В цій статті
Основи захисту на рівні користувачів
За замовчуванням в Access передбачена вбудованих користувача і дві вбудовані групи. Ідентифікатор користувача за замовчуванням адміністратором і групи за замовчуванням є користувачів і адміністраторів. За замовчуванням Access додасть ідентифікатор користувача вбудовані групи користувачів через всіх ідентифікаторів повинен належати принаймні одну групу. У свою чергу в групу користувачів дає повний доступ для всіх об'єктів в базі даних. Крім того ВД адміністратора також є членом групи адміністраторів. Групи адміністраторів повинен містити принаймні одному користувачу ID (повинен бути адміністратором бази даних), а ідентифікатор адміністратор - до адміністратора бази даних за замовчуванням, поки не буде змінено.
Після завершення роботи майстра можна вручну призначити, змінити або видалити дозволи для облікових записів користувачів і груп в робочій групі щодо бази даних і її таблиць, запитів, форм, звітів і макросів. Крім того, можна задати роздільну здатність за замовчуванням, які будуть призначатися в Access новим таблицями, запитами, формами, звітами і макросам, що додається в базу даних.
Робочі групи і файли робочих груп
Наступні користувачі успадковують шлях до файлу робочої групи за замовчуванням з значення розділу реєстру HKEY_USERS. Так як отримання цієї інформації часто не представляє особливої праці, існує ймовірність того, що зловмисник зможе створити іншу версію цього інформаційного файлу і отримати невід'ємні дозволу облікового запису адміністратора (члена групи "Адміністратори") в робочій групі, яка визначається цим інформаційним файлом робочої групи. Щоб запобігти такій ситуації, створіть новий інформаційний файл робочої групи і вкажіть ідентифікатор робочої групи - рядок з 4 - 20 цифр і букв (з урахуванням регістру), яка вводиться при створенні нового інформаційного файлу робочої групи. Створення нової робочої групи унікальним чином визначає групу "Адміністратори" для цього файлу робочої групи. Тільки користувач, якому Вам відомий робочої групи, зможе створити копію файлу робочої групи. Для створення файлу застосовується майстер захисту на рівні користувачів.
Важливо: Не забудьте запишіть ідентифікатор точне ім'я, назва організації і робочої групи, включаючи букв, чи є верхнього або нижнього регістру (для всіх трьох елементів) - і зберігати їх в надійному місці. Якщо необхідно повторно створити файл робочої групи, необхідно вказати точну ж ім'я, назва організації і робоча група ID. Якщо ви забули або втратили цих записів, можуть бути втрачені доступ до баз даних.
Дія дозволів і їх призначення
У механізмі захисту на рівні користувачів існує два типи дозволів: явні і неявні. Дозволи називаються явними, якщо вони безпосередньо надані облікового запису користувача; такі дозволи не впливають на вирішення інших користувачів. Неявними називаються дозволу, надані облікового запису групи. Користувач, доданий в таку групу, отримує всі дозволи, надані групі; видалення користувача з групи позбавляє його всіх дозволів, призначених їй.
При спробі користувача виконати будь-яку операцію з захищеним об'єктом бази даних його поточні дозволу визначаються поєднанням явних і неявних дозволів. На рівні користувачів завжди діють мінімальні обмеження з накладаються явними дозволами для користувача і для всіх груп, до яких належить даний користувач. Тому найпростішим способом управління робочою групою є створення нових груп і призначення дозволів для цих груп, а не для окремих користувачів. Після цього зміна дозволів для окремих користувачів здійснюється шляхом їх додавання в групи або видалення їх з груп. Крім того, при необхідності можна одночасно надати нові дозволи відразу всім членам групи.
Змінювати дозволу для окремих об'єктів бази даних можуть такі учасники:
члени групи "Адміністратори", визначеної у файлі робочої групи, який використовувався при створенні конкретної бази даних;
будь-який користувач, який отримав на цей об'єкт дозволу адміністратора.
У ряді випадків користувачі, які не мають дозволу на виконання якої-небудь дії, можуть призначити собі такі дозволи. Це справедливо для користувача, що є членом групи "Адміністратори" або власником об'єкта.
Користувач, який створив таблицю, запит, форму, звіт або макрос, є власником цього об'єкта. Крім того, група користувачів, здатних змінювати дозволу в базі даних, може також змінити власника об'єктів або заново створити ці об'єкти, причому в обох випадках відбувається зміна власника об'єктів. Щоб заново створити об'єкт, достатньо імпортувати або експортувати його в іншу базу даних або зробити його копію. Цей прийом є найпростішим способом зміни власника об'єктів, в тому числі і всієї бази даних.