Если вы создали базу данных в версии Access до Access 2007 и применили к нее безопасность на уровне пользователя, эти параметры безопасности остаются на месте при его открыть в Access 2007 или более высокой версии. Кроме того, можно запустить средства безопасности, предоставляемые Microsoft Office Access 2003 (мастер безопасности User-Level), а также различные диалоговые окна разрешений для пользователей и групп из более поздних версий Access. В этой статье объясняется, как работают функции безопасности Access 2003, а также как запускать и использовать их в Access 2007 и более новых.

Примечание: Сведения в этой статье относятся только к базе данных, созданной в Access 2003 или более ранних версиях (MDB-файл). Безопасность на уровне пользователя недоступна для баз данных, созданных в Access 2007 или более высокого уровня (ACCDB-файлах). Кроме того, при преобразовании MDB-файла в новый формат (ACCDB-файл) Access удаляет параметры безопасности на уровне пользователя.

В этой статье

Как работает безопасность на уровне пользователя в Access 2007 или более высокой

Access 2007 и более поздние версии обеспечивают защиту на уровне пользователя только для баз данных, которые используют форматы файлов Access 2003 и более ранних версий (MDB- и MDE-файлы). Если в более поздних версиях открыть базу данных, созданную в более ранней версии Access, к которой применена безопасность на уровне пользователя, эта функция безопасности будет работать так, как она предназначена для этой базы данных. Например, чтобы использовать базу данных, пользователи должны ввести пароль.

Кроме того, вы можете запускать и запускать различные средства безопасности, предоставляемые в Access 2003 и более ранних версиях, например мастер безопасности User-Level, а также различные диалоговые окна разрешений для пользователей и групп. Помните, что эти средства становятся доступны, только если открыть MDB- или MDE-файл. Если преобразовать файлы в формат ACCDB, Access удалит все существующие функции безопасности на уровне пользователя.

Общие сведения о безопасности на уровне пользователя Access 2003

В следующих разделах приводится фоновая информация о безопасности на уровне пользователя в Access 2003 и более ранних версиях. Если вы уже знакомы с предыдущей моделью безопасности и безопасностью на уровне пользователя, вы можете пропустить эти разделы и перейти к разделу "Настройка безопасности на уровне пользователя" или "Удалить безопасность на уровне пользователя" далее в этой статье.

Основы защиты на уровне пользователя

Безопасность на уровне пользователя в Access напоминает механизмы безопасности в серверных системах — пароли и разрешения используются для разрешения или ограничения доступа отдельных пользователей или групп к объектам базы данных. В Access 2003 и более ранних версиях при внедрении защиты на уровне пользователя в базе данных Access администратор базы данных или владелец объекта может управлять действиями, которые могут выполнять отдельные пользователи или группы пользователей с таблицами, запросами, формами, отчетами и макросами в базе данных. Например, одна группа пользователей может изменять объекты базы данных, другая группа может вводить данные только в определенные таблицы, а третья группа может только просматривать данные в наборе отчетов.

Безопасность на уровне пользователя в Access 2003 и более ранних версиях предусматривает использование сочетания паролей и разрешений — набора атрибутов, которые определяет типы доступа пользователя к данным или объектам базы данных. Вы можете устанавливать пароли и разрешения для отдельных пользователей или групп пользователей, и эти сочетания паролей и разрешений становятся учетной записью безопасности, определяемой пользователями и группами пользователей, которым разрешен доступ к объектам базы данных. В свою очередь, сочетание пользователей и групп называется "рабочий группа", и Access сохраняет эти сведения в файле сведений этой группы. При запуске Access читает файл сведений о группе и применяет разрешения, основанные на данных в файле.

По умолчанию в Access есть встроенный ИД пользователя и две встроенные группы. По умолчанию используется ИД администратора, а группами по умолчанию — пользователи и администраторы. По умолчанию Access добавляет встроенный ИД пользователя в группу "Пользователи", так как все они должны принадлежать хотя бы одной группе. В свою очередь, у группы "Пользователи" есть полные разрешения на доступ к всем объектам базы данных. Кроме того, он также входит в группу "Администраторы". Группа "Администраторы" должна содержать по крайней мере один ИД пользователя (администратор должен быть администратором базы данных), а он будет администратором базы данных по умолчанию, пока вы не измените его.

