Если вы создали базу данных в версии Access до Access 2007 и применили к ней безопасность на уровне пользователя, эти параметры безопасности остаются в силе при открытии этого файла в Access 2007 или более поздней версии. Кроме того, можно запустить средства безопасности, предоставляемые Microsoft Office Access 2003 ( мастер User-Level безопасности и различные диалоговые окна разрешений пользователей и групп) из более поздних версий Access. В этой статье объясняется, как работают функции безопасности Access 2003, а также как начать и использовать их в Access 2007 или более поздних версиях.
Примечание: Сведения, приведенные в этой статье, относятся только к базе данных, созданной в Access 2003 или более ранних версиях (файл .mdb). Безопасность на уровне пользователя недоступна для баз данных, созданных в Access 2007 или более поздних версий (ACCDB-файлы). Кроме того, при преобразовании файла .mdb в новый формат (ACCDB-файл) Access отменит параметры безопасности на уровне пользователя.
В этой статье
Поведение безопасности на уровне пользователя в Access 2007 или более поздней версии
Access 2007 и более поздних версий обеспечивает безопасность на уровне пользователя только для баз данных, использующих форматы файлов Access 2003 и более ранних версий (.mdb и MDE-файлы). В более поздних версиях, если открыть базу данных, созданную в более ранней версии Access, и к ней применена безопасность на уровне пользователя, эта функция безопасности будет работать, как и для этой базы данных. Например, пользователи должны ввести пароль для использования базы данных.
Кроме того, можно запустить и запустить различные средства безопасности, предоставляемые Access 2003 и более ранними версиями, такие как мастер User-Level безопасности и различные диалоговые окна разрешений для пользователей и групп. По мере продолжения помните, что эти средства становятся доступными только при открытии .mdb или MDE-файла. Если преобразовать файлы в формат ACCDB, Access удаляет все существующие функции безопасности на уровне пользователя.
Общие сведения о безопасности на уровне пользователей в Access 2003
В следующих разделах содержатся общие сведения о безопасности на уровне пользователя в Access 2003 и более ранних версиях. Если вы уже знакомы с предыдущей моделью безопасности и безопасностью на уровне пользователя, вы можете пропустить эти разделы и перейти непосредственно к разделу Настройка безопасности на уровне пользователя или Удаление безопасности на уровне пользователя далее в этой статье.
Основы безопасности на уровне пользователя
Безопасность на уровне пользователя в Access похожа на механизмы безопасности в серверных системах. В ней используются пароли и разрешения, чтобы разрешить или ограничить доступ отдельных лиц или групп лиц к объектам в базе данных. В Access 2003 или более ранних версиях при реализации безопасности на уровне пользователя в базе данных Access администратор базы данных или владелец объекта может управлять действиями, которые отдельные пользователи или группы пользователей могут выполнять с таблицами, запросами, формами, отчетами и макросами в базе данных. Например, одна группа пользователей может изменять объекты в базе данных, другая группа может вводить данные только в определенные таблицы, а третья группа может просматривать данные только в наборе отчетов.
Безопасность на уровне пользователя в Access 2003 и более ранних версиях использует сочетание паролей и разрешений — набор атрибутов, указывающих типы доступа пользователя к данным или объектам в базе данных. Вы можете задать пароли и разрешения для отдельных пользователей или групп лиц, а эти сочетания паролей и разрешений становятся учетными записями безопасности, определяющими пользователей и группы пользователей, которым разрешен доступ к объектам в вашей базе данных. В свою очередь, сочетание пользователей и групп называется рабочей группой, а Access сохраняет эти сведения в файле сведений о рабочей группе. При запуске Access считывает файл сведений о рабочей группе и принудительно применяет разрешения на основе данных в файле.
По умолчанию Access предоставляет встроенный идентификатор пользователя и две встроенные группы. Идентификатор пользователя по умолчанию — Администратор, а группы по умолчанию — Пользователи и Администраторы. По умолчанию Access добавляет встроенный идентификатор пользователя в группу Пользователи, так как все идентификаторы должны принадлежать по крайней мере одной группе. В свою очередь, группа Пользователи имеет полные разрешения на все объекты в базе данных. Кроме того, идентификатор Администратор также является членом группы администраторов. Группа администраторов должна содержать по крайней мере один идентификатор пользователя (должен быть администратор базы данных), а Администратор идентификатор является администратором базы данных по умолчанию до тех пор, пока вы не измените его.
