Выдача разрешений на столбцы таблицы

Выдать разрешения на отдельные столбцы таблицы можно, используя запросы. При этом можно предоставить пользователю возможность добавлять или удалять записи, даже если он не имеет прав на чтение данных из таблицы. Например, возможна ситуация, когда в базе данных сотрудников нужно от пользователей базы скрыть информацию о доходах сотрудников. Как это можно делать, рассмотрим на примере.

Пример 2. Предположим, что в защищенной базе данных Моя БД (см. пример1) содержится таблица детали, в которой указана цена каждой детали. Пусть пользователю Маша надо запретить доступ к полю цена, а к остальным полям этой таблицы разрешить доступ. Для решения этой задачи нужно выполнить следующие действия:

· открыть базу данных Моя БД с правами администратора;

· создать запрос, который будет выбирать все поля из таблицы детали, кроме поля с ценой детали

SELECT детали.номерд, детали.имяд

FROM детали;

· отобрать права у Маши на любые действия с таблицей детали;

· оставить у Маши права на открытие и монопольный доступ к базе данных, а также на другие таблицы;

· дать права Маше читать или полные права на только что созданный запрос;

· открыть запрос в режиме конструктора;

· открыть окно свойств запроса и установить значение "владельца" свойству "При запуске предоставляются права" и закрыть запрос;

·  сметить владельца. Сделать владельцем таблиц Машу, а владельцем запроса -  пользователя Admin;

· не забыть удалить все права у группы Users, поскольку по умолчанию этой группе даны все права;

· если база данных открывалась для администратора Admin без пароля, то установить для Admin пароль, как было сказано в примере 1;

· закрыть базу данных, затем снова открыть ее от имени Маши и убедиться, что Маша не может читать данные из таблицы детали, но может просматривать данные без цены из этой таблицы через запрос;

· установить для Маши непустой пароль.

Снятие защиты

В некоторых случаях бывает необходимо снять защиту базы данных. Если перед установкой защиты была создана резервная копия базы данных, это делается легко. В простейшем случае для снятия защиты нужно выполнить следующую последовательность действий:

· зарегистрируйтесь в системе как член группы Admins (например, можно использовать учетную запись пользователя админ, созданного в предыдущем разделе);

· дайте пользователю Admin права администратора, включив его обратно в группу Admins;

· выдайте группе Users полные права доступа ко все объектам базы данных;

· сделайте владельцем базы пользователя Admin;

· закройте и заново запустите MS Access;

· зарегистрируйтесь в системе как пользователь Admin (в окне входа замените админ на Admin);

· задайте пользователю Admin пустой пароль.

 

Создание MDE-файла

Прежде чем создавать файл с расширением.MDE, рекомендуется создать резервную копию базы данных, поскольку возврат от MDE-файла к MDB-файлу невозможен.

Чем же отличается MDE-файл от MDB-файла?

MDE-файл является базой данных, в которой все программы, созданные в MDB-файле, сохранены в скомпилированном виде. Поэтому просмотр и редактирование исходных кодов невозможен. Кроме того, изменение таких объектов базы данных, как формы, отчеты и модули, также невозможен. Режим конструктора для них оказывается недоступным. Можно вносить изменения только в таблицы и запросы.

Если же какие-то недоступные в MDE-файле объекты потребуют доработки или изменения, то следует вернуться к сохраненному MDB-файлу, сделать необходимые изменения, а затем заново создать MDE-файл. Создать базу данных в виде MDE-файла можно, имея права администратора, так:

· открыть исходную базу данных (MDB-файл);

· исполнить команду меню

Þ Сервис/Служебные программы/Создать MDE-файл,

указав местоположение MDE-файла.

Файлы. MDE обычно создаются, когда разработчик хочет, чтобы пользователи не имели к исходному коду, а также к объектам интерфейса (формам и отчетам), и вмесе с тем разработчик не заинтересован в реализации полной системы обеспечения защиты на уровне пользователя. Хотя, если такая защита реализована в исходном MDB-файле, то она действует и в MDE-файле.

 

Защита данных на уровне пользователей в Access 2010 и Access 2007

Порядок выполнения работы

1. Получите у преподавателя индивидуальное задание.

2. Откройте свою БД и проверьте возможность выполнения команды

Þ Файл/Сведения/Пользователи и разрешения для Access 2010

И Пользователи и разрешения для Access 2007

3. Если нет, то найдите местоположение системной БД System.mdw.

4. Создайте на рабочем столе ярлык для открытия системной базы данных System.mdw:
C:\DocumentsandSettings\...\ApplicationData\Microsoft\System.mdw

5. Откройте базу данных System.mdw (по умолчанию Вы имеете права администратора с пустым паролем).

6. Импортируйте в эту базу объекты своей БД (таблицы, формы,…),необязятельно все, а только те, на которые Вы предполагаете дать разрешения. Для этого надо на ленте активизировать вкладку Внешние данные, в которой выбрать Access. В открывшемся окне с помощью кнопки Обзор найти свою БД, в которой выбрать импортируемые объекты и завершить импорт кнопкой ОК.

7. Создайте группы пользователей и отдельных пользователей согласно индивидуального задания(Þ Файл/Сведения/Пользователи и разрешения).

Дайте группам и отдельным пользователям разрешения на доступ к объектам в соответствии с заданием. Кроме того, дайте группе Users права на открытие БД и отберите все права на доступ к защищаемым объектам (!!!!).

8. Замените пустой пароль администратора на любой непустой (запомните его !!!!).

9. Закройте базу данных.

10. Снова откройте базу System.mdw. В открывшемся окне замените слово Admin на имя пользователя (он может входить в какую-либо группу, и тогда он наследует разрешения, данные группе; а может не входить ни в какую группу, тогда Вы ему дали индивидуальные разрешения). При этом по умолчанию откроется база данных от имени этого пользователя с пустым паролем.

11. Замените пустой пароль пользователя на непустой (запомните его !!!!).

12. Закройте базу.

13. Снова откройте базу System.mdw от имени пользователя с непустым паролем и проверьтедействия выданных разрешений. Покажите результаты преподавателю и закройте базу.

14. Верните системную базу данных в исходное состояние.Для этого надо открыть базу данных System.mdw с импортированными объектами от имени Admin. Далее выполните команду Þ Файл/Сведения/Пользователи и разрешения и удалить сначала всех созданных Вами пользователей, затем удалить созданные Вами группы. Далее следует изменить пароль для администратора на пустой пароль и удалить импортированные объекты. Показать результат преподавателю.

15. Закрыть базу.

 

 

Порядок выполнения работы

1. Получить задание у преподавателя (дерево пользователей и разрешения).

2. Обеспечить защиту на уровне пользователей через интерфейс Access.

3. Обеспечить защиту на уровне пользователей с помощью мастера.

4. Создать MDE-файл и убедиться в его возможностях по защите данных.

 

Литература

1. Смирнов С.Н. Безопасность систем баз данных. – М.: Гелиос АРВ, 2007. – 352 с.

2. Т.О'Брайен, Подж С., Уайт Дж. Microsoft Access 97: разработка приложений; пер. с англ. – СПб.: БХВ – Санкт-Петербург, 1999. – 640 с.

3. Литвин П., Гетц К., Гунделой М. Разработка корпоративных приложений в Access 2002. Для профессионалов. – СПб.: Питер; Киев: BHV, 2003. – 848 с.