Хомоненко А.Д., Цыганков В.М., Мальцев М.Г. - Базы данных. Учебник для высших учебных заведений (6-е изд.) - 2009
.pdf10. СУБД Access 2002 |
3 2 3 |
4. Выбор команды С е р в и с | З а щ и т а | З а д а т ь п а р о л ь б а з ы д а н н ы х |
( T o o l s |
| S e c u r i t y | S e t D a t a b a s e P a s s w o r d ) . |
|
5. Ввод пароля в поле П а р о л ь ( P a s s w o r d ) с учетом регистра клавиатуры. 6. Подтверждение введенного пароля путем повторного его ввода в поле
П о д т в е р ж д е н и е (Verify), а после этого — нажатие О К .
Удалить пароль намного проще, главное — знать его при открытии БД. Для удаления пароля БД следует выполнить четыре действия.
1. Открыть базу данных в режиме монопольного доступа (см. установку
пароля выше). |
|
2. Из меню системы выдать команду С е р в и с | З а щ и т а | У д а л и т ь |
п а р о л ь |
б а з ы д а н н ы х ( T o o l s | S e c u r i t y | U n s e t D a t a b a s e P a s s w o r d ) . |
Команда |
доступна, если пароль базы данных уже установлен. |
|
3. В поле |
П а р о л ь ( P a s s w o r d ) появившегося окна У д а л и т ь п а р о л ь б а з ы |
данных |
ввести текущий пароль. |
4. Нажать ОК. База данных по-прежнему остается открытой. При очередном ее открытии система Access запрашивать пароль не будет.
Средств изменения пароля БД в Access нет, поэтому для изменения пароля следует удалить пароль, а затем определить новый. При использовании парольной защиты нужно учитывать, что она не защищает БД от удаления.
Если пароль утерян, то доступ к защищенной БД не получить. Попавшую в такое положение БД остается удалить. Для удаления БД можно воспользоваться, например, программой MS Windows П р о в о д н и к (Windows Explorer). Удалить БД, не выходя из Access, можно так: вызвать окно открытия файла базы данных, выделить удаляемую БД, вызвать контекстное меню и выбрать пункт У д а л и т ь ( D e l e t e ) . После выполнения операции удаления БД последняя попадет в Корзину.
Защищая паролем, следует иметь в виду, что в случае связывания таблиц БД, защищенных паролем, могут быть проблемы. Пусть таблица БД (назовем ее подключаемой БД) связывается с таблицей защищенной паролем БД. При образовании связи система Access потребует от пользователя ввода пароля защищенной БД. Введенный пароль системой в некотором месте запоминается. Если в последующем пароль защищенной БД изменится, то доступ к защищенным таблицам подключаемой БД будет невозможен. Система Access
информирует об изменении |
пароля. |
|
Защита |
на уровне |
пользователя |
Защита на уровне пользователя применяется в случаях, когда с одной БД работают несколько пользователей или групп пользователей, имеющих разные права доступа к объектам БД. Использовать защиту на уровне пользова-
3 2 4 Часть 3. Современные СУБД и их применение
теля можно на отдельном компьютере и при коллективной работе в составе локальной сети. Этот способ защиты подобен способам разграничения доступа в локальных сетях.
Для организации защиты на уровне пользователя в системе Access создаются рабочие группы (РГ). Каждая рабочая группа определяет единую технологию работы совокупности пользователей. Система Access в произвольный момент времени может работать с одной РГ. Заметим, что СУБД может работать с одной базой данных. Если в сеансе работы СУБД в ней попытаться открыть вторую БД, то первая БД автоматически закроется. Правда, можно запустить на выполнение несколько систем Access, поскольку Windows является многооконной системой.
Информация о каждой РГ хранится в соответствующем файле РГ (System.mdw), который автоматически создается при установке системы. Информация о размещении этого файла хранится в системном реестре. Для управления рабочими группами в Access 2002 имеется программа «Администратор рабочих групп» (АРГ), запустить которую можно из подменю
| З а щ и т а ( T o o l s | S e c u r i t y ) .
