Hinzufügen/Ändern von Datenbank-Administratoren
Betriebssystemzugriff nur für autorisierte Benutzer erlauben Der Inhalt der Benutzerdatenbank ist mit einer Signatur gegen Manipulationen geschützt. Die Namen von Gruppen, Object Protection Leveln und Benutzern sind nicht verschlüsselt und könnten ausgelesen werden. Der Zugriff auf den IPC sollte über das Betriebssystem auf autorisierte Nutzer eingeschränkt werden. |
Diese Beschreibung ist für Build 4024 ausgelegt.
Die Benutzerdatenbank beinhaltet zwei Administratoren mit unterschiedlichen Aufgabenbereichen:
- Signieren (freigeben) von Änderungen an der Datenbank
- Inhalt der Datenbank ändern
Der erste (signierende) Administrator wird direkt beim Erstellen der Benutzerdatenbank angelegt:
Nach dem Anlegen des ersten Datenbank-Administrators legt TwinCAT 3 den zweiten (editierenden) Administrator als Benutzer in der Datenbank an („main user“) und schlägt als Benutzernamen den des ersten (= signierenden) Administrators vor. So können bei Bedarf beide Administrator-Funktionen einfach zusammengefasst und mit demselben Benutzernamen und demselben Passwort angelegt und genutzt werden:
Build 4022: Dieses Eingabefenster ist dort noch nicht vorhanden. Nach dem Anlegen der Benutzerdatenbank muss der editierende Datenbank-Administrator daher manuell als Benutzer angelegt und der Gruppe „GRP_Administrators“ zugewiesen werden. |
Neue signierende Datenbank-Administratoren anlegen
In der Konfigurationskonsole der Software Protection können weitere signierende Administratoren im Reiter Database angelegt werden.
Die gewünschte Datenbank muss ausgewählt sein; dann kann im Fensterbereich Database Admin ein neuer Administrator angelegt, oder ein bestehender gelöscht werden:
Neue editierende Datenbank-Administratoren anlegen
In der Konfigurationskonsole der Software Protection können weitere editierende Administratoren im Reiter Users angelegt werden:
Der neue Benutzer muss der Gruppe „GRP_Administrators“ zugeordnet werden.
Der Benutzer kann auch ein Windows Account (Domain User) sein; in dem Fall kann das zugehörige Windows Password zum automatischen Einloggen verwendet werden.
Nach Auswahl eines Benutzers kann dieser auch gelöscht, geändert oder in der Liste verschoben werden:
Es muss immer einen Benutzer mit Administrator-Rechten geben! Wenn Sie keinen Benutzer mit Administrator-Rechten in der Benutzerdatenbank haben, können Sie keinerlei Änderungen mehr in der Datenbank vornehmen (auch keinen neuen Administrator hinzufügen!). Es muss daher immer mindestens einen Benutzer mit (editierenden) Administrator-Rechten geben! (Der signierende Administrator reicht nicht aus, da er keine Änderungen an der Benutzerdatenbank vornehmen darf.) |