Nastavenie alebo zmena zabezpečenia na úrovni používateľa Accessu 2003 v aktuálnych verziách Accessu

Základy zabezpečenia na úrovni používateľa

Zabezpečenie na úrovni používateľa v Accesse pripomína mechanizmy zabezpečenia v serverových systémoch – používa heslá a povolenia na povolenie alebo obmedzenie prístupu jednotlivcov alebo skupín jednotlivcov k objektom v databáze. Keď v Accesse 2003 alebo starších verziách implementujete zabezpečenie na úrovni používateľa v accessovej databáze, správca databázy alebo vlastník objektu môže riadiť akcie, ktoré môžu jednotliví používatelia alebo skupiny používateľov vykonávať v tabuľkách, dotazoch, formulároch, zostavách a makrách v databáze. Jedna skupina používateľov môže napríklad zmeniť objekty v databáze, iná skupina môže zadávať údaje iba do určitých tabuliek a tretia skupina môže zobraziť údaje len v množine zostáv.

Zabezpečenie na úrovni používateľa v Accesse 2003 a starších verziách používa kombináciu hesiel a povolení – množina atribútov, ktorá určuje druhy prístupu, ktoré má používateľ k údajom alebo objektom v databáze. Môžete nastaviť heslá a povolenia pre jednotlivcov alebo skupiny jednotlivcov a tieto kombinácie hesiel a povolení sa stanú kontami zabezpečenia, ktoré definujú používateľov a skupiny používateľov, ktorí majú povolený prístup k objektom v databáze. Kombinácia používateľov a skupín sa potom nazýva pracovná skupina a Access ukladá tieto informácie do informačného súboru pracovnej skupiny. Pri spustení Access prečíta informačný súbor pracovnej skupiny a vynucuje povolenia na základe údajov v súbore.

Access predvolene poskytuje vstavanú identifikáciu používateľa a dve vstavané skupiny. Predvolená identifikácia používateľa je Spravovanie a predvolené skupiny sú Používatelia a správcovia. Access predvolene pridá vstavanú identifikáciu používateľa do skupiny Používatelia, pretože všetky identifikácie musia patriť aspoň do jednej skupiny. Skupina Používatelia má následne úplné povolenia pre všetky objekty v databáze. Okrem toho je ID Spravovanie tiež členom skupiny Správcovia. Skupina Správcovia musí obsahovať aspoň jednu identifikáciu používateľa (musí existovať správca databázy) a identifikácia Spravovanie je predvoleným správcom databázy, kým ju nezmeníte.

Keď spustíte Access 2003 alebo staršie verzie, Access vám priradí identifikáciu používateľa Spravovanie, čím sa z vás vytvorí člen každej predvolenej skupiny. Toto ID a tieto skupiny (Spravovanie a Používatelia) poskytujú všetkým používateľom úplné povolenia na všetky objekty v databáze, čo znamená, že ak neimplementujete zabezpečenie na úrovni používateľa, každý používateľ môže otvárať, zobrazovať a meniť všetky objekty vo všetkých súboroch .mdb.

Jedným zo spôsobov implementácie zabezpečenia na úrovni používateľa v Accesse 2003 alebo starších verziách je zmena povolení pre skupinu Používatelia a pridanie nových správcov do skupín správcov. Keď to urobíte, Access automaticky priradí nových používateľov skupine Používatelia. Keď tieto kroky podniknete, používatelia sa musia prihlásiť pomocou hesla pri každom otvorení chránenej databázy. Ak však potrebujete implementovať konkrétnejšie zabezpečenie – umožniť jednej skupine používateľov zadať údaje a druhá napríklad iba čítať tieto údaje – musíte vytvoriť ďalších používateľov a skupiny a udeliť im konkrétne povolenia pre niektoré alebo všetky objekty v databáze. Implementácia tohto typu zabezpečenia na úrovni používateľa sa môže stať zložitou úlohou. V záujme zjednodušenia procesu poskytuje Access sprievodcu User-Level zabezpečením, ktorý zjednodušuje vytváranie používateľov a skupín v jednom kroku.