Кроме сведений о системе защиты на уровне пользователя в файле РГ хранятся параметры системы Access. Изменить установленные по умолчанию системные параметры пользователь может с помощью команды С е р в и с | П а - р а м е т р ы ( T o o l s | P a r a m e t e r s ) . Эти параметры включают в себя: параметры отображения информации системой Access (строки состояния, окна запуска, панели инструментов, скрытых и системных объектов), параметры средств разработки запросов, экранных форм, отчетов и программ (модулей), установку действий на нажатие клавиш, параметры режима правки и поиска информации в БД и другие параметры, определяющие режим открытия БД по умолчанию (общий или монопольный доступ), вид блокировки при совместном изменении информации в БД (отсутствие, всех записей или только изменяемой записи), период обновления и т. д.
Файл РГ описывает группы пользователей и отдельных пользователей, входящих в эту РГ. Он содержит учетные записи групп пользователей и отдельных пользователей. По каждой учетной записи система Access хранит права доступа к объектам базы данных.
По умолчанию в каждую рабочую группу входит две группы пользователей: администраторы (имя группы Admins) и обычные пользователи (имя группы U s e r s ) . Причем, в группу A d m i n s первоначально включен один администратор под именем A d m i n .
При создании групп указывается имя (идентификатор) группы и код, представляющий собой последовательность от 4 до 20 символов. При регистрации (создании) пользователей в системе защиты им присваивается имя, код и необязательный пароль. Имена групп и пользователей, их коды, а также пароли пользователей (если они заданы) Access скрывает от пользовате-
10. СУБД Access 2002 |
3 2 5 |
ля. Поэтому если пользователь их забудет, найти их в файле РГ и восстановить практически невозможно. Коды группы и пользователя используются для шифрования системой учетных записей в файле РГ.
Каждому из пользователей, независимо от принадлежности к группе, можно присвоить пароль. Этот пароль, в отличие от пароля БД, называется паро- лем учетной записи и хранится в учетной записи в файле РГ. Первоначально все включаемые в РГ пользователи, в том числе и пользователь Admin, имеют пустой пароль или, можно считать, что не имеют пароля.
Каждой из групп приписываются определенные права на объекты БД. Члены группы Admins имеют максимальные права.
Наличие двух функциональных групп пользователей в рабочей группе, как правило, достаточно для организации нормальной работы коллектива пользователей. При необходимости можно создать дополнительные группы пользователей. Один пользователь может входить в состав нескольких групп. При подключении пользователя, зарегистрированного в нескольких группах, действуют минимальные из установленных в разных группах ограничения на объекты БД.
При создании рабочих групп и регистрации пользователей действуют ограничения, к основным из которых относятся следующие.
1. Группы A d m i n s и U s e r s удалить невозможно.
2. В группе A d m i n s должен быть хотя бы один пользователь. Первоначально таким пользователем является пользователь A d m i n (администратор). Удалить пользователя A d m i n из этой группы можно после включения в нее еще одного пользователя.
3. Все регистрируемые пользователи автоматически становятся членами группы U s e r s . Удалить их из этой группы нельзя.
4. Удалить пользователя A d m i n из рабочей группы нельзя (из группы Admins его можно удалить, а из группы — нет).
5.Создаваемые группы не могут быть вложены в другие группы, другими словами, нельзя создавать иерархию групп пользователей.
6.В системе защиты могут быть пустые группы, но не может быть пользователей, не входящих ни в одну группу (они обязательно войдут в группу Users).
Рабочая группа имеет структуру, показанную на рис. 10.29. Здесь буквами А, В и F обозначены созданные группы пользователей, а буквами Р1, Р2, РЗ, Р 4 и Р п — пользователи. Все пользователи являются членами группы U s e r s . Группа F пока пуста.
Основное назначение системы защиты на уровне пользователя состоит в контроле прав доступа к объектам базы данных. Для этого нужно установить защиту БД с помощью Мастера защиты.
