Nastavitev ali spreminjanje varnosti na ravni uporabnika programa Access 2003 v trenutnih različicah Accessa

Osnove varnosti na ravni uporabnika

Varnost na ravni uporabnika v Accessu je podobna varnostnim mehanizmom v strežniških sistemih – uporablja gesla in dovoljenja za omogočanje ali omejevanje dostopa posameznikov ali skupin posameznikov do predmetov v zbirki podatkov. Ko v programu Access 2003 ali starejših različicah uvedete varnost na ravni uporabnika v Accessovi zbirki podatkov, lahko skrbnik zbirke podatkov ali lastnik predmeta nadzira dejanja, ki jih lahko posamezni uporabniki ali skupine uporabnikov izvajajo v tabelah, poizvedbah, obrazcih, poročilih in makrih v zbirki podatkov. Ena skupina uporabnikov lahko na primer spremeni predmete v zbirki podatkov, druga skupina lahko vnaša podatke le v določene tabele, tretja skupina pa si lahko podatke le ogleda v naboru poročil.

Varnost na ravni uporabnika v programu Access 2003 in starejših različicah uporablja kombinacijo gesel in dovoljenj – nabor atributov, ki določa vrsto dostopa, ki ga ima uporabnik do podatkov ali predmetov v zbirki podatkov. Nastavite lahko gesla in dovoljenja za posameznike ali skupine posameznikov, te kombinacije gesel in dovoljenj pa postanejo varnostni računi, ki določajo uporabnike in skupine uporabnikov, ki imajo dovoljen dostop do predmetov v zbirki podatkov. Posledično je kombinacija uporabnikov in skupin znana kot delovna skupina, Access pa te podatke shrani v datoteko z informacijami delovne skupine. Ob zagonu Access prebere datoteko z informacijami delovne skupine in vsili dovoljenja glede na podatke v datoteki.

Access privzeto ponuja vgrajen ID uporabnika in dve vgrajeni skupini. Privzeti ID uporabnika je Skrbnik skupine uporabniki in skrbniki. Access privzeto doda vgrajen ID uporabnika v skupino Uporabniki, ker morajo vsi ID-ji pripadati vsaj eni skupini. Skupina Uporabniki pa ima polna dovoljenja za vse predmete v zbirki podatkov. Poleg tega Skrbnik ID skrbnikov tudi član skupine Skrbniki. Skupina skrbnikov mora vsebovati vsaj en ID uporabnika (biti mora skrbnik zbirke podatkov), ID Skrbnik skrbnik zbirke podatkov pa je privzeti skrbnik zbirke podatkov, dokler ga ne spremenite.

Ko zaženete Access 2003 ali starejše različice, Vam Access Skrbnik ID uporabnika in tako postanete član vsake privzete skupine. Ta ID in te skupine (Skrbnik in Uporabniki) vsem uporabnikom dodelijo polna dovoljenja za vse predmete v zbirki podatkov – to pomeni, da lahko vsak uporabnik odpre, si ogleda in spremeni vse predmete v vseh datotekah sistema .mdb, razen če uvedete varnost na ravni uporabnika.

Varnost na ravni uporabnika lahko v programu Access 2003 ali starejših različicah uvedete tako, da spremenite dovoljenja za skupino Uporabniki in dodate nove skrbnike v skupine skrbnikov. Ko to naredite, Access skupini Uporabniki samodejno dodeli nove uporabnike. Ko te korake naredite, se morajo uporabniki prijaviti z geslom vsakič, ko odprejo zaščiteno zbirko podatkov. Če pa morate uveljaviti bolj specifično varnost – eni skupini uporabnikov dovolite, da vnese podatke, drugo pa, če želite le prebrati te podatke– ustvariti morate dodatne uporabnike in skupine ter jim dodeliti določena dovoljenja za nekatere ali vse predmete v zbirki podatkov. Izvajanje te vrste varnosti na ravni uporabnika lahko postane zapleteno opravilo. Če želite poenostaviti postopek, Access User-Level čarovnika za varnost, ki omogoča preprostejše ustvarjanje uporabnikov in skupin v postopku z enim korakom.

