現在の Access バージョンで Access 2003 ユーザー レベルのセキュリティを設定または変更する

ユーザー レベルのセキュリティの基本

Access のユーザー レベルのセキュリティは、サーバー ベースのシステム上のセキュリティ メカニズムに似ています。パスワードとアクセス許可を使用して、データベース内のオブジェクトに対する個人または個人のグループのアクセスを許可または制限します。 Access 2003 以前のバージョンでは、Access データベースにユーザー レベルのセキュリティを実装する場合、データベース管理者またはオブジェクトの所有者は、データベース内のテーブル、クエリ、フォーム、レポート、マクロに対して個々のユーザーまたはユーザーのグループが実行できるアクションを制御できます。 たとえば、ユーザーの 1 つのグループがデータベース内のオブジェクトを変更でき、別のグループは特定のテーブルにのみデータを入力でき、3 番目のグループはレポートのセット内のデータのみを表示できます。

Access 2003 以前のバージョンのユーザー レベルのセキュリティでは、パスワードとアクセス許可の組み合わせが使用されます。これは、ユーザーがデータベース内のデータまたはオブジェクトに対して持つアクセスの種類を指定する属性のセットです。 個人または個人のグループに対してパスワードとアクセス許可を設定できます。パスワードとアクセス許可の組み合わせは、データベース内のオブジェクトへのアクセスを許可されているユーザーとユーザーのグループを定義するセキュリティ アカウントになります。 さらに、ユーザーとグループの組み合わせはワークグループと呼ばれ、Access はその情報をワークグループ情報ファイルに格納します。 起動時に、Access はワークグループ情報ファイルを読み取り、ファイル内のデータに基づいてアクセス許可を適用します。

既定では、Access は組み込みのユーザー ID と 2 つの組み込みグループを提供します。 既定のユーザー ID は管理、既定のグループは Users と Admins です。 既定では、すべての ID が少なくとも 1 つのグループに属している必要があるため、Access によって組み込みのユーザー ID が Users グループに追加されます。 さらに、Users グループには、データベース内のすべてのオブジェクトに対する完全なアクセス許可があります。 さらに、管理 ID は Admins グループのメンバーでもあります。 Admins グループには、少なくとも 1 つのユーザー ID (データベース管理者が存在する必要があります) が含まれている必要があり、管理 ID は、変更するまでの既定のデータベース管理者です。

Access 2003 以前のバージョンを起動すると、Access によって 管理 ユーザー ID が割り当てられるため、各既定のグループのメンバーになります。 その ID とそれらのグループ (管理とユーザー) は、データベース内のすべてのオブジェクトに対するすべてのユーザーに完全なアクセス許可を付与します。つまり、ユーザー レベルのセキュリティを実装しない限り、すべてのユーザーがすべての.mdb ファイル内のすべてのオブジェクトを開き、表示、変更できます。

Access 2003 以前のバージョンでユーザー レベルのセキュリティを実装する方法の 1 つは、Users グループのアクセス許可を変更し、管理者グループに新しい管理者を追加することです。 これを行うと、Access によって新しいユーザーが [ユーザー] グループに自動的に割り当てられます。 これらの手順を実行する場合、ユーザーは保護されたデータベースを開くたびにパスワードでログインする必要があります。 ただし、より具体的なセキュリティを実装する必要がある場合 (たとえば、1 つのユーザー グループがデータを入力し、別のグループがそのデータのみを読み取ることができるようにする) 場合は、追加のユーザーとグループを作成し、データベース内のオブジェクトの一部またはすべてに特定のアクセス許可を付与する必要があります。 その種類のユーザー レベルのセキュリティを実装すると、複雑なタスクになる可能性があります。 プロセスを簡略化するために、Access には User-Level セキュリティ ウィザードが用意されており、1 つの手順でユーザーとグループを簡単に作成できます。

User-Level セキュリティ ウィザードを使用すると、アクセス許可を割り当て、ユーザー アカウントとグループ アカウントを作成できます。 ユーザー アカウントには、Access ワークグループ内のデータベース オブジェクトを表示、使用、または変更するためのユーザーのアクセス許可を管理するために必要なユーザー名と一意の個人 ID 番号 (PID) が含まれています。 グループ アカウントは、ワークグループ内に存在するユーザー アカウントのコレクションです。 Access では、グループ名と PID を使用して各作業グループを識別し、グループに割り当てられたアクセス許可はグループ内のすべてのユーザーに適用されます。 ウィザードの使用方法の詳細については、この記事の後半 の「ユーザー レベルのセキュリティを設定する」を参照してください。

ウィザードが完了したら、ワークグループ内のユーザーアカウントとグループアカウントとその既存のテーブル、クエリ、フォーム、レポート、マクロのアクセス許可を手動で割り当て、変更、または削除できます。 また、自分または他のユーザーがデータベースに追加する新しいテーブル、クエリ、フォーム、レポート、マクロに対して Access によって割り当てられる既定のアクセス許可を設定することもできます。

