无论您运行的是制造、油气、楼宇自动化还是能源领域的生产系统，安全和正常运行时间都至关重要，尤其是在网络安全攻击日益频繁和复杂的情况下。

这就是为什么在运行具有广泛用户访问权限的应用程序时，管理用户权限和配置如此重要，而且您需要一个与您一样以安全为中心的解决方案。在本文中，我们将深入探讨如何在 TOP Server 的用户管理器和安全策略插件中管理用户组和权限，以确保为您的 TOP Server 配置提供一个强大而安全的网关。

本文概述了 TOP Server 的安全产品，但不能取代我们深入的《TOP Server 安全部署注意事项指南》。这是确保您的 TOP Server 遵循最佳实践以实现最大安全性的良好资源。该指南详细介绍了以下方面的安全注意事项：

• 网络环境和系统配置

• 主机操作系统

• 安装

• 安装后（包括指定应用程序数据文件夹权限的详细信息）

• 安全接口

• 配置 API

• 持续维护

开箱即安全

TOP Server 利用一切机会在不限制可用性的情况下确保安全。一切都可由用户配置，但大多数设置的默认选项都采用了更安全的方法。让我们来看看安装程序提供的一些选项。

用户可以选择启用动态寻址。这样做可以让用户组动态寻址 HMI、SCADA、MES、Historian 或任何其他客户端应用程序中的标签。稍后可通过服务器管理设置中的用户管理器选项卡进行更改。

从 TOP Server V6.5 开始，安装过程中还会提示用户选择一个强大的管理员账户密码，以启用用户管理器。建议密码长度至少为 14 个字符，并包含大小写字母、数字和特殊字符。避免使用众所周知、容易猜到或常见的密码。安全存储密码，因为密码不可恢复，一旦丢失需要重新安装产品。

虽然我们无法恢复密码，但可以将其他管理用户添加到管理员用户组。最佳实践建议为每个具有管理访问权限的用户分配唯一的账户和密码，以确保审计的完整性，并在角色和人员变动时确保持续访问。

TOP Server Configuration API 默认也是禁用的。即使启用了配置 API，默认也是 HTTPS。

安装后，建议禁用应用程序不使用的客户端接口。OPC DA 和 OPC UA 接口是常用接口，因此已启用，但应禁用任何不使用的 OPC DA 接口（1.0、2.0、3.0）。对于 OPC UA，默认情况下 UA 端点的安全性已启用，匿名登录已禁用，但如果不使用 OPC UA，也应将其完全禁用。

其他客户端接口，如 SuiteLink/FastDDE、OPC A&E、OPC HDA、OPC .NET 和 DDE，在安装后都会默认禁用。

用户管理器

TOP Server 通过内置的用户管理器（User Manager）实现全面的项目控制，帮助您防止对配置进行未经授权的更改和其他网络威胁。要访问 TOP Server 用户管理器，请右键单击系统托盘中的 TOP Server 图标并选择 "设置"，打开管理设置。

在 "设置 "窗口中，单击 "用户管理器 "选项卡即可访问 "用户管理器"。

TOP Server 设置中的 "用户管理器 "窗口用于配置用户，将其定义为可访问某些配置任务的组：

• 停止 TOP Server 运行时服务

• 访问并更改 TOP Server 配置

• 访问 TOP Server 应用程序的管理设置

• 查看/更改 OPC UA 配置

• 运行许可证实用程序并进行更改

1.新建组（Alt + G）：创建一个新的 TOP Server 用户组。组不能包含非法字符。

2.新建用户（Alt + U）：向所选用户组添加新用户。请注意，匿名客户端禁用此功能。此外，用户名不得包含非法字符。不允许使用正斜线 (/) 和反斜线 (\)。如果尝试使用这些字符创建用户或组，则会出现描述非法字符的失败消息。

3.编辑属性（Alt + P）：打开 "用户属性 "窗口，我们将在下面对此进行详细说明！

4.禁用选定的用户/组（Alt + D）：禁用选定的用户或用户组。此功能只对自定义用户和用户组开放。请注意，禁用用户组会导致该用户组内的所有用户停用。

5.删除用户（删除）：删除选定的用户或用户组。此功能只对自定义用户和用户组开放。请注意，删除用户组会导致删除该组内的所有用户。

6.导入用户信息（Alt + I）：从 XML 文件导入用户信息。为确保成功导入，所选文件必须先前已从服务器的管理工具中导出。值得注意的是，该功能只有在内置管理员组的用户登录后才会激活。

