Защита на уровне пользователя

При работе с многопользовательской БД наиболее гибким и распространенным способом защиты БД является защита на уровне пользователя. Защита на уровне пользователей MS Access напоминает механизмы безопасности, используемые на серверах и больших компьютерах.

Двумя основными причинами использования защиты на уровне пользователей являются:

· защита приложения от повреждения из-за неумышленного изменения пользователями таблиц, запросов, форм, отчетов и макросов, от которых зависит работа приложения;

· защита конфиденциальных сведений в БД.

При использовании этого типа защиты пользователь должен ввести пароль при запуске MS Access. Затем Access читает файл рабочей группы, в котором каждый пользователь идентифицируется уникальным кодом. Уровень доступа и объекты, доступ к которым получает пользователь, зависят от кода и пароля.

В файле рабочей группы пользователи по их личным кодам и паролям идентифицируются как авторизованные индивидуальные пользователи и как члены конкретных групп. В MS Access определены следующие группы:

- стандартные:

1. Администраторы (группа Admins). Группа Admins - учетная запись группы системных администраторов, имеющих полные разрешения на все БД, используемые рабочей группой. Программа установки автоматически добавляет в группу Admins стандартную учетную запись пользователя Admin.

2. Пользователи (группа Users).

3. Допускается определение дополнительных групп.

В группе Администратор вкладки Работа с базами данных ленты инструментов расположена команда Пользователи и разрешения – Пользователи и группы…, с помощью которой можно создать собственные группы пользователей (рис. 11.15), и команда Пользователи и разрешения – Разрешения…, с помощью которой можно определить разрешения на работу с БД и ее таблицами, запросами, формами, отчетами и макросами для различных пользователей или групп пользователей (рис. 11.16). Также могут быть установлены разрешения на доступ, по умолчанию присваиваемые вновь создаваемым объектам БД. Группам и пользователям предоставляются разрешения, определяющие возможность их доступа к каждому объекту БД.



Защита на уровне пользователя - student2.ru
рис. 11.15. Окно создания пользователей и групп
Защита на уровне пользователя - student2.ru
рис. 11.16. Окно определения разрешений пользователям и группам

Хотя установка защиты на уровне пользователей для большинства БД является сложной задачей, Мастер защиты позволит быстро и легко защитить БД.

Мастер защиты помогает назначить разрешения и создать учетные записи пользователей и учетные записи групп. Однако после запуска Мастера для БД и существующих в ней таблиц, запросов, форм, отчетов и макросов имеется возможность вручную назначить или удалить разрешения на доступ для учетных записей пользователей и групп в рабочей группе. Также могут быть установлены разрешения на доступ, по умолчанию присваиваемые вновь создаваемым объектам БД.

Группам и пользователям предоставляются разрешения, определяющие возможность их доступа к каждому объекту БД. Например, члены группы Users могут иметь разрешения на просмотр, ввод или изменение данных в таблице, но им не будет разрешено изменять структуру этой таблицы. Члены группы Admins имеют разрешения на доступ ко всем объектам БД.

Если для системы защиты достаточно группы администраторов и группы пользователей, то нет необходимости создавать другие группы. Можно воспользоваться стандартными группами Admins и Users. В этом случае необходимо присвоить соответствующие разрешения на доступ стандартной группе Users и добавить дополнительных администраторов в стандартную группу Admins. Каждый новый пользователь автоматически добавляется в группу Users. Типовые разрешения на доступ для группы Users могут включать «Чтение данных» и «Обновление данных» для таблиц и запросов и «Открытие/запуск» для форм и отчетов.

В случае необходимости более разветвленной структуры управления для различных групп пользователей, имеется возможность создания новых групп, присвоения группам различных наборов разрешений на доступ и добавления новых пользователей в соответствующие группы. Для упрощения управления разрешениями на доступ рекомендуется присваивать разрешения только группам (а не отдельным пользователям), а затем добавлять пользователей в соответствующие группы.

В многопользовательской среде при установке защиты на уровне пользователей должны быть созданы пользователь или группа для репликации БД, установления пароля БД и изменения параметров запуска. Для выполнения указанных операций с БД эта группа должна иметь такое же разрешение на доступ, как и администратор. Только члены группы Admins текущей рабочей группы имеют права администратора.

Когда пользователь в первый раз запускает MS Access после установки Microsoft Office, Access автоматически создает файл рабочей группы MS Access, который идентифицируется по указанным пользователем имени и названию организации. Файл рабочей группы имеет расширение mdw. Относительное расположение файла рабочей группы записывается в следующие параметры реестра:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\
Access\Jet\4.0\Engines\SystemDB

и

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\
Access\Jet\4.0\Engines\SystemDB.

Следующие пользователи наследуют стандартный путь к файлу рабочей группы из раздела реестра HKEY_USERS. Так как получение этой информации часто не представляет особого труда, существует вероятность того, что кто-то сможет создать другую версию этого файла и приобрести неотъемлемые разрешения на доступ учетной записи администратора (члена группы Admins) в рабочей группе, определяемой этим файлом рабочей группы. Чтобы избежать этого, необходимо создать новый файл рабочей группы и указать код рабочей группы (WID). Только тот, кто знает этот код, сможет создать копию файла рабочей группы. Обычно файл рабочей группы создается на сервере.

Любые создаваемые учетные записи пользователей и групп и пароли сохраняются в этом файле рабочей группы до тех пор, пока пользователь не присоединится к другой рабочей группе, используя Мастер защиты на уровне пользователей…, доступ к которому осуществляется с помощью кнопки Пользователи и разрешения, расположенной в группе Администратор вкладки Работа с базами данных ленты инструментов (рис. 11.17).

Защита на уровне пользователя - student2.ru
рис. 11.17. Окно Мастера защиты на уровне пользователей для создания нового или изменения текущего файла рабочей группы

Внимание! Чтобы активизировать систему защиты на уровне пользователя, необходимо присвоить пароль пользователю Admin.

Наши рекомендации