Назначение прав доступа к объектам базы данных для учетных записей, хранящихся в файле рабочей группы, выполняется в Access с помощью диалогового окна Разрешения (User and Group Permissions).
Чтобы открыть диалоговое окно для назначения прав доступа к объектам базы данных:
- Откройте защищенную базу данных, подключив необходимый файл рабочей группы.
- Зарегистрируйтесь с именем пользователя, обладающего административными правами.
- Выберите команду Сервис, Защита, Разрешения (Tools, Security, User and Group Permissions). Появится диалоговое окно Разрешения (User and Group Permissions) (рис. 20.6).
В диалоговом окне Разрешения есть две вкладки: Разрешения (Permissions) и Смена владельца (Change Owner). Рассмотрим вкладку Разрешения. (О функциях второй вкладки рассказывается в разд. "Предоставление права на владение объектами базы данных" этой главы.) С помощью данной вкладки можно определить права доступа к конкретным объектам базы данных для конкретных пользователей и групп. В поле Пользователь (Current User) отображается имя пользователя, которое было применено для регистрации в момент открытия базы данных. В зависимости от того, обладает ли текущий пользователь административными правами или нет, ему будут позволены или запрещены просмотр и изменение прав доступа к объектам базы данных.
Рис. 20.6. Диалоговое окно Разрешения
Чтобы назначить права доступа к объектам базы данных конкретной группе:
- На вкладке Разрешения выберите переключатель группы (Groups).
- В списке Пользователи и группы (User/Group Name) отобразится список всех групп в рабочей группе. Выделите в этом списке группу, права доступа которой нужно изменить.
- ОК.
Чтобы назначить права доступа к объектам базы данных конкретному пользователю:
- На вкладке Разрешения выберите переключатель пользователи (Users).
- В списке Пользователи и группы (User/Group Name) отобразится список всех пользователей в рабочей группе. Выделите в этом списке пользователя, права доступа которого нужно изменить.
- Измените права доступа к объектам базы данных и нажмите кнопку ОК.
Чтобы назначить выбранному пользователю или группе права доступа к объекту базы данных:
- На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите тип объекта (Таблица (Table), Запрос (Query), Форма (Form), Отчет (Report) или Макрос (Macro)).
Замечание
В списке имен объектов не будут отображаться скрытые объекты, если в диалоговом окне Параметры (Options) на вкладке Вид (View) не установлен флажок скрытые объекты (Hidden Objects), позволяющий отображать скрытые объекты.
- В списке Имя объекта (Object Name) выделите имя объекта, права доступа к которому требуется изменить.
- Чтобы предоставить определенный вид доступа, установите соответствующий флажок в группе Разрешения (Permissions). Чтобы запретить определенный вид доступа, сбросьте соответствующий флажок в этой группе.
- Нажмите кнопку Применить (Apply) иначе при выборе другого пользователя, группы или другого объекта появится диалоговое окно, требующее подтверждения сделанных изменений. Чтобы подтвердить изменения, нажмите кнопку ОК.
Чтобы назначить пользователю или группе права доступа к базе данных:
- На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите элемент База данных (Database).
- В списке Имя
объекта. (Object Name) отобразится элемент <Текущая база дан-ных>
(
). - Применить (Apply).
Чтобы назначить права доступа к создаваемым объектам базы данных, предоставляемые пользователю или группе:
- На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите тип объекта (например, Форма (Form)).
- В списке Имя объекта
(Object Name) выделите элемент, обозначающий новые объекты заданного типа, права доступа к которым требуется изменить (например, <Новые формы>
(
)). - Установите необходимые разрешения и нажмите кнопку Применить (Apply).
Замечание
Установка или сброс флажков некоторых разрешений влечет установку или сброс других флажков разрешений, поскольку предоставление или отмена определенного вида доступа может привести к предоставлению или отмене другого вида доступа, связанного с измененным. Например, предоставление доступа к таблице вида Чтение данных (Read Data) влечет предоставление доступа Чтение макета (Read Design), а отмена доступа Обновление данных (Update Data) влечет отмену доступа Изменение макета (Modify Design).
Представим работу разных прав доступа применительно к базовым объектам безопасности системы:
ДЕЙСТВИЯ \ ПРАВА |
Нет доступа |
Чтение / Проведение |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Просмотр объекта |
Запрещен |
Разрешен |
Разрешен |
Разрешен |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Редактирование объекта |
Запрещен |
Запрещен |
Запрещен |
Если для пользователя указано право на папку Нет доступа , а на элемент в этой папке доступ разрешён (права Чтение и проведение или Чтение и запись ), то доступ к элементу всё равно будет запрещён. При попытке открыть объект системы, доступный только Администратору , обычному пользователю будет выдано сообщение о нарушении прав доступа. ЗАМЕЧАНИЕ О РАБОТЕ БЕЗОПАСНОСТИ ПРИ РАСЧЕТЕ ФОРМУЛ В ДОКУМЕНТАХ.