Существующие в Access типы прав доступа приведены в таблице 10.1. Права подключающегося пользователя делятся на явные и неявные. Явные
326 |
Часть 3. Современные СУБД и их применение |
|
|
|
j-ix^- |
|
|
|
|
|
|
|
/ I |
\ |
|
- v r . |
|
|
|
/ |
/ |
/ |
\ |
\ |
V . |
" " Ч ^ |
|
|
Л |
|
/ |
V |
\ V |
|
\ |
|
|
•'' / f |
\> ;' |
„-• *. |
|
s- - »X |
V |
1 \ |
|
|
[Admin ] |
[ |
PI |
) [ Р2 |
] |
( РЗ |
| [ |
Р4 j |
[ Рп ] |
|
|
П о л ь з О Б а т Е л и |
|
|||||
|
|
Рис. 10.29. Структура рабочей группы |
||||||
|
|
|
Типы прав доступа |
Таблица 10.1. |
||||
|
|
|
|
|||||
Права доступа |
|
|
Разрешенные действия |
Объекты |
||||
Открытие/запуск |
|
Открытие базы данных, формы или |
Базы данных, формы, |
|||||
(Open/Run) |
|
отчета, запуск макроса |
|
|
отчеты и макросы |
|||
Монопольный доступ |
Открытие базы данных для |
|
Базы данных |
|||||
(Open Exclusive) |
|
монопольного доступа |
|
|
|
|||
Чтение макета |
|
Просмотр объектов в режиме |
Таблицы, запросы, фор- |
|||||
(Read Design) |
|
Конструктора |
|
|
|
|
мы, отчеты, макросы и |
|
|
|
|
|
|
|
|
|
модули |
Изменение макета |
|
Просмотр и изменение макета |
Таблицы, запросы, |
|||||
(Modify Design) |
|
объектов или удаление объектов |
формы, отчеты, |
|||||
|
|
|
|
|
|
|
|
макросы и модули |
Администратора |
|
Для баз данных: установка пароля, |
Базы данных, таблицы, |
|||||
(Administer) |
|
репликация и изменение параметров |
запросы, формы, |
|||||
|
|
запуска. Для объектов базы данных: |
отчеты, макросы и |
|||||
|
|
полные права на объекты и данные, |
модули |
|||||
|
|
в том числе предоставление прав |
|
|||||
|
|
доступа |
|
|
|
|
|
|
Чтение данных |
|
Просмотр данных |
|
|
Таблицы и запросы |
|||
(Read Data) |
|
|
|
|
|
|
|
|
Обновление данных |
Просмотр и изменение данных без |
Таблицы и запросы |
||||||
(Update Data) |
|
их вставки и удаления |
|
|
|
|||
Вставка данных |
|
Просмотр и вставка данных без их |
Таблицы и запросы |
|||||
(Insert Data) |
|
изменения и удаления |
|
|
|
|||
Удаление данных |
|
Просмотр и удаление данных без их |
Таблицы и запросы |
|||||
(Delete Data) |
|
изменения и вставки |
|
|
|
|||
10. СУБД Access 2002 |
3 27 |
права имеются в случае, если они определены для учетной записи пользователя. Неявные права — это права той группы, в которую входит пользователь. Напомним, что пользователь, имеющий явные и неявные права в одной или нескольких группах, пользуется правами с минимальными ограничениями
из всей совокупности прав.
Изменить права других пользователей на объекты некоторой БД могут следующие пользователи:
•члены группы Admins, определенной в файле РГ, использовавшемся при создании базы данных;
•владелец объекта;
•пользователь, получивший на объект права администратора.
Изменить свои собственные права в сторону их расширения могут пользователи, являющиеся членами группы Admins и владельцы объекта.
Владельцем объекта считается пользователь, создавший объект. Владельца объекта можно изменить путем передачи права владельца другому пользователю. Правами изменения владельца обладают пользователи, имеющие право изменить права доступа к объекту или создать объект.
Передать права новому владельцу можно по команде меню С е р в и с | З а -
щ и т а | Р а з р е ш е н и я ( T o o l s | S e c u r i t y | U s e r A n d G r o u p P e r m i s s i o n s ) .
