Nastavení nebo změna zabezpečení na úrovni uživatele aplikace Access 2003 v aktuálních verzích Accessu

Základy zabezpečení na úrovni uživatele

Zabezpečení na úrovni uživatele v Accessu se podobá mechanismům zabezpečení v serverových systémech – používá hesla a oprávnění k povolení nebo omezení přístupu jednotlivců nebo skupin jednotlivců k objektům v databázi. Když v Accessu 2003 nebo starších verzích implementujete zabezpečení na úrovni uživatele v accessové databázi, může správce databáze nebo vlastník objektu řídit akce, které můžou jednotliví uživatelé nebo skupiny uživatelů provádět s tabulkami, dotazy, formuláři, sestavami a makry v databázi. Například jedna skupina uživatelů může měnit objekty v databázi, jiná skupina může zadávat data jenom do určitých tabulek a třetí skupina může data zobrazit jenom v sadě sestav.

Zabezpečení na úrovni uživatele v Accessu 2003 a starších verzích používá kombinaci hesel a oprávnění – sady atributů, které určují typy přístupu uživatele k datům nebo objektům v databázi. Můžete nastavit hesla a oprávnění pro jednotlivce nebo skupiny jednotlivců a tyto kombinace hesel a oprávnění se stanou účty zabezpečení, které definují uživatele a skupiny uživatelů, kteří mají povolený přístup k objektům ve vaší databázi. Kombinace uživatelů a skupin se zase označuje jako pracovní skupina a Access ukládá informace do informačního souboru pracovní skupiny. Při spuštění access načte informační soubor pracovní skupiny a vynucuje oprávnění na základě dat v souboru.

Access ve výchozím nastavení poskytuje předdefinované ID uživatele a dvě předdefinované skupiny. Výchozí ID uživatele je Správa a výchozí skupiny jsou Uživatelé a Správci. Access ve výchozím nastavení přidá předdefinované ID uživatele do skupiny Users, protože všechna ID musí patřit alespoň do jedné skupiny. Skupina Uživatelé má naopak úplná oprávnění ke všem objektům v databázi. Id Správa je navíc také členem skupiny Admins. Skupina Admins musí obsahovat alespoň jedno ID uživatele (musí existovat správce databáze) a id Správa je výchozím správcem databáze, dokud ho nezměníte.

Při spuštění accessu 2003 nebo starších verzí vám Access přiřadí id uživatele Správa, a tím z vás udělá člena každé výchozí skupiny. Toto ID a tyto skupiny (Správa a Uživatelé) poskytují všem uživatelům úplná oprávnění ke všem objektům v databázi – to znamená, že každý uživatel může otevřít, zobrazit a změnit všechny objekty ve všech .mdb souborech, pokud neimplementujete zabezpečení na úrovni uživatele.

Jedním ze způsobů, jak implementovat zabezpečení na úrovni uživatele v Accessu 2003 nebo starších verzích, je změnit oprávnění pro skupinu Uživatelé a přidat nové správce do skupin Admins. Když to uděláte, Access automaticky přiřadí nové uživatele do skupiny Uživatelé. Při provedení těchto kroků se uživatelé musí při každém otevření chráněné databáze přihlásit pomocí hesla. Pokud ale potřebujete implementovat konkrétnější zabezpečení – například umožnit jedné skupině uživatelů zadávat data a jiné jen číst tato data – musíte vytvořit další uživatele a skupiny a udělit jim specifická oprávnění pro některé nebo všechny objekty v databázi. Implementace tohoto typu zabezpečení na úrovni uživatele se může stát složitým úkolem. Pro zjednodušení procesu access poskytuje Průvodce User-Level zabezpečením, který usnadňuje vytváření uživatelů a skupin v jednom kroku.

Průvodce zabezpečením User-Level vám pomůže přiřazovat oprávnění a vytvářet uživatelské a skupinové účty. Uživatelské účty obsahují uživatelská jména a jedinečná osobní ID (PID) potřebná ke správě uživatelských oprávnění k zobrazení, používání nebo změně databázových objektů v pracovní skupině Accessu. Skupinové účty jsou kolekce uživatelských účtů, které se zase nacházejí v pracovní skupině. Access používá název skupiny a PID k identifikaci každé pracovní skupiny a oprávnění přiřazená skupině platí pro všechny uživatele ve skupině. Další informace o použití průvodce najdete v části Nastavení zabezpečení na úrovni uživatele dále v tomto článku.

Po dokončení průvodce můžete ručně přiřadit, upravit nebo odebrat oprávnění uživatelským a skupinovým účtům ve vaší pracovní skupině pro databázi a její existující tabulky, dotazy, formuláře, sestavy a makra. Můžete také nastavit výchozí oprávnění, která Access přiřadí všem novým tabulkám, dotazům, formulářům, sestavám a makrům, které vy nebo jiný uživatel přidáte do databáze.