См. также: Когда пользователи подключаются к SQL-сервер, действия, которые они могут выполнять, определяются правами, выданными их учетной записи, группе или роли, в которой они состоят. Для выполнения тех или иных действий пользователь должен иметь соответствующие права. Выполнение некоторых действий не требует явного разрешения и доступно по умолчанию. Для предоставления пользователям определенного набора прав можно использовать роли. Создав несколько ролей и предоставив им необходимые права доступа, администратор может просто включать пользователей в соответствующие роли. В этом случае пользователь автоматически получает все права, определенные для роли. Права в SQL-сервер можно разделить на 3 категории: Разрешение для объектов. Работа с данными и выполнение хранимых процедур требует наличие класса доступа, называемого «разрешением для объектов». Разрешение для объектов контролирует возможность выполнения команд Select, Insert, Update и Delete для таблицы представлений. Действия с хранимыми процедурами контролируются разрешением либо запрещением их выполнения, т.е. предоставлением или запрещением команды EXECUTE. Разрешение для команд Transact SQL. Этот класс разрешений контролирует возможность создания объекта в БД, а также создание самой БД и выполнение процедур резервного копирования (Create view, create table и т.д.). Неявное разрешение. Этот класс разрешений контролирует действия, которые могут быть выполнены только членами ролей сервера или владельцами объектов в БД. Неявные разрешения не предоставляются пользователям напрямую, он получает их только при определенных обстоятельствах. Например, пользователь может стать владельцем объекта БД, только если он сам создаст этот объект, либо если другой владелец объекта передаст ему права владения своим объектом. Владелец объекта имеет все права для выполнения любых действий с объектом, при чем эти права нигде явно не указываются. Для конкретного действия, контролируемого разрешением, возможны три варианта состояния доступа: предоставления, запрещения, неявного отклонения. После создания пользователь не имеет никаких прав доступа кроме тех, которые разрешены для специальной роли БД Public. В SQL-сервер существует возможность контролировать права доступа не только на уровне таблиц, но и на уровне колонок. Для предоставления прав доступа используется команда GRANT. {ALL/permissions [..n]} {[(column [..n])] ON | ON {stored_procedure} TO security_account Для разрешения выполнения команд SQL используется следующая инструкция: GRANT {ALL/Statement [..n]} TO security_account [...n] Запрещение доступа При запрещении доступа к данным или командам Transact SQL аннулируются все разрешения на доступ пользователя на любом уровне иерархии. При этом гарантируется, что доступ останется запрещенным независимо от разрешений, предоставленных на более высоком уровне. Но иногда необходимо временно ограничивать доступ определенным пользователям к таблице. Вместо того чтобы убирать разрешение на доступ, в этом случае можно создать роль, в которой будет запрещен доступ к этой таблице, и включить пользователей в эту роль. Для запрещения пользователям доступа к объектам БД используется команда DENY. {ALL/permissions [..n]} {[(column [..n])] ON | ON {table/view} [(column[..n])] | ON {stored_procedure} TO security_account [..n] Для запрещения выполнения команд Transact SQL: DENY {ALL/Statement [..n]} TO security_account [...n] Неявное отклонение доступа Неявное отклонение доступа подобно запрещению доступа с тем отличием, что оно действует только на том уровне, на котором определено. Если пользователю на определенном уровне неявно отклонен доступ, он может получить его на другом уровне иерархии через членство в роли, имеющей право просмотра. Для неявного отклонения доступа к объектам БД используется команда REVOKE. {ALL/permissions [..n]} {[(column [..n])] ON | ON {table/view} [(column[..n])] | ON {stored_procedure} TO security_account [..n] Для неявного отклонения разрешений на использование команд Transact SQL: REVOKE {ALL/Statement [..n]} TO security_account [...n] Значения параметров команд: ALL – означает, что пользователю будут предоставлены все возможные разрешения. Permissions – список доступных операций, которые предоставляются пользователю. Можно предоставлять одновременно несколько разрешений. Statement – предоставление разрешений на выполнение команд Transact SQL. Security_account – указывается имя объекта системы безопасности, которую необходимо включить в роль. Это могут быть как учетные записи SQL-сервер, так и группы пользователей Windows. With Grant Option – использование данного параметра позволяет пользователю, которому предоставляются права, назначать права на доступ к объекту для других пользователей. As role/group – этот параметр позволяет указать участие пользователя в роли, которому предоставляется возможность предоставлять права другим пользователям. Cascade – позволяет отзывать права не только у данного пользователя, но и у всех пользователей, которым он предоставил данные права. При установке Kaspersky Security Center 10 автоматически формируются группы пользователей KLAdmins и KLOperators, которым предоставляются права на подключение к Серверу администрирования и на работу с его объектами. KLAdmins и KLOperators создаются:
