Đặt hoặc thay đổi bảo mật mức người dùng access 2003 trong các phiên bản Access hiện tại

Thông tin cơ bản về bảo mật mức người dùng

Bảo mật mức người dùng trong Access tương tự như các cơ chế bảo mật trên hệ thống trên máy chủ — nó sử dụng mật khẩu và quyền để cho phép hoặc hạn chế truy nhập của các cá nhân hoặc nhóm cá nhân, đối với các đối tượng trong cơ sở dữ liệu của bạn. Trong Access 2003 hoặc các phiên bản cũ hơn, khi bạn thực thi bảo mật mức người dùng trong cơ sở dữ liệu Access, người quản trị cơ sở dữ liệu hoặc chủ sở hữu đối tượng có thể kiểm soát hành động mà người dùng cá nhân hoặc nhóm người dùng có thể thực hiện trên các bảng, truy vấn, biểu mẫu, báo cáo và macro trong cơ sở dữ liệu. Ví dụ: một nhóm người dùng có thể thay đổi các đối tượng trong cơ sở dữ liệu, một nhóm khác chỉ có thể nhập dữ liệu vào một số bảng nhất định và nhóm thứ ba chỉ có thể xem dữ liệu trong một tập hợp các báo cáo.

Bảo mật mức người dùng trong Access 2003 và các phiên bản cũ hơn sử dụng kết hợp mật khẩu và quyền — một tập hợp các thuộc tính chỉ định loại truy nhập mà người dùng có đối với dữ liệu hoặc đối tượng trong cơ sở dữ liệu. Bạn có thể đặt mật khẩu và quyền cho các cá nhân hoặc nhóm cá nhân và các kết hợp mật khẩu và quyền đó trở thành tài khoản bảo mật xác định người dùng và nhóm người dùng được phép truy nhập vào các đối tượng trong cơ sở dữ liệu của bạn. Lần lượt, tổ hợp người dùng và nhóm được gọi là nhóm làm việc và Access sẽ lưu trữ thông tin đó trong tệp thông tin nhóm làm việc. Khi khởi động, Access sẽ đọc tệp thông tin nhóm làm việc và thực thi các quyền dựa trên dữ liệu trong tệp.

Theo mặc định, Access cung cấp ID người dùng tích hợp sẵn và hai nhóm dựng sẵn. ID người dùng mặc định là Quản trị và nhóm mặc định là Người dùngvà Người quản trị. Theo mặc định, Access sẽ thêm ID người dùng dựng sẵn vào nhóm Người dùng vì tất cả ID phải thuộc ít nhất một nhóm. Lần lượt, nhóm Người dùng có toàn quyền trên tất cả các đối tượng trong cơ sở dữ liệu. Ngoài ra, ID Quản trị cũng là thành viên của nhóm Người quản trị. Nhóm Người quản trị phải chứa ít nhất một ID người dùng (phải có người quản trị cơ sở dữ liệu) và ID người quản trị Quản trị là người quản trị cơ sở dữ liệu mặc định cho đến khi bạn thay đổi ID đó.

Khi bạn khởi động Access 2003 hoặc các phiên bản cũ hơn, Access sẽ gán ID người dùng Quản trị cho bạn và do đó, bạn sẽ trở thành thành viên của mỗi nhóm mặc định. ID đó và các nhóm đó (Quản trị và Người dùng) cấp cho tất cả người dùng toàn quyền trên tất cả các đối tượng trong cơ sở dữ liệu — điều này có nghĩa là bất kỳ người dùng nào cũng có thể mở, xem và thay đổi tất cả các đối tượng trong tất cả các tệp .mdb trừ khi bạn thực thi bảo mật mức người dùng.

Một cách để thực thi bảo mật mức người dùng trong Access 2003 hoặc phiên bản cũ hơn là thay đổi quyền cho nhóm Người dùng và thêm người quản trị mới vào nhóm Người quản trị. Khi bạn làm như vậy, Access sẽ tự động gán người dùng mới cho nhóm Người dùng. Khi bạn thực hiện các bước này, người dùng phải đăng nhập bằng mật khẩu bất cứ khi nào họ mở cơ sở dữ liệu được bảo vệ. Tuy nhiên, nếu bạn cần thực thi bảo mật cụ thể hơn — cho phép một nhóm người dùng nhập dữ liệu và nhóm khác để chỉ đọc dữ liệu đó chẳng hạn — bạn phải tạo thêm người dùng và nhóm và cấp cho họ quyền cụ thể cho một số hoặc tất cả các đối tượng trong cơ sở dữ liệu. Triển khai loại bảo mật mức người dùng đó có thể trở thành một tác vụ phức tạp. Để giúp đơn giản hóa quy trình, Access cung cấp Trình hướng dẫn Bảo mật User-Level, giúp tạo người dùng và nhóm trong quy trình một bước dễ dàng hơn.