Sprievodca zabezpečením User-Level vám pomôže priradiť povolenia a vytvoriť používateľské a skupinové kontá. Používateľské kontá obsahujú mená používateľov a jedinečné osobné identifikačné čísla potrebné na spravovanie povolení používateľa na zobrazenie, používanie alebo zmenu databázových objektov v pracovnej skupine Accessu. Skupinové kontá sú kolekciou používateľských kont, ktoré sa zasa nachádzajú v pracovnej skupine. Access používa názov skupiny a PID na identifikáciu každej pracovnej skupiny a povolenia priradené k skupine sa vzťahujú na všetkých používateľov v skupine. Ďalšie informácie o používaní sprievodcu nájdete v časti Nastavenie zabezpečenia na úrovni používateľa ďalej v tomto článku.

Po dokončení sprievodcu môžete manuálne priradiť, upraviť alebo odstrániť povolenia pre používateľské a skupinové kontá v pracovnej skupine pre databázu a jej existujúce tabuľky, dotazy, formuláre, zostavy a makrá. Môžete tiež nastaviť predvolené povolenia, ktoré Access priradí pre všetky nové tabuľky, dotazy, formuláre, zostavy a makrá, ktoré vy alebo iný používateľ pridáte do databázy.

Informačné súbory pracovných skupín a pracovných skupín

V Accesse 2003 a starších verziách je pracovná skupina skupinou používateľov v prostredí s viacerými používateľmi, ktorí zdieľajú údaje. Informačný súbor pracovnej skupiny obsahuje používateľské a skupinové kontá, heslá a povolenia nastavené pre každého jednotlivého používateľa alebo skupinu používateľov. Keď otvoríte databázu, Access prečíta údaje v informačnom súbore pracovnej skupiny a vynucuje nastavenia zabezpečenia, ktoré súbor obsahuje. Používateľské konto je zase kombináciou mena používateľa a osobného identifikátora (PID), ktoré Access vytvorí na spravovanie povolení používateľa. Kontá skupiny sú kolekcie používateľských kont a Access ich identifikuje aj podľa názvu skupiny a osobného IDENTIFIKÁTORA (PID). Povolenia priradené k skupine sa vzťahujú na všetkých používateľov v skupine. Týmto kontám zabezpečenia potom možno priradiť povolenia pre databázy a ich tabuľky, dotazy, formuláre, zostavy a makrá. Samotné povolenia sú uložené v databáze s podporou zabezpečenia.

Keď používateľ prvýkrát spustí Access 2003 alebo staršie verzie, Access automaticky vytvorí informačný súbor pracovnej skupiny Accessu, ktorý je identifikovaný názvom a informáciami organizácie, ktoré používateľ určí pri inštalácii Accessu. V Accesse 2003 inštalačný program pridá relatívne umiestnenie tohto súboru s informáciami o pracovnej skupine do nasledujúcich kľúčov databázy Registry:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

a

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

Ďalší používatelia zdedia predvolenú cestu k súboru pracovnej skupiny z hodnoty v kľúči databázy Registry HKEY_USERS. Keďže tieto informácie sa často dajú ľahko určiť, neoprávnení používatelia môžu vytvoriť inú verziu tohto informačného súboru pracovnej skupiny. V dôsledku toho môžu neoprávnení používatelia predpokladať neodvolateľné povolenia konta správcu (člena skupiny Správcov) v pracovnej skupine definovanej týmto informačným súborom pracovnej skupiny. Ak chcete zabrániť neoprávneným používateľom v prevzatí týchto povolení, vytvorte nový informačný súbor pracovnej skupiny a zadajte ID pracovnej skupiny (WID), alfanumerický reťazec rozlišujúci veľké a malé písmená od 4 do 20 znakov, ktorý zadáte pri vytváraní nového informačného súboru pracovnej skupiny. Vytvorením novej pracovnej skupiny sa jedinečne identifikuje skupina Spravovanie pre tento súbor pracovnej skupiny. Kópiu informačného súboru pracovnej skupiny bude môcť vytvoriť iba osoba, ktorá pozná wid. Ak chcete vytvoriť nový súbor, použite Sprievodcu zabezpečením User-Level.

