OPC und DCOM-Sicherheit

Der herkömmliche OPC-Datenzugriff basiert auf der Microsoft COM-Technologie (Component Object Model), während die Remote-Verbindung mittels Distributed COM (DCOM) realisiert wird.

Die DCOM-Sicherheitseinstellungen definieren, welche Benutzer über Zugriffs- und Startberechtigungen in DCOM-Applikationen auf dem lokalen Computer oder auf Computern des lokalen Netzwerks und der Domäne verfügen.

  • In einer Domäne kann jedes Benutzerkonto auf jedem Rechner in der Domäne autorisiert werden.
  • In Arbeitsgruppen muss jeder Benutzer auf jedem Computer hinzugefügt werden. Damit beide Computer die Benutzerkonten ordnungsgemäss erkennen, muss sichergestellt werden, dass die Benutzerkonten sowohl auf dem OPC-Client- als auch auf dem Servercomputer erkannt werden. Dies betrifft alle Benutzerkonten, für die OPC-Zugriff erforderlich ist.

Ein Benutzerkonto ist eine Informationssammlung, die Windows sagt, auf welche Dateien und Ordner zugegriffen werden darf, welche Änderungen am Computer vorgenommen werden dürfen und welche persönlichen Einstellungen der Benutzer hat. Jede Person greift mit einem Benutzernamen und einem Passwort auf ihr Benutzerkonto zu.

Es gibt drei verschiedene Arten von Konten. Jede Art verleiht dem Benutzer verschiedene Kontrollrechte über den Computer:

  • Standardkonten sind für Routineaufgaben;
  • Administratorkonten stellen die höchstmöglichen Kontrollmechanismen über einen Computer bereit und sollten nur im Bedarfsfall verwendet werden;
  • Gastkonten sind hauptsächlich für Personen gedacht, die einen Computer nur vorübergehend nutzen.

Das Standardkonto unterstützt den Schutz des Computers, indem es Benutzer daran hindert, Änderungen vorzunehmen, die sich auf alle anderen Benutzer des Computers auswirken. Daher wird empfohlen, für jeden Benutzer ein Standardkonto zu erstellen.

Es muss sichergestellt werden, dass beide Computer Zugriff auf dieselben Benutzername-Passwort-Kombinationen haben. Benutzernamen und Passwörter müssen auf allen Computern, für die ein OPC-Zugriff notwendig ist, gleich sein.

- Bei der Nutzung von Windows-Arbeitsgruppen muss jeder Computer eine vollständige Liste aller Benutzerkonten und Passwörter haben (in Gegenseitige Erkennung von Benutzerkonten einrichten, siehe Lokalen Benutzer hinzufügen).

- Bei der Nutzung einer einzelnen Windows-Domäne werden Benutzerkonten durch den Domänencontroller synchronisiert (in Gegenseitige Erkennung von Benutzerkonten einrichten, siehe Domänenbenutzer hinzufügen).

- Bei der Nutzung mehrerer Windows-Domänen müssen Sie entweder Vertrauensverhältnisse zwischen den Domänen herstellen oder für jeden betroffenen Computer ein lokales Benutzerkonto erstellen.