При запуске Access 2003 или более ранних версий Access назначает вам Администратор идентификатор пользователя и, таким образом, делает вас членом каждой группы по умолчанию. Этот идентификатор и эти группы (Администратор и пользователи) предоставляют всем пользователям полные разрешения на все объекты в базе данных. Это означает, что любой пользователь может открывать, просматривать и изменять все объекты во всех .mdb файлах, если вы не реализуете безопасность на уровне пользователя.
Одним из способов реализации безопасности на уровне пользователя в Access 2003 или более ранних версиях является изменение разрешений для группы Пользователи и добавление новых администраторов в группы администраторов. При этом Access автоматически назначает новых пользователей группе Пользователи. При выполнении этих действий пользователи должны входить в систему с паролем при каждом открытии защищенной базы данных. Однако если необходимо реализовать более конкретную безопасность ( например, разрешить одной группе пользователей вводить данные, а другой — только считывать эти данные), необходимо создать дополнительных пользователей и группы и предоставить им определенные разрешения для некоторых или всех объектов в базе данных. Реализация этого типа безопасности на уровне пользователя может стать сложной задачей. Чтобы упростить этот процесс, Access предоставляет мастер User-Level безопасности, который упрощает создание пользователей и групп в одношаговом процессе.
Мастер User-Level безопасности помогает назначать разрешения и создавать учетные записи пользователей и групп. Учетные записи пользователей содержат имена пользователей и уникальные личные идентификаторы (PID), необходимые для управления разрешениями пользователя на просмотр, использование или изменение объектов базы данных в рабочей группе Access. Учетные записи групп — это коллекция учетных записей пользователей, которые, в свою очередь, находятся в рабочей группе. Access использует имя группы и piD для идентификации каждой рабочей группы, а разрешения, назначенные группе, применяются ко всем пользователям в группе. Дополнительные сведения об использовании мастера см. в разделе Настройка безопасности на уровне пользователя далее в этой статье.
После завершения работы мастера можно вручную назначать, изменять или удалять разрешения для учетных записей пользователей и групп в рабочей группе для базы данных и существующих таблиц, запросов, форм, отчетов и макросов. Вы также можете задать разрешения по умолчанию, назначенные Access для любых новых таблиц, запросов, форм, отчетов и макросов, которые вы или другой пользователь добавляете в базу данных.
Файлы сведений о рабочих группах и рабочих группах
В Access 2003 и более ранних версиях рабочая группа — это группа пользователей в многопользовательской среде, которые совместно используют данные. Файл сведений о рабочей группе содержит учетные записи пользователей и групп, пароли и разрешения, заданные для каждого отдельного пользователя или группы пользователей. При открытии базы данных Access считывает данные в файле сведений о рабочей группе и применяет параметры безопасности, содержащиеся в файле. В свою очередь, учетная запись пользователя — это сочетание имени пользователя и личного идентификатора (PID), создаваемого Access для управления разрешениями пользователя. Учетные записи групп — это коллекции учетных записей пользователей, а Access также идентифицирует их по имени группы и личному идентификатору (PID). Разрешения, назначенные группе, применяются ко всем пользователям в группе. Затем этим учетным записям безопасности можно назначить разрешения для баз данных и их таблиц, запросов, форм, отчетов и макросов. Сами разрешения хранятся в базе данных с поддержкой безопасности.
Когда пользователь впервые запускает Access 2003 или более ранних версий, Access автоматически создает файл сведений о рабочей группе Access, который определяется именем и сведениями об организации, указанными пользователем при установке Access. Для Access 2003 программа установки добавляет относительное расположение этого файла сведений о рабочей группе в следующие разделы реестра:
HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB
и
HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB
Последующие пользователи наследуют путь к файлу рабочей группы по умолчанию от значения в разделе реестра HKEY_USERS. Так как эти сведения часто легко определить, неавторизованные пользователи могут создать другую версию этого файла сведений рабочей группы. Следовательно, неавторизованные пользователи могут предполагать безотзывные разрешения учетной записи администратора (члена группы администраторов) в рабочей группе, определенной в файле сведений о рабочей группе. Чтобы запретить несанкционированным пользователям получить эти разрешения, создайте новый файл сведений о рабочей группе и укажите идентификатор рабочей группы (WID), буквенно-цифровую строку длиной от 4 до 20 символов, которая вводится при создании файла сведений о рабочей группе. Создание новой рабочей группы однозначно идентифицирует группу Администратор для этого файла рабочей группы. Только тот, кто знает WID, сможет создать копию файла сведений о рабочей группе. Чтобы создать файл, используйте мастер User-Level безопасности.
