提示！ 数据安全建议 为了将数据安全违规的风险降到最低，我们建议对运行应用程序的系统执行以下安排和技术操作。 尽可能避免将PLC和控制网络暴露于开放网络和Internet中。使用附加的数据链路层进行保护，例如用于远程访问的VPN。 安装防火墙机制。 限制对授权人员的访问。 在调试前后，请定期更改任何默认密码。 使用CODESYS和相应控制器支持的安全功能，例如与控制器通信的加密和限制的用户访问。

对于支持设备用户管理的设备，设备编辑器包括用户和组 选项卡和访问权限。当设备提供时，您可以在这里查看设备的用户管理，并在同步模式(非在线模式)下编辑。在这里，你可以授予或拒绝定义的用户组控制器上的特定权限。

设备用户管理可以在设备描述中设置。

注意在线 ➔ 安全菜单中的命令。您可以在当前登录的控制器上轻松添加、编辑或删除用户帐户。

为了使访问权限选项卡在设备编辑器中可用，必须在设备编辑器中选择相应的CODESYS选项，并在设备描述中将其解锁。如果设备编辑器不可用，请与控制器的制造商联系。

为了向用户组授予访问权限，必须首先在设备编辑器的用户和组选项卡上配置用户和用户组。必须先在控制器上设置用户管理，然后才能在其上配置访问权限。当设备的用户管理还未启用时，可以通过以下方式启用：通过切换到用户和组选项卡上的同步模式，或者通过命令在线 ➔ 安全 ➔ 添加设备用户添加一个新用户。

请注意，访问权限只能授与组，而不能授与单个用户。因此，每个用户都必须是一个组的成员。

可以为在控制器的各个对象上执行的以下操作授与访问权限：

控制器上的每个对象通常只分配给一个组件。并且对象可以使用以上所有访问权限。但是，在大多数情况下，一个对象仅需要以下两个权限：

对象以树形结构组织。对于两个单独的对象类型，存在两个根对象：Runtime对象 ➔ 设备和 文件系统对象 ➔ /。

在文件系统对象中，可以将权限授与控制器当前执行目录的文件夹。

在runtime对象中，所有在控制器中具有在线访问权限的对象都将受到管理，因此必须控制访问权限。

通常，访问权限是从根对象（也包括设备或/继承到子对象的。这意味着，如果拒绝或显式向父对象上的用户组授与权限，则这首先影响所有子对象。

就权限而言，还必须区分一项权限是明确授与的、拒绝的还是中立的。中立意味着既不明确授与也不拒绝它。在这种情况下，将应用父对象的权限。但是，如果在对象的整个层次结构中没有显式地授与或拒绝任何权限，那么根据定义，它最初是被拒绝的。这意味着所有的权限首先被拒绝。

唯一的例外是查看操作的访问权限。对于设备runtime对象和“/”文件系统对象上的每个用户组，最初都会显式地授予此权限。除非在子对象中明确拒绝，否则这将允许首先对所有对象进行读取访问。

“Everyone”用户组在这里有一个特殊的位置：如果没有其他级别的用户组明确授与或拒绝访问权限，则此权限仅在权限检查的最后才适用。

有关对象的概述表，请参见“选项卡‘访问权限’”一章。

有关如何处理设备用户管理的编辑器，请参阅以下说明：

另请参见