Рис. 2. Пример, показывающий явно назначенные разрешения, а так же неявные разрешения и права каждого пользователя. Явные разрешения напечатаны обычным шрифтом, а унаследованные – курсивом.

Поскольку пользователи всегда являются членами группы Users, которой по умолчанию предоставляются все права доступа к любому новому объекту, любой другой пользователь, а не только Admin, может получить полный доступ ко всем вашим объектам. Чтобы проверить разрешения пользователя или группы, сначала откройте нужную базу данных. Вы должны быть владельцем базы данных и всех объектов, которые хотите проверить, или иметь разрешение администратора на доступ к базе данных и объектам. После выбора команды Сервис à Защита à Разрешения (Tools à Security à User And Group Permissions) Access откроет окно диалога.

Рис. 3. Некоторые разрешения, предоставленные группу Users

В списке в левой верхней части окна отображаются пользователи или группы, определенные в базе данных. Установите переключатель Пользователи (Users) или Группы (Groups) в зависимости от того, что вы хотите увидеть. В списке Имя объекта (Object Name) выводятся объекты базы данных. Пользуясь расположенным ниже раскрывающимся списком, можно изменить тип отображаемых объектов. После выбора нужного объекта флажки в нижней части окна отобразят явно назначенные разрешения. Если вы выберете группу Users и просмотрите объекты, то убедитесь, что она имеет полные права доступа ко всем объектам. Кроме того, имея права администратора на доступ к объектам, можно выбирать любые из этих объектов и изменять разрешения, предоставляемые пользователю или группе.

Внимание! Не пробуйте изменять разрешения или владельца объекта до тех пор, пока полностью не поймете все возможные последствия такого действия. Если вы только приступили к изучению системы защиты Access, в целях безопасности работайте с запасной копией своей базы данных. Может случиться так, что вы отмените свое разрешение и не сможете восстановить его!

На вкладке Смена владельца (Change Owner) для любого объекта вы можете определить, кто (пользователь или группа) является его текущим владельцем. В большинстве случаев всеми объектами владеет пользователь Admin. Вы можете выделить один или несколько объектов, выбрать другого пользователя или группу и щелкнуть на кнопке Сменить владельца (Change Owner), чтобы назначить нового владельца. Никогда не передавайте объект другому владельцу, если вы полностью не понимаете возможные последствия такого действия. Прежде чем назначить объекту нового владельца, вы должны твердо знать, как зарегистрироваться в качестве такого владельца. Если вы владеете объектом, то всегда можете передать права владельца другому коду пользователя или группы (или отобрать их).

§6. Использование мастера защиты

Теперь, после знакомства с системой защиты Access, должно быть очевидно, что для реальной защиты базы данных требуется немало усилий. При обычной установке Access стандартная рабочая группа создается на основе информации о пользователе Windows и названии организации. Поэтому любому человеку, имеющему доступ к вашему компьютеру, не представит особого труда выяснить эти сведения и продублировать их. Итак, для начала вам нужна уникальная рабочая группа, чтобы было трудно воспроизвести ее идентификатор, дающий всем членам группы Admins право изменять разрешения. Затем вам потребуется код пользователя, отличный от Admin, в качестве владельца вашей базы данных и всех ее объектов. Кроме этого, для всех объектов необходимо удалить разрешения из группы Users. А чтобы никто не мог изучить ваши данные и тексты процедур с помощью служебных программ для просмотра дисков, вы должны зашифровать базу данных.

Конечно, можно проделать все эти шаги «вручную», но Microsoft предоставляет мастера, помогающего установить защиту на уровне пользователя. Он выполнит за вас перечисленные выше шаги, включая шифрование базы данных. Но прежде чем воспользоваться его помощью, необходимо выполнить несколько операций.

§7. Подготовка к установке защиты

Чтобы мастер защиты успешно выполнил свою работу по установке защиты базы данных, вы должны зарегистрироваться под именем владельца этой базы данных или в том же самом файле рабочей группы, который использовался вами при создании базы данных, и при этом быть в нем членом группы Admins. Вспомните, что одним из важнейших шагов является создание новой рабочей группы с уникальным кодом, которая, скорее всего, будет отличаться от рабочей группы, использовавшейся при создании базы данных. Кроме того, при создании базы данных вы, вероятнее всего были зарегистрированы как пользователь Admin, а для базы данных, владельцем которой является Admin, нельзя установить защиту. В этом случае вам придется назначить нового владельца.

Мастер защиты в Access 2000 позволяет защитить базу данных, даже если вы зарегистрировались как пользователь Admin в первоначальной рабочей группе. В этой ситуации мастер заставит вас создать новую рабочую группу. В новой рабочей группе мастер сделает владельцем базы данных новый код пользователя. Но это возможно только в том случае, если вы являетесь владельцем базы данных. Вы также можете перед запуском мастера создать новую рабочую группу и в ней новый код пользователя (не Admin) в группе Admins, но этот пользователь должен быть владельцем базы данных, в противном случае попытка мастера переназначить владельца кажется безуспешной.

Вы сможете лучше понять систему защиты Access, если сначала создадите новую рабочую группу, определите, по крайней мере, один код пользователя и дадите пользователя Admin из группы Admins. Найдите программу Wrkgadm.exe на своем компьютере. При установке Access она обычно помещается в папку, в которой установлен пакет Microsoft Office. Если Microsoft Office установлен в папке Program Files на диске С, ярлык должен работать без каких-либо изменений. Если Microsoft Office находится в другом месте, в Проводнике Windows установите указатель на этом ярлыке, нажмите правую кнопку мыши, контекстном меню выберите команду Свойства (Properties) и затем на вкладке Ярлык (Shortcut) измените содержимое полей Файл (Target) и Рабочий каталог (Start In). Дважды щелкните на ярлыке, чтобы запустить администратора рабочих групп.

Рис. 4. Начальное окно диалога администратора рабочих групп

Начальное окно диалога администратора рабочих групп для Access 2000 не отображает, в отличие от предыдущих версий, имя пользователя и название организации. Но эту важную для защиты информацию все равно можно легко найти, открыв любое приложение Microsoft Office на компьютере и выбрав команду Справка à 0 программе (Help à About). Здесь приведен полный путь к текущему файлу рабочей группы. Как показано на рисунке 4, стандартный файл рабочей группы называется System.mdw и находится в папке Office. Если вы создали другой файл рабочей группы, то в окне диалога, которое открывается щелчком на кнопке Связь (Join), можете ввести путь к этому файлу или воспользоваться кнопкой Обзор (Browse) для указания его местонахождения.