4、创建与管理用户:添加新用户、设置用户密码策略、用户启用/禁用、用户到期时间设置
好,咱们接着往下聊。用户管理这块,说白了就是给不同的人分配不同的钥匙。谁可以进车间,谁只能看报表,谁有权限修改配方,全凭这一套机制来管控。我见过不少项目,前期图省事,所有操作员共用一个账号,结果出了事故根本查不到是谁操作的。嗯,这种坑咱们得避开。
4.1 添加新用户——别小看这一步
在WinCC里添加用户,其实不复杂。但我个人习惯,在动手之前先想清楚一件事:这个用户属于哪个用户组?因为权限是跟着组走的,不是跟着人走的。你想想看,如果每个用户单独配权限,几十号人改起来得多累。
操作路径是这样的:
- 打开WinCC项目,进入 User Administrator 编辑器。
- 在左侧树形结构中,右键点击 Users 节点,选择 Add New User。
- 在弹出的对话框中,填写用户名和初始密码。
- 最关键的一步:在 Group 下拉菜单中,选择该用户所属的用户组(比如操作员组、工程师组、管理员组)。
- 点击 OK 保存。
4.2 设置用户密码策略——安全的第一道防线
密码策略这事,很多工程师容易忽略。默认情况下,WinCC对密码几乎没什么限制,你设个“123456”也能过。但你想,工厂环境里,如果操作员站被人随便登录,后果不堪设想。
我个人建议,至少做以下几项配置:
| 策略项 | 推荐值 | 说明 |
|---|---|---|
| 最小密码长度 | 8位 | 太短容易被暴力破解 |
| 密码复杂性要求 | 启用 | 必须包含大写、小写、数字、特殊字符中的至少三种 |
| 密码有效期 | 90天 | 到期强制修改,防止长期使用同一密码 |
| 密码历史记录 | 5次 | 不能重复使用最近5次用过的密码 |
| 账户锁定阈值 | 3次 | 连续输错3次,账户自动锁定 |
| 锁定持续时间 | 30分钟 | 锁定后30分钟自动解锁,或由管理员手动解锁 |
设置位置在 User Administrator 的 Security Policy 选项卡里。这里要注意,修改密码策略后,不会影响已经存在的用户,只对新创建或下次修改密码的用户生效。我曾经因为这个被坑过一次,改完策略以为万事大吉,结果老用户的密码还是“123456”……
4.3 用户启用/禁用——灵活控制账户状态
在实际项目中,人员流动是常事。有人离职了,有人调岗了,有人休长假了。这时候就需要用到启用/禁用功能。
操作很简单:
- 在用户列表中,选中某个用户。
- 右键点击,选择 Enable 或 Disable。
- 被禁用的用户,账户会变成灰色,无法登录系统。
这里有个细节:禁用不等于删除。我建议不要轻易删除用户,尤其是那些有过操作记录的用户。因为一旦删除,审计日志里就只剩下一个孤零零的用户ID,查不到是谁了。禁用账户,既能阻止登录,又能保留历史记录,一举两得。
举个例子,我之前有个项目,一个操作员离职了,管理员直接把他账号删了。结果三个月后,质检发现一批产品有问题,想追溯是谁操作的,日志里只显示一个已删除的用户ID,根本对不上人。最后只能翻纸质交接班记录,折腾了好几天。
4.4 用户到期时间设置——临时账户的好帮手
这个功能我用得不多,但一旦用上,就特别香。比如有外部调试工程师来现场,需要临时开个账号。你可以设置一个到期时间,到期后账户自动失效,省得你还要记着去手动禁用。
设置方法:
- 在用户属性中,找到 Account Expires 选项。
- 勾选 Enable account expiration。
- 设置具体的到期日期和时间。
到期后,用户尝试登录时会提示“账户已过期”,无法进入系统。注意,这个过期时间是以WinCC服务器的时间为准的,所以确保服务器时间准确很重要。
- 添加用户时,先定组,再定人。
- 密码策略要平衡安全性和易用性。
- 禁用优于删除,保留审计线索。
- 到期时间适合临时账户,省心省力。