Postavljanje i promjena programa Access 2003 za sigurnost na razini korisnika u verzijama programa Current Access

Osnove sigurnosti na razini korisnika

Sigurnost na razini korisnika u programu Access nalikuje sigurnosnim mehanizmima na sustavima utemeljenima na poslužitelju – koristi lozinke i dozvole za dopuštanje ili ograničavanje pristupa pojedinaca ili grupa pojedinaca na objekte u bazi podataka. U programu Access 2003 ili starijim verzijama kada implementirate sigurnost na razini korisnika u bazi podataka programa Access, administrator baze podataka ili vlasnik objekta može kontrolirati akcije koje pojedinačni korisnici ili grupe korisnika mogu izvršavati u tablicama, upitima, obrascima, izvješćima i makronaredbama u bazi podataka. Na primjer, jedna grupa korisnika može promijeniti objekte u bazi podataka, a druga grupa može unositi samo podatke u određene tablice, a treća grupa može pregledavati samo podatke u skupu izvješća.

Sigurnost na razini korisnika u programu Access 2003 i starijim verzijama koristi kombinaciju lozinki i dozvola – skup atributa koji navode vrste pristupa koje korisnik ima na podatke ili objekte u bazi podataka. Možete postaviti lozinke i dozvole za pojedince ili grupe pojedinaca, a one kombinacije lozinki i dozvola postaju sigurnosni računi koji određuju korisnike i grupe korisnika kojima je dopušten pristup objektima u bazi podataka. Kombinacija korisnika i grupa poznata je kao radna grupa, a Access pohranjuje te podatke u datoteku s podacima o radnoj grupi. Prilikom pokretanja Access čita datoteku s podacima o radnoj grupi i nameće dozvole na temelju podataka u datoteci.

Access po zadanom sadrži ugrađeni korisnički ID i dvije ugrađene grupe. Zadani korisnički ID jest administrator, a zadane grupe su korisnici i Administratori. Prema zadanim postavkama, Access dodaje ugrađeni korisnički ID u grupu korisnici jer svi ID-ovi moraju pripadati najmanje jednoj grupi. Grupa korisnici, zauzvrat, ima potpune dozvole za sve objekte u bazi podataka. Osim toga, administrator ID-a također je član grupe Administratori. Grupa administratori mora sadržavati najmanje jedan korisnički ID (mora postojati administrator baze podataka), a ID administratora je zadani administrator baze podataka dok ga ne promijenite.

Kada počnete pristupati 2003 ili starijim verzijama, Access dodjeljuje administrator korisničkog ID-a i tako vas иini članom svake zadane grupe. Taj ID i one grupe (administrator i korisnici) svim korisnicima daju potpune dozvole za sve objekte u bazi podataka – to znači da bilo koji korisnik može otvoriti, pregledavati i mijenjati sve objekte u svim. mdb datotekama, osim ako ne implementirate sigurnost na razini korisnika.

Jedan od načina provedbe sigurnosti na razini korisnika u programu Access 2003 ili starijim verzijama jest promjena dozvola za grupu korisnici i dodavanje novih administratora u grupe Administratori. Kada to učinite, Access automatski dodjeljuje nove korisnike grupi korisnici. Kada poduzmite te korake, korisnici se moraju prijaviti pomoću lozinke kad god otvore zaštićenu bazu podataka. No ako morate implementirati konkretniju sigurnost, jednoj grupi korisnika unesite podatke, a drugi da bi pročitali samo te podatke, primjerice, morate stvoriti dodatne korisnike i grupe te im omogućiti određene dozvole za neke ili sve objekte u bazi podataka. Implementacija te vrste sigurnosti na razini korisnika može postati složen zadatak. Da biste pojednostavnili postupak, Access nudi čarobnjak za User-Level sigurnosti, što olakšava stvaranje korisnika i grupa u postupku u jednom koraku.