ワークグループとワークグループ情報ファイル

Access 2003 以前のバージョンでは、ワークグループはデータを共有するマルチユーザー環境のユーザーのグループです。 ワークグループ情報ファイルには、個々のユーザーまたはユーザーグループごとに設定されたユーザーアカウントとグループアカウント、パスワード、アクセス許可が含まれています。 データベースを開くと、Access はワークグループ情報ファイル内のデータを読み取り、ファイルに含まれるセキュリティ設定を適用します。 さらに、ユーザー アカウントは、ユーザーのアクセス許可を管理するために Access によって作成されるユーザー名と個人 ID (PID) の組み合わせです。 グループ アカウントはユーザー アカウントのコレクションであり、グループ名と個人 ID (PID) によって識別されます。 グループに割り当てられたアクセス許可は、グループ内のすべてのユーザーに適用されます。 これらのセキュリティ アカウントには、データベースとそのテーブル、クエリ、フォーム、レポート、マクロのアクセス許可を割り当てることができます。 アクセス許可自体は、セキュリティが有効なデータベースに格納されます。

ユーザーが Access 2003 以前のバージョンを初めて実行すると、Access は名前で識別される Access ワークグループ情報ファイルを自動的に作成し、ユーザーが Access をインストールするときに指定する情報をorganizationします。 Access 2003 の場合、セットアップ プログラムは、このワークグループ情報ファイルの相対場所を次のレジストリ キーに追加します。

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

および

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

後続のユーザーは、HKEY_USERS レジストリ キーの値から既定のワークグループ ファイル パスを継承します。 多くの場合、この情報は簡単に判断できるため、承認されていないユーザーがこのワークグループ情報ファイルの別のバージョンを作成できます。 そのため、承認されていないユーザーは、そのワークグループ情報ファイルによって定義されたワークグループ内の管理者アカウント (Admins グループのメンバー) の取り消し不可能なアクセス許可を想定できます。 承認されていないユーザーがこれらのアクセス許可を前提としないようにするには、新しいワークグループ情報ファイルを作成し、ワークグループ情報ファイルを作成するときに入力する 4 から 20 文字の英数字文字列であるワークグループ ID (WID) を指定します。 新しいワークグループを作成すると、このワークグループ ファイルの管理 グループが一意に識別されます。 WID を知っているユーザーのみがワークグループ情報ファイルのコピーを作成できます。 新しいファイルを作成するには、User-Level セキュリティ ウィザードを使用します。

アクセス許可のしくみと割り当て可能なユーザー

ユーザー レベルのセキュリティでは、明示的と暗黙的の 2 種類のアクセス許可が認識されます。 明示的なアクセス許可は、ユーザー アカウントに直接付与されるアクセス許可です。他のユーザーは影響を受けなくなります。 暗黙的なアクセス許可は、グループ アカウントに付与されるアクセス許可です。 そのグループにユーザーを追加すると、そのユーザーに対するグループのアクセス許可が付与されます。グループからユーザーを削除すると、そのユーザーからグループのアクセス許可が削除されます。

ユーザーがセキュリティ機能を使用するデータベース オブジェクトに対して操作を実行しようとすると、そのユーザーの一連のアクセス許可は、そのユーザーの明示的なアクセス許可と暗黙的なアクセス許可の積集合に基づいて行われます。 ユーザーのセキュリティ レベルは、そのユーザーの明示的なアクセス許可と、そのユーザーが属するすべてのグループのアクセス許可の制限が常に最も制限が少ないレベルです。 このため、ワークグループを管理する最も複雑な方法は、個々のユーザーではなく、新しいグループを作成し、グループにアクセス許可を割り当てることです。 その後、それらのユーザーをグループに追加または削除することで、個々のユーザーのアクセス許可を変更できます。 また、新しいアクセス許可を付与する必要がある場合は、1 回の操作でグループのすべてのメンバーに付与できます。

データベース オブジェクトのアクセス許可は、次の方法で変更できます。

• データベースの作成時に使用されているワークグループ情報ファイルの Admins グループのメンバー。

• オブジェクトの所有者。

• オブジェクトの管理アクセス許可を持つすべてのユーザー。

ユーザーは現在アクションを実行できない場合でも、アクションを実行するためのアクセス許可を自分自身に付与できる場合があります。 これは、ユーザーが Admins グループのメンバーである場合、またはユーザーがオブジェクトの所有者である場合に当てはまります。

テーブル、クエリ、フォーム、レポート、またはマクロを作成するユーザーは、そのオブジェクトの所有者です。 さらに、データベース内のアクセス許可を変更できるユーザーのグループは、これらのオブジェクトの所有権を変更することも、これらのオブジェクトを再作成することもできます。どちらも、オブジェクトの所有権を変更する方法です。 オブジェクトを再作成するには、オブジェクトのコピーを作成するか、別のデータベースからインポートしたり、別のデータベースにエクスポートしたりできます。 これは、データベース自体を含むオブジェクトの所有権を転送する最も簡単な方法です。

