Защита на уровне пользователя

Каждая база данных, которая создается или используется в среде MS Access, содержит информацию обо всех пользователях и их правах доступа к объектам базы [2]. Многие не пользуются защитой, поэтому по умолчанию MS Access регистрирует вошедшего пользователя под именем администратора (Admin), который имеет полный доступ ко всем объектам базы. Однако мы можем воспользоваться защитой базы данных на уровне пользователя. В этом случае пользователь должен при открытии базы данных ввести имя пользователя и пароль. Только после этого пользователь получит доступ к тем объектам, разрешения на использование которых были выданы ему администратором базы. Таким образом, разрешения на доступ к объектам и регистрацию пользователя, которому выданы соответствующие разрешения, осуществляет только администратор базы или пользователь, обладающий правами администратора. Это можно сделать как через интерфейс MS Access, так и программным путем. Рассмотрим оба варианта.

1.2.1.Обеспечение защиты через интерфейс Ac­cess

В MS Access защита на уровне пользователя задействована всегда [2]. Многие не пользуются защитой, поэтому по умолчанию MS Access регистрирует вошедшего пользователя как пользователя Admin без пароля.

На рисунке 8 представлена схема организации защиты на уровне пользователя. Следует отметить "слабость" такой защиты. Тем не менее рассмотрим ее подробнее.

Рисунок 8 – Схема защиты базы данных на уровне пользователя

После установки MS Access (блок 1 на рисунке 8) автоматически создается файл рабочей группы System.mdw (блок 3). При запуске MS Access информация о пользователях и группах пользователей получается из этого файла. Файл System.mdw - системная база данных относится к категории скрытых системных файлов. Полное имя этого файла можно узнать, открыв базу данных и выполнив команду

Þ Сервис/Защита/Администратор рабочих групп

Чтобы пройти по указанному пути, нужно, чтобы были доступны скрытые файлы и папки. Для этого нужно запустить проводник и выполнить команду

Þ Сервис/Свойства папки/вкладка Вид /включить переключатель Показывать скрытые файлы и папки в папке Скрытые файлы и папки

Далее, используя проводник, можно открыть эту базу данных (файл System.mdw), которая содержит скрытые системные таблицы и запросы:

Рисунок 9 – База данных System. mdw

Запрос MSysGroupList позволяет получить список групп пользователей. Первоначально это две группы Admins и Users (блоки 6 и 7 на рисунке 8).

Запрос MSysGroupMembers – запрос с параметром, позволяет получить список членов введенной в диалоге группы пользователей. Первоначально обе группы Admins и Users содержат только пользователя Admin (блоки 6 и 7 на рисунке 8).

Запрос MSysUserList позволяет получить список всех пользователей, содержащихся во всех группах. Первоначально такими пользователями являются Admin, Creator и Engine). Последние два пользователя устанавливаются автоматически и поддерживаются механизмом ядра Jet.

 Запрос MSysUserMemberships – запрос с параметром, позволяет указать группу, в которую входит введенный в диалоге пользователь.

Можно также принудительно создавать файлы рабочих групп (блоки 4 и 5) с помощью программы (Администратор рабочих групп – блок 2).

В файлах рабочих групп можно создавать новые учетные записи отдельных пользователей и групп пользователей. Каждой группе администратор может выдать разрешения на доступ к объектам базы данных. В группу могут входить несколько пользователей, которым предоставляются одинаковые разрешения для работы с объектами базы данных, а именно такие, какие были выданы группе. Такие разрешения называют неявными (все пользователи группы наследуют разрешения, данные группе). Таким образом, использование групп позволяет упростить процедуру предоставления разрешений для пользователей, включенных в группу.

Однако каждому пользователю администратор может выдать дополнительные разрешения (явные разрешения), которые могут отсутствовать у группы, в которую входит пользователь. В этом случае такой пользователь наследует все разрешения своей группы, а также и дополнительные разрешения. Таким образом,но при этом в любом случае будут использоваться разрешения, которые обеспечивают ему максимальный доступ.

По умолчанию в файле рабочей группы создаются две группы: Admins и Users (блоки 6 – 11). Пользователь Admin является членом обеих групп Admins и Users (как показано в блоках 6 – 11). Пользователь Admin не может быть исключен из группы Admins. Пользователь Admin может добавлять новых пользователей (блоки 12 – 17) и давать им разрешения. Добавленный пользователь автоматически становится членом группы Users. По умолчанию члены этой группы могут выполнять следующие действия:

· создавать новые базы данных;

· изменять системные установки;

· восстанавливать базы данных;

· сжимать базы данных.