Важно: Обязательно запишите точное имя, организацию и идентификатор рабочей группы, включая буквы в верхнем или нижнем регистре (для всех трех записей), и храните их в безопасном месте. Если необходимо повторно создать файл сведений о рабочей группе, необходимо указать точно такое же имя, организацию и идентификатор рабочей группы. Если вы забудете или потеряете эти записи, вы можете потерять доступ к базам данных.
Как работают разрешения и кто может их назначать
Безопасность на уровне пользователя распознает два типа разрешений: явные и неявные. Явные разрешения — это разрешения, которые предоставляются непосредственно учетной записи пользователя; другие пользователи не затрагиваются. Неявные разрешения — это разрешения, предоставленные учетной записи группы. Добавление пользователя в группу предоставляет ей разрешения; удаление пользователя из группы забирает разрешения группы у этого пользователя.
Когда пользователь пытается выполнить операцию с объектом базы данных, который использует функции безопасности, набор разрешений этого пользователя основан на пересечении явных и неявных разрешений этого пользователя. Уровень безопасности пользователя всегда является наименее строгим из явных разрешений этого пользователя и разрешений всех и всех групп, к которым принадлежит этот пользователь. По этой причине наименее сложным способом администрирования рабочей группы является создание новых групп и назначение разрешений группам, а не отдельным пользователям. Затем вы можете изменить разрешения отдельных пользователей, добавив или удалив этих пользователей из групп. Кроме того, если вам нужно предоставить новые разрешения, их можно предоставить всем членам группы в одной операции.
Разрешения для объекта базы данных можно изменить следующим образом:
-
Члены группы администраторов файла сведений рабочей группы, используемого при создании базы данных.
-
Владелец объекта .
-
Любой пользователь, имеющий разрешения на администрирование объекта.
Несмотря на то, что в настоящее время пользователи не смогут выполнить действие, они могут предоставить себе разрешения на выполнение действия. Это верно, если пользователь является членом группы администраторов или если пользователь является владельцем объекта.
Пользователь, создающий таблицу, запрос, форму, отчет или макрос, является владельцем этого объекта. Кроме того, группа пользователей, которые могут изменять разрешения в базе данных, также может изменить владельца этих объектов или повторно создать эти объекты, оба из которых являются способами изменения владения объектами. Чтобы повторно создать объект, можно создать копию объекта или импортировать его из другой базы данных или экспортировать его в другую базу данных. Это самый простой способ передачи прав собственности на объекты, включая саму базу данных.
Примечание: При копировании, импорте или экспорте не изменяется владелец запроса, для которого свойству RunPermissions присвоено значение Владельца. Вы можете изменить владельца запроса, только если для его свойства RunPermissions задано значение User.
Учетные записи безопасности
Файл сведений о рабочей группе Access 2003 содержит следующие предопределенные учетные записи.
|
бизнес-партнер |
Функция |
|
Admin |
Учетная запись пользователя по умолчанию. Эта учетная запись точно такая же для каждой копии Access и других программ, которые могут использовать ядро СУБД Microsoft Jet, таких как Visual Basic для приложений (VBA) и Microsoft Office Excel 2003. |
|
Администраторы |
Учетная запись группы администратора. Эта учетная запись уникальна для каждого файла сведений о рабочей группе. По умолчанию пользователь Администратор является членом группы администраторов. В группе администраторов всегда должен быть по крайней мере один пользователь. |
|
Пользователи |
Учетная запись группы, включающая все учетные записи пользователей. Access автоматически добавляет учетные записи пользователей в группу Пользователи, когда член группы администраторов создает их. Эта учетная запись аналогична любому файлу сведений о рабочей группе, но содержит только учетные записи пользователей, созданные членами группы администраторов этой рабочей группы. По умолчанию эта учетная запись имеет полные разрешения на все вновь созданные объекты. Единственный способ удалить учетную запись пользователя из группы "Пользователи" — удалить этого пользователя участником группы "Администраторы". |
По сути, безопасность в Access 2003 и более ранних версиях всегда активна. Пока вы не активируете процедуру входа в рабочую группу, Access незаметно входит в систему всех пользователей при запуске с помощью учетной записи пользователя по умолчанию Администратор с пустым паролем. За кулисами Access использует учетную запись Администратор в качестве учетной записи администратора для рабочей группы. Access использует учетную запись Администратор в дополнение к владельцу (группе или пользователю) всех создаваемых баз данных и таблиц, запросов, форм, отчетов и макросов.
