在目前的 Access 版本中設定或變更 Access 2003 使用者層級安全性

使用者層級安全性的基本功能

Access 中的使用者層級安全性與伺服器端系統的安全性機制類似，它使用密碼和許可權來允許或限制個人或個人群組存取您資料庫中的物件。 在 Access 2003 或較舊版本中，當您在 Access 資料庫中實施使用者層級安全性時，資料庫系統管理員或物件擁有者可以控制個別使用者或使用者群組在資料庫中的資料表、查詢、表單、報表和宏上可執行檔動作。 例如，一組使用者可以變更資料庫中的物件，另一個群組只能將資料輸入特定資料表，而第三個群組只能查看一組報告中的資料。

Access 2003 和較舊版本中的使用者層級安全性會使用密碼和許可權的組合，這是一組屬性，可指定使用者對資料庫中的資料或物件具有的存取類型。 您可以為個人或個人群組設定密碼和許可權，這些密碼和許可權組合會變成安全帳戶，定義可存取資料庫中物件的使用者和使用者群組。 使用者和群組的組合又稱為工作組，而 Access 會將該資訊儲存在工作組資訊檔案中。 啟動時，Access 會讀取工作組資訊檔案，並依據檔案中的資料強制執行許可權。

根據預設，Access 會提供內建的使用者識別碼和兩個內建群組。 預設的使用者識別碼是系統管理員，而預設群組是使用者和系統管理員。 根據預設，Access 會將內建的使用者識別碼新增到使用者群組，因為所有識別碼都必須屬於至少一個群組。 使用者群組則擁有資料庫中所有物件的完整許可權。 此外，系統管理識別碼也是系統管理員群組的成員。 管理員群組必須包含至少一個使用者識別碼 (必須有資料庫系統管理員) ，而且管理員識別碼是預設的資料庫系統管理員，直到您變更它。

當您啟動 Access 2003 或較舊版本時，Access 會指派系統管理員使用者識別碼給您，因此您成為每個預設群組的成員。 該識別碼和這些群組 (系統管理員和使用者) 會給予所有使用者資料庫中所有物件的完整許可權，這表示除非您實施使用者層級安全性，否則任何使用者都可以開啟、查看及變更所有 .mdb 檔案中的所有物件。

若要在 Access 2003 或較舊版本中實施使用者層級安全性，其中一個方法就是變更使用者群組的許可權，並新增系統管理員至管理員群組。 當您這麼做時，Access 會自動將新使用者指派給使用者群組。 當您執行這些步驟時，每當使用者開啟受保護的資料庫時，都必須使用密碼登入。 不過，如果您需要執行更特定的安全性 ，例如允許一組使用者輸入資料，另一組使用者唯讀取該資料，則必須建立其他使用者和群組，並授予他們資料庫中部分或所有物件的特定許可權。 執行這類使用者層級安全性可能會是一項複雜的工作。 為了協助簡化程式，Access 提供User-Level精靈，讓建立使用者和群組的一個步驟變得更容易。

安全User-Level精靈可協助您指派許可權，以及建立使用者和群群組帳戶。 使用者帳戶包含使用者名稱和唯一個人識別碼 (PIDs) 管理使用者的許可權，以在 Access 工作組中查看、使用或變更資料庫物件。 群群組帳戶是使用者帳戶的集合，進而位於工作組中。 Access 會使用組名和 PID 來識別每個工作組，指派給群組的許可權會適用于群組中的所有使用者。 有關使用精靈的資訊，請參閱本文稍後的 設定使用者層級安全性。

完成精靈之後，您可以手動指派、修改或移除工作組中資料庫及其現有資料表、查詢、表單、報表和宏的使用者和群群組帳戶許可權。 您也可以設定 Access 針對您或其他使用者新增到資料庫的任何新資料表、查詢、表單、報表和宏所指派的預設許可權。

