Создание файлов рабочих групп

 

Для создания файлов рабочих групп (блоки 4, 5 на рисунке 8) нужно выполнить следующие действия:

· открыть базу данных Моя БД (если при этом не было предложено ввести имя пользователя и пароль, то это означает, что регистрация произошла под именем  Admin с пустым паролем);

· запустить программу администратора рабочих групп командой системного меню (рисунок 10)

Þ Сервис /Защита /Администратор рабочих групп

 

Рисунок 10 – Запуск программы администратора рабочих групп

 

Откроется окно Администратора рабочих групп, в котором нужно выбрать кнопку Создать для создания новой рабочей группы или кнопку Связь для связи с нужной рабочей группой (если создано несколько групп). В этом же окне прописан путь к файлу System.mdw.

· Для создания новой рабочей группы выбираем кнопку Создать. Откроется окно для задания сведений о новой рабочей группе.  Имя, организация и код группы введены произвольно (рисунок 11). Однако их следует записать, если вы будете создавать еще рабочие группы.

Рисунок 11 – Задание сведений о владельце новой рабочей группы

 

Будет создан файл System1. mdw, содержащий информацию о пользователях созданной группы.

Аналогично можно создавать еще файлы рабочих групп.

Таким образом, имеем два файла: System. mdw и  System1. mdw, в которых пока имеется по две группы: Admins и Users.

1.2.1.2. Добавление новых пользователей и групп в файлы рабочей группы и задание им разрешений

По материалам предыдущего раздела имеем два файла рабочих групп: System. mdw и  System1. mdw. Здесь рассмотрим вопросы добавления новых групп пользователей и отдельных пользователей в группы, а также вопросы, связанные с заданием им разрешений на доступ к объектам базы данных Моя БД. В качестве объектов могут использоваться таблицы, формы, запросы, отчеты, макросы и сама база данных, но не отдельные поля таблицы и не отдельные элементы управления. Как выдать разрешение на столбцы таблицы или на элементы управления на форме будет рассмотрено в разделе 1.2.3.

Прежде, чем приводить пример, рассмотрим общую схему организации защиты через интерфейс MS Access.

Итак, при открытии вновь созданной базы данных (например, Моя БД) всегда будет существовать база данных – файл System. mdw, с которой автоматически поддерживается связь на уровне администратора рабочих групп. Используя команды меню

   Þ Сервис/Защита...

Можно создать несколько групп пользователей с разными разрешениями на доступ к объектам базы Моя БД. В свою очередь, каждая группа может содержать несколько пользователей, которые автоматически будут иметь разрешения, предоставленные группе, в которую эти пользователи включены. Такие разрешения называются неявными. Можно создать отдельных пользователей, не включенных ни в какую группу, и этим пользователям выдать разрешения. Такие разрешения называются явными.

Пользователю, включенному в группу, могут быть выданы более сильные разрешения, чем разрешения для группы. В этом случае такой пользователь наследует разрешения группы, в которую он входит, но при этом в любом случае будут использоваться для него максимальные разрешения.

Используя администратор рабочих групп, можно создать еще файлы рабочих групп System1. mdw, System2. mdw, … со своими группами пользователей, которым также можно выдать соответствующие разрешения на доступ к объектам базы данных Моя БД.

Рассмотрим последовательность действий для одной группы из файла System. mdw, в которую входят несколько пользователей, которым выданы только неявные разрешения.

· При открытой базе Моя БД создать связь с файлом System.mdw, используя команду меню: Þ Сервис/Защита/Администратор рабочих групп

· Выдать группе разрешения на открытие базы данных и разрешения на доступ к объектам базы. Тогда и всем пользователям, входящим в эту группу, будут выданы неявно такие же разрешения.

· Удалить все разрешения (если они есть) из группы Users, оставив разрешение на открытие базы данных.

· Сменить владельца объектов на владельца группы командой:

Þ Сервис/Защита/Разрешения/ вкладка Смена владельца

· Удалить разрешения для пользователя Admin, оставив ему разрешение только на открытие базы данных.

· Открыть базу данных от имени одного из пользователей, входящих в группу. По умолчанию база данных для нового пользователя открывается с пустым паролем.