Создать объект в новой БД, аналогичный объекту существующей базы данных, можно с помощью операций импорта/экспорта или копирования его в базу данных. Для создания и защиты на уровне пользователя копии всей БД удобно воспользоваться Мастером защиты, вызов которого выполняется командой меню
С е р в и с | З а щ и т а | М а с т е р (Tools | S e c u r i t y | U s e r - L e v e l S e c u r i t y W i z a r d ) . В л а -
дельцем защищенной БД может стать другой пользователь. В этом случае тоже говорят об изменении владельца. При этом у исходной БД остается свой владелец.
Установка защиты на уровне пользователя сложнее парольной защиты. Она предполагает создание файлов РГ, учетных записей пользователей и групп, включение пользователей в группы, активизацию процедуры подключения к Access, а также защиту каждой из БД с помощью Мастера защиты. Рассмотрим коротко эти операции.
Как отмечалось, манипуляции с файлами РГ выполняются с помощью программы АРГ. Назначение программы АРГ состоит в «привязке» Access к нужному файлу РГ. Запустить программу можно с помощью выбора команды из
меню системы С е р в и с | З а щ и т а ( T o o l s | S e c u r i t y ) . Программа АРГ имеет
три функции (и соответствующие кнопки): создание файла РГ, связь с произвольным файлом РГ и выход из программы.
Система защиты на уровне пользователя действует в двух основных режимах: с требованием подключения пользователя к системе; без требования подключения пользователя.
328 |
Часть 3. Современные СУБД и их применение |
В первом случае при попытке выполнить какую-нибудь операцию (например, открыть БД) после запуска Access открывается диалоговое окно В х о д ( L o g o n ) и от пользователя требуется ввести свое имя и пароль, если он имеется. Чтобы система Access всегда запрашивала имя и пароль, достаточно установить пароль пользователю Admin. При снятии пароля окно входа не появляется.
Если окно входа в систему неактивно (пользователь Admin не имеет пароля), то при запуске Access автоматически подключает пользователя с именем Admin и предоставляет тому, кто запустил систему, имеющиеся у пользователя Admin права. Этот вариант защиты менее эффективен, так как подключиться к системе может любой пользователь. Единственное, что можно сделать — это ограничить его права по доступу к объектам БД.
Отметим, что защита в системе устанавливается относительно имеющихся в Access баз данных. Подключиться к системе несложно. Иногда для этого надо знать пароль пользователя Admin. Если он пароля не имеет, то и этого не нужно.
Для активизации окна входа в систему нужно выполнить следующее. 1. Запустить Access.
2. К о м а н д о й С е р в и с | З а щ и т а | П о л ь з о в а т е л и и г р у п п ы (Tools | Security | User a n d G r o u p A c c o u n t s ) открыть окно Пользователи и группы (рис. 10.30).
Пользователи и г руппы |
|
ш |
|
|
|
|
|
Пользователи J Группы | Изменение пароля! |
|
||
Пользователь |
|
|
|
|
Щ |
|
3 |
Имя: |
ш |
|
|
|
Создать... | Удалить | |
Снять дароль |
| |
Г р у п п ы — — — - — — Имеющиеся группы:
Users
Г1
Г11
ОК |
Отмена |
1 фименить |
Рис. 10.30. О к н о Пользователи и группы
10. СУБД Access 2002 |
3 29 |
3. На вкладке П о л ь з о в а т е л и ( U s e r s ) проверить, что в поле со списком И м я
( N a m e ) выбрана стандартная учетная запись пользователя |
«Admin». |
4. На вкладке И з м е н е н и е п а р о л я ( C h a n g e L o g o n P a s s w o r d ) |
оставить пу- |
стым поле Т е к у щ и й п а р о л ь ( O l d P a s s w o r d ) , а в поле Н о в ы й |
п а р о л ь ( N e w |
P a s s w o r d ) ввести новый пароль. Вводимые символы отображаются звездочками (*). Пароли могут содержать от 1 до 14 любых символов с учетом регистра, кроме символа с кодом ASCII 0 (пустой).
5. Подтвердить пароль, повторно введя его в поле П о д т в е р ж д е н и е (Verify), и нажать ОК.
Чтобы отключить окно входа в систему описанным способом, нужно изменить текущий пароль пользователя Admin на пустой. Для этого достаточно на вкладке П о л ь з о в а т е л и ( U s e r s ) в поле И м я ( N a m e ) выбрать строку Admin и нажать кнопку Снять пароль (Clear Password).