Čarobnjak za User-Level sigurnosti pomoći će vam da dodijelite dozvole i stvorite korisničke i grupne račune. Korisnički računi sadrže korisnička imena i jedinstvene osobne ID brojeve (PIDs) koje su potrebne za upravljanje dozvolama korisnika radi prikaza, korištenja ili promjene objekata baze podataka u radnoj grupi programa Access. Grupni računi skup su korisničkih računa koji se, pak, nalaze u radnoj grupi. Access koristi naziv grupe i PID za identifikaciju svake radne grupe, a dozvole dodijeljene grupi primjenjuju se na sve korisnike u grupi. Dodatne informacije o korištenju čarobnjaka potražite u članku Postavljanje sigurnosti na razini korisnikau nastavku ovog članka.

Kada završite s čarobnjakom, možete ručno dodijeliti, izmijeniti ili ukloniti dozvole za korisničke i grupne račune u radnoj grupi za bazu podataka i njegove postojeće tablice, upite, obrasce, izvješća i makronaredbe. Možete i postaviti zadane dozvole koje Access dodjeljuje za sve nove tablice, upite, obrasce, izvješća i makronaredbe koje vi ili neki drugi korisnik dodate u bazu podataka.

Radne grupe i datoteke s informacijama o radnoj grupi

U programu Access 2003 i starijim verzijama radna grupa grupa je korisnika u višekorisničkom okruženju koje dijele podatke. Datoteka s informacijama o radnoj grupi sadrži korisničke i grupne račune, lozinke i dozvole postavljene za svakog pojedinog korisnika ili grupu korisnika. Kada otvorite bazu podataka, Access će čitati podatke u datoteci s podacima o radnoj grupi i učiniti postavke sigurnosnih postavki koje sadrži datoteka. Korisnički je račun kombinacija korisničkog imena i osobnog ID-a (PID) koji Access stvara za upravljanje dozvolama korisnika. Grupni računi zbirke su korisničkih računa, a Access ih identificira prema nazivu grupe i osobnom ID-u (PID-u). Dozvole dodijeljene grupi primjenjuju se na sve korisnike u grupi. Te sigurnosne račune tada se mogu dodijeliti dozvole za baze podataka i njihove tablice, upite, obrasce, izvješća i makronaredbe. Dozvole se pohranjuju u bazu podataka koja je omogućena za sigurnost.

Kada korisnik prvi put pokrene Access 2003 ili stariju verziju, Access automatski stvara datoteku s podacima o radnoj grupi programa Access koja se prepoznaje pomoću podataka o nazivu i tvrtki ili ustanovi koju korisnik određuje prilikom instalacije programa Access. Za Access 2003 program za postavljanje dodaje relativnu lokaciju ove datoteke s podacima o radnoj grupi u sljedeće ključeve registra:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

i

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

Sljedeći će korisnici naslijediti zadani put datoteke radne grupe od vrijednosti u ključu HKEY_USERS registra. Budući da se te informacije često jednostavno određuju, neovlaštenim korisnicima je moguće stvoriti drugu verziju datoteke s podacima o radnoj grupi. Prema tome, neovlašteni korisnici mogu preuzeti nepovratna dopuštenja administratorskog računa (člana grupe Administratori) u radnoj grupi koju definira ta datoteka s informacijama o radnoj grupi. Da biste onemogućili neovlaštene korisnike da preuzimaju te dozvole, stvorite novu datoteku s podacima o radnoj grupi i navedite ID radne grupe (WID), alfanumerički niz koji razlikuje velika i mala slova od 4 do 20 znakova koji unosite kada stvorite novu datoteku s podacima o radnoj grupi. Stvaranje nove radne grupe na jedinstven način identificira grupu administratora za ovu datoteku radne grupe. Samo netko tko zna WID moći će stvoriti kopiju datoteke s podacima o radnoj grupi. Da biste stvorili novu datoteku, poslužite se čarobnjakom za User-Level sigurnosti.