Pracovní skupiny a informační soubory pracovních skupin

V accessu 2003 a starších verzích je pracovní skupina skupinou uživatelů v prostředí s více uživateli, kteří sdílejí data. Informační soubor pracovní skupiny obsahuje uživatelské a skupinové účty, hesla a oprávnění nastavená pro každého jednotlivého uživatele nebo skupinu uživatelů. Když otevřete databázi, Access přečte data v informačním souboru pracovní skupiny a vynutí nastavení zabezpečení, která soubor obsahuje. Uživatelský účet je zase kombinací uživatelského jména a osobního ID (PID), kterou Access vytvoří ke správě oprávnění uživatele. Skupinové účty jsou kolekce uživatelských účtů a Access je také identifikuje podle názvu skupiny a osobního ID (PID). Oprávnění přiřazená skupině platí pro všechny uživatele ve skupině. Těmto účtům zabezpečení je pak možné přiřadit oprávnění k databázím a jejich tabulkám, dotazům, formulářům, sestavám a makrům. Samotná oprávnění jsou uložená v databázi s povoleným zabezpečením.

Když uživatel poprvé spustí Access 2003 nebo starší verze, Access automaticky vytvoří informační soubor pracovní skupiny Aplikace Access, který je identifikován názvem a informacemi o organizaci, které uživatel určí při instalaci Accessu. Pro Access 2003 instalační program přidá relativní umístění tohoto informačního souboru pracovní skupiny do následujících klíčů registru:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

a

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

Další uživatelé zdědí výchozí cestu k souboru pracovní skupiny z hodnoty v klíči registru HKEY_USERS. Vzhledem k tomu, že tyto informace je často snadné zjistit, je možné, aby neautorizovaným uživatelům vytvořili jinou verzi tohoto informačního souboru pracovní skupiny. V důsledku toho by neoprávnění uživatelé mohli převzít neodvolatelná oprávnění účtu správce (člena skupiny Admins) v pracovní skupině definované informačním souborem pracovní skupiny. Chcete-li zabránit neoprávněným uživatelům v převzetí těchto oprávnění, vytvořte nový informační soubor pracovní skupiny a zadejte ID pracovní skupiny (WID), což je alfanumerický řetězec rozlišující velká a malá písmena dlouhý 4 až 20 znaků, který zadáte při vytváření nového informačního souboru pracovní skupiny. Vytvoření nové pracovní skupiny jednoznačně identifikuje skupinu Správa pro tento soubor pracovní skupiny. Kopii informačního souboru pracovní skupiny bude moct vytvořit jenom ten, kdo zná interní databázi WiD. K vytvoření nového souboru použijte Průvodce zabezpečením User-Level.

Jak oprávnění fungují a kdo je může přiřadit

Zabezpečení na úrovni uživatele rozpoznává dva typy oprávnění: explicitní a implicitní. Explicitní oprávnění jsou oprávnění, která jsou udělena přímo uživatelskému účtu; nejsou ovlivněni žádní ostatní uživatelé. Implicitní oprávnění jsou oprávnění udělená skupinovému účtu. Přidání uživatele do této skupiny uděluje oprávnění skupiny danému uživateli. Odebrání uživatele ze skupiny odebere oprávnění skupiny od tohoto uživatele.

Když se uživatel pokusí provést operaci s databázovým objektem, který využívá funkce zabezpečení, je sada oprávnění tohoto uživatele založena na průniku explicitních a implicitních oprávnění daného uživatele. Úroveň zabezpečení uživatele je vždy nejméně omezující z explicitních oprávnění daného uživatele a oprávnění všech skupin, do kterých uživatel patří. Z tohoto důvodu je nejméně složitým způsobem správy pracovní skupiny vytvoření nových skupin a přiřazení oprávnění skupinám, nikoli jednotlivým uživatelům. Potom můžete změnit oprávnění jednotlivých uživatelů přidáním nebo odebráním těchto uživatelů ze skupin. Pokud potřebujete udělit nová oprávnění, můžete je udělit všem členům skupiny v rámci jedné operace.

Oprávnění pro databázový objekt je možné změnit:

• Členové skupiny Admins informačního souboru pracovní skupiny, který se používá při vytváření databáze.

• Vlastník objektu.

• Každý uživatel, který má oprávnění ke správě objektu.

I když uživatelé nemusí být momentálně schopni provést akci, můžou sami sobě udělit oprávnění k provedení akce. To platí, pokud je uživatel členem skupiny Admins nebo pokud je uživatel vlastníkem objektu.

Vlastníkem tohoto objektu je uživatel, který vytváří tabulku, dotaz, formulář, sestavu nebo makro. Kromě toho může změnit vlastnictví těchto objektů také skupina uživatelů, kteří můžou měnit oprávnění v databázi, nebo mohou tyto objekty znovu vytvořit, což jsou oba způsoby, jak změnit vlastnictví objektů. Pokud chcete objekt znovu vytvořit, můžete vytvořit jeho kopii nebo ho můžete importovat z jiné databáze nebo ho exportovat do jiné databáze. Jedná se o nejjednodušší způsob, jak přenést vlastnictví objektů, včetně samotné databáze.

Účty zabezpečení

Informační soubor pracovní skupiny aplikace Access 2003 obsahuje následující předdefinované účty.

