În acest articol
Elementele de bază ale protecției la nivel de utilizator
În mod implicit, accesul include un utilizator încorporat și două grupuri încorporate. ID-ul de utilizator implicit pentru administrator și grupurile implicite sunt utilizatorii și administratorii. În mod implicit, Access va adăuga un grup de utilizatori încorporat ID-ul de utilizator din cauza toate datele de identificare trebuie să aparțină cel puțin un grup. La rândul său, un grup de utilizatori oferă acces deplin la toate obiectele din baza de date. În plus, ID-ul de administrator este de asemenea membru al grupului Administrators. Administratorii de grup trebuie să conțină cel puțin un identificator de utilizator (trebuie să fie administratorul bazei de date), precum și identificatorul administratorului - administratorului bazei de date implicit, dacă nu îl modificați.
După terminarea asistentului, puteți să atribuiți manual, să modificați sau să ștergeți permisiunile pentru conturile de utilizator și de grup din grupul de lucru pentru baza de date și tabelele, interogările, formularele, rapoartele și macrocomenzile. În plus, puteți specifica permisiunile implicite care vor fi atribuite accesului în tabele, interogări, formulare, rapoarte și macrocomenzi noi adăugate în baza de date.
Grupuri de lucru și fișiere de grup de lucru
Utilizatorii din aval moștenesc calea către fișierul grupului de lucru implicit din valorile cheie de registry HKEY_USERS. Deoarece obținerea acestor informații este de multe ori nu este dificil, este posibil ca un atacator ar putea crea o altă versiune a fișierului de informații și de a obține rezoluția inerente în contul de administrator (membru al grupului „Administratori“), grupul de lucru a stabilit că un fișier cu informații de grup de lucru. Pentru a preveni această situație, a crea un nou fișier cu informații de grup de lucru și specificați un identificator de grup de lucru - un șir de 4 - 20 numere și litere (majuscule), care este introdus pentru a crea un nou fișier de informații de grup de lucru. Crearea unui nou grup de lucru identifică în mod unic un grup de „administratori“ pentru acest fișier grup de lucru. Numai utilizatorul care cunoaște ID-ul grupului de lucru poate crea o copie a fișierului grupului de lucru. Pentru a crea un fișier, utilizați Expertul de protecție la nivel de utilizator.
Important: Nu uitați să notați identificatorul exact pentru numele, organizația și numele grupului de lucru, inclusiv literele, dacă acestea sunt majuscule sau mici (pentru cele trei elemente) și să le stocați într-un loc sigur. Dacă doriți să creați din nou fișierul grupului de lucru, trebuie să specificați exact același nume, numele organizației și ID-ul grupului de lucru. Dacă uitați sau pierdeți aceste înregistrări, puteți pierde accesul la bazele de date.
Funcționarea permiselor și scopul lor
În mecanismul de protecție la nivel de utilizator, există două tipuri de permisiuni: explicite și implicite. Permisiunile sunt numite explicite dacă sunt acordate direct unui cont de utilizator; aceste permisiuni nu afectează permisiunile altor utilizatori. Implicit sunt permisiunile acordate contului de grup. Utilizatorul adăugat la acest grup primește toate permisiunile acordate grupului; Înlăturarea unui utilizator din grup îl privează de toate permisiunile care i-au fost atribuite.
Atunci când un utilizator încearcă să efectueze o operație pe un obiect de bază de date protejat, permisiunile sale curente sunt determinate de o combinație de permisiuni explicite și implicite. La nivel de utilizator, există întotdeauna restricții minime impuse de permisiuni explicite pentru utilizator și pentru toate grupurile de care aparține utilizatorul. Prin urmare, cea mai simplă modalitate de a gestiona un grup de lucru este crearea de grupuri noi și atribuirea permisiunilor acestor grupuri, nu utilizatorilor individuali. După aceasta, permisiunile pentru utilizatorii individuali sunt modificate adăugându-le în grupuri sau eliminându-le din grupuri. În plus, dacă este necesar, puteți oferi simultan permisiuni noi tuturor membrilor grupului.
Următorii utilizatori pot modifica permisiunile pentru obiecte de baze de date individuale:
membrii grupului Administratori definiți în fișierul grupului de lucru care a fost utilizat pentru a crea baza de date particulară;
Orice utilizator care a primit permisiuni de administrator pentru acest obiect.
În unele cazuri, utilizatorii care nu au permisiunea de a efectua nicio acțiune, pot să-și atribuie astfel de permise. Acest lucru este valabil pentru un utilizator care este membru al grupului Administrators sau proprietarul obiectului.
Utilizatorul care a creat tabelul, interogarea, forma, raportul sau macroul este proprietarul acestui obiect. În plus, un grup de utilizatori care pot schimba permisiunile în baza de date pot de asemenea să schimbe proprietatea obiectelor sau să recreeze aceste obiecte, iar în ambele cazuri proprietarul obiectelor se schimbă. Pentru a re-crea un obiect, este suficient să îl importați sau să îl exportați într-o altă bază de date sau să faceți o copie a acestuia. Această tehnică este cea mai simplă modalitate de a schimba proprietatea obiectelor, inclusiv întreaga bază de date.
Conturi de securitate
Articole similare
Trimiteți-le prietenilor: