Access 2003 kasutajatasandi turbe määramine või muutmine praegustes Accessi versioonides

Kasutajatasandi turvalisuse põhitõed

Accessi kasutajatasandi turve sarnaneb serveripõhiste süsteemide turbemehhanismidega – see kasutab paroole ja õigusi, et lubada või piirata üksikisikute või isikute rühmade juurdepääsu teie andmebaasi objektidele. Access 2003 või varasemates versioonides saab andmebaasi administraator või objekti omanik kasutajatasandi turbe rakendamisel juhtida toiminguid, mida üksikkasutajad või kasutajarühmad saavad teha andmebaasi tabelite, päringute, vormide, aruannete ja makrodega. Näiteks saab üks kasutajarühm muuta andmebaasi objekte, teine rühm saab andmeid sisestada ainult teatud tabelitesse ja kolmas rühm saab andmeid vaadata ainult aruannete komplektis.

Kasutajatasandi turve rakenduses Access 2003 ja varasemates versioonides kasutab paroolide ja õiguste kombinatsiooni – atribuutide kogumit, mis määrab kasutaja juurdepääsutüübid andmebaasi andmetele või objektidele. Saate määrata üksikisikutele või üksikisikute rühmadele paroole ja õigusi ning nendest paroolide ja õiguste kombinatsioonidest saavad turbekontod, mis määratlevad kasutajad ja kasutajarühmad, kellel on andmebaasi objektidele juurdepääs lubatud. Kasutajate ja rühmade kombinatsiooni nimetatakse omakorda töörühmaks ja Access salvestab selle teabe töörühma teabefaili. Käivitamisel loeb Access töörühma teabefaili ette ja jõustab faili andmetel põhinevad õigused.

Vaikimisi on Accessis sisseehitatud kasutaja ID ja kaks valmisrühma. Kasutaja vaike-ID on Haldus ja vaikerühmad on Kasutajad ja Administraatorid. Vaikimisi lisab Access sisseehitatud kasutaja ID rühma Kasutajad, kuna kõik ID-d peavad kuuluma vähemalt ühte rühma. Rühmal Kasutajad on omakorda andmebaasi kõigi objektide täielikud õigused. Lisaks on Haldus ID administraatorite rühma liige. Administraatorite rühm peab sisaldama vähemalt ühte kasutaja ID-d (peab olema andmebaasi administraator) ja Haldus ID on andmebaasi vaikeadministraator seni, kuni te seda muudate.

Access 2003 või varasemate versioonide käivitamisel määrab Access teile Haldus kasutaja ID ja seega olete iga vaikerühma liige. See ID ja need rühmad (Haldus ja kasutajad) annavad kõigile kasutajatele andmebaasi kõigi objektide täielikud õigused – see tähendab, et iga kasutaja saab avada, vaadata ja muuta kõigi .mdb failide objekte, välja arvatud juhul, kui rakendate kasutajatasandi turvet.

Üks võimalus kasutajatasandi turbe rakendamiseks rakenduses Access 2003 või varasemates versioonides on muuta kasutajate rühma õigusi ja lisada administraatorite rühmadesse uusi administraatoreid. Sel juhul määrab Access uued kasutajad automaatselt rühma Kasutajad. Nende toimingute tegemisel peavad kasutajad kaitstud andmebaasi avamisel parooliga sisse logima. Kui teil on aga vaja rakendada täpsemat turvalisust (nt lubada ühel kasutajarühmal andmeid sisestada ja teine ainult neid andmeid lugeda), peate looma täiendavaid kasutajaid ja rühmi ning andma neile andmebaasi mõnele või kõigile objektidele eriõigused. Seda tüüpi kasutajatasandi turbe rakendamine võib muutuda keerukaks toiminguks. Protsessi lihtsustamiseks pakub Access User-Level turbeviisardit, mis lihtsustab kasutajate ja rühmade loomist üheetapilise protsessi käigus.

User-Level turbeviisard aitab teil määrata õigusi ning luua kasutaja- ja rühmakontosid. Kasutajakontod sisaldavad kasutajanimesid ja kordumatuid isiku-ID-sid (PID-sid), mida on vaja kasutaja õiguste haldamiseks Accessi töörühma andmebaasiobjektide vaatamiseks, kasutamiseks või muutmiseks. Rühmakontod on kasutajakontode kogum, mis omakorda asub töörühmas. Access kasutab iga töörühma tuvastamiseks rühma nime ja PID-i ning rühmale määratud õigused rakenduvad kõigile rühma kasutajatele. Viisardi kasutamise kohta leiate lisateavet selle artikli teemast Kasutajatasandi turbe määramine.

Pärast viisardi lõpuleviimist saate oma töörühma kasutaja- ja rühmakontodele käsitsi andmebaasi ning selle olemasolevate tabelite, päringute, vormide, aruannete ja makrode õigusi määrata, muuta või eemaldada. Samuti saate määrata vaikeõigused, mille Access määrab kõigile uutele tabelitele, päringutele, vormidele, aruannetele ja makrodele, mille teie või mõni teine kasutaja andmebaasi lisate.