Администраторы и владельцы важны, так как у них есть разрешения, которые нельзя отобрать:
-
Администраторы (члены группы администраторов) всегда могут получить полные разрешения для объектов, созданных в рабочей группе.
-
Учетная запись, владеющая таблицей, запросом, формой, отчетом или макросом, всегда может получить полные разрешения для этого объекта.
-
Учетная запись, владеющая базой данных, всегда может открыть ее.
Так как учетная запись пользователя Администратор точно одинакова для каждой копии Access, сначала необходимо определить учетные записи администраторов и владельцев (или использовать одну учетную запись пользователя в качестве учетной записи администратора и владельца), а затем удалить учетную запись пользователя Администратор из группы администраторов. В противном случае любой пользователь с копией Access может войти в рабочую группу с помощью учетной записи Администратор и иметь полные разрешения для таблиц, запросов, форм, отчетов и макросов рабочей группы.
Вы можете назначить группе администраторов любое количество учетных записей пользователей, но только одна учетная запись пользователя может владеть базой данных. Учетная запись владельца является учетной записью пользователя, которая активна при создании базы данных или при передаче права владения путем создания новой базы данных и импорта в нее всех объектов базы данных. Однако учетные записи групп могут владеть таблицами, запросами, формами, отчетами и макросами в базе данных.
Рекомендации по упорядочению учетных записей безопасности
-
В Access могут входить только учетные записи пользователей; Вы не можете войти в систему с помощью учетной записи группы.
-
Учетные записи, создаваемые для пользователей базы данных, должны храниться в файле сведений о рабочей группе, к которому эти пользователи присоединяются при использовании базы данных. Если вы используете другой файл для создания базы данных, измените файл перед созданием учетных записей.
-
Обязательно создайте уникальный пароль для учетных записей администратора и пользователей. Пользователь, который может войти в систему с помощью учетной записи администратора, всегда может получить полные разрешения для любых таблиц, запросов, форм, отчетов и макросов, созданных в рабочей группе. Пользователь, который может войти в систему с помощью учетной записи владельца, всегда может получить полные разрешения для этих объектов, принадлежащих пользователю.
После создания учетных записей пользователей и групп можно просматривать и печатать связи между ними. Access выводит отчет об учетных записях в рабочей группе, в котором отображаются группы, к которым принадлежит каждый пользователь, и пользователи, принадлежащие каждой группе.
Примечание: Если вы используете файл сведений о рабочей группе, созданный с помощью Microsoft Access 2.0, для печати сведений о пользователях и группах необходимо войти в систему как член группы администраторов. Если файл сведений о рабочей группе был создан с помощью Microsoft Access 97 или более поздней версии, все пользователи в рабочей группе могут выводить сведения о пользователях и группах.
Настройка безопасности на уровне пользователя
В этом разделе описано, как запустить и запустить мастер безопасности User-Level. Помните, что эти действия применяются только к базам данных с форматом файлов Access 2003 или более ранней версии, открытыми в Access 2007 или более поздних версиях.
Важно: В Access 2007 или более поздних версиях, если для указания файла сведений о рабочей группе по умолчанию используется мастер безопасности User-Level, при запуске Access также необходимо использовать параметр командной строки /WRKGP, чтобы указать файл сведений о рабочей группе. Дополнительные сведения об использовании параметра командной строки с Access см. в статье Параметры командной строки для продуктов Microsoft Office.
Запуск мастера User-Level безопасности
-
Откройте .mdb или MDE-файл, который требуется администрировать.
-
На вкладке Работа с базами данных в группе Администрирование щелкните стрелку под кнопкой Пользователи и разрешения, а затем щелкните Мастер безопасности на уровне пользователей.