7.导出用户信息（Alt + E）：将用户信息导出到 XML 文件，为需要将项目从一台机器迁移到另一台机器的用户提供宝贵的功能。此外，管理员还可以选择对 XML 文件进行密码保护。使用该功能时，必须在新机器上的导入过程中输入正确的密码，以确保导入成功。值得注意的是，导出的 XML 文件不能编辑和重新导入。

用户组属性

建立指定访问特定配置任务的用户组是防止未经授权访问配置的重要安全措施。当用户需要不同级别的权限时，可创建新用户或新组。设置新组时，系统会提示您提供名称、描述并指定授予该组的权限：

这些操作分为七个不同的组，可灵活授予或限制用户组在以下方面的权限：项目修改、服务器权限、输入/输出标签访问、内部标签访问、浏览项目命名空间和事件日志。

提示：要同时更新多个权限，请右键单击属性组并选择所需的权限。

用户属性

创建新用户时，系统会提示您输入用户名、描述和密码：

双击用户，或右键单击用户，选择 "属性"，即可访问 "用户属性"。该窗口允许用户更改密码，但需要注意的是，密码区分大小写，最少 14 个字符，最多 512 个字符。密码必须包含大小写字母、数字和特殊字符。避免使用众所周知、容易猜到或常见的密码。

安全策略插件

您可能还记得 TOP Server V5 中有一个名为安全策略插件的组件。 过去，它一直是一个售价 395 美元的可选授权功能。在 TOP Server V6 中，我们意识到安全在当今工业环境中的重要性，因此这种工具应该成为服务器核心功能的一部分。

因此，TOP Server V6 包含安全策略插件，无需额外费用。只需在安装 TOP Server 时将其选为选项，即可在 TOP Server 管理配置设置中使用该插件。什么是安全策略插件？

安全策略插件可让用户有选择性地将安全访问权限应用到运行时项目中的特定对象，如通道、设备和标签。该功能与服务器的用户管理器（User Manager）一起工作，后者可根据用户组设置全局权限。

要在对象级别设置访问权限，用户必须是已被授予特定类别访问权限的用户组的成员。用户可以为同一项目中的不同对象分配不同的访问权限。值得注意的是，对访问权限的修改是动态生效的，无需重新启动运行时或重新初始化。

用户可以为访问类别中的对象分配自定义权限。为此，首先要选中它，然后单击执行器并选择自定义权限。

可用权限取决于所选对象。以下是可用选项的说明：

• 允许：允许动态寻址或浏览

• 拒绝：拒绝动态寻址或浏览

• 禁止访问：拒绝读写访问

• 只读：允许读取但拒绝写入

• 读/写：允许读取和写入访问

对于 OPC UA 连接，该附加功能尤其适用于用户身份验证。强制 OPC UA 客户端进行身份验证需要他们指定一个用户名和密码，该用户名和密码定义在 TOP Server 用户管理器中的一个用户组中。 由于您现在可以为每个用户组定义细粒度的访问策略，因此您可以完全控制来自 OPC UA 客户端的任何用户在 TOP Server 中的访问权限。

对于其他类型的客户端连接（如 OPC DA 或 Wonderware SuiteLink），空白权限适用于匿名客户端用户组，因此仍然可以定义通道、设备和标签级访问权限。只要知道这些权限适用于所有不支持用户身份验证的客户端连接即可。

有关 TOP Server 安全策略的更多信息，请参阅安全策略插件帮助文件。

总结

在本篇文章中，我们介绍了用户管理器（User Manager）及其在确保访问 TOP Server 配置安全方面的使用。当运行一个有许多用户的应用程序时，管理谁可以访问它是一件大事。用户管理器是完全控制项目的关键。通过它，您可以决定谁可以访问通道、设备和标签等重要项目元素。

我们还讨论了用户管理系统如何与安全策略插件保持一致。通过为访问类别中的特定对象配置自定义权限，用户可以对访问控制进行微调。这种集成确保了安全策略与用户管理器的无缝互补，为确保应用程序的安全提供了一个强大的框架。通过学习这些用户管理技术，您可以确保应用程序的安全。

希望以上内容能让您了解到，TOP Server 可以为您的用户管理需求提供易于配置的解决方案。查看我们的 TOP Server 学习资源，了解更多信息和教程视频，帮助您开始使用 TOP Server 从设备收集实时数据。

如有任何疑问，请随时联系我们的在线客服，同时不要忘记收藏我们的网站，了解 TOP Server 的最新更新。

准备好在您的设备上试用 TOP Server了吗？下载全功能免费试用版。