Защита на уровне пользователя
Защита на уровне пользователя применяется в случаях, когда с одной БД работают несколько пользователей или групп пользователей, имеющих разные права доступа к объектам БД. Использовать защиту на уровне пользователя можно на отдельном компьютере и при коллективной работе в составе локальной сети.
Для организации защиты на уровне пользователя в системе Access создаются рабочие группы (РГ). Каждая рабочая группа определяет единую технологию работы совокупности пользователей. Система Access в произвольный момент времени может работать с одной РГ.
Информация о каждой РГ хранится в соответствующем файле РГ. При установке системы автоматически создается рабочая группа, которая описывается в файле system.mdw. В последующем можно изменять описание РГ (содержимое соответствующего файла РГ), а также создавать новые РГ. Для этой цели в системе имеется программа администратора РГ (АРГ).
Файл РГ описывает группы пользователей и отдельных пользователей, входящих в эту РГ. Он содержит учетные записи групп пользователей и отдельных пользователей. По каждой учетной записи система Access хранит права доступа к объектам базы данных.
По умолчанию в каждую рабочую группу входит две группы пользователей: администраторы (Admins) и обычные пользователи (Users). Причем, в группу Admins первоначально включен один администратор под именем Admin.
При создании группы указывается имя (идентификатор) группы и код, представляющий собой последовательность от 4 до 20 символов. При регистрации пользователей в системе защиты им присваивается имя, код и необязательный пароль. Имена групп и пользователей, их коды, а также пароли пользователей (если они заданы) Access скрывает от пользователя. Поэтому если пользователь их забудет, найти их в файле РГ и восстановить практически невозможно. Коды группы и пользователя используются для шифрования системой учетных записей в файле РГ.
Каждому из пользователей, независимо от принадлежности к группе, можно присвоить пароль. Этот пароль называется паролем учетной записи и хранится в файле РГ. Первоначально все включаемые в РГ пользователи, в том числе и пользователь Admin, не имеют пароля.
Каждой из групп приписываются определенные права на объекты БД. Члены группы Admins имеют максимальные права.
Наличие двух функциональных групп пользователей в рабочей группе, как правило, достаточно для организации нормальной работы коллектива пользователей. При необходимости можно создать дополнительные группы пользователей. Один пользователь может входить в несколько групп. При подключении пользователя, зарегистрированного в нескольких группах, действуют минимальные из установленных в разных группах ограничения на объекты БД.
Основные ограничения, действующие при создании рабочих групп и регистрации пользователей:
· Группы Admins и Users удалить невозможно.
· В группе Admins должен быть хотя бы один пользователь. Первоначально таким пользователем является пользователь Admin. Удалить пользователя Admin из этой группы можно после включения в нее еще одного пользователя.
· Все регистрируемые пользователи автоматически становятся членами групп Users. Удалить их из этой группы нельзя.
· Удалить пользователя Admin из рабочей группы нельзя (из группы Admins его можно удалить, а из группы Users – нет).
· Создаваемые группы не могут быть вложены в другие группы, другими словами, нельзя создавать иерархию групп пользователей.
· В системе защиты могут быть пустые группы, но не может быть пользователей, не входящих ни в одну группу (они обязательно войдут в группу Users).
Рабочая группа имеет структуру, показанную на рис. 7.1. Символами A, B и F обозначены созданные группы пользователей, а символами P1, P2, P3, P4 и Pn – пользователи. Все пользователи являются членами группы Users. Группа F пока пуста.
Рис. 7.1. Структура рабочей группы
Основное назначение системы защиты на уровне пользователя состоит в контроле прав доступа к объектам базы данных. Типы прав доступа, существующие в Access, приведены в табл. 7.1.
Права подключающегося пользователя делятся на явные и неявные. Явные права имеются в случае, если они определены для учетной записи пользователя. Неявные права – это права той группы, в которую входит пользователь.
Изменить права доступа других пользователей на объекты некоторой БД могут следующие пользователи:
· члены группы Admins, определенной в файле РГ, использовавшемся при создании базы данных;
· владелец объекта;
· пользователь, получивший на объект права администратора.
Изменить свои собственные права в сторону их расширения могут пользователи, являющиеся членами группы Admins и владельцы объекта.
Владельцем объекта считается пользователь, создавший объект. Владельца объекта можно изменить путем передачи права владельца другому.
Установка защиты на уровне пользователя сложнее парольной защиты. Она предполагает создание файла РГ, учетных записей пользователей и групп, включение пользователей в группы, назначение прав доступа к объектам базы данных пользователям и группам. Далее кратко рассматриваются эти операции.
Как отмечалось, манипуляции с файлами РГ выполняются с помощью программы АРГ. Программа АРГ имеет три функции: создание файла РГ, связь с произвольным файлом РГ и выход из программы. Исполняемый файл администратора имеет имя wrkgadm.exe.
