VideoApiService-Konto konfigurieren

1 – VideoApiService-Konto in Windows anlegen

Sie müssen auf dem Desigo CC-Servercomputer ein VideoApiService-Benutzerkonto in Windows anlegen. Abhängig vom Einsatzszenario wird diese Aufgabe wie folgt durchgeführt:

• Wenn der VMS-Server auf demselben Computer wie der Desigo CC-Server ausgeführt wird: Erstellen Sie ein lokales VideoApiService-Konto auf dem gemeinsam genutzten Computer.
• Wenn der VMS-Server auf einem anderen Computer ausgeführt wird als der Desigo CC-Server:
• In einer Windows-Domäne erstellen Sie ein Domänenkonto VideoApiService, das auf allen Computern der Domäne genutzt werden kann.
• In einer Windows-Arbeitsgruppe erstellen Sie das gleiche Konto VideoApiService als ein lokales Konto auf dem Desigo CC-Server und auf dem VMS-Server. Benutzen Sie denselben Benutzernamen und dasselbe Passwort. Wenn später ein Passwort geändert wird (zum Beispiel aufgrund einer Passwortrichtlinie), muss die Änderung auf beiden Computern vorgenommen werden.

Weitere Informationen über das Erstellen eines neuen Windows-Benutzerkontos finden Sie in der Dokumentation und der Online-Hilfe von Microsoft.

Informationen zur Fehlerbehebung im Video-API-Dienst finden Sie unter Fehlerbehebung bei Video.

HINWEIS

Sicherheit des VideoAPIService-Kontos

Aus Sicherheitsgründen sollte das Konto Video-API-Dienst kein Mitglied der Windows-Administratorengruppe sein.

Verwenden Sie für das VideoApiService-Konto nach Möglichkeit ein Windows-Benutzerkonto in Kombination mit Active Directory (AD).
Das ermöglicht die Durchsetzung:
- einer Passwortrichtlinie, die Benutzer dazu auffordert, ihr Passwort regelmässig zu ändern
- eines Brute-Force-Schutzes, sodass das Windows-AD-Konto nach mehreren fehlgeschlagenen Authentifizierungsversuchen gesperrt wird
- von rollenbasierten Berechtigungen, sodass Sie Zugriffskontrollen in Ihrer gesamten Domäne anwenden können

 

2 - Recht Anmelden als Dienst für das Konto Video-API-Dienst festlegen

Das Konto Video-API-Dienst muss in Windows über das Recht Als Dienst anmelden verfügen. Gehen Sie wie folgt vor, um dies zu überprüfen oder zu konfigurieren:

1. Erweitern Sie in der MMC-Konsole für lokale Sicherheitsrichtlinien die Struktur für die Einstellungen der Sicherheitsrichtlinien.
2. Wählen Sie unter Lokale Richtlinien die Option Zuweisen von Benutzerrechten.
3. Rechtsklicken Sie im Bereich Richtlinien die Option Als Dienst anmelden und wählen Sie Eigenschaften.
4. Das Dialogfeld zeigt eine Liste aller Benutzer oder Gruppen an, die über das Recht 'Als Dienst anmelden' verfügen.
4. Wenn das Konto Video-API-Dienst nicht aufgeführt wird, klicken Sie Benutzer oder Gruppe hinzufügen, um dem Konto dieses Recht zuzuweisen.
5. Klicken Sie OK.

 

3 – VMS-Administratorrolle zuweisen

1. Starten Sie den VMS-Management-Client.
2. Wählen Sie in der Site-Navigation Sicherheit > Rollen.
3. Wählen Sie den Bereich Rollen den Eintrag Administratoren.
4. Wählen Sie im unteren Bereich Rolleneinstellungen das Register Benutzer und Gruppen.
5. Wählen Sie Hinzufügen.. > Windows-Benutzer.
6. Klicken Sie im Dialogfeld Benutzer oder Gruppen auswählen die Option Erweitert.
7. Klicken Sie im Dialogfeld Erweitert Jetzt suchen, wählen Sie in der Liste das Benutzerkonto VideoApiService und klicken Sie OK.
   Hinweis: Wenn das Benutzerkonto VideoApiService noch nicht in der Liste angezeigt wird (die Liste enthält möglicherweise nicht die aktuellsten Aktionen), klicken Sie Abbrechen, um das Dialogfeld Erweitert zu schliessen und gehen Sie wie folgt vor:
   a. Geben Sie VideoApiService im Feld Auszuwählenden Objektnamen eingeben ein.
   b. Klicken Sie Name überprüfen, um den vollständigen Namen des Benutzerkontos anzuzeigen.
   c. Klicken Sie OK.

1. Das Benutzerkonto VideoApiService wird in der Liste Rolleneinstellungen als VMS-Administrator aufgeführt.

 

4 - Video-API-Dienst mit dem Konto verknüpfen und Sicherheit festlegen

Der letzte Schritt besteht darin, das oben konfigurierte Konto mit dem Video-API-Dienst zu verknüpfen und seine Sicherheitskonfiguration abzuschliessen. Das kann in SMC wie folgt erfolgen.