Замечания.
•Для того чтобы обойти требование ввода пароля администратора в Access, достаточно указать системе на использование другого файла рабочей группы, в котором оно не установлено. В простейшем случае — это создаваемый при установке системы файл system.mdw. Чтобы система использовала его, а не текущий файл, достаточно запустить программу администратора рабочих групп и с его помощью связать Access с другим файлом. Файл рабочей группы не обязательно должен быть «родным». Несовпадение имени и названия организации не мешает нормальному запуску системы с другим файлом рабочей группы, который может находиться в любой папке.
•Чтобы обезопасить себя от порчи файла рабочей группы или утери пароля администратора из группы A d m i n s , следует сохранить исходный файл рабочей группы на дискете. В критический момент следует подключиться к нужному файлу.
•При организации работы нескольких групп пользователей на одном компьютере целесообразно для каждой из групп создать свой файл рабочей группы. Перед началом работы следует подключиться к нужному файлу. Чтобы случайно не подключиться к чужому файлу и не дать возможности несанкционированному пользователю войти в систему Access, файл лучше хранить отдельно от системы.
Перед созданием учетных записей пользователей, составляющих группы, если встроенных групп A d m i n s и U s e r s недостаточно, нужно создать учетные записи самих групп.
Создаваемые учетные записи пользователей автоматически попадают в группу пользователей Если необходимо, чтобы пользователи принад-
3 30 Часть 3. Современные СУБД и их применение
лежали другим группам, в частности к группе пользователей-администрато- ров Admins, следует включить в эти группы учетные записи пользователей.
При изменении конфигурации рабочей группы приходится удалять или вставлять соответствующие учетные записи. Эти операции выполняются в диалоговом окне, показанном на рис. 10.30.
Для работы с группами выбирается вкладка Г р у п п ы ( G r o u p s ) . Функция создания новых групп доступна для пользователей, подключившихся к Access при запуске как членов группы Admins. В диалоговом окне нужно ввести имя группы и ее код. Код не является паролем и в процессе дальнейшей работы системы Access используется при шифрации информации для группы. Самому пользователю код не нужен, и вводить его при действиях с БД не требуется. Его желательно сохранить на случай утраты файла РГ, когда потребуется вновь описывать группу пользователей. В противном случае не удастся получить доступ к защищенной БД.
Удаление группы выполняется с помощью кнопки У д а л и т ь ( R e m o v e ) . Стандартные группы Admins и Users не удаляются.
Для работы с учетными записями отдельных пользователей выбирается вкладка П о л ь з о в а т е л и ( U s e r s ) . Создание и удаление учетной записи осуще-
ствляется с помощью кнопок Создать (New) и Удалить (Remove) соответ-
ственно. При удалении учетной записи пользователя она удаляется из всех групп. Удалить учетную запись пользователя Admin невозможно.
Чтобы включить пользователя в группу, достаточно выбрать учетную запись этого пользователя в поле И м я ( N a m e ) , затем выбрать в списке И м е ю щ и е с я
г р у п п ы ( A v a i l a b l e G r o u p s ) нужную группу, нажать кнопку Д о б а в и т ь ( A d d ) .
Выбранная группа появляется в списке У ч а с т и е в г р у п п е ( M e m b e r of) .
Для удаления пользователя из группы нужно после выбора имени пользователя в поле И м я ( N a m e ) и имени группы из списка У ч а с т и е в г р у п п е ( M e m b e r o f ) нажать кнопку У д а л и т ь ( R e m o v e ) . Удалить пользователя Admin из группы Users невозможно, а удалить его из группы Admins можно при наличии в этой группе хотя бы еще одного пользователя.
Возможность непосредственного изменения учетных записей пользователей и групп отсутствует, для этого следует пользоваться функциями удаления и создания.
С помощью кнопки О т ч е т |
о з а щ и т е |
( P r i n t U s e r s a n d |
G r o u p s ) в окне |
П о л ь з о в а т е л и и г р у п п ы ( U s e r |
a n d G r o u p |
Accounts)(pHc. |
10 . 30) можно по- |
лучить отчет различной степени детальности: |
|
||
•о пользователях и группах;
•о пользователях;
•о группах.
