Establecer o cambiar en Access 2007 la seguridad por usuarios de Access 2003

Si creó una base de datos en una versión anterior de Access y le aplicó seguridad por usuarios, los valores de configuración de seguridad permanecen en vigor al abrir el archivo en Microsoft Office Access 2007. Además, puede iniciar las herramientas de seguridad proporcionadas por Microsoft Office Access 2003, el Asistente para seguridad por usuarios y los diversos cuadros de diálogo de permisos de grupo y usuario desde Office Access 2007. En este artículo se explica el funcionamiento de las características de seguridad de Access 2003 y cómo se inician y utilizan en Access 2007.

Nota  La información de este artículo solo se aplica a bases de datos creadas en Access 2003 o en versiones anteriores (archivo .mdb). La seguridad por usuarios no está disponible para las bases de datos creadas en Office Access 2007 (archivos .accdb). Además, si convierte el archivo .mdb al nuevo formato (archivo .accdb), Office Access 2007 descarta los valores de configuración de seguridad por usuarios.

En este artículo

Comportamiento de la seguridad por usuarios en Access 2007

Conocer la seguridad por usuarios en Access 2003

Establecer seguridad por usuarios

Eliminar seguridad por usuarios

Referencia de permisos de objetos

Comportamiento de la seguridad por usuarios en Access 2007

Access 2007 proporciona seguridad por usuarios solo para las bases de datos creadas en Access 2003 y en versiones anteriores (archivos .mdb y .mde). En Access 2007, si abre una base de datos creada en una versión anterior de Access y dicha base de datos tiene aplicada seguridad por usuarios, la característica de seguridad funcionará tal como se diseñó para la misma. Por ejemplo, los usuarios deben especificar una contraseña para utilizarla.

Además, puede iniciar y ejecutar las diversas herramientas de seguridad proporcionadas por Access 2003 y versiones anteriores, como el Asistente para seguridad por usuarios y los diversos cuadros de diálogo de permisos de grupo y usuario. Según vaya avanzando, recuerde que las citadas herramientas solo están disponibles cuando se abre un archivo .mdb o .mde. Si convierte los archivos al formato de archivo de Office Access 2007, Access eliminará todas las características de seguridad existentes.

Volver al principio

Conocer la seguridad por usuarios en Access 2003

Las secciones siguientes proporcionan información auxiliar sobre la seguridad por usuarios en Access 2003 y versiones anteriores. Si ya está familiarizado con el modelo de seguridad y la seguridad por usuarios anteriores, puede omitir estas secciones y pasar directamente a las tituladas Establecer seguridad por usuarios o Eliminar seguridad por usuarios, más adelante en este artículo.

Conceptos básicos de la seguridad por usuarios

La seguridad por usuarios en Access 2007 es similar a los mecanismos de seguridad de los sistemas basados en servidor: utiliza contraseñas y permisos para permitir o restringir el acceso de personas o grupos de personas a los objetos de la base de datos. En Access 2003 o en versiones anteriores, cuando se implementa la seguridad por usuarios en una base de datos de Access, un administrador de base de datos o el propietario de un objeto pueden controlar las acciones que usuarios individuales o grupos de usuarios pueden realizar en las tablas, consultas, formularios, informes y macros de la base de datos. Por ejemplo, un grupo de usuarios puede cambiar los objetos de una base de datos, otro grupo solo puede incluir datos en determinadas tablas y un tercer grupo solo puede ver los datos de un conjunto de informes.

La seguridad por usuarios en Access 2003 y en versiones anteriores utiliza una combinación de contraseñas y permisos: un conjunto de atributos que especifica los tipos de acceso que un usuario tiene a los datos u objetos de una base de datos. Puede establecer contraseñas y permisos para personas o grupos de personas, y dichas combinaciones de contraseñas y permisos se convierten en cuentas de seguridad que definen los usuarios y grupos de usuarios a los que se permite el acceso a los objetos de la base de datos. A su vez, la combinación de usuarios y grupos se conoce como grupo de trabajo, y Access almacena la citada información en archivo de información de grupo de trabajo. Cuando se inicia, Access lee el archivo de información de grupo de trabajo e impone los permisos en función de los datos del archivo.

