4、创建与管理用户:添加新用户、设置用户密码策略、用户启用/禁用、用户到期时间设置

好,咱们接着往下聊。用户管理这块,说白了就是给不同的人分配不同的钥匙。谁可以进车间,谁只能看报表,谁有权限修改配方,全凭这一套机制来管控。我见过不少项目,前期图省事,所有操作员共用一个账号,结果出了事故根本查不到是谁操作的。嗯,这种坑咱们得避开。

4.1 添加新用户——别小看这一步

在WinCC里添加用户,其实不复杂。但我个人习惯,在动手之前先想清楚一件事:这个用户属于哪个用户组?因为权限是跟着组走的,不是跟着人走的。你想想看,如果每个用户单独配权限,几十号人改起来得多累。

操作路径是这样的:

  1. 打开WinCC项目,进入 User Administrator 编辑器。
  2. 在左侧树形结构中,右键点击 Users 节点,选择 Add New User
  3. 在弹出的对话框中,填写用户名和初始密码。
  4. 最关键的一步:在 Group 下拉菜单中,选择该用户所属的用户组(比如操作员组、工程师组、管理员组)。
  5. 点击 OK 保存。
我的小技巧: 用户名建议用工号或者拼音全称,别用中文。我在项目中遇到过,某些老版本的WinCC对中文字符支持不太好,登录时偶尔会乱码。用英文或数字最稳。

4.2 设置用户密码策略——安全的第一道防线

密码策略这事,很多工程师容易忽略。默认情况下,WinCC对密码几乎没什么限制,你设个“123456”也能过。但你想,工厂环境里,如果操作员站被人随便登录,后果不堪设想。

我个人建议,至少做以下几项配置:

策略项 推荐值 说明
最小密码长度 8位 太短容易被暴力破解
密码复杂性要求 启用 必须包含大写、小写、数字、特殊字符中的至少三种
密码有效期 90天 到期强制修改,防止长期使用同一密码
密码历史记录 5次 不能重复使用最近5次用过的密码
账户锁定阈值 3次 连续输错3次,账户自动锁定
锁定持续时间 30分钟 锁定后30分钟自动解锁,或由管理员手动解锁

设置位置在 User AdministratorSecurity Policy 选项卡里。这里要注意,修改密码策略后,不会影响已经存在的用户,只对新创建或下次修改密码的用户生效。我曾经因为这个被坑过一次,改完策略以为万事大吉,结果老用户的密码还是“123456”……

特别提醒: 密码策略别设得太死。比如要求每30天改一次密码,操作员记不住,就会把密码写在便签纸上贴在显示器旁边。这就适得其反了。90天是个比较合理的折中。

4.3 用户启用/禁用——灵活控制账户状态

在实际项目中,人员流动是常事。有人离职了,有人调岗了,有人休长假了。这时候就需要用到启用/禁用功能。

操作很简单:

  • 在用户列表中,选中某个用户。
  • 右键点击,选择 EnableDisable
  • 被禁用的用户,账户会变成灰色,无法登录系统。

这里有个细节:禁用不等于删除。我建议不要轻易删除用户,尤其是那些有过操作记录的用户。因为一旦删除,审计日志里就只剩下一个孤零零的用户ID,查不到是谁了。禁用账户,既能阻止登录,又能保留历史记录,一举两得。

举个例子,我之前有个项目,一个操作员离职了,管理员直接把他账号删了。结果三个月后,质检发现一批产品有问题,想追溯是谁操作的,日志里只显示一个已删除的用户ID,根本对不上人。最后只能翻纸质交接班记录,折腾了好几天。

4.4 用户到期时间设置——临时账户的好帮手

这个功能我用得不多,但一旦用上,就特别香。比如有外部调试工程师来现场,需要临时开个账号。你可以设置一个到期时间,到期后账户自动失效,省得你还要记着去手动禁用。

设置方法:

  1. 在用户属性中,找到 Account Expires 选项。
  2. 勾选 Enable account expiration
  3. 设置具体的到期日期和时间。

到期后,用户尝试登录时会提示“账户已过期”,无法进入系统。注意,这个过期时间是以WinCC服务器的时间为准的,所以确保服务器时间准确很重要。

核心要点总结:
  • 添加用户时,先定组,再定人。
  • 密码策略要平衡安全性和易用性。
  • 禁用优于删除,保留审计线索。
  • 到期时间适合临时账户,省心省力。
用户管理核心操作 添加新用户 设置密码策略 用户启用/禁用 用户到期时间设置 先定组再定人 | 安全与易用平衡 | 禁用优于删除 | 临时账户利器
专注资料整理