Для получения отчета надо выполнить два условия: открыть базу данных, чтобы проверить право пользователя на доступ к ней, а также включить принтер, так как отчет выводится на бумагу.
10. СУБД Access 2002 |
331 |
Определение прав пользователей и групп и Access выполняется в соответствии с правами подключенного к системе пользователя и открытой базой данных.
Вызов окна управления правами доступа (рис. 10.31) выполняется с помощью команды С е р в и с | З а щ и т а | Р а з р е ш е н и я (Tools | S e c u r i t y | User A n d
G r o u p Permissions) .
Права доступа |
|
ш з |
|
|
|
||
Права доступа j Смена владельца j |
|
|
|
Пользователи/группы: |
Имя объекта; |
||
|
Ad1 |
Доставка |
|
|
|
Заказано |
|
|
U1 |
Заказы |
|
|
ПЗ |
Клиенты |
|
|
|
Поставщики |
|
|
|
Сотрудники |
|
|
|
|
L d |
Список: <• Пользователи |
Тип |
||
|
|
||
|
С Группы |
объекта: |Таблица |
|
I |
Права доступа |
|
|
|
|
Ф Чтение данных |
|
I |
W Чтение макета |
F? Обновление данных |
|
! |
F? Изменение макета |
Р |
Вставка данных |
|
Р Администратора |
Р |
Удаление данных |
Пользователь: Admin |
|
|
ОК |
Отмена |
DI1 |
Рис. 10.31. О к н о Права доступа |
|
|
Окно имеет две вкладки: Р а з р е ш е н и я |
(User A n d |
G r o u p P e r m i s s i o n s ) и |
С м е н а в л а д е л ь ц а ( C h a n g e Owner) . Установка прав может выполняться но отношению к группам и отдельным пользователям. Выбор управляется с помощью переключателей в группе С п и с о к (List).
При управлении правами доступа учитывают следующее.
1. Возможности манипуляций зависят от полномочий текущего пользователя, указанного в нижней части окна.
2. Для выбора нескольких объектов в области Имя объекта (Object N a m e ) можно провести указатель мыши при нажатой левой кнопке или выбирать объекты клавишей управления курсором при нажатой клавише <Ctrl>.
332 Часть 3. Современные СУБД и их применение
3. Кнопкой П р и м е н и т ь (Apply) пользуются для того, чтобы не выходить из окна после очередной установки.
4. В ы х о д и з о к н а п р о и с х о д и т п р и н а ж а т и и ОК.
Для смены владельца некоторого объекта БД служит вкладка П р а в а д о с -
т у п а ( U s e r A n d G r o u p |
P e r m i s s i o n s ) (рис. 10.32). |
|
Права доступа |
|
|
Прова доступа |
Смена владельца j |
|
Объект: |
Текущий владелец: |
|
Доставка |
Adrnin |
|
Заказано |
Admin |
|
Заказы |
Admin |
|
Клиенты |
Admin |
|
Поставщики |
Admin |
|
Сотрудники |
Admin |
|
|
|
L d |
Тип объекта: |
Цовый владелец: |
|
JТаблица |
|Ad1 |
|
|
Список: |
Пользователи |
|
|
Группы |
|
Сменить владельца |
|
Пользователь: Admin
OK |
Отмена |
' Применить |
Рис. 10.32. Вкладка Права доступа
Новым владельцем может быть отдельный пользователь и группа. Это зависит or установки переключателя в области С п и с о к (List). Если права владельца передаются учетной записи группы, то права владельца автоматически получают все пользователи из этой группы. Возможности операций по смене владельца зависят от полномочий текущего пользователя. Нажатие
к н о п к и С м е н и т ь в л а д е л ь ц а ( C h a n g e O w n e r ) п о з в о л я е т н а з н а ч а т ь р а з л и ч -
ным объектам в зависимости от их типов новых владельцев.
Установка защиты базы данных на уровне пользователя выполняется с помощью Мастера защиты. Создание структуры рабочей группы желательно завершить до вызова Мастера защиты. Результат защиты — создание новой