De forma predeterminada, Access proporciona un Id. de usuario integrado y dos grupos integrados. El Id. de usuario predeterminado es Admin y los grupos predeterminados son Users y Admins. De forma predeterminada, Access agrega el Id. de usuario integrado al grupo Users porque todos los Id. deben pertenecer a un grupo como mínimo. A su vez, el grupo Users tiene permisos completos sobre todos los objetos de una base de datos. Además, el Id. Admin también es miembro del grupo Admins. El grupo Admins debe contener un Id. de usuario como mínimo (debe haber un administrador de base de datos) y el Id. Admin es el administrador de base de datos predeterminado mientras no lo cambie.

Cuando inicia Access 2003 o versiones anteriores, Access le asigna el Id. de usuario Admin y, de este modo, le convierte en miembro de cada grupo predeterminado. Ese Id. y esos grupos (Admin y Users) proporcionan a todos los usuarios permisos completos sobre todos los objetos de una base de datos;  esto significa que cualquier usuario puede abrir, ver y cambiar todos los objetos de todos los archivos .mdb a menos que implemente la seguridad por usuarios.

Un método para implementar la seguridad por usuarios en Access 2003 o en versiones anteriores consiste en cambiar los permisos del grupo Users y agregar nuevos administradores a los grupos Admins. Al realizar esta acción, Access asigna automáticamente nuevos usuarios al grupo Users. Si toma esas medidas, los usuarios deberán iniciar sesión con una contraseña cada vez que abran la base de datos protegida. Sin embargo, si necesita implementar una seguridad más específica, como permitir que un grupo de usuarios especifique datos y otro solo pueda leer esos datos , debe crear usuarios y grupos adicionales y otorgarles permisos concretos a una parte o la totalidad de los objetos de la base de datos. La implementación de ese tipo de seguridad por usuarios puede llegar a ser una tarea compleja. Para simplificar el proceso, Access proporciona el Asistente para seguridad por usuarios, que facilita la creación de usuarios y grupos en un proceso de un solo paso.

El Asistente para seguridad por usuarios ayuda a asignar permisos y crear cuentas de usuario y de grupo. Las cuentas de usuario contienen nombres de usuario y números de Id. personales (PID) únicos necesarios para administrar los permisos de un usuario para ver, utilizar o cambiar objetos de base de datos en un grupo de trabajo de Access. Las cuentas de grupo son una colección de cuentas de usuario que, a su vez, residen en un grupo de trabajo. Access utiliza un nombre de grupo y un Id. personal para identificar cada grupo de trabajo, y los permisos asignados a un grupo se aplican a todos los usuarios del grupo. Para obtener más información sobre el uso del asistente, vea Establecer seguridad por usuarios, más adelante en este artículo.

Una vez finalizado el asistente, puede asignar, modificar o quitar manualmente permisos de cuentas de usuario y de grupo en el grupo de trabajo para una base de datos y sus tablas, consultas, formularios, informes y macros existentes. También puede establecer los permisos predeterminados que Access asigna para las nuevas tablas, consultas, formularios, informes y macros que usted u otro usuario agreguen a una base de datos.

Conocer los grupos de trabajo y los archivos de información de grupo de trabajo

En Access 2003 y en versiones anteriores, un grupo de trabajo es un grupo de usuarios de un entorno multiusuario que comparten datos. Un archivo de información de grupo de trabajo contiene las cuentas, contraseñas y permisos de usuario y de grupo establecidos para cada usuario individual o grupo de usuarios. Cuando abre una base de datos, Access lee los datos del archivo de información de grupo de trabajo e impone los valores de configuración de seguridad que el archivo contiene. A su vez, una cuenta de usuario es una combinación de un nombre de usuario y un Id. personal (PID) que Access crea para administrar los permisos de usuario. Las cuentas de grupo son colecciones de cuentas de usuario y Access también las identifica por un nombre de grupo y un Id. personal (PID). Los permisos asignados a un grupo se aplican a todos los usuarios del grupo. A esas cuentas de seguridad se les puede asignar permisos para bases de datos y sus tablas, consultas, formularios, informes y macros. Los propios permisos se almacenan en la base de datos con seguridad habilitada.

