Wincc与Windows实现集中式用户管理-通过SIMATIC Logon 实现

一、目的

当采用C/S架构时需要对不同区域客户端进行统一用户管理（统一调用服务器或工程师站用户即可，避免每个客户端重复操作）、或对不同功能区客户端进行分区域管理（不同楼栋或者功能区的用户可以分开管理，避免未授权人员误操作）时Logon均能适用；

SIMATIC Logon 可以进行集中式和系统级用户管理。依照美国FDA 21 CFR 第 11 部分，这样可以简化访问保护过程的系统验证，为GMP合规提供基础；

在使用Wincc的Audit插件时部分功能，SIMATIC Logon可以为其提供电子签名的功能。

二、步骤

1、安装Wincc的时候需要勾选SIMATIC Logon插件，此插件无需单独购买授权，如果Wincc已经安装完成了，也可以通过安装包补安装logon插件，无需重新安装整个wincc；

2、安装后如果直接打开SIMATIC Logon组件可能会弹出下图报错信息

这是因为登录的用户缺少必要的权限，需要将用户加入Windows的“Logon_Administrator”组和“Administrators或Power users”组中，如下图所示操作即可

加入组后可以成功进入logon组态界面。

3、Wincc用户管理器中勾选“SIMATIC登录”，启用Logon，如下图所示

4、windows与wincc通过相同组名来实现组合管理

首先在windows用户管理中新建组，如下图建立Engineer和Operator两个组

同样的在wincc的项目管理器中建立相同的组名

此时windows各个组下面的用户已经在wincc里面有了“身份”，那么这些用户有哪些权限呢？这些权限该怎么设置呢？见下图

在wincc用户管理器中，对新建的Engineer组进行权限设置，勾选相应的功能组即可，具体每个功能组能做什么则是工程师在组态画面时进行的设置，这里需要在确认时由工程师进行阐述和测试。

5、安全策略的组态

为了保障账号的安全，我们一般会对用户密码的复杂程度、强制密码历史、最小密码长度和账户锁定阈值等安全策略进行设置，这里可以直接通过windows的本地组策略编辑器进行设置即可，win+r组合键后输入gpedit.msc即可进入配置界面，如下图

而自动注销时间及注销前提醒则可在Logon组态界面进行组态即可

6、通过Logon进行集中用户管理的方式

在Logon组态界面中可以选择默认的登录主机，当然随着现在超融合及域控统一管理的普及，很多大型公司也会选择将工控系统接入专用域控，logon也可以实现通过域控进行用户管理。

当选择“其他计算机”时，可以指定项目中工程师站、服务器或其他客户端作为用户管理的“大脑”，每次新增或禁用账户时只需在指定的那台电脑上进行操作即可，避免同一个系统多次重复操作的情况

三、总结

目前经历过的药企项目实施并不算少，每次实施的时候默认会使用logon插件，毕竟对于日常管理来说有利无害，如果工程师没有使用过该插件的话自然不会主动去使用，所以这次分享也希望大家能够了解下这个插件，实施时可以考虑这个功能。

如果觉得此次分享对大家有些用处的话，请点赞分享！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！