Добрый день!
Какие есть рекомендации по поводу использования учетных записей для машин с софтом WW?
Сейчас нас активно прессует отдел IT по поводу инф. безопасности. Хотелось бы выработать единую схему использования учеток, разделив их роли.
Пока что все сводится к следующему:
1. Сервисная учетная запись для запуска служб WW: права локального администратора, пароль без срока действия, интерактивный вход в систему невозможен.
2. Учетная запись пользователя для входа в систему и запуска HMI/клиентского софта: без админских привилегий
3. Учетная запись для администрирования рабочих станций/серверов: : права локального администратора
Учетные записи для рабочих станций и серверов WW
Сообщений: 6
• Страница 1 из 1
Учетные записи для рабочих станций и серверов WW
NewOrdered » Вт сен 25, 2018 4:58 pm
- NewOrdered
- Сообщения: 232
- Зарегистрирован: Пн ноя 15, 2010 7:48 am
- Откуда: Kaliningrad
Re: Учетные записи для рабочих станций и серверов WW
Генератор зла » Вт сен 25, 2018 6:09 pm
Каждому видится что-то своё.
Например, у нас администраторов только минимум трое (обще-IT-шный, по антивирусному ПО, внутри-InTouch-евский).
Например, у нас администраторов только минимум трое (обще-IT-шный, по антивирусному ПО, внутри-InTouch-евский).
Vita est dolor.
- Генератор зла
- Сообщения: 2860
- Зарегистрирован: Вс янв 23, 2011 5:08 pm
Re: Учетные записи для рабочих станций и серверов WW
NewOrdered » Вт сен 25, 2018 6:46 pm
Генератор зла писал(а):Каждому видится что-то своё.
Например, у нас администраторов только минимум трое (обще-IT-шный, по антивирусному ПО, внутри-InTouch-евский).
Схема с разделением учеток на сервисную и пользовательскую будет работать с софтом WW?
- NewOrdered
- Сообщения: 232
- Зарегистрирован: Пн ноя 15, 2010 7:48 am
- Откуда: Kaliningrad
Re: Учетные записи для рабочих станций и серверов WW
Генератор зла » Вт сен 25, 2018 7:11 pm
На любом АРМ-е существует как минимум 2 системы (схемы) безопасности (с учётками).
Первая - от ОС. Доменная или раб. группа; с электронными картами или без них. Со своими админами, мастерами, юзерами и ЧС.
Вторая - внутри проекта Wonderware. Также со своими админами, мастерами, юзерами и ЧС.
Они могут пересекаться, а могут и не пересекаться. Во втором случае вторая является подмножеством первой (либо OS-based Security, либо ArchestrA-based Security при условии, что ArchestrA-based Security = либо OS Users, либо OS Groups).
Первая - от ОС. Доменная или раб. группа; с электронными картами или без них. Со своими админами, мастерами, юзерами и ЧС.
Вторая - внутри проекта Wonderware. Также со своими админами, мастерами, юзерами и ЧС.
Они могут пересекаться, а могут и не пересекаться. Во втором случае вторая является подмножеством первой (либо OS-based Security, либо ArchestrA-based Security при условии, что ArchestrA-based Security = либо OS Users, либо OS Groups).
Vita est dolor.
- Генератор зла
- Сообщения: 2860
- Зарегистрирован: Вс янв 23, 2011 5:08 pm
Re: Учетные записи для рабочих станций и серверов WW
NewOrdered » Вт сен 25, 2018 8:34 pm
Генератор зла писал(а):На любом АРМ-е существует как минимум 2 системы (схемы) безопасности (с учётками).
Первая - от ОС. Доменная или раб. группа; с электронными картами или без них. Со своими админами, мастерами, юзерами и ЧС.
Вторая - внутри проекта Wonderware. Также со своими админами, мастерами, юзерами и ЧС.
Они могут пересекаться, а могут и не пересекаться. Во втором случае вторая является подмножеством первой (либо OS-based Security, либо ArchestrA-based Security при условии, что ArchestrA-based Security = либо OS Users, либо OS Groups).
Я спрашиваю только про учетные записи ОС и только в контексте работоспособности программ и сервисов WW.
- NewOrdered
- Сообщения: 232
- Зарегистрирован: Пн ноя 15, 2010 7:48 am
- Откуда: Kaliningrad
Re: Учетные записи для рабочих станций и серверов WW
Генератор зла » Вт сен 25, 2018 10:07 pm
Сервисы WW должны запускаться от имени локального админа. Строго рекомендуются только английские символы в логине/пароле (пароль не пустой).
Некоторые приложения WW (тот же Window Viewer) требуют для своего запуска пользователя уровня не ниже Опытного. Или через "Запустить от имени Администратора".
1. Сервисная учетная запись для запуска служб WW: права локального администратора, пароль без срока действия, интерактивный вход в систему невозможен.
Зачем запрещать интерактивный вход? А если потребуется по-шаманить с настройкой служб WW?
2. Учетная запись пользователя для входа в систему и запуска HMI/клиентского софта: без админских привилегий
Нюанс описал выше.
3. Учетная запись для администрирования рабочих станций/серверов: : права локального администратора
Да хоть глобального.
Некоторые приложения WW (тот же Window Viewer) требуют для своего запуска пользователя уровня не ниже Опытного. Или через "Запустить от имени Администратора".
1. Сервисная учетная запись для запуска служб WW: права локального администратора, пароль без срока действия, интерактивный вход в систему невозможен.
Зачем запрещать интерактивный вход? А если потребуется по-шаманить с настройкой служб WW?
2. Учетная запись пользователя для входа в систему и запуска HMI/клиентского софта: без админских привилегий
Нюанс описал выше.
3. Учетная запись для администрирования рабочих станций/серверов: : права локального администратора
Да хоть глобального.
Vita est dolor.
- Генератор зла
- Сообщения: 2860
- Зарегистрирован: Вс янв 23, 2011 5:08 pm
Сообщений: 6
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12