S User-Level varnost lahko dodelite dovoljenja in ustvarite račune uporabnikov in skupin. Uporabniški računi vsebujejo uporabniška imena in enolične številke osebnih ID-jev, potrebne za upravljanje uporabnikovih dovoljenj za ogled, uporabo ali spreminjanje predmetov zbirke podatkov v Accessovi delovni skupini. Računi skupine so zbirka uporabniških računov, ki so nato v delovni skupini. Access za identifikacijo posamezne delovne skupine uporablja ime skupine in PID, dovoljenja, dodeljena skupini, pa veljajo za vse uporabnike v skupini. Če želite več informacij o uporabi čarovnika, glejte Nastavitev varnosti na ravni uporabnika v nadaljevanju tega članka.

Ko dokončate čarovnika, lahko ročno dodelite, spremenite ali odstranite dovoljenja za račune uporabnikov in skupin v delovni skupini za zbirko podatkov in njene obstoječe tabele, poizvedbe, obrazce, poročila in makre. Nastavite lahko tudi privzeta dovoljenja, ki jih Access dodeli za vse nove tabele, poizvedbe, obrazce, poročila in makre, ki jih vi ali drug uporabnik dodate v zbirko podatkov.

Datoteke z informacijami o delovnih skupinah in delovnih skupinah

V programu Access 2003 in starejših različicah je delovna skupina skupina uporabnikov v okolju z več uporabniki, ki imajo podatke v skupni rabi. V datoteki z informacijami delovne skupine so računi uporabnikov in skupin, gesla in dovoljenja, nastavljena za vsakega posameznega uporabnika ali skupino uporabnikov. Ko odprete zbirko podatkov, Access prebere podatke v datoteki z informacijami delovne skupine in vsili varnostne nastavitve, ki so v datoteki. Uporabniški račun pa je kombinacija uporabniškega imena in PID-ja, ki ga Access ustvari za upravljanje dovoljenj uporabnika. Računi skupine so zbirke uporabniških računov, Access pa jih prepozna tudi po imenu skupine in osebnem ID-ju (PID). Dovoljenja, dodeljena skupini, veljajo za vse uporabnike v skupini. Tem varnostnim računom je nato mogoče dodeliti dovoljenja za zbirke podatkov in njihove tabele, poizvedbe, obrazce, poročila in makre. Dovoljenja so shranjena v zbirki podatkov z omogočeno varnostjo.

Ko uporabnik prvič zažene Access 2003 ali starejše različice, Access samodejno ustvari datoteko z informacijami o Accessovi delovni skupini, ki jo identificirajo informacije o imenu in organizaciji, ki jih določi uporabnik, ko namesti Access. V programu Access 2003 namestitveni program doda relativno mesto datoteke z informacijami o delovni skupini tem registrskim ključem:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

in

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

Nadaljnji uporabniki podedujejo privzeto pot do datoteke delovne skupine od vrednosti v HKEY_USERS registrskem ključu. Ker je te podatke pogosto mogoče preprosto določiti, lahko nepooblaščeni uporabniki ustvarijo drugo različico te datoteke z informacijami o delovni skupini. Zato bi nepooblaščeni uporabniki lahko predvidevali nepreklicna dovoljenja skrbniškega računa (člana skupine skrbnikov) v delovni skupini, ki jo določa ta datoteka z informacijami delovne skupine. Če želite nepooblaščenim uporabnikom preprečiti predvidevanje teh dovoljenj, ustvarite novo datoteko z informacijami delovne skupine in določite ID delovne skupine (WID), alfanumerični niz z razlikovanjem velikih in malih črk od 4 do 20 znakov, ki ga vnesete, ko ustvarite novo datoteko z informacijami delovne skupine. Ustvarjanje nove delovne skupine enolično prepozna skupino Skrbnik delovne skupine za to datoteko delovne skupine. Kopijo datoteke z informacijami delovne skupine bo lahko ustvaril le oseba, ki pozna POVEZAVO WID. Če želite ustvariti novo datoteko, uporabite čarovnika User-Level varnost.