Način rada dozvola i tko ih može dodijeliti

Sigurnost na razini korisnika prepoznaje dvije vrste dozvola: eksplicitno i implicitno. Eksplicitne dozvole su one dozvole koje se dodjeljuju izravno korisničkom računu. nije zahvaćen nijedan drugi korisnik. Implicitne dozvole dozvole su dodijeljene grupnom računu. Dodavanje korisnika u tu grupu dodjeljuje dozvole grupe tom korisniku; uklanjanjem korisnika iz grupe oduzimaju se dozvole grupe od tog korisnika.

Kada korisnik pokuša izvršiti operaciju na objektu baze podataka koji koristi sigurnosne značajke, taj se korisnički skup dozvola temelji na sjecištu eksplicitnih i implicitnim dozvolama tog korisnika. Razina sigurnosti korisnika uvijek je najmanje restriktivnost eksplicitnih dozvola tog korisnika i dozvola svih grupa kojima taj korisnik pripada. Iz tog razloga najsloženiji način administrirati radnu grupu jest stvaranje novih grupa i dodjeljivanje dozvola grupama, a ne pojedinačnim korisnicima. Zatim možete promijeniti dozvole pojedinačnih korisnika dodavanjem ili uklanjanjem tih korisnika iz grupe. Ako vam je potrebna dodjela novih dozvola, možete im omogućiti sve članove grupe u jednoj operaciji.

Dozvole se mogu promijeniti za objekt baze podataka prema:

• Članovi grupe Administratori podataka o radnoj grupi u upotrebi kada je baza podataka stvorena.

• Vlasnik objekta.

• Bilo koji korisnik koji ima administratorske dozvole za objekt.

Iako korisnici možda neće moći trenutno obavljati neku akciju, možda im mogu dodijeliti dozvole za izvršavanje akcije. To vrijedi ako je korisnik član grupe Administratori ili ako je korisnik vlasnik objekta.

Korisnik koji stvara tablicu, upit, obrazac, izvješće ili makronaredbu vlasnik je tog objekta. Osim toga, grupa korisnika koji mogu promijeniti dozvole u bazi podataka može promijeniti i vlasništvo nad tim objektima ili mogu ponovno stvarati te objekte, od kojih su oba načina za promjenu vlasništva nad objektima. Da biste ponovno stvorili objekt, možete napraviti kopiju objekta ili je možete uvesti ili izvesti u drugu bazu podataka. Ovo je najjednostavniji način prijenosa vlasništva nad objektima, uključujući samu bazu podataka.

Sigurnosni računi

Datoteka informacije o radnoj grupi programa Access 2003 sadrži sljedeće unaprijed definirane račune.

U suštini, sigurnost u programu Access 2003 i starijim verzijama uvijek je aktivna. Dok ne aktivirate postupak prijave za radnu grupu, Access će se nevidljivo prijaviti svim korisnicima pri pokretanju pomoću zadanog korisničkog računa za administratore uz praznu lozinku. Iza scena Access koristi administratorski račun za radnu grupu. Access koristi administratorski račun uz vlasnika (grupe ili korisnika) bilo koje baze podataka i tablica, upita, obrazaca, izvješća i stvorenih makronaredbi.

Administratori i vlasnici važni su jer imaju dozvole koje se ne mogu oduzeti:

• Administratori (članovi grupe Administratori) uvijek mogu dobiti potpune dozvole za objekte stvorene u radnoj grupi.

• Račun koji je vlasnik tablice, upita, obrasca, izvješća ili makronaredbe uvijek može dobiti potpune dozvole za taj objekt.

• Račun koji posjeduje bazu podataka uvijek može otvoriti tu bazu podataka.

Budući da je korisnički račun za administratore jednak za svaki primjerak programa Access, prvi koraci u mogućnosti sigurnosti baze podataka jesu definiranje korisničkih računa administratora i vlasnika (ili korištenje jednog korisničkog računa kao administratora i računa vlasnika), a zatim uklanjanje korisničkog računa administratora iz grupe Administratori. U suprotnom se svatko s kopijom programa Access može prijaviti u radnu grupu pomoću računa za administratore i imati potpune dozvole za tablice, upite, obrasce, izvješća i makronaredbe radne grupe.