La primera vez que un usuario ejecuta Access 2003 o versiones anteriores, Access crea automáticamente un archivo de información de grupo de trabajo que se identifica por el nombre y la información de la organización que el usuario especifica cuando instala Access. El programa de instalación agrega la ubicación relativa de este archivo de información de grupo de trabajo a las siguientes claves del Registro:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

y

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

Los usuarios posteriores heredarán la ruta de acceso del archivo de grupo de trabajo predeterminado del valor de la clave del Registro HKEY_USERS. Dado que esta información se suele determinar fácilmente, es posible que usuarios no autorizados creen otra versión de este archivo de información de grupo de trabajo. Esto significa que usuarios no autorizados pueden adquirir los permisos irrevocables de una cuenta de administrador (miembro del grupo Admins) en el grupo de trabajo definido por dicho archivo de información de grupo de trabajo. Para evitar que usuarios no autorizados adquieran estos permisos, debe crear un nuevo archivo de información de grupo de trabajo y especificar un Id. de grupo de trabajo (WID), una cadena alfanumérica que distingue mayúsculas y minúsculas de 4 a 20 caracteres de longitud que se escribe cuando se crea un nuevo archivo de información de grupo de trabajo. La creación de un nuevo grupo de trabajo identifica de forma exclusiva el grupo Admins para este archivo de grupo de trabajo. Solo alguien que sepa cuál es el WID podrá crear una copia del archivo de información de grupo de trabajo. Para crear el nuevo archivo, puede utilizar la herramienta Administrador de grupos de trabajo.

Nota   Office Access 2007 no proporciona la herramienta Administrador de grupos de trabajo. Para obtener información sobre el uso del Administrador de grupos de trabajo, vea la Ayuda de Access 2003.

Las contraseñas y cuentas de usuario y de grupo que cree se guardarán en este archivo de información de grupo de trabajo, a menos que el usuario se una a un grupo de trabajo diferente mediante el uso de la herramienta Administrador de grupos de trabajo.

Importante  Asegúrese de anotar el nombre, la organización y el Id. de grupo de trabajo exactos, teniendo en cuenta las mayúsculas y minúsculas (de las tres entradas), y conserve esta información en un lugar seguro. Si necesita crear de nuevo el archivo de información de grupo de trabajo, debe proporcionar con exactitud los mismos nombre, organización e Id. de grupo de trabajo. Si olvida o pierde estas entradas, puede perder el acceso a las bases de datos.

Conocer cómo funcionan los permisos y quién puede asignarlos

La seguridad por usuarios reconoce dos tipos de permisos: explícitos e implícitos. Los permisos explícitos son aquellos que se conceden directamente a una cuenta de usuario; los demás usuarios no se ven afectados. Los permisos implícitos son los que se conceden a una cuenta de grupo. Si se agrega un usuario a ese grupo, se le conceden los permisos del grupo; si se quita un usuario del grupo, se le retiran los permisos del grupo.

Cando un usuario intenta realizar una operación en un objeto de base de datos que utiliza características de seguridad, el conjunto de permisos de dicho usuario está basado en la intersección de sus permisos explícitos e implícitos. El nivel de seguridad de un usuario siempre es el menos restrictivo de los permisos explícitos de dicho usuario y los permisos de uno cualquiera y la totalidad de grupos a que pertenece el citado usuario. Por este motivo, la forma menos complicada de administrar un grupo de trabajo es crear nuevos grupos y asignar permisos a los grupos, y no a los usuarios individuales. Después, puede cambiar permisos de usuarios individuales agregando o quitando esos usuarios de los grupos. Además, si necesita conceder nuevos permisos, puede otorgarlos a todos los miembros de un grupo en una sola operación.

