Защита базы данных на уровне пользователей
Защита на уровне пользователей предназначена для предоставления разным пользователям разного уровня доступа к объектам приложения. Пользователи могут объединяться в группы внутри рабочей группы. Группам, как и пользователям, могут быть назначены определенные права доступа к объектам базы данных.
Существует два типа прав доступа, предоставляемых пользователю: явные и неявные. Явные права доступа – те, что назначены непосредственной учетной записи пользователя. Неявные права доступа – те, что назначены учетной записи группы, в которую входит этот пользователь. Добавление пользователя в группу приводит к предоставлению пользователю прав, назначенных группе. Удаление пользователя из группы лишает пользователя этих прав.
Права пользователя на доступ к объекту складываются из его явных и неявных прав. В системе защиты на уровне пользователей Microsoft Access, в отличие от системы защиты на уровне пользователей файловой системы NTFS, применяется политика "наименьших ограничений". Это означает следующее: если пользователю (который может входить в разные группы, обладающие различными правами доступа) назначены и разрешающие и запрещающие права к некоторому объекту базы данных Access, то доступ к объекту пользователю предоставляется.
Группы пользователей делают управление правами доступа более удобным. Вместо того чтобы каждый раз при введении нового пользователя в рабочую группу предоставлять ему все необходимые права к объектам базы данных, можно назначить эти права группе. Тогда процесс предоставления заданных прав доступа сведется к добавлению нового пользователя в эту группу.
Рабочая группа пользователей базы данных
Рабочей группой в Access называется группа пользователей сети, совместно использующих одну или несколько баз данных Access. Если база данных защищена на уровне пользователей, в файл рабочей группы (файл с расширением .mdw) записываются учетные записи пользователей и групп, входящих в рабочую группу. Пароли пользователей также хранятся в файле рабочей группы. Учетным записям в рабочей группе могут быть назначены права доступа к базе данных и ее объектам – таблицам, запросам, формам, отчетам и макросам. Права доступа сохраняются в защищенной базе данных.
Замечание
В ранней версии Access 97 в файле рабочей группы сохранялась также информация о настройках Access, заданных пользователем в окне Параметры (Options). В Access 2000 и Access 2002 эти настройки сохраняются в реестре Windows, в разделах:
\HKEY_CURRENT_USER\Software\Microsoft:\0ffice\9.0\Access\Settings, \HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Access\Settings.
По умолчанию используется стандартный файл рабочей группы SYSTEM.MDW, автоматически созданный при установке Access. Этот файл находится в папке, соответствующей языку локализации Access. Для американской версии используется папка с названием \1033, для русской – \1049, она находится в папке \Program Files\Microsoft Office\Office. Создание нового файла рабочей группы и его подключение выполняются с помощью служебной программы Администратор рабочих групп (Workgroup Administrator) (см. гл. 20).
При установке защиты на уровне пользователей, прежде чем создавать учетные записи пользователей и групп и назначать им права доступа к объектам базы данных, следует подключить соответствующий файл рабочей группы. Можно использовать стандартный файл рабочей группы или создать новый. Не рекомендуется использовать стандартный файл рабочей группы, поскольку любой другой пользователь сможет использовать собственный стандартный файл рабочей группы для доступа к базе данных. Чтобы обеспечить уникальность рабочей группы, необходимо создать с помощью программы Администратор рабочих групп (Workgroup Administrator) новый файл рабочей группы и указать уникальный идентификатор рабочей группы (см. гл. 20).