工作組和工作組資訊檔案

在 Access 2003 和較舊版本中，工作組是在多使用者環境中共用資料的一組使用者。 工作組資訊檔案包含每個使用者或使用者群組的使用者和群群組帳戶、密碼和許可權設定。 當您開啟資料庫時，Access 會讀取工作組資訊檔案的資料，並強制執行檔案包含的安全性設定。 使用者帳戶是使用者名稱和個人識別碼的組合， (Access) PID 帳戶來管理使用者的許可權。 群群組帳戶是使用者帳戶的集合，Access 也會根據組名和個人識別碼來識別這些 (PID) 。 指派給群組的許可權會適用于群組中的所有使用者。 然後，這些安全性帳戶就可以被指派資料庫及其資料表、查詢、表單、報表和宏的許可權。 許可權本身會儲存在已啟用安全性的資料庫中。

當使用者第一次執行 Access 2003 或較舊版本時，Access 會自動建立一個 Access 工作組資訊檔案，該檔案會以使用者安裝 Access 時指定的名稱和組織資訊識別。 針對 Access 2003，安裝程式會將此工作組資訊檔案的相對位置新增到下列登錄機碼：

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

和

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

後續使用者將繼承預設工作組檔案路徑，從登錄HKEY_USERS的值。 由於此資訊通常很容易判斷，因此未經授權的使用者可能會建立此工作組資訊檔案的另一個版本。 因此，未經授權的使用者可能會假設系統管理員帳戶不可撤銷的許可權 (該工作組資訊檔案定義之工作組中的) 管理員群組成員。 若要防止未經授權的使用者假設這些許可權，請建立新工作組資訊檔案，並指定工作組識別碼 (WID) ，這是當您建立新工作組資訊檔案時輸入的 4 到 20 個字元區分大小寫的字母數位字串。 建立新工作組可唯一識別此工作組檔案的管理員群組。 只有知道 WID 的人才能建立工作組資訊檔案的一份副本。 若要建立新檔案，請使用User-Level精靈。

許可權如何工作，以及誰可以指派許可權

使用者層級安全性可識別兩種許可權類型：明確和隱含。 明確許可權是直接授予使用者帳戶的許可權;不會影響其他使用者。 隱含許可權是授予群群組帳戶的許可權。 將使用者新增到該群組，會授予該群組的許可權給該使用者;將使用者從群組移除會移除該群組的許可權。

當使用者嘗試對採用安全性功能的資料庫物件執行作業時，該使用者的許可權組是根據該使用者明確和隱含許可權的交集。 使用者的安全性層級一向是該使用者明確許可權，以及該使用者所屬之任何及所有群組之許可權的限制最低。 因此，管理工作組最不復雜的方法就是建立新群組並指派許可權給群組，而不是指派給個別使用者。 然後，您可以新增或移除群組中的這些使用者，以變更個別使用者的許可權。 此外，如果您需要授予新許可權，您可以在單一作業中將許可權授予群組的所有成員。

您可以變更資料庫物件的許可權，方法為：

• 資料庫建立時，使用中工作組資訊檔案的系統管理員群組成員。

• 物件的擁有者。

• 具有物件管理許可權的任何使用者。

即使使用者目前可能無法執行動作，他們還是可以自行授予執行動作的許可權。 如果使用者是系統管理員群組的成員，或使用者是物件的擁有者，則此為 True。

建立資料表、查詢、表單、報表或宏的使用者是該物件的擁有者。 此外，可以變更資料庫中許可權的使用者群組也可以變更這些物件的擁有權，或者他們可以重新建立這些物件，這兩種都是變更物件擁有權的方法。 若要重新建立物件，您可以複製物件，也可以從另一個資料庫匯出物件，或將其匯出至另一個資料庫。 這是移轉物件擁有權最簡單的方法，包括資料庫本身。