При запуске Access 2003 или более ранних версий Access назначает вам ИД пользователя администратора, поэтому вы входите в каждую группу по умолчанию. Этот ИД и эти группы (администраторы и пользователи) дают всем пользователям полные разрешения на доступ к всем объектам базы данных. Это означает, что любой пользователь может открывать, просматривать и изменять все объекты во всех MDB-файлах, пока не будет реализована безопасность на уровне пользователя.

Один из способов реализовать безопасность на уровне пользователя в Access 2003 или более ранних версиях — изменить разрешения для группы "Пользователи" и добавить новых администраторов в группы администраторов. При этом Access автоматически назначает группе "Пользователи" новых пользователей. При этом пользователям необходимо входить в систему с помощью пароля каждый раз, когда они открывают защищенную базу данных. Однако если вам нужно реализовать более конкретные условия безопасности (разрешить одной группе пользователей вводить данные, а другой — только читать эти данные), необходимо создать дополнительных пользователей и группы и предоставить им конкретные разрешения для некоторых или всех объектов базы данных. Реализация такой защиты на уровне пользователя может стать сложной задачей. Чтобы упростить этот процесс, Access предоставляет User-Level безопасности, который упрощает создание пользователей и групп в одношаговом режиме.

Мастер User-Level безопасности позволяет назначать разрешения и создавать учетные записи пользователей и групп. Учетные записи пользователей содержат имена пользователей и уникальные личные ID-номера, необходимые для управления разрешениями пользователя на просмотр, использование и изменение объектов базы данных в группе Access. Учетные записи групп — это набор учетных записей пользователей, которые, в свою очередь, находятся в рабочей группе. Access использует имя группы и PID для идентификации каждой рабочей группы, а разрешения, которые назначены группе, применяются ко всем ее пользователям. Дополнительные сведения об использовании мастера см. ниже в этой статье.

После завершения работы мастера вы можете вручную назначить, изменить или удалить разрешения для учетных записей пользователей и групп в рабочей группе для базы данных и ее существующих таблиц, запросов, форм, отчетов и макроса. Вы также можете задать разрешения по умолчанию, которые Access назначает всем новым таблицам, запросам, формам, отчетам и макросам, которые вы или другой пользователь добавляете в базу данных.

Информационные файлы "Workgroups" и "Workgroup" (Информационные файлы)

В Access 2003 и более ранних версиях рабочая группа — это группа пользователей в многоязычной среде, которые совместно работают с данными. Файл сведений рабочей группы содержит учетные записи пользователей и групп, пароли и разрешения, установленные для каждого отдельного пользователя или группы пользователей. Когда вы открываете базу данных, Access читает данные в файле сведений о ней и применяет параметры безопасности, которые содержит файл. В свою очередь, учетная запись пользователя — это сочетание имени пользователя и личного ИД, которое Access создает для управления разрешениями пользователя. Учетные записи групп — это коллекции учетных записей пользователей, и Access также идентифицирует их по имени группы и личному идентификатору. Разрешения, которые назначены группе, применяются к всем ее пользователям. Затем этим учетным записям безопасности можно на основе разрешений на доступ к базам данных и их таблицам, запросам, формам, отчетам и макросам. Сами разрешения хранятся в базе данных с поддержкой безопасности.

При первом запуске Access 2003 или более ранних версий Access автоматически создает информационный файл рабочих групп Access, который определяется именем и сведениями об организации, указанными пользователем при установке Access. В Access 2003 программа установки добавляет относительное расположение этого файла сведений о группе в следующие ключи реестра:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

и

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

Последующие пользователи наследуют путь к файлу группы по умолчанию от значения в HKEY_USERS реестра. Поскольку эти сведения зачастую легко определить, неавторизованные пользователи могут создать другую версию файла данных этой группы. Поэтому неавторизованные пользователи могут принять на себя неотвеченные разрешения учетной записи администратора (в составе группы администраторов) в рабочей группе, определяемой этим файлом сведений рабочей группы. Чтобы запретить неавторизованным пользователям принимать эти разрешения, создайте новый файл сведений о группе и укажите ее ID — букво-цифры длиной от 4 до 20 символов, которые вводиться при создании файла данных новой группы. Создание новой рабочей группы однозначно определяет группу "Администратор" для этого файла рабочей группы. Только те, кто знает wiD, смогут создать копию информационного файла группы. Чтобы создать новый файл, воспользуйтесь мастером User-Level безопасности.