· Изменить пароль для этого пользователя, используя команду меню:

  Þ Сервис/Защита/Пользователи и группы/ вкладка Изменение пароля

· Открыть базу данных Моя БД от имени пользователя группы и убедится в том, что этот пользователь будет иметь разрешения предоставленные группе, в которую он включен.

 

Пример 1. Добавим в файл System. mdw две новые группы:

Группа 1 с кодом 1111 и Группа 2 с кодом 2222.

В первую группу включим двух пользователей: Ивана с кодом ииии и Сергея с кодом сссс.

Во вторую группу включим Машу с кодом мммм и Юлю с кодом юююю.

В файл System1. mdw добавим пользователя Кирилла с кодом кккк.

Пользователям группы 1 (Ивану и Сергею) разрешим удалять данные из таблицы поставки и добавлять данные в таблицу поставщики, пользователям группы 2 (Маше и Юле) – читать и обновлять данные таблицы детали, Кириллу – добавлять данные в таблицу поставки (рисунок 12):

 

Рисунок 12 - Разрешения

Это можно сделать с помощью следующих действий (не забывайте, что сейчас мы по умолчанию имеем права администратора с пустым паролем):

· откроем базу Моя БД;

· свяжем базу данных с файлом System. mdw командой:

Þ Сервис/Защита/Администратор рабочих групп

· создадим две группы пользователей (Группа 1 с кодом 1111 и Группа 2 с кодом 2222), выполнив команду Þ Сервис/Защита/Пользователи и группы;

> в открывшемся окне активизируем вкладку Группы;

> активизируем кнопку Создать;

> открывается окно для добавления новой группы, в котором набираем с клавиатуры информацию о группе, как показано на рисунке 13:

 

Рисунок 13 – Добавление новой группы

 

Аналогично добавляем вторую группу (Группа 2 с кодом 2222);

· для проверки откроем базу данных – файл System. mdw;

· выполняя запрос MSysGroupList, получим список групп в файле рабочей группы System. mdw:

Рисунок 13 – Список групп

· добавим пользователя Ивана с кодом ииии в группу 1 командой 

             Þ Сервис/Защита/Пользователи и группы;

> в открывшемся окне активизируем вкладку Пользователи и кнопку Создать;

> набираем имя и код пользователя Ивана (рисунок 14):

 

Рисунок 14 – Добавление нового пользователя

 

Следует помнить о том, что имена пользователей и коды зависят от регистра.

Пользователь или группа будут распознаваться по имени. Имя пользователя или группы (ID) и соответствующий код (PID) будут использоваться Microsoft Jet для автоматического создания системного кода (system ID, SID). Код пользователя или группы (PID) должен состоять из любой комбинации символов и цифр и иметь размер от 4-х до 20 символов.

После закрытия окна Новый пользователь или группа в окне Пользователи и группы появится в строке имя Иван вместо Admin, далее кнопкой Добавить надо добавить Группу 1 из списка имеющихся групп в список Участие в группе (так как Иван является участником в группе 1). В результате окно Пользователи и группы примет вид:

 

Рисунок 15 – Результат добавления пользователя Ивана в Группу 1

 

· аналогично добавляем в Группу 1 пользователя Сергея с кодом сссс, а в Группу 2 пользователей Машу с кодом мммм и Юлю с кодом юююю;

· откроем базу данных – файл System. mdw, и в результате выполнения запроса MSysUserList, получим:

Рисунок 16 – Пользователи базы данных Моя БД

 

Как было сказано выше, кроме добавленных нами пользователей (Иван, Маша, Сергей и Юля) пользователями базы данных являются admin,Creator и Engine. Последние два пользователя устанавливаются автоматически и поддерживаются механизмом ядра Jet.

· выполнив соединение с файлом рабочей группы System1. mdw, добавим в эту рабочую группу пользователя Кирилла с кодом кккк. Следует учесть, что новые пользователи по умолчанию всегда добавляется в группу Users (если принудительно этот пользователь не добавляется в группу Admins). Таким образом, Кирилл будет добавлен в группу Users файла рабочей группы System1. mdw, а пользователи Иван, Маша, Сергей и Юля – в группу Users файла рабочей группы System. mdw.