Trình hướng User-Level Mật khẩu sẽ giúp bạn gán quyền và tạo tài khoản người dùng và nhóm. Tài khoản người dùng chứa tên người dùng và số ID cá nhân duy nhất (PID) cần thiết để quản lý quyền của người dùng để xem, sử dụng hoặc thay đổi đối tượng cơ sở dữ liệu trong nhóm làm việc Access. Tài khoản nhóm là một tập hợp các tài khoản người dùng, lần lượt nằm trong một nhóm làm việc. Access sử dụng tên nhóm và PID để xác định từng nhóm làm việc và các quyền được gán cho một nhóm sẽ áp dụng cho tất cả người dùng trong nhóm. Để biết thêm thông tin về cách sử dụng trình hướng dẫn, hãy xem Đặt bảo mật mức người dùng, ở phần sau trong bài viết này.

Sau khi hoàn thành trình hướng dẫn, bạn có thể gán, sửa đổi hoặc loại bỏ quyền cho tài khoản người dùng và nhóm trong nhóm làm việc của mình đối với một cơ sở dữ liệu và các bảng, truy vấn, biểu mẫu, báo cáo và macro hiện có của cơ sở dữ liệu đó. Bạn cũng có thể đặt các quyền mặc định mà Access gán cho mọi bảng, truy vấn, biểu mẫu, báo cáo và macro mới mà bạn hoặc người dùng khác thêm vào cơ sở dữ liệu.

Tệp thông tin nhóm làm việc và nhóm làm việc

Trong Access 2003 và các phiên bản cũ hơn, nhóm làm việc là một nhóm người dùng trong môi trường nhiều người dùng chia sẻ dữ liệu. Tệp thông tin nhóm làm việc chứa tài khoản người dùng và nhóm, mật khẩu và quyền được đặt cho từng người dùng hoặc nhóm người dùng cá nhân. Khi bạn mở một cơ sở dữ liệu, Access sẽ đọc dữ liệu trong tệp thông tin nhóm làm việc và thực thi các cài đặt bảo mật mà tệp chứa. Đổi lại, tài khoản người dùng là sự kết hợp giữa tên người dùng và ID cá nhân (PID) mà Access tạo ra để quản lý quyền của người dùng. Tài khoản nhóm là tập hợp tài khoản người dùng và Access cũng xác định tài khoản theo tên nhóm và ID cá nhân (PID). Các quyền được gán cho một nhóm sẽ áp dụng cho tất cả người dùng trong nhóm. Sau đó, bạn có thể gán các quyền bảo mật đó cho cơ sở dữ liệu và bảng, truy vấn, biểu mẫu, báo cáo và macro của chúng. Bản thân các quyền này được lưu trữ trong cơ sở dữ liệu hỗ trợ bảo mật.

Lần đầu tiên người dùng chạy Access 2003 hoặc phiên bản cũ hơn, Access sẽ tự động tạo tệp thông tin nhóm làm việc Access được xác định bởi tên và thông tin tổ chức mà người dùng xác định khi cài đặt Access. Đối với Access 2003, chương trình thiết lập thêm vị trí tương đối của tệp thông tin nhóm làm việc này vào khóa đăng ký sau:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

và

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

Người dùng tiếp theo sẽ kế thừa đường dẫn tệp nhóm làm việc mặc định từ giá trị HKEY_USERS khóa đăng ký. Vì thông tin này thường dễ xác định nên người dùng không được phép có thể tạo một phiên bản khác của tệp thông tin nhóm làm việc này. Do đó, người dùng trái phép có thể giả định các quyền không thể thu hồi của tài khoản người quản trị (thành viên của nhóm Người quản trị) trong nhóm làm việc được xác định bởi tệp thông tin nhóm làm việc đó. Để ngăn không cho người dùng trái phép giả định các quyền này, hãy tạo một tệp thông tin nhóm làm việc mới và xác định ID nhóm làm việc (WID), chuỗi chữ và số phân biệt chữ hoa chữ thường dài từ 4 đến 20 ký tự mà bạn nhập khi tạo tệp thông tin nhóm làm việc mới. Việc tạo một nhóm làm việc mới sẽ nhận dạng duy nhất nhóm Quản trị của tệp nhóm làm việc này. Chỉ người biết WID mới có thể tạo bản sao của tệp thông tin nhóm làm việc. Để tạo tệp mới, bạn sử dụng Trình hướng dẫn User-Level mật.