安全性帳戶

Access 2003 工作組資訊檔案包含下列預先定義的帳戶。

事實上，Access 2003 和較舊版本的安全性一直有效。 在啟用工作組的登入程式之前，Access 會以空白密碼使用預設的系統管理員使用者帳戶，在啟動時以不公開方式登入所有使用者。 在幕後，Access 會使用系統管理員帳戶做為工作組的系統管理員帳戶。 Access 除了任何資料庫和資料表 (群組或使用者) 、查詢、表單、報表和宏的擁有者之外，也使用系統管理帳戶。

系統管理員和擁有者很重要，因為他們擁有的許可權無法被取走：

• 系統管理員 (管理員群組成員) 永遠可以取得在工作組中建立之物件的完整許可權。

• 擁有資料表、查詢、表單、報表或宏的帳戶永遠可以取得該物件的完整許可權。

• 擁有資料庫的帳戶隨時都可以開啟該資料庫。

由於每個 Access 的系統管理員使用者帳戶完全相同，因此協助保護資料庫的第一個步驟是定義系統管理員和擁有者使用者帳戶 (或使用單一使用者帳戶做為系統管理員和擁有者帳戶) ，然後從系統管理員群組移除系統管理員使用者帳戶。 否則，擁有 Access 副本的任何人都可以使用系統管理員帳戶登入您的工作組，並擁有工作組資料表、查詢、表單、報表和宏的完整許可權。

您可以指派多少個使用者帳戶給管理員群組，但只有一個使用者帳戶可以擁有資料庫—擁有帳戶是建立資料庫時，或當擁有權移轉時，建立新資料庫，並將所有資料庫物件都移轉至其中時，會使用中的使用者帳戶。 不過，群群組帳戶可以在資料庫中擁有資料表、查詢、表單、報表和宏。

組織安全性帳戶時考慮事項

• 只有使用者帳戶可以登入 Access;無法使用群群組帳戶登入。

• 您為資料庫使用者建立的帳戶必須儲存在使用資料庫時將會加入的工作組資訊檔案中。 如果您使用其他檔案來建立資料庫，請變更檔案，然後再建立帳戶。

• 請務必為系統管理員和使用者帳戶建立唯一密碼。 可以使用系統管理員帳戶登入的使用者，永遠可以取得工作組中建立之任何資料表、查詢、表單、報表和宏的完整許可權。 可以使用擁有者帳戶登入的使用者，永遠可以取得該使用者擁有之物件的完整許可權。

建立使用者和群群組帳戶之後，您可以查看及列印它們之間的關係。 Access 會列印工作組中帳戶的報告，其中顯示每個使用者所屬的群組，以及屬於每個群組的使用者。

啟動User-Level精靈

1. 開啟您想要管理的 .mdb 或 .mde 檔案。

2. 在 [資料庫工具」的[資料庫工具> 的 [管理群組中，按一下 [使用者與許可權》 下方的箭段，然後按一下 [使用者層級安全性精靈。

3. 請遵循每個頁面上的步驟完成精靈。

   附註: 

   • User-Level精靈會以相同的名稱及 .bak 副檔名建立目前 Access 資料庫的備份副本，然後針對目前資料庫中選取的物件採用安全性措施。

   • 如果您目前的 Access 資料庫使用密碼協助保護 VBA 程式碼，精靈會提示您輸入密碼，您必須輸入密碼，精靈才能順利完成作業。

   • 您透過精靈建立的任何密碼，會列印User-Level精靈報告，此報告會在您完成使用精靈時列印。 您應將這份報告保持在安全的位置。 如果工作組檔案遺失或已損壞，您可以使用此報表來重新建立。

在 中儲存檔案的一份副本。ACCDB 格式

1. 按一下 [檔案] 索引標籤。 Backstage 檢視隨即開啟。

2. 按一下左側的 [共用。

3. 按一下右邊的[另存資料庫為，然後按一下Access Database (*.accdb) 。

   [另存新檔] 對話方塊隨即出現。

4. 使用儲存在 清單中 尋找儲存轉換資料庫的位置。

5. 在儲存為類型清單中，選取Access 2007-2016 資料庫 (*.accdb) 。

6. 按一下 [儲存]。