Grupi administratori možete dodijeliti onoliko korisničkih računa, ali samo jedan korisnički račun može posjedovati bazu podataka – račun za posjedovanje jest korisnički račun koji je aktivan prilikom stvaranja baze podataka ili kada se vlasništvo prenese stvaranjem nove baze podataka i uvozom svih objekata baze podataka u nju. No grupni računi mogu posjedovati tablice, upite, obrasce, izvješća i makronaredbe unutar baze podataka.

Razmatranja prilikom organiziranja sigurnosnih računa

• Samo se korisnički računi mogu prijaviti u Access; Ne možete se prijaviti pomoću grupnog računa.

• Računi koje stvorite za korisnike baze podataka moraju biti spremljeni u datoteku s podacima o radnoj grupi koje će se oni korisnici pridružiti kada koriste bazu podataka. Ako koristite neku drugu datoteku da biste stvorili bazu podataka, promijenite datoteku prije stvaranja računa.

• Provjerite jeste li stvorili jedinstvenu lozinku za administratore i korisničke račune. Korisnik koji se može prijaviti pomoću administratorskog računa uvijek može dobiti potpune dozvole za sve tablice, upite, obrasce, izvješća i makronaredbe stvorene u radnoj grupi. Korisnik koji se može prijaviti pomoću računa za vlasnike uvijek može dobiti potpune dozvole za one objekte koje je posjedovao taj korisnik.

Kada stvorite korisničke i grupne račune, možete pregledavati i ispisivati odnose između njih. Access ispisuje izvješće o računima u radnoj grupi koja prikazuje grupe kojima svaki korisnik pripada i korisnicima koji pripadaju svakoj grupi.

Pokretanje čarobnjaka za sigurnost User-Level

1. Otvorite. mdb ili. MDE datoteku koju želite upravljati.

2. Na kartici Alati baze podataka u grupi Administracija kliknite strelicu ispod korisnika i dozvole, a zatim kliknite Čarobnjak za sigurnost na razini korisnika.

3. Slijedite korake na svakoj stranici da biste dovršili Čarobnjak.

   Napomene: 

   • Čarobnjak za User-Level sigurnosti stvara sigurnosnu kopiju sadašnje baze podataka programa Access s istim nazivom i nastavkom naziva datoteke. bak, a zatim zapošljava sigurnosne mjere za odabrane objekte u aktualnoj bazi podataka.

   • Ako vaša aktualna baza podataka programa Access zaštiti VBA kod pomoću lozinke, čarobnjak će vas zatražiti lozinku koju morate unijeti da bi čarobnjak uspješno dovršen svoj rad.

   • Sve lozinke koje stvorite pomoću čarobnjaka ispisuju se u izvješću čarobnjaka za User-Level sigurnosti, koje se ispisuje kada završite s pomoću čarobnjaka. Ovo izvješće trebali biste zadržati na sigurnom mjestu. Ovo izvješće možete koristiti da biste ponovno stvorili datoteku radne grupe ako je izgubljena ili oštećena.

Spremite kopiju datoteke u. ACCDB (oblik)

1. Kliknite karticu Datoteka. Otvorit će se prikaz Backstage.

2. Na lijevoj strani kliknite zajedničko korištenje.

3. Na desnoj strani kliknite Spremi bazu podataka kao, a zatim kliknite baza podataka programa Access (*. accdb).

   Pojavit će se dijaloški okvir Spremi kao.

4. Pomoću popisa Spremi u pronađite mjesto na koje ćete spremiti pretvorenu bazu podataka.

5. Na popisu Spremi kao vrstu odaberite Access 2007-2016 Database (*. accdb).

6. Kliknite Spremi.