Los permisos para un objeto de base de datos pueden ser cambiados por:

  • Los miembros del grupo Admins del archivo de información de grupo de trabajo en vigor cuando se creó la base de datos.

  • El propietario del objeto.

  • Los usuarios que tienen permisos de administrar pare el objeto.

Aunque los usuarios no puedan realizar actualmente una acción, pueden concederse permisos para realizarla. Esto se produce si un usuario es miembro del grupo Admins o si es el propietario de un objeto.

El usuario que crea una tabla, consulta, formulario, informe o macro es el propietario de ese objeto. Además, el grupo de usuarios que puede cambiar permisos en la base de datos también puede cambiar la propiedad de estos objetos, o puede volver a crear estos objetos; ambas son formas de cambiar la propiedad de los objetos. Para volver a crear un objeto, puede realizar una copia del mismo o puede importarlo de, o exportarlo a, otra base de datos. Esta es la forma más sencilla de transferir la propiedad de objetos, incluida la propia base de datos.

Nota  Las operaciones de copiar, importar o exportar no cambian la propiedad de una consulta que tenga su propiedad RunPermissions establecida en Owner's. Puede cambiar la propiedad de una consulta solo si su propiedad RunPermissions está establecida en User's.

Acerca de la organización de las cuentas de seguridad

Un archivo de información de grupo de trabajo de Access 2003 contiene las cuentas predefinidas siguientes.

Cuenta

Función

Admin

Cuenta de usuario predeterminada. Esta cuenta es exactamente la misma para todas las copias de Access y demás programas que pueden utilizar el motor de base de datos Microsoft Jet, como Visual Basic para Aplicaciones (VBA) y Microsoft Office Excel 2003.

Admins

Cuenta de grupo del administrador. Esta cuenta es única para cada archivo de información de grupo de trabajo. De forma predeterminada, el usuario Admin es miembro del grupo Admins. Debe haber un usuario como mínimo en el grupo Admins en todo momento.

Users

Cuenta de grupo que comprende todas las cuentas de usuario. Access agrega automáticamente cuentas de usuario al grupo Users cuando un miembro del grupo Admins las crea. Esta cuenta es la misma para cualquier archivo de información de grupo de trabajo, pero solo contiene cuentas de usuario creadas por miembro del grupo Admins de ese grupo de trabajo. De forma predeterminada, esta cuenta tiene permisos completos sobre todos los objetos de nueva creación. La única forma de quitar una cuenta de usuario del grupo Users es que un miembro del grupo Admins elimine dicho usuario.


Realmente, la seguridad en Access 2003 y en versiones anteriores siempre está activa. Hasta que se produce la activación del procedimiento de inicio de sesión para un grupo de trabajo, Access inicia la sesión de todos los usuarios de manera invisible al iniciarse mediante el uso de la cuenta de usuario Admin predeterminada con una contraseña en blanco. En segundo plano, Access utiliza la cuenta Admin como cuenta de administrador del grupo de trabajo. Access utiliza además esta cuenta para el propietario (grupo o usuario) de las bases de datos y tablas, consultas, formularios, informes y macros que se crean.

Los administradores y los propietarios son importantes porque tienen permisos que no se pueden quitar:

  • Los administradores (miembros del grupo Admins) pueden obtener siempre permisos completos para los objetos creados en el grupo de trabajo.

  • Una cuenta que es propietaria de una tabla, consulta, formulario, informe o macro puede obtener siempre permisos completos para ese objeto.

  • Una cuenta que es propietaria de una base de datos puede abrir siempre esa base de datos.

Dado que la cuenta de usuario Admin es exactamente la misma para todas las copias de Access, los primeros pasos que hay que dar para que la base de datos sea segura consisten en definir cuentas de administrador y propietario (o utilizar una sola cuenta de usuario como cuenta de administrador y cuenta de propietario) y, a continuación, quitar la cuenta de usuario Admin del grupo Admins. De lo contrario, cualquier persona que tenga una copia de Access podrá iniciar sesión en el grupo de trabajo mediante el uso de la cuenta Admin y disponer de permisos completos para las tablas, consultas, formularios, informes y macros del grupo de trabajo.

