НТК Интерфейс
ГлавнаяО компанииПоддержкаКонтактыФорумы
ПО ОИК Диспетчер НТ. ПО клиент - инструкция по настройке
×
Меню
Поиск
 
   
   
   
 
  • ПРИЛОЖЕНИЕ Е. Регистрация пользователей рабочих станций
  (c) ООО «НТК Интерфейс», 2019

ПРИЛОЖЕНИЕ Е. Регистрация пользователей рабочих станций

Для регистрации пользователей необходимо:
-     запустить программу «Настройка серверов «ОИК Диспетчер НТ»» (s_setup.exe);
-     в окне «Настройка серверов «ОИК Диспетчер НТ»» кнопкой («Запустить») запустить сервер «ОИК Диспетчер НТ»;
-     в окне «Настройка серверов «ОИК Диспетчер НТ»» ЛКМ выбрать строку описания сервера статических данных;
-     в окне «Настройка серверов «ОИК Диспетчер НТ»» ЛКМ щёлкнуть на кнопке («Настройка»);
-     в открывшемся окне настройки «RBF - сервер» щёлкнуть ЛКМ на кнопке «Пользователи»;
-     в открывшемся окне «Редактирование прав пользователей» можно пополнить список пользователей, изменить права любого пользователя или удалить пользователя из списка.
Существуют отличия при регистрации пользователей для разных уровней настройки безопасности сервера «ОИК Диспетчер НТ». Уровень безопасности устанавливается при настройке серверов, пункт меню «Компьютер» «Уровень безопасности».
Для уровня «Система безопасности Windows NT» при запуске клиентской задачи параметрами идентификации пользователя является Windows - имя пользователя и пароль, под которым он зарегистрировался при загрузке компьютера. Этот уровень безопасности, по возможности, необходимо использовать всегда.
Все пользователи должны быть зарегистрированы в базе данных комплекса. При регистрации пользователя необходимо определить:
-     его регистрационный номер;
-     номер группы, к которой он относится (группа с номером 0 – общая);
-     имя пользователя, имя под которым будут фиксироваться все действия и события для данного пользователя;
-     пароль пользователя, запрашиваемый при запуске ПО клиент «ОИК Диспетчер НТ»;
-     ID - ключа - заполняется только для пользователей, использующих при регистрации аппаратный ключ;
-     права доступа к мнемосхемам, текстовым документам, оперативным журналам и другим документам. Полный перечень прав пользователей ПО клиент «ОИК Диспетчер НТ» приведен на Рис. Е.1.
Рис. Е.1 Права пользователей ПО клиент «ОИК Диспетчер НТ»
 