Таблица 7.1
Типы прав доступа
Права доступа | Разрешенные действия | Объекты |
Открытие/запуск | Открытие базы данных, формы или отчета, запуск макроса | Базы данных, формы, отчеты и макросы |
Монопольный доступ | Открытие базы данных для монопольного доступа | Базы данных |
Чтение макета | Просмотр объектов в режиме конструктора | Таблицы, запросы, формы, отчеты, макросы и модули |
Изменение макета | Просмотр и изменение макета объектов или удаление объектов | Таблицы, запросы, формы, отчеты, макросы и модули |
Права администратора | Для баз данных: установка пароля, репликация и изменение параметров запуска. Для объектов базы данных: полные права на объекты и данные, в том числе предоставление прав доступа | Базы данных, таблицы, запросы, формы, отчеты, макросы и модули |
Чтение данных | Просмотр данных | Таблицы и запросы |
Обновление данных | Просмотр и изменение данных без их вставки и удаления | Таблицы и запросы |
Вставка данных | Просмотр и вставка данных без их изменения и удаления | Таблицы и запросы |
Удаление данных | Просмотр и удаление данных без их изменения и вставки | Таблицы и запросы |
Замечания:
· Для того чтобы обойти требование ввода пароля при входе в Access, достаточно задать другой файл рабочей группы, в котором оно не установлено. В простейшем случае – это создаваемый при установке системы файл system.mdw. Чтобы система использовала его, а не текущий файл, достаточно запустить программу администратора рабочих групп и с его помощью связать Access с «подставным» файлом. Файл рабочей группы не обязательно должен быть «родным». Несовпадение имени и названия организации не мешает нормальному запуску системы с другим файлом рабочей группы, который может находиться в любой папке.
· Чтобы обезопасить себя от порчи файла рабочей группы или утери пароля администратора из группы Admins, следует сохранить исходный файл рабочей группы в надежном месте. В критический момент следует подключиться к нужному файлу.
· При организации работы нескольких групп пользователей на одном компьютере целесообразно для каждой из групп создать свой файл рабочей группы. Перед началом работы следует подключиться к нужному файлу. Чтобы случайно не подключиться к чужому файлу и не дать возможности несанкционированному пользователю войти в систему Access, файл лучше хранить отдельно от системы.
Учетные записи отдельных пользователей и групп пользователей создаются с помощью команды Сервис | Защита | Пользователи и группы.
Определение прав пользователей и групп выполняется с помощью команды Сервис | Защита | Разрешения. Окно Разрешения имеет две вкладки: Разрешения и Смена владельца. Установка прав может выполняться по отношению к группам и отдельным пользователям. Выбор определяется с помощью переключателей в группе Список. Возможности манипуляций зависят от полномочий текущего пользователя, указываемого в нижней части окна.
Вкладка Смена владельца служит для смены владельца некоторого объекта БД. Новым владельцем может стать отдельный пользователь и группа. Если права владельца передаются учетной записи группы, то права владельца автоматически получают все пользователи этой группы. Возможности операций по смене владельца зависят от полномочий текущего пользователя.
Установку защиты базы данных на уровне пользователя можно выполнить с помощью Мастера защиты. Результат защиты – создание новой защищенной БД. Для вызова Мастера защиты следует открыть БД и выполнить команду Сервис | Защита | Мастер. Исходная БД при этом остается без изменения и, если не нужна, ее можно удалить.
Процедура снятия защиты на уровне пользователей включает два этапа:
1) предоставление группе Users полных прав на доступ к объектам базы данных;
2) изменение владельца базы данных – предоставление права владения пользователю Admin.
Чтобы снять защиту необходимо выполнить следующие действия:
1) Запустить Microsoft Access, открыть защищенную базу данных и подключиться к системе в качестве администратора (члена группы Admins).
2) Предоставить группе Users полные права на доступ ко всем объектам базы данных.
3) Закрыть базу данных и Access.
4) Запустить Microsoft Access.
5) Создать новую базу данных и зарегистрироваться под именем Admin.
6) Импортировать в новую базу данных все объекты из защищенной базы данных с помощью команды Файл | Внешние данные | Импорт.
7) Удалить пароль пользователя Admin, если текущий файл рабочей группы будет использоваться в дальнейшем. Если в дальнейшем будет использоваться стандартный файл рабочей групп system.mdw, то в этом нет необходимости.
Замечания:
· Система защиты Access позволяет создавать произвольное число групп пользователей, но создавать большое число групп не стоит.
· Права доступа пользователей лучше назначать на уровне групп. Это упрощает использование системы защиты для администратора и пользователей.
Дата добавления: 2016-06-15; просмотров: 3719;