Puede asignar tantas cuentas de usuario como desee al grupo Admins, pero solo una cuenta de usuario puede ser propietaria de la base de datos; la cuenta propietaria es la cuenta de usuario que está activa cuando se crea la base de datos o cuando se transfiere la propiedad mediante la creación de una nueva base de datos y la importación a ella de todos los objetos de una base de datos. Sin embargo, las cuentas de grupo pueden ser propietarias de las tablas, consultas, formularios, informes y macros de una base de datos.

Consideraciones sobre la organización de cuentas de seguridad

  • Solo las cuentas de usuario pueden iniciar sesión en Access; no se puede iniciar sesión utilizando una cuenta de grupo.

  • Las cuentas que se crean para usuarios de la base de datos se deben almacenar en el archivo de información de grupo de trabajo al que se unirán dichos usuarios cuando utilicen la base de datos. Si se utiliza un archivo diferente para crear la base de datos, se ha de cambiar el archivo antes de crear las cuentas.

  • Hay que asegurarse de crear una contraseña única para las cuentas de administrador y de usuario. Un usuario que puede iniciar sesión utilizando la cuenta de administrador puede obtener siempre permisos completos para las tablas, consultas, formularios, informes y macros que se crean en el grupo de trabajo. Un usuario que puede iniciar sesión utilizando una cuenta de propietario puede obtener siempre permisos completos para los objetos que son propiedad de dicho usuario.

Después de crear cuentas de grupo y de usuario, puede ver e imprimir las relaciones entre ellas. Access imprime un informe de las cuentas del grupo de trabajo que muestra los grupos a que pertenece cada usuario y los usuarios que pertenecen a cada grupo.

Nota  Si utiliza un archivo de información de grupo de trabajo creado con Microsoft Access 2.0, debe iniciar sesión como miembro del grupo Admins para imprimir información de usuarios y grupos. Si el archivo de información de grupo de trabajo se creó con Microsoft Access 97 o una versión posterior, todos los usuarios del grupo de trabajo pueden imprimir información de usuarios y grupos.

Volver al principio

Establecer seguridad por usuarios

Los pasos de esta sección explican la forma de iniciar y ejecutar el Asistente para seguridad por usuarios. Recuerde que estos pasos solo se aplican a bases de datos creadas en Access 2003 o en versiones anteriores y que se abren en Office Access 2007.

Iniciar el Asistente para seguridad por usuarios

  1. Abra el archivo .mdb o .mde que desee proteger.

  2. En la ficha Herramientas de base de datos, en el grupo Administrar, haga clic en la flecha situada debajo de Usuarios y permisos y, a continuación, haga clic en Asistente para seguridad por usuarios.

  3. Siga los pasos en cada página para ejecutar el asistente.

Nota  

  • El Asistente para seguridad por usuarios crea una copia de seguridad de la base de datos de Access actual con el mismo nombre y una extensión de archivo .bak y, a continuación, utiliza medidas de seguridad para los objetos seleccionados de la base de datos actual.

  • Si la base de datos de Access utiliza una contraseña como ayuda al código de VBA de protección, el asistente la solicita y se le debe proporcionar para que pueda realizar su operación correctamente.

  • Las contraseñas creadas a través del asistente se incluyen en el informe del Asistente para seguridad por usuarios que se imprime una vez finalizada su utilización. Este informe se debe conservar en una ubicación segura y puede utilizarse para volver a crear el archivo de grupo de trabajo si se pierde o resulta dañado.

Volver al principio

Eliminar seguridad por usuarios

El único método para eliminar seguridad por usuarios mientras trabaja en Office Access 2007 consiste en convertir el archivo .mdb en un archivo .accdb. Puede convertir un archivo o guardar una copia del mismo en el formato de Access 2007. Los pasos de esta sección explican la forma de hacerlo.

Nota  Una base de datos de una versión anterior no se puede convertir si está cifrada. Se deben tener permisos suficientes para administrar la base de datos antes de descifrarla. Normalmente, esto implica pertenecer al grupo Admins del grupo de trabajo que se utilizó para proteger la base de datos.

