Trennung der Funktionen Datenbank-Administrator und Entwickler
Betriebssystemzugriff nur für autorisierte Benutzer erlauben Der Inhalt der Benutzerdatenbank ist mit einer Signatur gegen Manipulationen geschützt. Die Namen von Gruppen, Object Protection Leveln und Benutzern sind nicht verschlüsselt und könnten ausgelesen werden. Der Zugriff auf den IPC sollte über das Betriebssystem auf autorisierte Nutzer eingeschränkt werden. |
Standardmäßig erbt die Gruppe „GRP_Administrators“ auch die Rechte der Gruppe „GRP_OEMDev“ (Developers).
Soll der (editierende) Administrator der Benutzerdatenbank keine Rechte zum Ändern der TwinCAT Solution haben, muss nur die Zugehörigkeit der Gruppe „GRP_OEMDev“ bei der Gruppe „GRP_Administrators“ geändert werden.
Dazu in der Konfigurationskonsole der Software Protection im Tab Groups die Gruppe „GRP_Administrators“ auswählen und dann auf den Button Edit klicken:
Dann kann die gewünschte Gruppenzugehörigkeit (oder „None“ für keine) ausgewählt werden:
Nun kann ein (editierender) Administrator zwar noch die Benutzerdatenbank ändern, hat aber nicht mehr ebenfalls die Rechte der Gruppe „GRP_OEMDev“ (Developers).