Номер группы используется для объединения пользователей подразделения, имеющих доступ к одной группе схем и документов, но не имеющих доступа к схемам и документам других групп.
Имя пользователя фиксируется в ретроспективе событий при телеуправлении, ручном переключении объектов телесигнализации и ручном задании значения телеизмерения.
При регистрации пользователей устанавливаются их права по созданию, изменению, удалению общих и групповых схем и документов. При настройке прав символом («Галочка») помечаются доступные для пользователя действия, а символом («Пробел») - недоступные.
Для уровня безопасности «Система безопасности Windows NT» устанавливается связь номера пользователя с Windows - именем, под которым он зарегистрирован в рабочей группе или в Домене Windows (при регистрации это параметр настройки Windows). В этом случае при загрузке клиентской части нет необходимости вводить регистрационное имя и пароль. Права пользователя будут определяться именем, под которым зарегистрировался пользователь при загрузке компьютера.
Также требуется дополнительная настройка Windows безопасности на уровне Master-сервиса, сервера динамических данных и Дельта посредством задания прав для групп Windows - администраторы, администраторы домена, пользователи домена, пользователи iface_operators и других созданных вами групп.
Для настройки Windows безопасности необходимо:
-     запустить программу «Настройка серверов «ОИК Диспетчер НТ»» (s_setup.exe);
-     в окне «Настройка серверов «ОИК Диспетчер НТ»» ЛКМ выбрать компонент настройки (Master -сервис, Дельта или сервер динамических данных) щёлкнуть по нему ПКМ и в открывшемся контекстном меню выбрать пункт «Безопасность»;
-     в открывшемся окне выбрать закладку «Безопасность» - откроется окно настройки безопасности для следующих разделов (в соответствии с закладками): «Разрешения», «Аудит» (только на уровне Master-сервис) и «Владелец»;
-     для разделов «Разрешения» и «Аудит» следует добавить группы пользователей (или отдельных пользователей) и определить их права.
В разделе «Разрешения» определяются права группы пользователей или права конкретного пользователя по доступу к информации.
На уровне Master-сервис настраиваются права:
-     Чтение
-     Запись
-     Доступ к каталогам (к файлам за пределами каталога …\Server\CfShare, к файлам каталога …\Server\CfShare доступ всегда разрешён)
-     Доступ к серверам (при установленной «Системе безопасности Windows NT» для всех пользователей вне группы «Iface_operators» доступ к серверам должен быть разрешён, по умолчанию – запрещён)
-     Трассировка
-     Просмотр прав
-     Изменение прав
-     Полный доступ <ОБЩЕЕ>
-     Запись<ОБЩЕЕ>
-     Чтение <ОБЩЕЕ>
На уровне сервера динамических данных настраиваются права:
-     Чтение телеметрии
-     Изменение ТС
-     Изменение ТИТ
-     Изменение ТИИ
-     Телеуправление (для пользователей это право должно быть разрешено на уровне сервера динамических данных, а также при настройке пользователей сервера статических данных)
-     Просмотр ретро
-     Просмотр журнала
-     Изменение уставок
-     Доставка телеметрии (от «Дельта NT», используется разработчиками)
-     Доступ к аппаратуре (квитирование диспетчерского щита, запрос на обновление телеметрии, для квитирования необходимо при настройке сервера статических данных пользователю разрешить телеуправление)
-     Полный доступ <ОБЩЕЕ>
-     Чтение+модификация<ОБЩЕЕ>
-     Чтение <ОБЩЕЕ>
На уровне Дельта настраиваются права:
-     Чтение;
-     Трассировка;
-     Управление (если управление не разрешено, то будут не доступны запросы на обновление телепараметров и команды телеуправления из Дельта-монитора и с рабочих станций)
-     Полный доступ <ОБЩЕЕ>
-     Чтение <ОБЩЕЕ>
Права пользователей с признаком <ОБЩЕЕ> - информационные. Они при настройке не заполняются и служат для отображения настроек прав операционной системы Windows, соответствующих выбранным настройкам прав пользователей ПО «ОИК Диспетчер НТ».
Раздел «Аудит» предназначен для записи в журнал событий Windows изменений прав указанной группы пользователей. Обычно «Аудит» настраивается для всех пользователей. В журнал можно записывать успешные изменения прав и отказы на изменение. При настройке прав по аудиту следует вначале разрешить его для настраиваемой группы пользователей. Для Windows NT это пункты меню:
-     «Программы» («Programs»)
-     «Администрирование (Общее)» («Administrative Tools (Common)»)
-     «Диспетчер пользователей» («User Manager for Domains»)
-     «Политика» («Policies»)
-     «Аудит» («Audit»).
Следует задать аудит по доступу к файлам и объектам в случае успеха и отказа.
Для Windows 7 это пункты меню:
-     «Пуск» -> «Все программы» - > «Администрирование» -> «Локальная политика безопасности» -> «Локальные политики» -> «Политика аудита».
Следует задать «Аудит доступа к объектам» и «Аудит доступа к службе каталогов» в случае успеха и отказа.
Раздел «Владелец» позволяет стать владельцем настраиваемого объекта в плане настройки прав безопасности. Стать владельцем может только пользователь с правами «Администратор компьютера», «Администратор домена» или «Администратор Windows». Владельцу объекта дано право изменять права даже в том случае, если случайно был снят признак изменения прав в разделе «Разрешения» и не осталось ни одного пользователя с полным доступом.
После установки программного обеспечения сервера «ОИК Диспетчер НТ» по умолчанию устанавливаются следующие права пользователей:
На уровне Master-сервис:
-     для локальной группы «Администраторы» компьютера – Полный доступ;
-     для локальной группы «Пользователи» компьютера – Чтение + Доступ к серверам;
-     для созданной при установке группы пользователей «Iface_operators» – специальный доступ, в котором разрешены все права, кроме права на изменение прав.
На уровне сервера динамических данных:
-     для локальной группы «Администраторы» компьютера – Полный доступ;
-     для группы пользователей «Iface_operators» – Полный доступ;
-     для локальной группы «Пользователи» компьютера – Чтение.
На уровне Дельта:
-     для локальной группы «Администраторы» компьютера – Полный доступ;
-     для группы пользователей «Iface_operators» – Полный доступ;
-     для локальной группы «Пользователи» компьютера – Чтение.
Для правильной организации работы программы обновления WinDispUpdate.exe после установки ПО  сервера «ОИК Диспетчер НТ» необходимо локальной группе «Пользователи» для «Master-сервис Windows NT» добавить право  «Доступ к каталогам». Результирующие права группы «Пользователи» для уровня «Мастер-сервис Windows NT» будут:
-     Доступ к каталогам;
-     Доступ к серверам;
-     Чтение.
ВНИМАНИЕ!!! Включайте в группу «Iface_operators» только тех пользователей, которые отвечают за работоспособность комплекса – телемеханики и другой ответственный персонал. Так как группа «Iface_operators» имеет почти все права к серверу «ОИК Диспетчер НТ».
Для диспетчерского персонала необходимо создать дополнительную группу безопасности например - «Диспетчера с правом ТУ» и уже этой группе дать необходимые права:
На уровне Master-сервис:
-     Доступ к каталогам;
-     Доступ к серверам;
-     Чтение.
На уровне сервера динамических данных:
-     Чтение телеметрии;
-     Изменение ТС;
-     Изменение ТИТ;
-     Изменение ТИИ;
-     Телеуправление;
-     Доступ к аппаратуре (квитирование щита, запрос на обновление телеметрии).
На уровне Дельта:
-     Чтение.
Возможна регистрация пользователей с использованием электронных ключей защиты, подключаемых на рабочей станции к СОМ или USB-порту. Для этого необходимо в описании прав пользователей задать номер ID-ключа. Пользователи, у которых номер ID-ключа не задан, будут регистрироваться, как и раньше. Пользователь с заданным номером ключа, не сможет присоединиться к серверу без электронного ключа. Номер ключа - это 16-значное шестнадцатеричное слово, заносимое в том же порядке, как выгравировано на таблетке ключа. Для автоматической регистрации пользователей с заданным номером ключа, в окне регистрации следует установить признак «Проверять аппаратный ключ».
В случае если в базе пользователей «ОИК Диспетчер НТ» указан номер аппаратного ключа, то входв систему для такого пользователя возможен ТОЛЬКО при наличии ключа с таким номером в считывателе.
Ниже приведены некоторые особенности настройки безопасности комплекса «ОИК Диспетчер НТ» при различных принципах организации сетевой безопасности компьютеров.
Сеть Доменов MS Windows «Active Directory»:
Такая сеть содержит единую базу безопасности пользователей и компьютеров в ней ведутся единые политики безопасности.  Она является оптимальной с точки зрения безопасности для организации комплекса ««ОИК Диспетчер НТ»».  При установке ПО сервера «ОИК Диспетчер НТ» в базе данных домена создается пустая глобальная группа «Iface_operators» для включения в нее операторов серверов «ОИК Диспетчер НТ».
В доменах с большим количеством пользователей рекомендуется создать отдельно нестандартные группы безопасности, например, «Пользователи «ОИК Диспетчер НТ»» и «Диспетчера с правом ТУ» включить в них только необходимых пользователей домена. Назначить этим группам необходимые права для «Master-сервис», «Сервер динамических данных» и «Дельта». Для ограничения количества пользователей и усиления безопасности удалить из безопасности серверов «ОИК Диспетчер НТ» стандартные группы «Пользователи», «Пользователи домена».
Одноранговая сеть MS Windows «Рабочая группа»:
Такая сеть содержит небольшое количество компьютеров без организации единой базы безопасности. Каждый компьютер с ОС Windows в такой сети содержит собственную, локальную, базу групп и пользователей. Для правильной работы в такой сети комплекса ««ОИК Диспетчер НТ»» необходимо:
-     дублировать одинаковых пользователей с паролями на каждом компьютере рабочей группы;
-     на каждой рабочей станции с ОС Windows XP в локальных политиках (Панель управления -> Администрирование -> Локальная политика безопасности ->Локальные политики ->Параметры безопасности) установить параметр «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей» в режим: «Обычная – локальные пользователи удостоверяются как они сами» (см. Рис. Е.2);
-     группа «Iface_operators» создается в локальной базе безопасности компьютера, на который устанавливается ПО сервера «ОИК Диспетчер НТ» и создавать ее на других компьютерах рабочей группы нет необходимости.
 