Convertir el archivo

  1. Haga clic en el Botón de Office Imagen del botón de Microsoft Office y, a continuación, haga clic en Convertir.

    Aparece el cuadro de diálogo Guardar como.

  2. Use la lista Guardar en para buscar una ubicación en la que guardar la base de datos convertida.

  3. En la lista Guardar como tipo, seleccione Base de datos de Microsoft Office Access 2007 (*.accdb).

  4. Haga clic en Guardar.

Guardar una copia del archivo en el formato Access 2007

  1. Haga clic en el Botón de Office Imagen del botón de Microsoft Office.

  2. Seleccione Guardar como y, a continuación, haga clic en Formato de archivo de Access 2007.

    Aparece el cuadro de diálogo Guardar como.

  3. Use la lista Guardar en para buscar una ubicación en la que guardar el nuevo archivo.

  4. En la lista Guardar como tipo, asegúrese de que aparece Base de datos de Microsoft Office Access 2007 (*.accdb).

  5. Haga clic en Guardar.

Volver al principio

Referencia de permisos de objetos

La tabla siguiente enumera los permisos que se pueden establecer para una base de datos y los objetos de la misma, y describe el efecto o resultado de utilizar cada valor de configuración de permisos.

Permiso

Se aplica a estos objetos

Resultado

Abrir o ejecutar

Toda la base de datos, formularios, informes y macros

Los usuarios pueden abrir o ejecutar el objeto, incluidos los procedimientos de los módulos de código.

Abrir en modo exclusivo

Toda la base de datos

Los usuarios pueden abrir una base de datos e impedir el acceso a otros usuarios.

Leer diseño

Tablas, consultas, formularios, macros y módulos de código

Los usuarios pueden abrir los objetos enumerados en la vista Diseño.

Nota  Cada vez que se concede acceso a los datos de una tabla o consulta mediante la asignación de otro permiso, como Leer datos o Actualizar datos, también se deben conceder permisos Leer diseño porque el diseño debe estar visible para presentar y ver los datos correctamente.

Modificar diseño

Tablas, consultas, formularios, macros y módulos de código

Los usuarios pueden cambiar el diseño de los objetos enumerados.

Administrar

Toda la base de datos, tablas, consultas, formularios, macros y módulos de código

Los usuarios pueden asignar permisos a los objetos enumerados, aunque el usuario o grupo no sea propietario del objeto.

Leer datos

Tablas y consultas

Los usuarios pueden leer los datos de una tabla o consulta. Para conceder a los usuarios permisos para leer consultas, también debe concederles permisos para leer las consultas o tablas principales. Este valor de configuración lleva implícito el permiso Leer diseño, es decir, los usuarios pueden leer el diseño de la tabla o consulta además de los datos.

Actualizar datos

Tablas y consultas

Los usuarios pueden actualizar los datos de una tabla o consulta. Además, deben tener permisos para actualizar las consultas o tablas principales. Este valor de configuración lleva implícitos los permisos Leer diseño y Leer datos.

Insertar datos

Tablas y consultas

Los usuarios pueden insertar datos en una tabla o consulta. En el caso de consultas, los usuarios deben tener permisos para insertar datos en las consultas o tablas principales. Este valor de configuración lleva implícitos los permisos Leer datos y Leer diseño.

Eliminar datos

Tablas y consultas

Los usuarios pueden eliminar datos de una tabla o consulta. En el caso de consultas, los usuarios deben tener permisos para eliminar datos de las consultas o tablas principales. Este valor de configuración lleva implícitos los permisos Leer datos y Leer diseño.

Volver al principio

Se aplica a: Access 2007



¿Le ha sido útil esta información?

No

¿Cómo podemos mejorarlo?

255 caracteres restantes

Para proteger su privacidad, no incluya información de contacto en sus comentarios. Revisar política de privacidad.

¡Gracias por sus comentarios!

Recursos de soporte técnico

Cambiar idioma