1. In der SMC-Struktur wählen Sie Projekte > [Videoprojekt].
2. Wählen Sie das Register Video-Einstellungen.
3. Öffnen Sie den Expander Videodienstsicherheit.
4. Wenn noch kein benanntes Konto verknüpft wurde, wird im Feld Benutzername neben Video-API-Dienstkonto in Rot NT AUTHORITY\Netzwerkdienst angezeigt. Andernfalls wird das aktuell zugeordnete benannte Konto angezeigt.

5. 

4. Gehen Sie wie folgt vor, um ein benanntes Konto zu verknüpfen und darauf Sicherheitseinstellungen anzuwenden:
• Klicken Sie Durchsuchen... , wählen Sie das in den vorherigen Schritten konfigurierte Video-API-Dienstkonto und klicken Sie OK.
• Geben Sie im angezeigten Feld Passwort das Passwort für das Video-API-Dienstkonto ein.
5. Das Kontrollkästchen Sicherheit erzwingen wird automatisch aktiviert, was bedeutet, dass die erforderlichen Sicherheitseinstellungen auf dieses Konto angewendet werden.
   Hinweis: Wenn Sie einen Fehler gemacht haben, können Sie Zurücksetzen klicken, um Ihre Auswahl aufzuheben und zum vorherigen Konto zurückzukehren.
5. Um das aktuell verknüpfte Konto beizubehalten, aber nur Sicherheitseinstellungen darauf anzuwenden
   (dies ist beispielsweise erforderlich, wenn das Konto zuvor manuell verknüpft wurde, die Sicherheitseinstellungen jedoch nicht angewendet wurden):
• Lassen Sie das Feld Benutzername unverändert.
• Aktivieren Sie das Kontrollkästchen Sicherheit erzwingen.
6. Klicken Sie Änderungen an der Videodienstsicherheit anwenden.

1. Die Änderungen am Video-API-Dienstkonto werden übernommen.
2. Das Ergebnis der Sicherheitseinstellungen wird in die Datei GMSMainProject\Log\Smc.log ausgegeben.

Das Video-API-Konto ist eine systemweite Windows-Einstellung auf dem Desigo CC-Server. Die hier eingestellte Konfiguration gilt daher auch für alle anderen Desigo CC Projekte mit Video auf demselben Computer, da alle Projekte denselben Video-API-Dienst verwenden.

 

Video-API-Dienst manuell mit dem Konto verknüpfen

1. Sie haben für den Video-API-Dienst ein Benutzerkonto mit Anmelderechten als Dienst und Administrator in VMS erstellt, wie in den Schritten 1 bis 3 des obigen Workflows beschrieben.

1. Starten Sie in Windows auf dem Desigo CC Server das Tool Dienste, indem Sie einen der folgenden Schritte ausführen:
• Klicken Sie Start > Systemsteuerung > Verwaltung > Dienste
  oder
• Starten Sie Start > Ausführen services.msc.
2. Gehen Sie in der Liste der Dienste zum Siemens-Video-API-Dienst.
3. Rechtsklicken Sie den Siemens-Video-API-Dienst und wählen Sie Eigenschaften.
4. Wählen Sie im Dialogfeld Eigenschaften das Register Anmeldung.
5. Wählen Sie unter Anmelden als: die Option Dieses Konto und klicken Sie Durchsuchen.
6. Klicken Sie im Dialogfeld Benutzer auswählen die Option Erweitert.
7. Klicken Sie im Dialogfeld Benutzer auswählen die Option Jetzt suchen.
8. Wählen Sie in der Liste Suchergebnisse den Eintrag VideoApiService und klicken Sie zweimal OK.
9. Geben Sie das Passwort für das Konto VideoApiService ein und bestätigen Sie es.
10. Klicken Sie OK und schliessen Sie dann das Tool Dienste.

Hinweis: Auf das Konto müssen die erforderlichen Sicherheitseinstellungen angewendet werden. Siehe unten RunVideoApiService.exe über die Eingabeaufforderung.

 

Run VideoApiService.exe über eine Eingabeaufforderung

Als letzter Schritt ist es erforderlich, ein Befehlszeilentool auszuführen, um die Sicherheitseinstellungen für das Konto Video-API-Dienst abzuschliessen. Führen Sie die folgenden Schritte auf dem Desigo CC Server.

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten. Das können Sie wie folgt tun:
• Suchen Sie im Windows-Startmenü nach "Befehl".
• Rechtsklicken Sie auf das Suchergebnis der Eingabeaufforderung und wählen Sie Als Administrator ausführen.
2. Der Administrator: Das Fenster für die Eingabeaufforderung wird geöffnet.
2. Im Fenster Administrator: Eingabeaufforderung führen Sie die folgenden Schritte aus:
• Geben Sie cd C:\Program Files\Siemens\Video API\Service ein und drücken Sie EINGABE.
• Geben Sie VideoApiService.exe --setupsecurity --startservice ein und drücken Sie EINGABE.
3. Der Befehl beginnt mit der Ausführung und die Ergebnisse werden im Fenster angezeigt.
3. Überprüfen Sie nach Abschluss des Befehls, ob er erfolgreich ausgeführt wurde. Die Ergebnisse sollten mit den unten gezeigten übereinstimmen, wobei *** für den Namen des Computers steht.

4. 

4. Schliessen Sie das Eingabeaufforderungsfenster.