Windows7 OPC DCOM配置

1、Windows 7系統(tǒng)下 OPC 的 DCOM 配置 由于OPC的遠(yuǎn)程通訊依賴DCOM，安全方面則依賴的Windows 安全設(shè)置。通過網(wǎng)絡(luò)相互通信，OPC Server和OPC Client所在的操作系統(tǒng)，需要設(shè)置 DCOM 的安全屬性，下面使用 Windows 7 系統(tǒng)介紹配置過程。 由于OPC通訊需要用到OPC Foundation提供的動態(tài)庫，所以在開始配置前，首先安裝OPC Foundation提供的運行分發(fā)包，安裝時需要根據(jù)操作系統(tǒng)類型，32 位的系統(tǒng)選擇 X86運行庫安裝包；64 位系統(tǒng)選擇 X64 運行庫安裝包。OPC Server運行在 Windows 7 時的 DCOM 配置

2、一、 安裝 OPC 運行庫根據(jù)操作系統(tǒng)類型在OPC Server所在的計算機運行分發(fā)包安裝程序。運行庫安裝包依賴 Microsoft 的.Net Framewrok v1運行庫。安裝好 OPC 運行庫后，將計算機操作系統(tǒng)重新啟動，然后再繼續(xù)后面的配置工作。二、 創(chuàng)建用戶并賦予訪問權(quán)限1. 創(chuàng)建新用戶創(chuàng)建一個新用戶，并賦予此用戶運行和使用操作系統(tǒng) DCOM 程序的權(quán)限。為了降低整個系統(tǒng)的安全風(fēng)險，可以創(chuàng)建一個受限用戶，而不是建立管理員級用戶。為操作系統(tǒng)創(chuàng)建新用戶需要管理員權(quán)限。注意：A、 需要在OPC服務(wù)器所在OS系統(tǒng)與OPC客戶端所在OS系統(tǒng)，創(chuàng)建的用戶的用戶名和密碼相同。B、 由于Windo

3、ws 7系列的OS系統(tǒng)Guests用戶組的權(quán)限非常受限，所以新創(chuàng)建的用戶需要是Users用戶組級別權(quán)限，或比Users用戶組級別更高的權(quán)限。推薦使用 Users 用戶組。創(chuàng)建新用戶，并設(shè)置用戶屬性，請保持密碼不為空。2. 賦予用戶訪問DCOM的權(quán)限要想使新創(chuàng)建的用戶有使用 DCOM 的權(quán)限，需要將用戶加入Distribute COMUsers用戶組。至此已添加OPCUser用戶到“Distribute COM Users”用戶組三、 關(guān)閉防火墻四、 配置DCOM安全為通過網(wǎng)絡(luò)正常訪問OPC服務(wù)器，需要配置DCOM的訪問和激活屬性。1、 啟動“組件服務(wù)”在菜單“開始運行”，輸入：dcomcnfg

4、，點擊“確定”按鈕，進(jìn)入“組件服務(wù)管理器”。2、 配置“我的電腦”安全屬性在彈出的“我的電腦屬性”，選擇“默認(rèn)屬性”標(biāo)簽頁，如下圖：請確認(rèn)幾個屬性的設(shè)置內(nèi)容或狀態(tài)：在此計算機上啟用分布式 COM，此屬性處于“選中”狀態(tài)；默認(rèn)分布式 COM 通信屬性欄目下，“默認(rèn)身份驗證級別”，選擇的項目是：“連接”，“默認(rèn)模擬級別”，選擇的項目是：“標(biāo)識”。選擇“我的電腦屬性”屬性頁面的“默認(rèn)協(xié)議”標(biāo)簽頁，如下圖：確認(rèn) DCOM 協(xié)議屬性內(nèi)容是：面向連接的 TCP/IP。選擇“我的電腦屬性”屬性頁面的“COM 安全”標(biāo)簽頁，如下圖：選擇“COM 安全”標(biāo)簽頁面的“訪問權(quán)限”欄目的“編輯默認(rèn)值”按鈕（上圖中按鈕

5、 1），彈出“訪問權(quán)限”設(shè)置對話框，如下圖：點擊此對話框上的“添加”按鈕，添加下邊列表的用戶，并設(shè)置用戶的訪問權(quán)限，核實后，點擊“確定”按鈕保存。NO.組或用戶名本地訪問遠(yuǎn)程訪問屬性1Distribute COM Users允許允許系統(tǒng)內(nèi)置用戶組2Anonymous logon允許允許系統(tǒng)內(nèi)置帳戶3everyone允許允許系統(tǒng)內(nèi)置帳戶4Interactive允許允許系統(tǒng)內(nèi)置帳戶5SYSTEM允許允許系統(tǒng)內(nèi)置帳戶6SELF允許允許系統(tǒng)內(nèi)置帳戶選擇“COM 安全”標(biāo)簽頁面的“訪問權(quán)限”欄目的“編輯限”按鈕（按鈕 2），彈出“訪問權(quán)限”設(shè)置對話框，如下圖：點擊此對話框上的“添加”按鈕，添加下邊列表的

