基于域账户及西门子simatic logon的集中权限管理的实现（二）

上次我们完成了域环境及simatic logon服务器的搭建，今天我们将在wincc及HMI上进行组态，实现用域账户进行登录。

3.WINCC用户管理组态

3.1 首先将要安装WINCC的服务器加入域。

3.2 在wincc中启用simatic logon

在安装wincc过程中，勾选simatic logon选项。

3.3 创建相应用户组

安装完成后，打开Simatic WINCC项目管理器，点击用户管理器，打开 wincc configuration studio

右键点击用户管理器，选择“添加新组

此时，我们添加2个分别名为“BMSOperator”、“BMSEngineer”的用户组，无需新建用户。注意组的名称必须与域中的用户组名称完全一致，包括大小写。

切换至权限选项卡，为每个用户组分配相应的操作权限。

至此，WINCC上的用户管理组态就完成了。

4.HMI（wincc flexible或TIA Portal）用户管理组态

4.1启用Simatic Logon登陆

在wincc flexible组态画面中，切换至“运行系统安全性设置”选项卡，勾选‘启用Simatic Logon’。输入simatic logon服务器的FQDN名称（包含域名的服务器全名）或IP地址。

端口号保持默认即可。

windows域填写所在域的域名。

如果不是加密连接，不要勾选“加密的传输”选项。

在此需要注意一点，如果输入的是服务器的FQDN名称，则需要在HMI的网络地址配置中填写域服务器的DNS地址，使HMI能解析到Simatic Logon服务器的IP。

如果填写的是Simatic Logon服务器的IP地址登陆，则确保服务器的IP地址固定，防止出现无法登陆的情况。

2.配置用户组及权限

在用户系统运行管理-组 中，同样添加‘’BMSOperator”、 “BMSEngineer”2个用户组

配置用户组权限

至此，HMI（wincc flexible或TIA Portal）用户管理组态配置完成！

由于HMI使用Simatic Logon登陆需要remote access授权，而remote access授权包分为1 user、3user及10 user。因此建议每台Simatic Logon服务器最多连接10个HMI面板。

好啦，下面让我们看一下最终的效果！

在wincc上位机，我们点击登录，弹出simatic logon登陆对话框。在‘登录到’选项中选择域名，输入在域中建好的用户名及其密码，便可登陆了。

同时，用户可以很方便地在上位机上修改自己的密码。

在HMI面板，在登陆对话框中直接输入域用户的用户名及密码，便可登陆。

登陆成功！

如果用户未被分配到相应的权限组中，是无法成功登陆的。

在simatic logon服务器中查看用户登陆信息。

利用Simatic logon以及域环境，我们可以很方便地对用户进行集中管理。当用户权限发生变更，我们甚至无需到WINCC、HMI中进行组态，只需在域控制器中，将用户从相应的权限组中删除，再添加到新的用户组中即可！

而且，在域中，我们可以通过组策略等手段更容易对用户的安全选项进行控制。如密码复杂度要求、密码最小长度、最长期限；以及屏保超时锁定、重新登录验证密码等

如今信息技术飞速发展，自动化已经不仅局限在传统的技术领域了。控制器编程已经不仅仅是LAD、STL而是更多地向高级语言靠拢；传感器也正在转变为智能传感器，具备云端接入能力。。。

我们这个案例，就是典型的利用IT技术解决OT问题！希望智能制造能够早日实现吧