· дадим разрешение Группе 1 на удаление данных из таблицы поставки и добавление данных в таблицу поставщики:

> сначала создадим связь с файлом System. mdw, воспользовавшись администратором рабочих групп:

Þ Сервис/Защита/Администратор рабочих групп;

> откроем окно Разрешения:
Þ Сервис/Защита/Разрешения;

> в окне Разрешения сделаем соответствующие установки:

включить переключатель группы, выделим группу Группа 1, тип объекта Таблица, выделить таблицу поставки, установить флажок удаление данных (при этом автоматически будут установлены флажки чтение макета и чтение данных) и кнопкой Применить дадим разрешение на таблицу поставки.

Далее для выделенной группы Группа 1 выделим таблицу поставщики и установим флажок вставка данных (при этом автоматически будут установлены флажки чтение данных и чтение макета) и кнопку Применить. авка данных (оставщики и у поставщики - в льзователей

После активации кнопок Применить и ОК группе 1, а, следовательно, и всем ее членам будут даны установленные разрешения.

• аналогично даются разрешения для группы Группа 2 и для пользователя Кирилл (в файле рабочей группы System1. mdw.

 

Теперь нужно убедиться, что данные разрешения установлены. Разрешения, выданные группе, устанавливаются автоматически для всех членов группы. Однако какому-либо члену группы можно выдать и более сильные разрешения.

Проверим разрешения для пользователя Ивана, который входит в первую группу. Поскольку ему никаких дополнительных разрешений не было установлено, то он имеет разрешения, выданные группе 1, т.е. Иван может удалять данные из таблицы поставки и добавлять данные в таблицу поставщики.

Для этого нужно выполнить следующую последовательность действий:

• сменить владельца объектов базы данных, например, на владельца группы 1, как показано на рисунке 17:

Рисунок 17 – Смена владельца на группу 1

 

• удалить разрешения у группы Users (так как по умолчанию группе Users даются все права) и у пользователя Admin, оставив у них только разрешение на открытие базы данных и монопольный доступ;
• сменить пароль пользователя  Admin (пустой пароль) на непустой пароль как показано на рисунке 18 (здесь звездочками набран пароль аааа):

Рисунок 18 – Изменение пароля администратора

 

• открыть базу данных Моя БД от имени Ивана (без пароля, так как открытие базы данных для нового пользователя осуществляется по умолчанию без пароля)– члена группы 1:

Рисунок 19 – Открытие базы данных от имени Ивана с пустым паролем

 

• теперь можно задать пароль ииии для Ивана командой

Þ Сервис/Защита/Пользователи и группы/ вкладка Смена пароля

• чтобы перейти к другому пользователю этой же группы, например, к Сергею, надо открыть базу данных, изменить имя пользователя на Сергея, а затем задать пароль сссс Сергею. Теперь можно открывать базу данных для Сергея, который неявно будет иметь разрешения, данные группе 1.
• Чтобы перейти к пользователям группы 2, надо пользователю Сергею дать права администратора для объектов базы данных. Далее надо открыть базу данных от имени Сергея и сменить владельца на группу 2:

Рисунок 20 – Смена владельца на группу 2

 

• Снять пароль с Сергея, открыть базу данных, заменив в окне входа Сергея на пользователя из группы 2, например на Машу (сначала с пустым паролем), а затем дать Маше пароль мммм.
• Открыть базу данных Моя БД от имени Маши и убедиться в том, что Маша получила все права, прописанные группе 2.

Аналогичные действия можно выполнить для Юли – пользователя из группы 2, а также для Кирилла из файла рабочей группы System1. mdw.

Слабость рассмотренной защиты состоит в том, что администрирование может быть разрешено пользователям, которые не обладают правами администратора, однако возможно их наделить такими правами. Это касается только объектов базы данных, но не самой базы данных. Так, если владельцем указана Группа 1, то для любого пользователя этой группы могут быть даны права администратора, который может для этой группы или для любого пользователя этой группы изменить разрешения на объекты базы данных. Но этот пользователь не может создавать новые группы или новых пользователей базы данных. Также он не может удалять группы или отдельных пользователей. Это может делать только пользователь, включенный в группу Admins. Аналогичные рассуждения можно провести и для пользователей Группы 2.

Если рассмотренный способ установки защиты данных покажется сложным, можно попытаться установить защиту с помощью мастера, как описано в следующем разделе.