6、用戶，并設(shè)置用戶的訪問權(quán)限，核實后，點擊“確定”按鈕保存。NO.組或用戶名本地訪問遠(yuǎn)程訪問屬性1Distribute COM Users允許允許系統(tǒng)內(nèi)置用戶組2Anonymous logon允許允許系統(tǒng)內(nèi)置帳戶3everyone允許允許系統(tǒng)內(nèi)置帳戶4Interactive允許允許系統(tǒng)內(nèi)置帳戶5SYSTEM允許允許系統(tǒng)內(nèi)置帳戶選擇“COM 安全”標(biāo)簽頁面的“啟動和激活權(quán)限”欄目的“編輯默認(rèn)值”按鈕（按鈕 3），彈出“啟動和激活權(quán)限”設(shè)置對話框，如下圖：點擊此對話框上的“添加”按鈕，添加下邊列表的用戶，并設(shè)置用戶的訪問權(quán)限，核實后，點擊“確定”按鈕保存NO.用戶名本地啟動遠(yuǎn)程啟動本 地激活遠(yuǎn)程激活

7、屬性1Distribute COM Users允許允許允許允許系統(tǒng)內(nèi)置用戶組2ANONYMOUS LOGON允許允許允許允許系統(tǒng)內(nèi)置帳戶3Everyone允許允許允許允許系統(tǒng)內(nèi)置帳戶4INTERACTIVE允許允許允許允許系統(tǒng)內(nèi)置帳戶5SYSTEM允許允許允許允許系統(tǒng)內(nèi)置帳戶選擇“COM 安全”標(biāo)簽頁面的“啟動和激活權(quán)限”欄目的“編輯限制”按鈕（按鈕 4），彈出“啟動和激活權(quán)限”設(shè)置對話框，如下圖：點擊此對話框上的“添加”按鈕，添加下邊列表的用戶，并設(shè)置用戶的訪問權(quán)限，核實后，點擊“確定”按鈕保存。NO.用戶名本地啟動遠(yuǎn)程啟動本 地激活遠(yuǎn)程激活屬性1Distribute COM Users允許

8、允許允許允許系統(tǒng)內(nèi)置用戶組2ANONYMOUS LOGON允許允許允許允許系統(tǒng)內(nèi)置帳戶3Everyone允許允許允許允許系統(tǒng)內(nèi)置帳戶4INTERACTIVE允許允許允許允許系統(tǒng)內(nèi)置帳戶5SYSTEM允許允許允許允許系統(tǒng)內(nèi)置帳戶配置完成后，點擊“我的電腦屬性”屬性頁面的“確定”按鈕，由于涉及到系統(tǒng)安全屬性的修改，此時操作系統(tǒng)彈出警告消息，如圖由于是我們手動修改的安全設(shè)置，并確認(rèn)修改，點擊“是”按鈕，保存剛才做出的所有修改，退出“我的電腦屬性”屬性頁面。3、 配置OpcEnum的安全設(shè)置在“組件服務(wù)”左側(cè)樹形菜單，選擇“組件服務(wù)計算機我的電腦DCOM 配置”，在列表中選擇 opcenum 項目，在

9、鼠標(biāo)右鍵彈出的菜單，選擇“屬性”項目，如下圖：在彈出的“OPCENUM 屬性”屬性框的“常規(guī)”標(biāo)簽頁，確認(rèn)“身份驗證級別”屬性，設(shè)置項目是：無，如下圖：在“OPCENUM 屬性”框，選擇“安全”標(biāo)簽頁，如下圖：在“安全”標(biāo)簽頁，選擇“啟動和激活權(quán)限”欄目，選擇“自定義”選項，并點擊“編輯”按鈕（按鈕1），如下圖：在彈出的“啟動和激活權(quán)限”屬性設(shè)置對話框，使用“添加”按鈕，添加下表的組或用戶，核實并確認(rèn)后，點擊“確定”按鈕保存。NO.用戶名本地啟動遠(yuǎn)程啟動本 地激活遠(yuǎn)程激活屬性1Distribute COM Users允許允許允許允許系統(tǒng)內(nèi)置用戶組2ANONYMOUS LOGON允許允許允許允許

10、系統(tǒng)內(nèi)置帳戶3Everyone允許允許允許允許系統(tǒng)內(nèi)置帳戶4INTERACTIVE允許允許允許允許系統(tǒng)內(nèi)置帳戶5SYSTEM允許允許允許允許系統(tǒng)內(nèi)置帳戶在“安全”標(biāo)簽頁，選擇“訪問權(quán)限”欄目，選擇“自定義”選項，并點擊“編輯”按鈕（按鈕2），如下圖：在彈出的“訪問權(quán)限”屬性設(shè)置對話框，使用“添加”按鈕，添加下表的組或用戶，核實并確認(rèn)后，點擊“確定”按鈕保存。NO.組或用戶名本地訪問遠(yuǎn)程訪問屬性1Distribute COM Users允許允許系統(tǒng)內(nèi)置用戶組2Anonymous logon允許允許系統(tǒng)內(nèi)置帳戶3everyone允許允許系統(tǒng)內(nèi)置帳戶4Interactive允許允許系統(tǒng)內(nèi)置帳戶5SELF允許允許系統(tǒng)內(nèi)置帳戶6SYSTEM允許允許系統(tǒng)內(nèi)置帳戶在“OPCENUM 屬性”框，選擇“標(biāo)識”標(biāo)簽頁，確認(rèn)“選擇運行此應(yīng)用程序的用戶賬戶”屬性，設(shè)置項目是：系統(tǒng)賬戶（僅用于服務(wù)），如下圖：確認(rèn)后點擊“確定”按鈕保存所作的修改。4、 OPC服務(wù)器的安全設(shè)置OPC服務(wù)器的安全設(shè)置可參照OPCEnum的設(shè)置過程，只是在“標(biāo)識”屬性頁面有些不同。五、 配置本地安全策略在“查找欄”輸入：secpol.msc，點擊“確定”按鈕，啟動“