Showing results 1 to 5 of 5

Thread: Benutzerverwaltung über Active Directory

  1. #1
    Join Date
    15.09.2016
    Posts
    59

    Default Benutzerverwaltung über Active Directory

    Hallo alle zusammen,
    Ich habe da ein paar Fragen zur Active Directory.
    Ist es möglich bei der Nutzung einer Active Directory alle im Netzwerk angelegten Benutzer in der Benutzerliste anzeigen zu lassen?
    Ist es möglich Benutzerrechte direkt einem Benutzer zuzuweisen oder geht das dann nur über die Gruppen?
    Funktionieren die Systemvariablen für eingeloggte Benutzer weiterhin? z.B. Name, kompletter Name und Gültigkeitsdauer des Passworts.

    Vielen Dank für eure Hilfe

    Viele Grüße
    Florian L.


  2. #
    Best Answer

    Default Re: Benutzerverwaltung über Active Directory

    Hallo Florian,

    Wenn der Domain Controller und etwaige weitere Domain Controller, nicht erreichbar sind, ist die zenon Runtime zum Zeitpunkt des Logins, nicht in der Lage die Benutzerinformationen bezgl. Benutzerrechte und Benutzergruppen, abzufragen. Der Login Versuch findet in diesem Fall erst gar nicht statt.

    Grundsätzlich bietet Windows die Möglichkeit ein Benutzer an einem Windows Rechner anzumelden, auch wenn ein Domain Controller nicht erreichbar ist. Voraussetzung ist, dass der Benutzer auf dem Rechner schon mal angemeldet war und diese Funktionalität (cached credentials) über Gruppenrichtlinien nicht deaktiviert ist (per Default speichert Windows 10 cached credentials).

    Die zenon Runtime ist auch in der Lage, das Login mittels Cached Credentials auszuführen. Allerdings stehen mit einem solchen Login, die Informationen über Benutzerrechte und Gruppenzugehörigkeit, nicht zur Verfügung.

    Damit ein Login mittels Cached Credentials ausgeführt wird in der zenon Runtime, muss daher in den Projekteigenschaften eine Benutzergruppe konfiguriert werden, für ein solches Login. Ist keine Gruppe definiert und ist der Domain Controller nicht erreichbar, findet kein Login statt. I

    Ist eine Gruppe konfiguriert für das Login mit Cached Credentials und ist kein Domain Controller erreichbar, bekommt jeden Benutzer welcher sich beim Login in der zenon Runtime erfolgreich authentifiziert mittels Cached Credentials, die Benutzerrechte die bei der konfigurierte Gruppe definiert sind.

    Es muss daher wohl überlegt sein, welche (minimale) Benutzerrechte bei der entsprechende Gruppe konfiguriert werden. Sonst könnte ein Benutzer mit zB. nur Leserechte, durch das Trennen der Netzwerkverbindung, mehr Rechte bekommen durch das Login mit Cached Credentials.

    Windows hat auch noch eine Eigenheit bezgl. cached credentials, die hier berücksichtigt werden soll. Wird ein Benutzer in Active Directory gelöscht, kann dieser Benutzer sich in der zenon Runtime bei vorhandenem Domain Controller, nicht mehr anmelden. Die Cached Credentials werden in diesem Fall jedoch vom Rechner nicht entfernt. Wird die Netzwerkverbindung nach dem fehlgeschlagenem Versuch getrennt, ist ein Login mittels Cached Credentials möglich. Wenn jedoch der Benutzer in Active Directory deaktiviert wird, werden bei dem Login Versuch mit vorhandene Domain Controller, die lokalen Cached Credentials aktualisiert und ist ein Login ohne Netzwerkverbindung mit Cached Credentials im weiterer Folge, nicht möglich.

    In Kritische Situationen empfiehlt es sich, auf den betroffenen Rechner die cache Credentials zu löschen. Dafür gibt es seitens Windows offenbar keine offizielle Methode ausser über Gruppenrichtlinien die maximale Anzahl der Cached Credentials auf 0 zu setzen und im Anschluss wieder auf die gewünschte Zahl.

    Für normale Situationen bei Probleme mit der Netzwerkverbindung oder Erreichbarkeit des Domain Controllers, ist es somit möglich Cached Credentials zu verwenden. Allerdings soll für ein Notfall Szenario (break the glass) schon überlegt werden, wie ein Login mit einem lokalen zenon Benutzer im Projekt möglich ist. Generell empfiehlt es sich, eigene Domain Controller im OT Bereich des Netzwerks zu verwenden.


    Viele Grüsse,
    Mark

  3. #2

    Default Re: Benutzerverwaltung über Active Directory

    Hallo Florian,

    Bei der Nutzung der ActiveDirectory Benutzer existieren die Benutzer als normale Benutzer in Active Directory. Es gibt keinen Unterschied zwischen "normale" Benutzer in Active Directory und solche die bei der zenon Anmeldung verwendet werden können. Eine Benutzerliste als solche gibt es somit nicht.

    Man könnte schon die Benutzer für zenon in Active Directory in einer bestimmte OU erstellen bzw. erstellen lassen, womit man eine zentralisierte Stelle verwendet. Active Directory Benutzer können von der zenon Runtime aus verwaltet werden. Inklusive Erstellen, Deaktivieren, Löschen (sollte man nicht) und zuweisen von Benutzerlevel in zenon, sofern ein Bild mit entsprechendem Bildtyp im Projekt erstellt wird und ein Benutzer mit entsprechende Rechte, im Bild validiert wird.