Рис. Е.2 Настройка локальной политики безопасности.
 
При возникновении проблем соединения рабочих станций с серверами «ОИК Диспетчер НТ» для поиска решения необходимо пользоваться программой s_trace.exe («Трассировка серверов»). В этой программе необходимо произвести трассировку попыток присоединения с рабочей станции клиентской программы к серверу «ОИК Диспетчер НТ» - служба «CFSHARED (Конфигуратор)». Последовательность трассировки:
-     запустить на сервере «ОИК Диспетчер НТ» программу s_trace.exe («Трассировка серверов»);
-     в окне трассировки на закладке «Серверы» (см. Рис. Е.3), ЛКМ выделить службу «CFSHARED (конфигуратор)»; 
-     появится закрытая закладка «Трассировка», щелкнуть по ней ЛКМ;
-     в окне «Трассировка серверов» на закладке «Трассировка» символом пометить действие «Отладка»;
-     произвести попытку присоединения с рабочей станции к серверу «ОИК Диспетчер НТ»;
-     при успешном соединении с сервером «ОИК Диспетчер НТ» будут выданы отладочные сообщения (см. Рис. Е.4);
-     в зависимости от возникшей проблемы соединения, могут быть выданы различные отладочные сообщения, необходимо проанализировать их и устранить конкретную причину, приводящую к данной проблеме (см. Рис. Е.5 и Рис. Е.6).
 
Рис. Е.3 Закладка «Серверы» программы s_setup.exe
 
Рис. Е.4 Закладка «Трассировка» успешная регистрация пользователя
 
Рис. Е.5 Закладка «Трассировка» неуспешная попытка регистрации (вариант 1)
 
Рис. Е.6 Закладка «Трассировка» неуспешная попытка регистрации (вариант 2)