Ako fungujú povolenia a kto ich môže priradiť

Zabezpečenie na úrovni používateľa rozpoznáva dva typy povolení: explicitné a implicitné. Explicitné povolenia sú povolenia, ktoré sa udeľujú priamo používateľskému kontu. nemá vplyv na žiadnych iných používateľov. Implicitné povolenia sú povolenia udelené ku kontu skupiny. Pridanie používateľa do tejto skupiny udelí danej skupine povolenia. odstránenie používateľa zo skupiny odnáša povolenia skupiny od daného používateľa.

Keď sa používateľ pokúsi vykonať operáciu s databázovým objektom, ktorý používa funkcie zabezpečenia, množina povolení tohto používateľa je založená na priesečníku explicitných a implicitných povolení daného používateľa. Úroveň zabezpečenia používateľa je vždy najmenej obmedzujúca explicitné povolenia daného používateľa a povolenia všetkých skupín, ku ktorým daný používateľ patrí. Z tohto dôvodu je najmenej komplikovaným spôsobom spravovania pracovnej skupiny vytvorenie nových skupín a priradenie povolení skupinám, a nie jednotlivým používateľom. Potom môžete zmeniť povolenia jednotlivých používateľov pridaním alebo odstránením týchto používateľov zo skupín. Ak potrebujete udeliť nové povolenia, môžete ich tiež udeliť všetkým členom skupiny v rámci jednej operácie.

Povolenia pre databázový objekt možno zmeniť takto:

• Členovia skupiny Správcovia informačného súboru pracovnej skupiny, ktorý sa používa pri vytvorení databázy.

• Vlastník objektu.

• Každý používateľ, ktorý má povolenia na správu objektu.

Aj napriek tomu, že používatelia v súčasnosti nemusia byť schopní vykonať akciu, možno si budú môcť udeliť povolenia na vykonanie akcie. Platí to, ak je používateľ členom skupiny Správcovia alebo ak je používateľ vlastníkom objektu.

Vlastníkom tohto objektu je používateľ, ktorý vytvorí tabuľku, dotaz, formulár, zostavu alebo makro. Okrem toho skupina používateľov, ktorí môžu zmeniť povolenia v databáze, môže tiež zmeniť vlastníctvo týchto objektov alebo môžu tieto objekty znova vytvoriť, čo sú oba spôsoby, ako zmeniť vlastníctvo objektov. Ak chcete objekt znova vytvoriť, môžete vytvoriť jeho kópiu alebo ho môžete importovať z inej databázy alebo do nej exportovať. Ide o najjednoduchší spôsob prenosu vlastníctva objektov vrátane samotnej databázy.

Kontá zabezpečenia

Informačný súbor pracovnej skupiny Accessu 2003 obsahuje nasledujúce preddefinované kontá.

Zabezpečenie v Accesse 2003 a starších verziách je v skutočnosti vždy aktívne. Kým neaktivujete prihlasovací postup pre pracovnú skupinu, Access neviditeľne prihlási všetkých používateľov pri spustení pomocou predvoleného Spravovanie používateľského konta s prázdnym heslom. Access na pozadí používa konto Spravovanie ako konto správcu pre pracovnú skupinu. Access používa konto Spravovanie okrem vlastníka (skupiny alebo používateľa) všetkých databáz a tabuliek, dotazov, formulárov, zostáv a makier, ktoré sa vytvoria.

Správcovia a vlastníci sú dôležití, pretože majú povolenia, ktoré nie je možné odobrať:

• Správcovia (členovia skupiny Správcovia) môžu vždy získať úplné povolenia pre objekty vytvorené v pracovnej skupine.

• Konto, ktoré vlastní tabuľku, dotaz, formulár, zostavu alebo makro, môže vždy získať úplné povolenia pre daný objekt.

• Konto, ktoré vlastní databázu, môže vždy otvoriť danú databázu.