Töörühmad ja töörühma teabefailid

Access 2003 ja varasemates versioonides on töörühm rühm kasutajaid mitme kasutajaga keskkonnas, kes jagavad andmeid. Töörühma teabefail sisaldab iga kasutaja või kasutajarühma jaoks määratud kasutaja- ja rühmakontosid, paroole ja õigusi. Andmebaasi avamisel loeb Access töörühma teabefailis olevaid andmeid ja jõustab failis sisalduvad turbesätted. Kasutajakonto omakorda on kombinatsioon kasutajanimest ja isiklikust ID-st (PID), mille Access loob kasutaja õiguste haldamiseks. Rühmakontod on kasutajakontode kogumid ja Access tuvastab need ka rühma nime ja isikliku ID (PID) järgi. Rühmale määratud õigused kehtivad kõigile rühma kasutajatele. Seejärel saab neile turbekontodele määrata andmebaaside ja nende tabelite, päringute, vormide, aruannete ja makrode õigused. Õigused salvestatakse turbeloaga andmebaasi.

Kui kasutaja käivitab rakenduse Access 2003 või varasemad versioonid esimest korda, loob Access automaatselt Accessi töörühma teabefaili, mis tuvastatakse nime ja organisatsiooniteabega, mille kasutaja Accessi installimisel määrab. Access 2003 korral lisab installiprogramm selle töörühma teabefaili suhtelise asukoha järgmistele registrivõtmetele.

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

ja

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

Järgmised kasutajad pärivad töörühma vaikefailitee registrivõtme HKEY_USERS väärtuselt. Kuna seda teavet on sageli lihtne kindlaks teha, saavad volitamata kasutajad luua töörühma teabefailist uue versiooni. Sellest tulenevalt võivad volitamata kasutajad omandada selle töörühma teabefailiga määratletud töörühma administraatorikonto (administraatorite rühma liige) tühistamatud õigused. Et volitamata kasutajad ei saaks neid õigusi vastu võtta, looge uus töörühma teabefail ja määrake töörühma ID (WID), tõstutundlik 4–20 märgi pikkune tähtedest ja numbritest koosnev string, mis sisestatakse uue töörühma teabefaili loomisel. Uue töörühma loomine tuvastab kordumatult selle töörühmafaili Haldus rühma. Töörühma teabefailist saab koopia luua ainult keegi, kes seda WID-i teab. Uue faili loomiseks kasutage User-Level turbeviisardit.

Kuidas õigused toimivad ja kes saavad neid määrata?

Kasutajatasandi turve tuvastab kahte tüüpi õigusi: selgesõnaline ja kaudselt. Otsesed õigused on need õigused, mis antakse otse kasutajakontole; see ei mõjuta teisi kasutajaid. Kaudsed õigused on rühmakontole antud õigused. Sellesse rühma kasutaja lisamine annab rühmale selle kasutaja õigused; kasutaja eemaldamine rühmast võtab sellelt kasutajalt ära rühma õigused.

Kui kasutaja proovib sooritada toimingut andmebaasiobjektiga, mis kasutab turbefunktsioone, põhineb selle kasutaja õiguste kogum selle kasutaja otseste ja kaudsete õiguste ristumiskohal. Kasutaja turbetase on alati selle kasutaja selgesõnaliste õiguste ning kõigi selle kasutajaga seotud rühmade õiguste kõige vähem piiravad. Seetõttu on töörühma haldamiseks kõige vähem keeruline luua uusi rühmi ja määrata õigused rühmadele, mitte üksikutele kasutajatele. Seejärel saate üksikute kasutajate õigusi muuta, lisades või eemaldades kasutajaid rühmadest. Kui teil on vaja anda uusi õigusi, saate need ühe toiminguga anda kõigile rühma liikmetele.

Andmebaasiobjekti õigusi saab muuta järgmiselt.

• Andmebaasi loomisel kasutusel oleva töörühma teabefaili administraatorite rühma liikmed.

• Objekti omanik.

• Iga kasutaja, kellel on objekti administreerimisõigused.

Kuigi kasutajatel ei pruugi olla võimalik toimingut praegu sooritada, võib neil olla võimalik anda endale toimingu sooritamise õigused. See kehtib siis, kui kasutaja on administraatorite rühma liige või kui kasutaja on objekti omanik.

Tabeli, päringu, vormi, aruande või makro loonud kasutaja on selle objekti omanik. Lisaks saab andmebaasi õigusi muutvate kasutajate rühm muuta ka nende objektide omandiõigust või need objektid uuesti luua, mis mõlemad on objektide omandiõiguse muutmise viisid. Objekti uuesti loomiseks saate teha objektist koopia või importida objekti mõnest muust andmebaasist või eksportida selle mõnda muusse andmebaasi. See on kõige lihtsam viis objektide omandiõiguse (sh andmebaasi enda) ülekandmiseks.

Turbekontod

Access 2003 töörühma teabefail sisaldab järgmisi eelmääratletud kontosid.