Важно: Запишите точное имя, организацию и ИД группы , включая буквы верхнего или нижнего регистра (для всех трех записей) и храните их в надежном месте. Если необходимо повторно создать информационный файл, у вас должны быть точно такие же имя, как у организации и ее ИД. Если вы забудете или потеряете эти записи, вы можете потерять доступ к базам данных.

Как работают разрешения и кто может их назначать

Безопасность на уровне пользователя распознает два типа разрешений: явные и неявные. Явными разрешениями являются разрешения, предоставленные непосредственно учетной записи пользователя; другие пользователи не затронуты. Неявные разрешения — это разрешения, предоставленные учетной записи группы. Добавление пользователя в группу предоставляет ее разрешения этому пользователю; при удалении пользователя из группы удаляются ее разрешения.

Когда пользователь пытается выполнить операцию с объектом базы данных, в котором применяются функции безопасности, набор разрешений пользователя зависит от пересечения явных и неявных разрешений этого пользователя. Уровень безопасности пользователя всегда является наименее строгим из явных разрешений пользователя и разрешений всех групп, к которым он принадлежит. По этой причине наименее сложный способ администрирования рабочих групп — создать новые группы и назначить разрешения группам, а не отдельным пользователям. Затем вы можете изменить разрешения отдельных пользователей, добавив или удалив их из групп. Кроме того, если вам нужно предоставить новые разрешения, вы можете предоставить их всем участникам группы за одну операцию.

Разрешения для объекта базы данных можно изменить с помощью:

  • Участники группы "Администраторы" в файле сведений рабочей группы, используемом при работе с базой данных.

  • Владелец объекта.

  • Любой пользователь с разрешениями на администрирование объекта.

Хотя пользователи не могут выполнить данное действие в данный момент, они могут предоставить себе разрешения на выполнение этого действия. Это справедливо в том случае, если пользователь входит в группу администраторов или является владельцем объекта.

Пользователь, создающий таблицу, запрос, форму, отчет или макрос, является владельцем этого объекта. Кроме того, группа пользователей, которые могут изменять разрешения в базе данных, также может изменить владение этими объектами или повторно создать эти объекты, оба из которых являются способами изменения владения объектами. Чтобы повторно создать объект, можно создать его копию либо импортировать его в другую базу данных или экспортировать в нее. Это самый простой способ передать права владения объектами, включая базу данных.

Примечание: Копирование, импорт и экспорт не изменяют владельца запроса, для свойства RunPermissions из свойства "Владелец". Вы можете изменить владельца запроса, только если его свойство RunPermissions имеет свойство User (Пользователь).

Учетные записи безопасности

Файл сведений из группы Access 2003 содержит следующие предопределные учетные записи:

Учетная запись

Функция

Admin

Учетная запись пользователя по умолчанию. Эта учетная запись в точности одна и та же для каждой копии Access и других программ, которые могут использовать яд баз данных Microsoft Jet, например Visual Basic для приложений (VBA) и Microsoft Office Excel 2003.

Администраторы

Учетная запись группы администратора. Эта учетная запись уникалена для каждого файла данных группы. По умолчанию пользователь является участником группы "Администраторы". В группе "Администраторы" должен быть по крайней мере один пользователь.

Пользователи

Учетная запись группы, состоящая из всех учетных записей пользователей. Access автоматически добавляет учетные записи пользователей в группу "Пользователи", когда их создает участник группы администраторов. Эта учетная запись используется одинаково для любых информационных файлов рабочей группы, но содержит только учетные записи пользователей, созданные участниками группы администраторов этой рабочей группы. По умолчанию у этой учетной записи есть полные разрешения на доступ к всем новым объектам. Единственный способ удалить учетную запись пользователя из группы "Пользователи" — это сделать это для члена группы администраторов.

