在制药工厂，有超过50%以上的自动化系统、设备都配备了西门子的PLC、DCS、HMI及SCADA(wincc)平台；包括配液及CIP、制水、BMS、EMS、灭菌柜等很多系统。

    每个系统可能涉及多个用户操作终端，以往的用户权限管理，需要在每个HMI、每台上位机分别进行管理。为安全起见，通常每3~6个月还需对密码进行更改。如果出现人员岗位变动，需要新增、删除用户权限，也会是一个不小的工作量。极有可能出现的一种情况是：

    操作员小A要带着小本本去现场，上面记的是各种密码，因为每个操作面板终端之间都不 同 步 ！！！

如何解决上面的问题呢？

域账户+西门子Simatic Logon=一个账号通吃所有西门子系统！

    这是基于用户角色的权限管理方式。甚至可延伸至未来的PCS 7，MES系统用户管理 。同时simatic logon符合FDA 21 CFR Part 11。

---

先看看simatic logon登陆过程是如何实现的

看过之后我们一起来实践吧！

本文以BMS系统为例，Active Directory域服务器基于windows server 2016，Simatic Logon服务器基于server 2016+simatic logon v1.6(触摸屏需要remote access授权)，上位机Wincc 7.4 sp1 upd8，触摸屏为MP277、TP1200。

实现BMS系统所有现场触摸屏和上位机权限集中在Active Directory域服务器中管理。

整个系统架构如下：

1.搭建Active Directory域环境

1.1 安装操作系统（略）

1.2 安装Active Directory域服务

    服务器管理器-安装角色和功能-勾选Active Directory域服务

安装完成后将服务器提升为域控制器。基于最佳实践，域控制器我们通常需配置2台，互为灾备。

1.3 在域中添加用户及用户组

为方便管理，我们在域中按部门建立OU（组织单元），如设备工程部（Equipment and Engineering Department），在OU中建立用户及用户组。

我们分别建立BMSEngineer（BMS工程师）、BMSOperator（BMS操作员）及用户若干。

将用户A添加到用户组 BMSEngineer中

2.搭建Simatic logon服务器

2.1 安装操作系统，将Simatic logon服务器加入域中（略）

2.2 安装simatic logon软件包

    安装软件及remote access 授权

    安装完成后会有如下组件：

    事件记录浏览器可以查看所有登陆操作的记录。

    组态Simatic Logon：可以对Simatic Logon登陆选项进行配置。

2.3 配置simatic logon组态

安装完成后，Simatic Logon会在本地用户组中添加一个Logon_Administrator用户组，需要把要进行组态的用户添加到该组中。

       组态Simatic Logon：

        常规选项卡：设置登陆语言，欢迎信息

设置登陆超时：

设置登陆安全选项，如果是非加密连接，一定要勾选该复选框

2.4 配置simatic logon服务器防火墙规则

高级设置---所连接的网络类型----入站规则

Simatic logon remote access service ---作用域

本地ip地址选择任何地址

远程ip地址---由本地子网----修改为任何IP地址。

Simatic logon service ---作用域

本地ip地址选择任何地址

远程ip地址---由本地子网----修改为任何IP地址。

至此，域环境以及Simatic Logon服务器已经搭建完成，下期我们将进行WinCC服务器、触摸屏用户管理的组态，以及最终的实现效果，敬请期待！引文：博途工控人平时在哪里技术交流博途工控人社群

这篇关于基于域账户及西门子simatic logon的集中权限管理的实现的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---