セキュリティ アカウント

Access 2003 ワークグループ情報ファイルには、次の定義済みのアカウントが含まれています。

実際には、Access 2003 以前のバージョンのセキュリティは常にアクティブです。 ワークグループのログオン 手順をアクティブ化するまで、Access では、既定の 管理 ユーザー アカウントと空のパスワードを使用して、起動時にすべてのユーザーを表示不可にログに記録します。 バックグラウンドでは、Access はワークグループの管理者アカウントとして管理 アカウントを使用します。 Access では、作成されたすべてのデータベース、テーブル、クエリ、フォーム、レポート、マクロの所有者 (グループまたはユーザー) に加えて、管理 アカウントが使用されます。

管理者と所有者は、取り除くことができないアクセス許可を持っているため、重要です。

• 管理者 (Admins グループのメンバー) は、ワークグループで作成されたオブジェクトに対する完全なアクセス許可を常に取得できます。

• テーブル、クエリ、フォーム、レポート、またはマクロを所有するアカウントは、常にそのオブジェクトの完全なアクセス許可を取得できます。

• データベースを所有するアカウントは、いつでもそのデータベースを開くことができます。

管理ユーザー アカウントは Access のすべてのコピーでまったく同じであるため、データベースのセキュリティ保護を支援する最初の手順は、管理者と所有者のユーザー アカウントを定義する (または、管理者アカウントと所有者アカウントの両方として 1 つのユーザー アカウントを使用する) してから、管理 ユーザー アカウントを Admins グループから削除することです。 それ以外の場合、Access のコピーを持つすべてのユーザーは、管理 アカウントを使用してワークグループにログオンでき、ワークグループのテーブル、クエリ、フォーム、レポート、マクロに対する完全なアクセス許可を持つことができます。

Admins グループには必要な数のユーザー アカウントを割り当てることができますが、データベースを所有できるユーザー アカウントは 1 つだけです。所有アカウントは、データベースが作成されたとき、または新しいデータベースを作成してデータベースのすべてのオブジェクトをインポートすることによって所有権が転送されるときにアクティブなユーザー アカウントです。 ただし、グループ アカウントは、データベース内のテーブル、クエリ、フォーム、レポート、マクロを所有できます。

セキュリティ アカウントを整理するときの考慮事項

• Access にログオンできるのはユーザー アカウントのみです。グループ アカウントを使用してログオンすることはできません。

• データベースのユーザー用に作成するアカウントは、ユーザーがデータベースを使用するときに参加するワークグループ情報ファイルに格納する必要があります。 別のファイルを使用してデータベースを作成する場合は、アカウントを作成する前にファイルを変更します。

• 管理者アカウントとユーザー アカウントの一意のパスワードを必ず作成してください。 管理者アカウントを使用してログオンできるユーザーは、ワークグループで作成されたすべてのテーブル、クエリ、フォーム、レポート、マクロに対する完全なアクセス許可を常に取得できます。 所有者アカウントを使用してログオンできるユーザーは、そのユーザーが所有するオブジェクトの完全なアクセス許可を常に取得できます。

ユーザー アカウントとグループ アカウントを作成した後、それらの間のリレーションシップを表示および印刷できます。 Access は、各ユーザーが属するグループと各グループに属するユーザーを示すワークグループ内のアカウントのレポートを出力します。

User-Level セキュリティ ウィザードを起動する

1. 管理する.mdbまたは .mde ファイルを開きます。

2. [ データベース ツール ] タブの [ 管理 ] グループで、[ ユーザーとアクセス許可] の下の矢印をクリックし、[ ユーザー レベルのセキュリティ ウィザード] をクリックします。

3. ウィザードを完了するには、各ページの手順に従います。

   注: 

   • User-Level セキュリティ ウィザードは、同じ名前と .bakファイル名拡張子を持つ現在の Access データベースのバックアップ コピーを作成し、現在のデータベース内の選択したオブジェクトに対してセキュリティ対策を採用します。

   • 現在の Access データベースがパスワードを使用して VBA コードを保護するのに役立つ場合は、ウィザードでパスワードの入力を求められます。ウィザードで操作を正常に完了するには、「」と入力する必要があります。

   • ウィザードを使用して作成したパスワードはすべて、User-Level セキュリティ ウィザード レポートに出力されます。このレポートは、ウィザードの使用が完了したときに印刷されます。 このレポートは安全な場所に保持する必要があります。 このレポートを使用して、ワークグループ ファイルが紛失または破損した場合に、ワークグループ ファイルを再作成できます。

ファイルのコピーを に保存します。ACCDB 形式

1. [ファイル] タブをクリックします。 Backstage ビューが開きます。

2. 左側の [ 共有] をクリックします。

3. 右側の [名前を 付けてデータベースを保存] をクリックし、[ Access Database (*.accdb)] をクリックします。

   [名前を付けて保存] ダイアログ ボックスが表示されます。

4. [保存場所] リストを使用して、変換されたデータベースを保存する場所を見つけます。

5. [ 名前を付けて保存] の種類 の一覧で、 Access 2007-2016 Database (*.accdb) を選択します。

6. [保存] をクリックします。