По сути, безопасность в Access 2003 и более ранних версиях всегда активна. Пока вы не активируете процедуру входа в группу, Access невидимо записи всех пользователей при запуске, используя учетную запись администратора по умолчанию с пустым паролем. На самом деле Access использует учетную запись администратора в качестве учетной записи администратора для своей группы. Access использует учетную запись администратора в дополнение к владельцу (группе или пользователю) любых баз данных и таблиц, запросов, форм, отчетов и макроса.

Администраторы и владельцы важны, так как у них есть разрешения, которые нельзя отобирать.

  • Администраторы (участники группы администраторов) всегда могут получить полные разрешения для объектов, созданных в рабочей группе.

  • Учетная запись, которая владеет таблицей, запросом, формой, отчетом или макросом, всегда может получить полные разрешения для этого объекта.

  • Учетная запись, которая владеет базой данных, всегда может открыть ее.

Так как учетная запись администратора используется одинаково для каждой копии Access, для защиты базы данных необходимо определить учетные записи администратора и владельца (или использовать одну учетную запись пользователя как учетные записи администратора и владельца), а затем удалить учетную запись администратора из группы "Администраторы". В противном случае любой человек с копией Access может войти в вашу группу с помощью учетной записи администратора и получить полные разрешения на доступ к ее таблицам, запросам, формам, отчетам и макросам.

Группе администраторов можно назначить сколько угодно учетных записей пользователей, но базой данных может быть только одна учетная запись пользователя: она активна при создании базы данных или при переносе владельца путем создания новой базы данных и импорта в нее всех ее объектов. Однако у учетных записей групп могут быть таблицы, запросы, формы, отчеты и макрос в базе данных.

Советы по организации учетных записей безопасности

  • Только учетные записи пользователей могут входить в Access; войти в систему с помощью учетной записи группы нельзя.

  • Учетные записи, которые вы создаете для пользователей базы данных, должны храниться в файле сведений о группе, к которой пользователи будут присоединяться при работе с базой данных. Если для создания базы данных используется другой файл, измените его перед созданием учетных записей.

  • Создайте уникальный пароль для учетных записей администратора и пользователей. Пользователь, который может войти в систему с помощью учетной записи администратора, всегда может получить полные разрешения для любых таблиц, запросов, форм, отчетов и макроса, созданных в группе. Пользователь, который может войти в систему с помощью учетной записи владельца, всегда может получить полные разрешения для этих объектов.

После создания учетных записей пользователей и групп можно просмотреть и распечатать связи между ними. Access печатает отчет об учетных записях в рабочей группе, в котором показаны группы, к которым принадлежит каждый пользователь, и пользователи, в которые они входят.

Примечание: Если вы используете файл сведений рабочей группы, созданный с помощью Microsoft Access 2.0, для печати сведений о пользователях и группах необходимо войти в группу администраторов. Если файл сведений рабочей группы был создан с microsoft Access 97 или более поздней, все пользователи в ней могут печатать сведения о пользователях и группах.

Настройка защиты на уровне пользователя

В этом разделе объясняется, как запустить мастер User-Level безопасности. Помните, что эти действия применимы только к базам данных с файлами формата Access 2003 или более ранних версий, открытых в Access 2007 или более поздних версиях.

Важно: Если в Access 2007 и более поздних версиях для указания файла сведений о группе по умолчанию используется мастер безопасности User-Level, то при запуске Access необходимо также использовать переключатель командной строки /WRKGP, чтобы указать на файл сведений вашей группы. Дополнительные сведения об использовании переключателя командной строки в Access см. в статье о переключателях командной строки для Microsoft Office продуктов.

Запуск мастера User-Level безопасности

  1. Откройте MDB- или MDE-файл, который вы хотите администрировать.

  2. На вкладке "Средства базы данных" в группе "Администрирование" щелкните стрелку под кнопкой "Пользователи и разрешения" и выберите мастер защиты на уровне пользователя.

  3. Следуйте шагам на каждой странице, чтобы завершить мастер.