Kako delujejo dovoljenja in kdo jih lahko dodeli

Varnost na ravni uporabnika prepozna dve vrsti dovoljenj: eksplicitna in implicitna. Izrecna dovoljenja so tista dovoljenja, ki so dodeljena neposredno uporabniškem računu; to ne vpliva na druge uporabnike. Implicitna dovoljenja so dovoljenja, dodeljena računu skupine. Če tej skupini dodate uporabnika, ji dodelite dovoljenja; Če odstranite uporabnika iz skupine, ta uporabniku zavneka dovoljenja skupine.

Ko uporabnik poskuša izvesti operacijo na predmetu zbirke podatkov, ki uporablja varnostne funkcije, nabor dovoljenj tega uporabnika temelji na preseku eksplicitnih in implicitnih dovoljenj tega uporabnika. Raven varnosti uporabnika je vedno najmanj omejevala izrecna dovoljenja tega uporabnika in dovoljenja katerih koli in vseh skupin, katerim pripada ta uporabnik. Zato je najmanj zapleten način skrbništva delovne skupine, da ustvarite nove skupine in dodelite dovoljenja skupinam in ne posameznim uporabnikom. Nato lahko dovoljenja posameznih uporabnikov spremenite tako, da jih dodate ali odstranite iz skupin. Če morate dodeliti nova dovoljenja, jih lahko dodelite vsem članom skupine z eno operacijo.

Dovoljenja za predmet zbirke podatkov lahko spremenite tako:

• Člani skupine »Skrbniki« v datoteki z informacijami delovne skupine, ki se uporablja, ko je bila zbirka podatkov ustvarjena.

• Lastnik predmeta.

• Vsak uporabnik, ki ima dovoljenja skrbništva za predmet.

Čeprav uporabniki morda ne bodo mogli izvesti dejanja, si bodo morda lahko sami dodelijo dovoljenja za izvedbo dejanja. To velja, če je uporabnik član skupine Skrbniki ali če je uporabnik lastnik predmeta.

Uporabnik, ki ustvari tabelo, poizvedbo, obrazec, poročilo ali makro, je lastnik tega predmeta. Poleg tega lahko skupina uporabnikov, ki lahko spremenijo dovoljenja v zbirki podatkov, spremeni lastništvo teh predmetov ali pa znova ustvari te predmete, oba načina za spreminjanje lastništva predmetov. Če želite znova ustvariti predmet, lahko ustvarite kopijo predmeta ali pa ga uvozite iz druge zbirke podatkov ali pa ga izvozite v drugo zbirko podatkov. Tako najlažje prenesete lastništvo predmetov, vključno s samo zbirko podatkov.

Varnostni računi

V datoteki z informacijami delovne skupine programa Access 2003 so ti vnaprej določeni računi.

Varnost v programu Access 2003 in starejših različicah je tako vedno aktivna. Dokler ne aktivirate postopka prijave za delovno skupino, se Access ob zagonu nevidno prijavi v vse uporabnike s privzetim uporabniškim računom Skrbnik uporabniškim računom s praznim geslom. V ozadju Access uporabi račun Skrbnik kot skrbniški račun delovne skupine. Access poleg Skrbnik (skupine ali uporabnika) vseh zbirk podatkov in tabel, poizvedb, obrazcev, poročil in makrov uporablja tudi račun strežnika.

Skrbniki in lastniki so pomembni, ker imajo dovoljenja, ki jih ni mogoče vzeti:

• Skrbniki (člani skupine »Skrbniki«) lahko vedno pridobijo polna dovoljenja za predmete, ustvarjene v delovni skupini.

• Račun, ki je lastnik tabele, poizvedbe, obrazca, poročila ali makra, lahko vedno pridobi polna dovoljenja za ta predmet.

• Račun, ki je lastnik zbirke podatkov, lahko vedno odpre to zbirko podatkov.

