在使用安全同步器之前,必须给所有的iFIX应用特性、安全区域和分配给iFIX用户的安全组创建Windows组。可以使用创建Windows组工具来创建这些组。请参阅创建Windows组工具可以获得有关使用此工具的更多信息。
一旦创建了Windows组,则可以使用Windows用户管理器或者类似的Windows安全配置工具来将组中的单个成员授权给Windows用户帐户。
在本主题中讨论下列专题:
配置策略
有些Windows组必须采用将iFIX应用特性组合到iFIX安全组的方式来创建,可以减少这些Windows组的数量。每个iFIX安全组可以代表一组应用到特定用户层次的应用特性,例如操作者或管理者。
然后,您可以给 Windows 组分配 Windows 用户,这些 Windows 组表示了代表其用户等级的 iFIX 安全组,例如“iFIX 安全组 - 操作员”。按以下方式将用户分配给组:
- 通过成组相似应用特性到一个单一的安全组中,可以减少配置过程。
- 帮助省去指定Windows用户被授予的应用特性权限。
因为iFIX安全阻止一个iFIX用户属于多于12个安全组,因此,可能仍然需要单独指定一些应用特性权限。应该总是单独指定安全域权限,因为,应用特性权限比安全域更多。
每个Windows组名称代表一个单独的iFIX安全权限。一个iFIX安全权限可以是下列任何一个:
iFIX应用特性名称 – 在iFIX安全系统中预先定义。
安全域名称 – 在iFIX安全配置程序中由用户定义。安装iFIX时,这些名称具有从A到P的字母默认值。
安全组名称 – 在iFIX安全配置程序中由用户定义。
代表每个iFIX权限的Windows组名称通过组合表示iFIX权限的前缀字符串和iFIX权限的名称来创建的。具有长短形式的前缀字符串。下表显示了iFIX权限的每种类型以及它的长短前缀字符串。
iFIX权限 |
长前缀字符串 |
短前缀字符串 |
|
应用程序特性 |
FIX应用特性 - |
FAF - |
|
安全区域 |
FIX安全区域 - |
FSA - |
|
安全组 |
FIX安全组 - |
FSG - |
注意:在前缀字符串中必须使用正确的语法。在长前缀字符串中破折号前后要求有空格。下表显示了iFIX权限名称和它们相应的Windows组名称的例子。
下表显示了iFIX权限名称和它们相应的Windows组名称的例子。假设,为该例子在iFIX安全中配置了一个名为“Plant Floor”的iFIX安全区域和一个名为“Supervisors”的iFIX安全组。
iFIX权限 |
Windows组名称-长形式 |
Windows组名称-短形式 |
|
Plant Floor 安全区域 |
FIX安全区域 - Plant Floor |
FSA - Plant Floor |
|
Supervisors安全组 |
FIX安全组 - Supervisors |
FSG - Supervisors |
全局组名称限制
如果同步iFIX安全和存在于下列任一域上的Windows安全组,必须限制Windows全局组名称在20个字符之内。
因为许多iFIX应用特性名称超过该限制,要在这种情况下成功使用安全同步器,必须执行下列任一操作:
- 使用超过16个字符的iFIX应用特性别名。有关应用特性名称的预定义Windows组名称别名的完整列表,请参考应用特性名称别名。
- 使用短前缀字符串,如表Windows组名称所描述。
Windows全局组名称的大小的20个字符限制也会影响用户定义的iFIX安全组,最多至30个字符长度,以及iFIX安全域名称,最多至20个字符长度。如果使用Windows NT 4.0域作为Windows安全信息源,在命名iFIX安全域和iFIX安全组时,不要使用超过16个字符。该技术为短前缀字符串保留四个字符。
该20个字符限制不适用于:
- Windows组定义在本地计算机上(也指的是本地组),因为它们可以最多至256个字符长度。
- 在Windows 2000更早的系统上不具有通过用户访问的Windows XP域或者Windows 2000域,因为这些域上的本地组名称可以最多至64个字符长度。
作为本地组名称字符限制的一个可替换的解决方案,也可以使用Windows本地组来包含本地组。可以创建具有完整应用特性名称的本地组,并且可以指定具有任意名称的本地组给合适的本地组。
如果是属于本地组的一个Windows用户,也可以属于包含本地组的本地组。因此,可以指定关联本地组名称权限。
因为通过多台计算机来创建和维护本地组增加了要求使用安全同步器的配置的复杂性,应该仅当一个单独节点运行安全同步器来同步安全文件共享集时,使用该替换解决方案。如果多个节点运行安全同步器来同步iFIX安全数据的多个拷贝,应该使用具有全局组的应用特性名称别名。有关应用特性名称的预定义Windows组名称别名的完整列表,请参考应用特性名称别名。
警告:如果使用具有安全同步器的Windows NT 4.0域安全时,没有遵从这些过程,可能导致一个基于Windows配置的错误的iFIX安全配置。
不支持全局组嵌套
安全同步器不支持Windows域中的嵌套的全局组。仅支持属于全局组的用户帐户。忽略其它全局组成员的全局组。属于包含的全局组的帐户不被授予关联包含的全局组的安全权限。
一个全局组不被包含在定义在指定计算机上的本地组中。然而,包含在本地组中的任何全局组不被处理。不要为了Windows到iFIX安全同步而将全局组放置在本地组中。
相关信息
查看最新版 iFIX 的所有新功能。
让 iFIX 帮助您提高效率,降低成本。