    Примечания: 

    • Мастер User-Level безопасности создает архивную копию текущей базы данных Access с таким же именем и расширением BAK-файла, а затем применяет меры безопасности для выбранных объектов в текущей базе данных.

    • Если текущая база данных Access помогает защитить код VBA с помощью пароля, мастер запросит пароль, который необходимо ввести для успешного завершения работы мастера.

    • Все пароли, которые вы создаете с помощью мастера, печатаются в отчете User-Level безопасности, который вы печатаете после завершения его использования. Этот отчет следует хранить в надежном месте. С помощью этого отчета можно повторно создать файл группы в случае его потери или поврежденного.

Удаление защиты на уровне пользователя

Чтобы удалить безопасность на уровне пользователя при работе в Access 2007 или более высокого уровня, сохраните MDB-файл в качестве ACCDB-файла.

Сохраните копию файла в папке . Формат ACCDB

  1. Откройте вкладку Файл. Откроется представление Backstage.

  2. Слева выберите "Поделиться".

  3. Справа выберите "Сохранить базу данных как", а затем — "База данных Access (*.accdb)".

    Откроется диалоговое окно Сохранение документа.

  4. Чтобы найти расположение для сохранения преобразованной базы данных, используйте список "Сохранить в".

  5. В списке "Тип сохранения" выберите базу данных Access 2007–2016 (ACCDB).

  6. Нажмите кнопку Сохранить.

Примечание: Если вы используете Access 2007, нажмите кнопку "Microsoft Office", а затем нажмите кнопку "Преобразовать", чтобы открыть диалоговое окно "Сохранение в", чтобы сохранить базу данных в . Формат файла ACCDB.

Справка по разрешениям объектов

В таблице ниже перечислены разрешения, которые можно установить для базы данных и ее объектов, а также указаны результаты применения каждого параметра разрешений.

Разрешение

Применяется к этим объектам

Результат

Открытие и запуск

Вся база данных, формы, отчеты, макрос

Пользователи могут открывать и запускать объект, включая процедуры в модулях кода.

Монопольно

Вся база данных

Пользователи могут открыть базу данных и заблокировать других пользователей.

Чтение конструктора

Таблицы, запросы, формы, макрос, модули кода

Пользователи могут открывать перечисленные объекты в конструкторе.

Примечание: При предоставлении доступа к данным в таблице или запросе путем назначения другого разрешения, например "Чтение данных" или "Обновление данных", вы также предоставляете разрешения на чтение, поскольку они должны быть видны для правильного представления и просмотра данных.

Изменение оформления

Таблицы, запросы, формы, макрос, модули кода

Пользователи могут изменять оформление объектов в списке.

Администрирование

Вся база данных, таблицы, запросы, формы, макрос, модули кода

Пользователи могут назначать разрешения указанным объектам, даже если пользователь или группа не являются его владельцем.

Чтение данных

Таблицы, запросы

Пользователи могут читать данные в таблице или запросе. Чтобы предоставить пользователям разрешения на чтение запросов, необходимо также предоставить им разрешения на чтение родительских таблиц или запросов. Этот параметр подразумевает разрешение на чтение, то есть пользователи могут читать таблицу или конструктор запросов в дополнение к данным.

Обновление данных

Таблицы, запросы

Пользователи могут обновлять данные в таблице или запросе. У пользователей должны быть разрешения на обновление родительской таблицы или запроса. Этот параметр подразумевает как разрешения на чтение, так и на чтение данных.

Вставка данных

Таблицы, запросы

Пользователи могут вставлять данные в таблицу или запрос. Для запросов у пользователей должны быть разрешения на вставку данных в родительские таблицы или запросы. Этот параметр подразумевает как разрешения на чтение данных, так и на чтение конструктора.

Удаление данных

Таблицы, запросы

Пользователи могут удалять данные из таблицы или запроса. Для запросов у пользователей должны быть разрешения на удаление данных из родительских таблиц или запросов. Этот параметр подразумевает как разрешения на чтение данных, так и на чтение конструктора.

К началу страницы

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?

Спасибо за ваш отзыв!

×