Cách hoạt động của các quyền và ai có thể gán cho họ

Bảo mật mức người dùng nhận ra hai loại quyền: rõ ràng và ngầm. Quyền rõ ràng là các quyền được cấp trực tiếp cho tài khoản người dùng; không có người dùng nào khác bị ảnh hưởng. Các quyền ngầm là các quyền được cấp cho tài khoản nhóm. Việc thêm người dùng vào nhóm đó sẽ cấp quyền của nhóm cho người dùng đó; việc loại bỏ người dùng khỏi nhóm sẽ lấy đi quyền của nhóm khỏi người dùng đó.

Khi người dùng tìm cách thực hiện một thao tác trên đối tượng cơ sở dữ liệu sử dụng các tính năng bảo mật, tập hợp quyền của người dùng đó sẽ dựa trên giao điểm của quyền rõ ràng và ngầm của người dùng đó. Mức bảo mật của người dùng luôn hạn chế ít nhất các quyền rõ ràng của người dùng đó và quyền của bất kỳ và tất cả các nhóm mà người dùng đó thuộc về. Vì lý do này, cách ít phức tạp nhất để quản trị một nhóm làm việc là tạo nhóm mới và gán quyền cho các nhóm, chứ không phải cho người dùng cá nhân. Sau đó, bạn có thể thay đổi quyền của từng người dùng bằng cách thêm hoặc loại bỏ những người dùng đó khỏi nhóm. Ngoài ra, nếu bạn cần cấp quyền mới, bạn có thể cấp cho tất cả thành viên của một nhóm trong một thao tác duy nhất.

Có thể thay đổi quyền đối với một đối tượng cơ sở dữ liệu bằng cách:

• Thành viên của nhóm Người quản trị của tệp thông tin nhóm làm việc được sử dụng khi cơ sở dữ liệu được tạo.

• Chủ sở hữu của đối tượng.

• Bất kỳ người dùng nào có quyền Quản trị đối với đối tượng.

Mặc dù người dùng có thể hiện không thể thực hiện một hành động, họ có thể cấp cho chính mình quyền để thực hiện hành động. Điều này đúng nếu người dùng là thành viên của nhóm Người quản trị hoặc nếu người dùng là chủ sở hữu đối tượng.

Người dùng tạo bảng, truy vấn, biểu mẫu, báo cáo hoặc macro là chủ sở hữu của đối tượng đó. Ngoài ra, nhóm người dùng có thể thay đổi quyền trong cơ sở dữ liệu cũng có thể thay đổi quyền sở hữu của những đối tượng này hoặc họ có thể tạo lại những đối tượng này, cả hai đều là cách để thay đổi quyền sở hữu các đối tượng. Để tạo lại một đối tượng, bạn có thể tạo một bản sao của đối tượng hoặc bạn có thể nhập đối tượng từ đó hoặc xuất đối tượng đó vào một cơ sở dữ liệu khác. Đây là cách dễ nhất để chuyển quyền sở hữu đối tượng, bao gồm cả chính cơ sở dữ liệu đó.

Tài khoản bảo mật

Tệp thông tin nhóm làm việc Access 2003 chứa các tài khoản được xác định trước sau đây.

Trên thực tế, bảo mật trong Access 2003 và các phiên bản cũ hơn luôn hoạt động. Cho đến khi bạn kích hoạt thủ tục đăng nhập cho một nhóm làm việc, Access sẽ ghi nhật ký vô hình vào tất cả người dùng lúc khởi động bằng cách sử dụng tài khoản người dùng Quản trị mặc định với mật khẩu trống. Ở hậu trường, Access sử dụng tài Quản trị của bạn làm tài khoản người quản trị cho nhóm làm việc. Access sử dụng tài Quản trị bên cạnh chủ sở hữu (nhóm hoặc người dùng) của bất kỳ cơ sở dữ liệu và bảng, truy vấn, biểu mẫu, báo cáo và macro nào được tạo.

Người quản trị và chủ sở hữu rất quan trọng vì họ có các quyền không thể bị lấy đi:

• Người quản trị (thành viên của nhóm Người quản trị) luôn có thể nhận được toàn quyền đối với các đối tượng được tạo trong nhóm làm việc.

• Tài khoản sở hữu một bảng, truy vấn, biểu mẫu, báo cáo hoặc macro luôn có thể nhận được toàn quyền đối với đối tượng đó.

• Tài khoản sở hữu cơ sở dữ liệu luôn có thể mở cơ sở dữ liệu đó.

Vì tài khoản người dùng Quản trị hoàn toàn giống nhau với mọi bản sao của Access nên bước đầu tiên để giúp bảo mật cơ sở dữ liệu của bạn là xác định tài khoản người dùng quản trị và chủ sở hữu (hoặc sử dụng một tài khoản người dùng đơn lẻ làm cả tài khoản người quản trị và tài khoản chủ sở hữu), sau đó loại bỏ tài khoản người dùng Quản trị khỏi nhóm Người quản trị. Nếu không, bất kỳ ai có bản sao Access đều có thể đăng nhập vào nhóm làm việc của bạn bằng cách sử dụng tài khoản Quản trị và có toàn quyền đối với bảng, truy vấn, biểu mẫu, báo cáo và macro của nhóm làm việc.

