返回首页
当前位置: 主页 > 其他教程 > Access教程 >

Access关于用户级安全机制基础教程

时间:2013-09-03 23:07来源:Office教程学习网 www.office68.com编辑:麦田守望者

Microsoft Access 用户级安全机制非常类似于在基于服务器的系统上看到的用户级安全机制。使用密码和权限,可以允许或限制个人、组(由个人组成)对数据库中对象的访问。安全帐户定义了哪些个人和哪些组(由个人组成)可以访问数据库中的对象。这一信息称为工作组,存储在工作组信息文件中。

关于用户级安全机制

帮助保护数据库的最佳方法是用户级安全机制。使用用户级安全机制的两个主要原因是:

  • 防止用户不小心更改应用程序所依赖的表、查询、窗体和宏而破坏应用程序。
  • 帮助保护数据库中的敏感数据。

在用户级安全机制下,当用户启动 Microsoft Access 时要键入一个密码。然后 Access 开始读取工作组信息文件,在该文件中每个用户都由唯一标识代码标识。在工作组信息文件中,通过用户的个人 ID 和密码将用户标识为已授权的单个用户,同时还标识为指定组的成员。Microsoft Access 提供两个默认组:管理员(命名为管理员组)和用户(命名为用户组),但也可定义其他组。

尽管在很多数据库上设置用户级安全机制将是一个令人发怵的工作,但“设置安全机制向导”使这一过程变得容易,它可以通过一步操作来为 Access 数据库采用全新的安全功能。此外,通过执行普通的安全方案,“设置安全机制向导”甚至可以消除使用“工具”菜单中的“安全”命令的需要。

“设置安全机制向导”可帮助您指定权限,创建用户帐户和组帐户。但在运行该向导后,可以针对某个数据库及其中已有的表、查询、窗体、报表和宏,手动在工作组中指定、修改或删除用户帐户和组帐户的权限。也可以设置 Microsoft Access 分配给在数据库中新建的表、查询、窗体、报表和宏的默认权限。

可以为组和用户授予权限,规定他们如何使用数据库中的表、查询、窗体、报表和宏。例如,可以允许“用户”组的成员在“客户”表中查看、输入或修改数据,但不能更改表的设计。“用户”组的成员只可以查看包含订单数据的表,而绝不能访问“工资”表。“管理员组”的成员则对数据库中的所有表、查询、窗体、报表和宏都具有完全的权限。如果要进行更细致的控制,可以创建自己的组帐户,为其指定适当的权限,然后将用户添加到组中。

若考虑安全性时只需要管理员组和用户组,则无需创建其他组;可使用默认的“管理员组”和“用户组”。此时,只需为默认的“用户组”指定适当的权限,为默认的“管理员组”添加其他的管理员。添加的任何新用户都会自动被添加到“用户组”中。“用户组”的典型权限可包括对表和查询的“读取数据”和“更新数据”,对窗体和报表的“打开/运行”。

若需对各个不同的用户组进行更细致的控制,可创建自己的组,为不同的组指定不同的权限,并将用户添加到适当的组中。为简化对权限的管理,建议只向组授权(而非用户),然后将用户添加到适当的组中。

例如,为了帮助保护“订单”数据库,可以为经理建立一个“经理”组,为销售员建立一个“销售员”组以及为雇员建立一个“雇员”组。然后可以将具有最少限制的权限赋给“经理”组,将具有较多限制的权限赋给“销售员”组,而将具有最多限制的权限赋给“雇员”组。当为新雇员创建用户帐户时,可将其添加到适当的组中,以使该雇员拥有与该组相关的权限。

关于工作组和工作组信息文件

Microsoft Access 工作组是在多用户环境下共享数据的一组用户。如果定义了用户级安全机制,工作组的成员将记录在用户帐户和组帐户中,这些帐户则存储在 Microsoft Access 工作组信息文件中。用户的密码也存储在工作组信息文件中。可以为这些安全帐户指定对数据库及其表、查询、窗体、报表和宏的权限。权限本身将存储在启用安全功能的数据库中。

当用户在安装 Microsoft Office 后首次运行 Microsoft Access 时,Access 会自动创建 Microsoft Access 工作组信息文件,该文件是以用户指定的名称和组织信息标识的。然后该工作组信息文件的相对位置添加到注册表键值中:

HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0AccessJet4.0EnginesSystemDB

HKEY_USERS.DEFAULTSoftwareMicrosoftOffice11.0AccessJet4.0EnginesSystemDB

后来的用户会从 HKEY_USERS 注册表键值中继承默认的工作组文件的路径。因为这一信息通常很容易确定,所以未经授权的用户也很可能创建该工作组信息文件的其他版本,并因而获得该工作组信息文件定义的工作组中的管理员帐户( “管理员组” 的成员)的各种不可撤消的权限。为预防这一点,应新建一个工作组信息文件并为其指定工作组 ID (WID) 。这样只有知道 WID 的人才可以创建工作组信息文件的副本。

您创建的任何用户帐户和组帐户或相应的密码都保存在该工作组信息文件中,除非用户使用“工作组管理员”加入另一个工作组。

注释在 Access 2002 或更高版本中,可以从“工具”菜单上的“安全”子菜单运行“工作组管理员”。

应确保记下正确的名称、组织和工作组 ID,包括字母的大小写(对全部三项而言),并将其放置在安全的地方。如果要重新创建工作组信息文件,必须使用相同的名称、组织和工作组 ID。如果遗忘或丢失这些输入项,则不可恢复,因而也就无法访问数据库。

关于权限的工作方式及可以授权者

有两种类型的权限:显式的和隐式的。显式的权限是指直接授予某一用户帐户的权限,该权限对其他用户没有影响。隐式的权限是指授予组帐户的权限。将用户添加到组中也就同时授予了用户该组的权限,而将用户从组中删除则取消用户的组权限。

当用户要对使用了安全功能的数据库对象执行操作时,该用户所具有的权限基于他的显式和隐式权限的交集。用户的安全级别总是取决于用户的显式权限与用户所属组的权限中限制最苛刻的权限。因此,管理工作组最简单的方法就是创建新组并为组指定权限,而不是为单个用户指定权限。然后通过将用户添加到组中或从组中删除的方式来更改单个用户的权限。而且,如果要授予新的权限,使用一个操作即可对一个组中的所有成员授予权限。

------分隔线----------------------------
标签(Tag):access 数据库 access技巧 access实例教程 access源代码 access基础教程
------分隔线----------------------------
推荐内容
猜你感兴趣