Tegelikult on Access 2003 ja varasemate versioonide turve alati aktiivne. Kuni töörühma sisselogimisprotseduuri aktiveerimiseni logib Access nähtamatult sisse kõik käivitamisel olevad kasutajad, kasutades tühja parooliga vaike-Haldus kasutajakontot. Taustal kasutab Access töörühma administraatorikontona Haldus kontot. Access kasutab lisaks loodud andmebaaside ja tabelite, päringute, vormide, aruannete ja makrode omanikule (rühmale või kasutajale) ka Haldus kontot.

Administraatorid ja omanikud on olulised, kuna neil on õigused, mida ei saa ära võtta.

• Administraatorid (administraatorite rühma liikmed) saavad alati töörühmas loodud objektide täielikud õigused.

• Tabelile, päringule, vormile, aruandele või makrole kuuluval kontol on alati selle objekti täielikud õigused.

• Andmebaasi omav konto saab alati selle andmebaasi avada.

Kuna Haldus kasutajakonto on iga Accessi eksemplari puhul täpselt sama, tuleb andmebaasi turvalisuse tagamiseks esmalt määratleda administraatori ja omaniku kasutajakontod (või kasutada nii administraatori- kui ka omanikukontona ühte kasutajakontot) ja seejärel eemaldada Haldus kasutajakonto administraatorite rühmast. Vastasel juhul saavad kõik, kellel on Accessi koopia, teie töörühma sisse logida Haldus konto abil ning neil on töörühma tabelite, päringute, vormide, aruannete ja makrode täielikud õigused.

Saate määrata administraatorite rühmale nii palju kasutajakontosid, kui soovite, kuid andmebaasi saab omada ainult üks kasutajakonto – omamiskonto on kasutajakonto, mis on andmebaasi loomisel aktiivne või omandiõiguse ülekandmisel, luues uue andmebaasi ja importides sellesse kõik andmebaasi objektid. Kuid rühmakontod võivad omada andmebaasi tabeleid, päringuid, vorme, aruandeid ja makrosid.

Turbekontode korraldamise kaalutlused

• Accessi saavad sisse logida ainult kasutajakontod; te ei saa rühmakontoga sisse logida.

• Andmebaasi kasutajate jaoks loodavad kontod tuleb talletada töörühma teabefailis, millega need kasutajad andmebaasi kasutamisel liituvad. Kui kasutate andmebaasi loomiseks mõnda muud faili, muutke faili enne kontode loomist.

• Looge kindlasti oma administraatorile ja kasutajakontodele kordumatu parool. Kasutaja, kes saab administraatorikonto abil sisse logida, saab alati täielikud õigused töörühmas loodud tabelite, päringute, vormide, aruannete ja makrode jaoks. Kasutajal, kes saab sisse logida omanikukonto abil, saab alati täielikud õigused nendele objektidele, mis kuuluvad sellele kasutajale.

Pärast kasutaja- ja rühmakontode loomist saate nendevahelisi seoseid vaadata ja printida. Access prindib töörühma kontode aruande, kus kuvatakse rühmad, kuhu iga kasutaja kuulub, ja igasse rühma kuuluvad kasutajad.

User-Level turbeviisardi käivitamine

1. Avage .mdb- või MDE-fail, mida soovite hallata.

2. Klõpsake menüü Andmebaasiriistad jaotises Administreerimine nupu Kasutajad ja õigused all olevat noolt ja seejärel käsku Kasutajataseme turbeviisard.

3. Viisardi lõpuleviimiseks järgige igal lehel toodud juhiseid.

   Märkused: 

   • User-Level turbeviisard loob praeguseSt Accessi andmebaasist samanimelise varukoopia ja .bak failinimelaiendi ning rakendab seejärel praeguses andmebaasis valitud objektidele turbemeetmeid.

   • Kui teie praegune Accessi andmebaas aitab kaitsta VBA-koodi parooli abil, küsib viisard teilt parooli, mille peate sisestama, et viisard selle toimingu lõpule viiks.

   • Kõik viisardi kaudu loodud paroolid prinditakse User-Level turbeviisardi aruandes, mis prinditakse viisardi kasutamise lõpetamisel. Peaksite selle aruande hoidma turvalises kohas. Selle aruande abil saate töörühmafaili uuesti luua, kui see läheb kaotsi või on rikutud.

Saate faili koopia salvestada ' i. ACCDB-vorming

1. Klõpsake menüüd Fail. Avaneb Backstage'i vaade.

2. Klõpsake vasakul nuppu Anna ühiskasutusse.

3. Klõpsake paremal nuppu Salvesta andmebaas nimega ja seejärel käsku Accessi andmebaas (*.accdb).

   Kuvatakse dialoogiboks Nimega salvestamine.

4. Teisendatud andmebaasi salvestuskoha leidmiseks kasutage loendit Salvestuskoht.

5. Valige loendis Salvestustüüpväärtus Access 2007–2016 andmebaas (*.accdb).

6. Klõpsake nuppu Salvesta.