Bạn có thể gán bao nhiêu tài khoản người dùng tùy thích cho nhóm Người quản trị nhưng chỉ một tài khoản người dùng mới có thể sở hữu cơ sở dữ liệu — tài khoản sở hữu là tài khoản người dùng hiện hoạt khi cơ sở dữ liệu được tạo hoặc khi quyền sở hữu được truyền bằng cách tạo một cơ sở dữ liệu mới và nhập toàn bộ đối tượng cơ sở dữ liệu vào cơ sở dữ liệu đó. Tuy nhiên, tài khoản nhóm có thể sở hữu các bảng, truy vấn, biểu mẫu, báo cáo và macro trong cơ sở dữ liệu.

Những điều cần cân nhắc khi tổ chức tài khoản bảo mật

• Chỉ tài khoản người dùng mới có thể đăng nhập vào Access; bạn không thể đăng nhập bằng cách sử dụng tài khoản nhóm.

• Các tài khoản mà bạn tạo cho người dùng cơ sở dữ liệu phải được lưu trữ trong tệp thông tin nhóm làm việc mà những người dùng đó sẽ gia nhập khi họ sử dụng cơ sở dữ liệu. Nếu bạn đang sử dụng một tệp khác để tạo cơ sở dữ liệu, hãy thay đổi tệp trước khi tạo tài khoản.

• Đảm bảo tạo mật khẩu duy nhất cho người quản trị và tài khoản người dùng của bạn. Người dùng có thể đăng nhập bằng tài khoản người quản trị luôn có thể nhận được toàn quyền đối với bất kỳ bảng, truy vấn, biểu mẫu, báo cáo và macro nào đã được tạo trong nhóm làm việc. Người dùng có thể đăng nhập bằng cách sử dụng tài khoản chủ sở hữu luôn có thể nhận được toàn quyền đối với những đối tượng thuộc sở hữu của người dùng đó.

Sau khi bạn tạo tài khoản người dùng và nhóm, bạn có thể xem và in mối quan hệ giữa chúng. Access in báo cáo của các tài khoản trong nhóm làm việc hiển thị các nhóm có mỗi người dùng và người dùng thuộc về từng nhóm.

Khởi động Trình hướng dẫn User-Level mật

1. Mở tệp .mdb hoặc .mde mà bạn muốn quản trị.

2. Trên tab Công cụ Cơ sở dữ liệu, trong nhóm Quản trị, hãy bấm vào mũi tên bên dưới Người dùng và Quyền, rồi bấm Trình hướng dẫn Bảo mật Mức Người dùng.

3. Làm theo các bước trên mỗi trang để hoàn thành trình hướng dẫn.

   Lưu ý: 

   • Trình hướng dẫn Bảo mật User-Level tạo bản sao lưu của cơ sở dữ liệu Access hiện tại có cùng tên và phần mở rộng tên tệp .bak, rồi triển khai các biện pháp bảo mật cho các đối tượng đã chọn trong cơ sở dữ liệu hiện tại.

   • Nếu cơ sở dữ liệu Access hiện tại của bạn giúp bảo vệ mã VBA bằng mật khẩu, trình hướng dẫn sẽ nhắc bạn nhập mật khẩu cho trình hướng dẫn để hoàn tất thành công thao tác.

   • Mọi mật khẩu bạn tạo thông qua trình hướng dẫn sẽ được in trong báo cáo Trình hướng dẫn Bảo mật User-Level, được in khi bạn hoàn tất bằng trình hướng dẫn. Bạn nên giữ báo cáo này ở một vị trí an toàn. Bạn có thể sử dụng báo cáo này để tạo lại tệp nhóm làm việc của mình nếu tệp đó bị mất hoặc bị hỏng.

Lưu bản sao của tệp trong . Định dạng ACCDB

1. Bấm tab Tệp. Dạng xem Backstage sẽ mở ra.

2. Ở bên trái, bấm Chia sẻ.

3. Ở bên phải, bấm vào Lưu Cơ sở dữ liệu Dưới dạng, rồi bấm vào Cơ sở dữ liệu Access (*.accdb).

   Hộp thoại Lưu Như sẽ xuất hiện.

4. Sử dụng danh sách Lưu Trong để tìm vị trí lưu cơ sở dữ liệu đã chuyển đổi.

5. Trong danh sách Lưu dưới dạng , chọn Cơ sở dữ liệu Access 2007-2016 (*.accdb).

6. Bấm Lưu.