Zabezpečení v Accessu 2003 a starších verzích je v podstatě vždy aktivní. Dokud neaktivujete postup přihlášení pro pracovní skupinu, Access neviditelně přihlásí všechny uživatele při spuštění pomocí výchozího Správa uživatelského účtu s prázdným heslem. Access na pozadí používá účet Správa jako účet správce pracovní skupiny. Access používá účet Správa kromě vlastníka (skupiny nebo uživatele) všech databází a tabulek, dotazů, formulářů, sestav a maker, které se vytvoří.

Správci a vlastníci jsou důležití, protože mají oprávnění, která se nedají odebrat:

• Správci (členové skupiny Admins) můžou vždy získat úplná oprávnění k objektům vytvořeným v pracovní skupině.

• Účet, který vlastní tabulku, dotaz, formulář, sestavu nebo makro, může vždy získat úplná oprávnění k danému objektu.

• Účet, který vlastní databázi, může databázi vždy otevřít.

Vzhledem k tomu, že uživatelský účet Správa je pro každou kopii Accessu úplně stejný, je prvním postupem, jak databázi zabezpečit, definování uživatelských účtů správce a vlastníka (nebo použití jednoho uživatelského účtu jako účtu správce i vlastníka) a následné odebrání uživatelského účtu Správa ze skupiny Admins. Jinak se každý, kdo má kopii Accessu, může přihlásit k vaší pracovní skupině pomocí účtu Správa a mít úplná oprávnění k tabulkám, dotazům, formulářům, sestavám a makrům pracovní skupiny.

Skupině Admins můžete přiřadit libovolný počet uživatelských účtů, ale databázi může vlastnit pouze jeden uživatelský účet – vlastnící účet je uživatelský účet, který je aktivní při vytvoření databáze nebo při převodu vlastnictví vytvořením nové databáze a importem všech objektů databáze do ní. Skupinové účty ale můžou vlastnit tabulky, dotazy, formuláře, sestavy a makra v rámci databáze.

Důležité informace o uspořádání účtů zabezpečení

• K Accessu se můžou přihlásit jenom uživatelské účty. nemůžete se přihlásit pomocí skupinového účtu.

• Účty, které vytvoříte pro uživatele databáze, musí být uložené v informačním souboru pracovní skupiny, ke kterému se tito uživatelé při použití databáze připojí. Pokud k vytvoření databáze používáte jiný soubor, před vytvořením účtů ho změňte.

• Nezapomeňte vytvořit jedinečné heslo pro účty správce a uživatele. Uživatel, který se může přihlásit pomocí účtu správce, může vždy získat úplná oprávnění pro všechny tabulky, dotazy, formuláře, sestavy a makra vytvořené v pracovní skupině. Uživatel, který se může přihlásit pomocí účtu vlastníka, může vždy získat úplná oprávnění pro objekty vlastněné tímto uživatelem.

Po vytvoření uživatelských a skupinových účtů můžete zobrazit a vytisknout vztahy mezi nimi. Access vytiskne sestavu účtů v pracovní skupině, která zobrazuje skupiny, do kterých každý uživatel patří, a uživatele, kteří patří do každé skupiny.

Spuštění Průvodce zabezpečením User-Level

1. Otevřete soubor .mdb nebo .mde, který chcete spravovat.

2. Na kartě Databázové nástroje klikněte ve skupině Spravovat na šipku pod položkou Uživatelé a oprávnění a potom klikněte na Průvodce zabezpečením na úrovni uživatele.

3. Průvodce dokončete podle pokynů na každé stránce.

   Poznámky: 

   • Průvodce User-Level zabezpečením vytvoří záložní kopii aktuální databáze aplikace Access se stejným názvem a příponou názvu souboru .bak a pak použije bezpečnostní opatření pro vybrané objekty v aktuální databázi.

   • Pokud vaše aktuální accessová databáze pomáhá chránit kód jazyka VBA pomocí hesla, průvodce vás vyzve k zadání hesla, které musíte zadat, aby průvodce úspěšně dokončil jeho operaci.

   • Všechna hesla, která vytvoříte prostřednictvím průvodce, se vytisknou v sestavě Průvodce zabezpečením User-Level, která se vytiskne po dokončení průvodce. Tuto sestavu byste měli uchovávat v zabezpečeném umístění. Tuto sestavu můžete použít k opětovnému vytvoření souboru pracovní skupiny, pokud je ztracený nebo poškozený.

Uložte kopii souboru do . Formát ACCDB

1. Klikněte na kartu Soubor. Otevře se zobrazení Backstage.

2. Na levé straně klikněte na Sdílet.

3. Na pravé straně klikněte na Uložit databázi jako a potom klikněte na Databáze Accessu (*.accdb).

   Zobrazí se dialogové okno Uložit jako.

4. Pomocí seznamu Uložit do vyhledejte umístění, do kterého chcete převedenou databázi uložit.

5. V seznamu Uložit jako typ vyberte Databáze Accessu 2007–2016 (*.accdb).

6. Klikněte na Uložit.