-
Выполните действия на каждой странице, чтобы завершить работу мастера.
Примечания:
-
Мастер безопасности User-Level создает резервную копию текущей базы данных Access с тем же именем и расширением имени файла .bak, а затем применяет меры безопасности для выбранных объектов в текущей базе данных.
-
Если текущая база данных Access помогает защитить код VBA с помощью пароля, мастер предложит ввести пароль, который необходимо ввести для успешного завершения работы мастера.
-
Все пароли, создаваемые с помощью мастера, отображаются в отчете мастера безопасности User-Level, который выводится по завершении работы с мастером. Этот отчет следует хранить в безопасном расположении. Этот отчет можно использовать для повторного создания файла рабочей группы в случае его потери или повреждения.
-
Удаление безопасности на уровне пользователя
Чтобы удалить безопасность на уровне пользователя при работе в Access 2007 или более поздней версии, сохраните файл .mdb как ACCDB-файл.
Сохраните копию файла в . Формат ACCDB
-
Откройте вкладку Файл. Откроется представление Backstage.
-
В левой части экрана щелкните Поделиться.
-
В правой части экрана щелкните Сохранить базу данных как, а затем выберите База данных Access (*.accdb).
Откроется диалоговое окно Сохранение документа.
-
Используйте список Сохранить в , чтобы найти расположение для сохранения преобразованной базы данных.
-
В списке Тип файла выберите Access 2007-2016 Database (*.accdb).
-
Нажмите кнопку Сохранить.
Примечание: Если вы используете Access 2007, нажмите кнопку Microsoft Office и нажмите кнопку Преобразовать , чтобы открыть диалоговое окно Сохранить в , чтобы сохранить базу данных в . Формат файла ACCDB.
Справочник по разрешениям объекта
В следующей таблице перечислены разрешения, которые можно задать для базы данных и объектов в базе данных, а также описывается эффект или результат использования каждого параметра разрешений.
|
Разрешение |
Применяется к этим объектам |
Result (Результат) |
|
Открытие и запуск |
Вся база данных, формы, отчеты, макросы |
Пользователи могут открывать или запускать объект, включая процедуры в модулях кода. |
|
Монопольно |
Вся база данных |
Пользователи могут открывать базу данных и блокировать других пользователей. |
|
Чтение конструктора |
Таблицы, запросы, формы, макросы, модули кода |
Пользователи могут открывать перечисленные объекты в режиме конструктора. Примечание: Всякий раз, когда вы предоставляете доступ к данным в таблице или запросе, назначая другое разрешение, например чтение данных или обновление данных, вы также предоставляете разрешения на чтение конструктора, так как макет должен быть виден для правильного представления и просмотра данных. |
|
Изменение макета |
Таблицы, запросы, формы, макросы, модули кода |
Пользователи могут изменять структуру перечисленных объектов. |
|
Администрирования |
Вся база данных, таблицы, запросы, формы, макросы, модули кода |
Пользователи могут назначать разрешения перечисленным объектам, даже если пользователь или группа не является владельцем объекта. |
|
Чтение данных |
Таблицы, запросы |
Пользователи могут считывать данные в таблице или запросе. Чтобы предоставить пользователям разрешения на чтение запросов, необходимо также предоставить этим пользователям разрешения на чтение родительских таблиц или запросов. Этот параметр подразумевает разрешение на чтение конструктора, что означает, что пользователи могут читать таблицу или структуру запроса в дополнение к данным. |
|
Обновление данных |
Таблицы, запросы |
Пользователи могут обновлять данные в таблице или запросе. Пользователи должны иметь разрешения на обновление родительской таблицы или запросов. Этот параметр подразумевает разрешения на чтение конструктора и чтения данных. |
|
Вставка данных |
Таблицы, запросы |
Пользователи могут вставлять данные в таблицу или запрос. Для запросов пользователи должны иметь разрешения на вставку данных в родительские таблицы или запросы. Этот параметр подразумевает как разрешения на чтение данных, так и на чтение конструктора. |
|
Удаление данных |
Таблицы, запросы |
Пользователи могут удалять данные из таблицы или запроса. Для запросов пользователи должны иметь разрешения на удаление данных из родительских таблиц или запросов. Этот параметр подразумевает как разрешения на чтение данных, так и на чтение конструктора. |