Ker je uporabniški račun storitve Skrbnik popolnoma enak za vsako kopijo Accessa, morate najprej določiti skrbniške uporabniške račune in uporabniške račune lastnika (ali uporabiti en uporabniški račun za skrbniške in lastnikove račune), nato pa uporabniški račun storitve Skrbnik odstraniti iz skupine »Skrbniki«. V nasprotnem primeru se lahko vsak, ki ima kopijo Accessa, prijavi v vašo delovno skupino z računom za Skrbnik in ima polna dovoljenja za tabele, poizvedbe, obrazce, poročila in makre delovne skupine.

Skupini Skrbniki lahko dodelite poljubno število uporabniških računov, vendar je zbirko podatkov lahko lastnik le en uporabniški račun – račun za lastništvo je uporabniški račun, ki je aktiven, ko ustvarite zbirko podatkov ali ko je lastništvo preneseno z ustvarjanjem nove zbirke podatkov in uvozom vseh predmetov zbirke podatkov v to zbirko podatkov. Vendar pa so lahko računi skupine v lasti tabel, poizvedb, obrazcev, poročil in makrov znotraj zbirke podatkov.

Priporočila pri organiziranju varnostnih računov

• V Access se lahko prijavijo le uporabniški računi; se ne morete prijaviti s skupinskim računom.

• Računi, ki jih ustvarite za uporabnike zbirke podatkov, morajo biti shranjeni v datoteki z informacijami delovne skupine, ki jo bodo ti uporabniki pridružili, ko bodo uporabili zbirko podatkov. Če za ustvarjanje zbirke podatkov uporabljate drugo datoteko, spremenite datoteko, preden ustvarite račune.

• Ustvarite enolično geslo za skrbniške in uporabniške račune. Uporabnik, ki se lahko prijavi s skrbniškim računom, lahko vedno pridobi polna dovoljenja za vse tabele, poizvedbe, obrazce, poročila in makre, ki so bili ustvarjeni v delovni skupini. Uporabnik, ki se lahko prijavi z računom lastnika, lahko vedno pridobi polna dovoljenja za predmete, ki so v lasti tega uporabnika.

Ko ustvarite račune uporabnikov in skupin, si lahko ogledate in natisnete relacije med njimi. Access natisne poročilo o računih v delovni skupini, ki prikazuje skupine, katerim pripada posamezen uporabnik, in uporabnike, ki pripadajo posamezni skupini.

Zagon čarovnika User-Level varnost

1. Odprite datoteko .mdb .mde, ki jo želite upravljati.

2. Na zavihku Orodja zbirke podatkov v skupini Skrbništvo kliknite puščico pod možnostjo Uporabniki in dovoljenja in nato kliknite Čarovnik za varnost na ravni uporabnika.

3. Sledite navodilom na vsaki strani, da dokončate čarovnika.

   Opombe: 

   • Čarovnik za User-Level varnost ustvari varnostno kopijo trenutne Accessove zbirke podatkov z istim imenom in datotečno pripono .bak in nato uporabi varnostne ukrepe za izbrane predmete v trenutni zbirki podatkov.

   • Če vaša trenutna Accessova zbirka podatkov pomaga zaščititi kodo VBA z geslom, vas čarovnik pozove k vnosu gesla, ki ga morate vnesti, da čarovnik uspešno dokonča postopek.

   • Vsa gesla, ki jih ustvarite s čarovnikom, so natisnjena v poročilu User-Level čarovnika za varnost, ki se natisne, ko končate s čarovnikom. To poročilo hranite na varnem mestu. S tem poročilom lahko znova ustvarite datoteko delovne skupine, če je izgubljena ali poškodovana.

Shranite kopijo datoteke v . Oblika zapisa ACCDB

1. Kliknite zavihek Datoteka. Odpre se pogled »Backstage«.

2. Na levi strani kliknite Skupna raba.

3. Na desni strani kliknite Shrani zbirko podatkov kot in nato kliknite Accessove zbirke podatkov (*.accdb).

   Prikaže se pogovorno okno Shrani kot.

4. Na seznamu Shrani v lahko poiščete mesto, kamor želite shraniti pretvorjeno zbirko podatkov.

5. Na seznamu Vrsta datoteke izberite Zbirka podatkov programa Access 2007-2016 (*.accdb).

6. Kliknite Shrani.