Keďže Spravovanie používateľské konto je presne rovnaké pre každú kópiu Accessu, prvé kroky na zabezpečenie databázy sú definovanie používateľských kont správcu a vlastníka (alebo použitie jedného používateľského konta ako kont správcu aj vlastníka) a následné odstránenie Spravovanie používateľského konta zo skupiny Správcovia. V opačnom prípade sa ktokoľvek s kópiou Accessu môže prihlásiť do vašej pracovnej skupiny pomocou konta Spravovanie a mať úplné povolenia pre tabuľky, dotazy, formuláre, zostavy a makrá pracovnej skupiny.

Skupine Správcov môžete priradiť ľubovoľný počet používateľských kont, ale iba jedno používateľské konto môže vlastniť databázu – vlastné konto je používateľské konto, ktoré je aktívne pri vytvorení databázy alebo pri prenose vlastníctva vytvorením novej databázy a importovaním všetkých objektov databázy do nej. Kontá skupín však môžu vlastniť tabuľky, dotazy, formuláre, zostavy a makrá v databáze.

Dôležité informácie pri organizácii kont zabezpečenia

• Do Accessu sa môžu prihlásiť iba používateľské kontá. nemôžete sa prihlásiť pomocou konta skupiny.

• Kontá vytvorené pre používateľov databázy musia byť uložené v informačnom súbore pracovnej skupiny, ku ktorému sa títo používatelia pri používaní databázy pripoja. Ak na vytvorenie databázy používate iný súbor, pred vytvorením kont ho zmeňte.

• Nezabudnite vytvoriť jedinečné heslo pre správcu a používateľské kontá. Používateľ, ktorý sa môže prihlásiť pomocou konta správcu, môže vždy získať úplné povolenia pre všetky tabuľky, dotazy, formuláre, zostavy a makrá, ktoré boli vytvorené v pracovnej skupine. Používateľ, ktorý sa môže prihlásiť pomocou konta vlastníka, môže vždy získať úplné povolenia pre objekty vo vlastníctve daného používateľa.

Po vytvorení používateľských a skupinových kont môžete zobraziť a vytlačiť vzťahy medzi nimi. Access vytlačí zostavu kont v pracovnej skupine, ktorá zobrazuje skupiny, do ktorých patrí každý používateľ, a používateľov, ktorí patria do každej skupiny.

Spustenie Sprievodcu zabezpečením User-Level

1. Otvorte súbor .mdb alebo .mde, ktorý chcete spravovať.

2. Na karte Databázové nástroje kliknite v skupine Spravovať na šípku pod položkou Používatelia a povolenia a potom kliknite na položku Sprievodca zabezpečením na úrovni používateľa.

3. Postupujte podľa krokov na každej stránke a dokončite sprievodcu.

   Poznámky: 

   • Sprievodca zabezpečením User-Level vytvorí záložnú kópiu aktuálnej accessovej databázy s rovnakým názvom a príponou .bak súboru a potom použije bezpečnostné opatrenia pre vybraté objekty v aktuálnej databáze.

   • Ak aktuálna databáza Accessu pomáha chrániť kód VBA pomocou hesla, sprievodca zobrazí výzvu na zadanie hesla, ktoré musíte zadať, aby sprievodca úspešne dokončil jeho operáciu.

   • Všetky heslá, ktoré vytvoríte prostredníctvom sprievodcu, sa vytlačia v zostave sprievodcu User-Level zabezpečenia, ktorá sa vytlačí po dokončení používania sprievodcu. Túto zostavu by ste mali ponechať na bezpečnom mieste. Túto zostavu môžete použiť na opätovné vytvorenie súboru pracovnej skupiny, ak sa stratí alebo poškodí.

Uložte kópiu súboru do súboru . Formát ACCDB

1. Kliknite na kartu Súbor. Otvorí sa zobrazenie Backstage.

2. Na ľavej strane kliknite na položku Zdieľať.

3. Na pravej strane kliknite na položku Uložiť databázu ako a potom kliknite na položku Databáza programu Access (*.accdb).

   Zobrazí sa dialógové okno Uložiť ako.

4. Zoznam Uložiť do sa používa na vyhľadanie umiestnenia, do ktorého sa má skonvertovaná databáza uložiť.

5. V zozname Uložiť vo formáte vyberte položku Databáza Accessu 2007 – 2016 (*.accdb).

6. Kliknite na tlačidlo Uložiť.