    Die Systemtreibervarariablen funktionieren auch für die ActiveDirectory Benutzer. Nur Fine grained password policies werden nicht direkt unterstützt.

    Mfg
    Mark



  4. #3
    Join Date
    15.09.2016
    Posts
    59

    Default Re: Benutzerverwaltung über Active Directory

    Hallo,
    Erst mal ein sehr verspätetes Dankeschön an Mark.

    Ich habe eine weitere Frage im Zusammenhang mit AD.
    Was passiert wenn die Domäne nicht mehr erreichbar ist?
    Ist es dann noch möglich sich irgendwie einzuloggen (z.B. über einen lokalen User)?
    Es wäre schlecht wenn ich meine Visu bei einem Netzwerkfehler nicht mehr bedienen könnte.

    Viele Grüße,
    Florian

  5. #4
    Best Answer

    Default Re: Benutzerverwaltung über Active Directory

    Hallo Florian,

    Wenn der Domain Controller und etwaige weitere Domain Controller, nicht erreichbar sind, ist die zenon Runtime zum Zeitpunkt des Logins, nicht in der Lage die Benutzerinformationen bezgl. Benutzerrechte und Benutzergruppen, abzufragen. Der Login Versuch findet in diesem Fall erst gar nicht statt.

    Grundsätzlich bietet Windows die Möglichkeit ein Benutzer an einem Windows Rechner anzumelden, auch wenn ein Domain Controller nicht erreichbar ist. Voraussetzung ist, dass der Benutzer auf dem Rechner schon mal angemeldet war und diese Funktionalität (cached credentials) über Gruppenrichtlinien nicht deaktiviert ist (per Default speichert Windows 10 cached credentials).

    Die zenon Runtime ist auch in der Lage, das Login mittels Cached Credentials auszuführen. Allerdings stehen mit einem solchen Login, die Informationen über Benutzerrechte und Gruppenzugehörigkeit, nicht zur Verfügung.

    Damit ein Login mittels Cached Credentials ausgeführt wird in der zenon Runtime, muss daher in den Projekteigenschaften eine Benutzergruppe konfiguriert werden, für ein solches Login. Ist keine Gruppe definiert und ist der Domain Controller nicht erreichbar, findet kein Login statt. I

    Ist eine Gruppe konfiguriert für das Login mit Cached Credentials und ist kein Domain Controller erreichbar, bekommt jeden Benutzer welcher sich beim Login in der zenon Runtime erfolgreich authentifiziert mittels Cached Credentials, die Benutzerrechte die bei der konfigurierte Gruppe definiert sind.

    Es muss daher wohl überlegt sein, welche (minimale) Benutzerrechte bei der entsprechende Gruppe konfiguriert werden. Sonst könnte ein Benutzer mit zB. nur Leserechte, durch das Trennen der Netzwerkverbindung, mehr Rechte bekommen durch das Login mit Cached Credentials.

    Windows hat auch noch eine Eigenheit bezgl. cached credentials, die hier berücksichtigt werden soll. Wird ein Benutzer in Active Directory gelöscht, kann dieser Benutzer sich in der zenon Runtime bei vorhandenem Domain Controller, nicht mehr anmelden. Die Cached Credentials werden in diesem Fall jedoch vom Rechner nicht entfernt. Wird die Netzwerkverbindung nach dem fehlgeschlagenem Versuch getrennt, ist ein Login mittels Cached Credentials möglich. Wenn jedoch der Benutzer in Active Directory deaktiviert wird, werden bei dem Login Versuch mit vorhandene Domain Controller, die lokalen Cached Credentials aktualisiert und ist ein Login ohne Netzwerkverbindung mit Cached Credentials im weiterer Folge, nicht möglich.

    In Kritische Situationen empfiehlt es sich, auf den betroffenen Rechner die cache Credentials zu löschen. Dafür gibt es seitens Windows offenbar keine offizielle Methode ausser über Gruppenrichtlinien die maximale Anzahl der Cached Credentials auf 0 zu setzen und im Anschluss wieder auf die gewünschte Zahl.

    Für normale Situationen bei Probleme mit der Netzwerkverbindung oder Erreichbarkeit des Domain Controllers, ist es somit möglich Cached Credentials zu verwenden. Allerdings soll für ein Notfall Szenario (break the glass) schon überlegt werden, wie ein Login mit einem lokalen zenon Benutzer im Projekt möglich ist. Generell empfiehlt es sich, eigene Domain Controller im OT Bereich des Netzwerks zu verwenden.


    Viele Grüsse,
    Mark

  6. #5
    Join Date
    15.09.2016
    Posts
    59

    Default Re: Benutzerverwaltung über Active Directory

    Hallo Mark,
    Ich danke dir für deine Antwort.
    Damit sind erst mal all meine Fragen zu dem Thema beantwortet.

Similar Threads

  1. Active Directory - Invalid Password
    By cvallant in forum zenon Supervisor
    Replies: 3
    Last Post: 29th April 2016, 12:17
  2. Benutzerverwaltung
    By andreas_09 in forum zenon Supervisor
    Replies: 6
    Last Post: 5th April 2012, 07:16
  3. Replies: 3
    Last Post: 27th October 2011, 09:14
  4. Replies: 5
    Last Post: 25th May 2011, 13:33
  5. Active Directory users do not have correct userlevel
    By markclemens in forum zenon Supervisor
    Replies: 1
    Last Post: 4th June 2007, 13:22

Tags for this Thread

Posting Rules

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •