Защита на уровне пользователя

При работе с многопользовательской БД наиболее гибким и распространенным способом защиты БД является защита на уровне пользователя. Защита на уровне пользователей MS Access напоминает механизмы безопасности, используемые на серверах и больших компьютерах.

Двумя основными причинами использования защиты на уровне пользователей являются:

· защита приложения от повреждения из-за неумышленного изменения пользователями таблиц, запросов, форм, отчетов и макросов, от которых зависит работа приложения;

· защита конфиденциальных сведений в БД.

При использовании этого типа защиты пользователь должен ввести пароль при запуске MS Access. Затем Access читает файл рабочей группы, в котором каждый пользователь идентифицируется уникальным кодом. Уровень доступа и объекты, доступ к которым получает пользователь, зависят от кода и пароля.

В файле рабочей группы пользователи по их личным кодам и паролям идентифицируются как авторизованные индивидуальные пользователи и как члены конкретных групп. В MS Access определены следующие группы:

- стандартные:

1. Администраторы (группа Admins). Группа Admins - учетная запись группы системных администраторов, имеющих полные разрешения на все БД, используемые рабочей группой. Программа установки автоматически добавляет в группу Admins стандартную учетную запись пользователя Admin.

2. Пользователи (группа Users).

3. Допускается определение дополнительных групп.

В группе Администратор вкладки Работа с базами данных ленты инструментов расположена команда Пользователи и разрешения – Пользователи и группы…, с помощью которой можно создать собственные группы пользователей (рис. 11.15), и команда Пользователи и разрешения – Разрешения…, с помощью которой можно определить разрешения на работу с БД и ее таблицами, запросами, формами, отчетами и макросами для различных пользователей или групп пользователей (рис. 11.16). Также могут быть установлены разрешения на доступ, по умолчанию присваиваемые вновь создаваемым объектам БД. Группам и пользователям предоставляются разрешения, определяющие возможность их доступа к каждому объекту БД.

рис. 11.15. Окно создания пользователей и групп

рис. 11.16. Окно определения разрешений пользователям и группам

Хотя установка защиты на уровне пользователей для большинства БД является сложной задачей, Мастер защиты позволит быстро и легко защитить БД.

Мастер защиты помогает назначить разрешения и создать учетные записи пользователей и учетные записи групп. Однако после запуска Мастера для БД и существующих в ней таблиц, запросов, форм, отчетов и макросов имеется возможность вручную назначить или удалить разрешения на доступ для учетных записей пользователей и групп в рабочей группе. Также могут быть установлены разрешения на доступ, по умолчанию присваиваемые вновь создаваемым объектам БД.

Группам и пользователям предоставляются разрешения, определяющие возможность их доступа к каждому объекту БД. Например, члены группы Users могут иметь разрешения на просмотр, ввод или изменение данных в таблице, но им не будет разрешено изменять структуру этой таблицы. Члены группы Admins имеют разрешения на доступ ко всем объектам БД.

Если для системы защиты достаточно группы администраторов и группы пользователей, то нет необходимости создавать другие группы. Можно воспользоваться стандартными группами Admins и Users. В этом случае необходимо присвоить соответствующие разрешения на доступ стандартной группе Users и добавить дополнительных администраторов в стандартную группу Admins. Каждый новый пользователь автоматически добавляется в группу Users. Типовые разрешения на доступ для группы Users могут включать «Чтение данных» и «Обновление данных» для таблиц и запросов и «Открытие/запуск» для форм и отчетов.

В случае необходимости более разветвленной структуры управления для различных групп пользователей, имеется возможность создания новых групп, присвоения группам различных наборов разрешений на доступ и добавления новых пользователей в соответствующие группы. Для упрощения управления разрешениями на доступ рекомендуется присваивать разрешения только группам (а не отдельным пользователям), а затем добавлять пользователей в соответствующие группы.

В многопользовательской среде при установке защиты на уровне пользователей должны быть созданы пользователь или группа для репликации БД, установления пароля БД и изменения параметров запуска. Для выполнения указанных операций с БД эта группа должна иметь такое же разрешение на доступ, как и администратор. Только члены группы Admins текущей рабочей группы имеют права администратора.

Когда пользователь в первый раз запускает MS Access после установки Microsoft Office, Access автоматически создает файл рабочей группы MS Access, который идентифицируется по указанным пользователем имени и названию организации. Файл рабочей группы имеет расширение mdw. Относительное расположение файла рабочей группы записывается в следующие параметры реестра:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\
Access\Jet\4.0\Engines\SystemDB

и

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\
Access\Jet\4.0\Engines\SystemDB.

Следующие пользователи наследуют стандартный путь к файлу рабочей группы из раздела реестра HKEY_USERS. Так как получение этой информации часто не представляет особого труда, существует вероятность того, что кто-то сможет создать другую версию этого файла и приобрести неотъемлемые разрешения на доступ учетной записи администратора (члена группы Admins) в рабочей группе, определяемой этим файлом рабочей группы. Чтобы избежать этого, необходимо создать новый файл рабочей группы и указать код рабочей группы (WID). Только тот, кто знает этот код, сможет создать копию файла рабочей группы. Обычно файл рабочей группы создается на сервере.

Любые создаваемые учетные записи пользователей и групп и пароли сохраняются в этом файле рабочей группы до тех пор, пока пользователь не присоединится к другой рабочей группе, используя Мастер защиты на уровне пользователей…, доступ к которому осуществляется с помощью кнопки Пользователи и разрешения, расположенной в группе Администратор вкладки Работа с базами данных ленты инструментов (рис. 11.17).

рис. 11.17. Окно Мастера защиты на уровне пользователей для создания нового или изменения текущего файла рабочей группы

Внимание! Чтобы активизировать систему защиты на уровне пользователя, необходимо присвоить пароль пользователю Admin.