Для просмотра групп KLAdmins и KLOperators и изменения прав пользователей групп KLAdmins и KLOperators используйте стандартные средства администрирования операционной системы. Группе KLAdmins предоставлены все права. Набор прав для KLAdmins недоступен для изменения. Пользователи из группы KLAdmins - администраторы Kaspersky Security Center. Группе KLOperators предоставлены права на чтение и выполнение. Пользователи из группы KLOperators - операторы Kaspersky Security Center. Права администратора Kaspersky Security Center предоставляются локальным администраторам устройств, на которых установлен Сервер администрирования. После установки программы администратор Kaspersky Security Centerможет:
Как предоставить права доступа
Чтобы отследить действия пользователя:
Набор прав доступа в Kaspersky Security Center 10В Kaspersky Security Center 10 для большинства функций поддерживается стандартный набор прав доступа:
С каждым объектом, который находится в ведении Mac OS X, связан определенный набор прав доступа (в unix-среде используется термин привилегии доступа), который полностью определяет, кто является владельцем этот объекта и что с ним могут делать разные пользователи. Эти права можно просмотреть в окне свойств объекта – команда Файл>>Свойства , раздел Общий доступ и права доступа. Кому назначаются права доступа В окне свойств объекта, в колонке Имя указаны пользователи или точнее, категории пользователей, которые обладают какими-то специфическими правами на этот объект: зарегистрированный пользователь обозначен силуэтом одного человека, группа – два силуэта и все остальные – три силуэта. Рассмотрим их подробнее. Зарегистрированный пользователь . По умолчанию первым таким пользователем указан владелец - тот, кто создал этот объект. Им может быть любой зарегистрированный пользователь или root (в Finder root фигурирует под именем system). Группа . В окне свойств обычно указывается ее имя, в нашем примере это staff. Само понятие группы используется для того, чтобы так-то отделить от «всех остальных» некий определенный круг людей, которым нужно дать особые права доступа к этому объекту. Например, если речь идет о каком-то важном документе в пределах организации, - скажем, рабочем расписании, - то доступ к нему с правом чтения могут иметь все сотрудники этой структуры, а право изменять его - только строго определенный круг лиц. Администратор, определяющий привилегии доступа к этому файлу, объединит людей, имеющих право вносить коррективы в файл, в отдельную группу и даст ей нужные права. В Mac OS по умолчанию заданы и используются такие группы: Admin - все зарегистрированные администраторы, и в том числе tool, Wheel - все зарегистрированные системные администраторы, по умолчанию это только root, и Staff – все зарегистрированные пользователи и root, группы можно создавать в панели Учетные зашей в Системных настредтках. Остальные (everyone) – это все иные пользователи, которые не являются владельцами этого элемента и не входят в группу, обладающую особыми правами по отношению к этому объекту. Какие бывают права доступа Что касается прав, связанных с определенным объектом, то в Finder вы сможете задать такие из них: Настройка прав доступа к объекту Когда вы создадите в своей личной папке новую папку или сохраните сюда собственный файл, этот объект получит такие права доступа: владелец имеет все права – может и записывать в нее файлы, и открывать содержащиеся объекты; члены группы staff (то есть зарегистрированные пользователи), могут просматривать ее содержимое; все остальные (то есть те, кто подключился к вашему Маку с гостевыми правами) - тоже просматривать ее содержимое. Как видите, права, которые получает каждая создаваемая вами папка, очень демократичны (они существенно отличаются от предустановленных папок - к ним имеете доступ только вы, как владелец). Если вы не хотели бы, чтобы каждый пользователь вашего компьютера имел доступ ко всей информации в этой папке, обязательно отредактируйте связанные с ней права. В окне выбора пользователей и групп есть объект Адресная книга. Выделив его, вы получите доступ к списку людей, чьи контакты хранятся в вашей Адресной книге. Пользователи, которых вы. добавите туда, будут автоматически регистрироваться па вашем Маке только для сетевого доступа. Пользователи или группы, которые в окне свойств находятся в верхней части списка пользователей, имеют преимущество перед нижними. Например, если вы добавите в список группу kids и дадите им права чтения и записи, то они уже не будут ограничены правами группы staff, хоть и будут входить в ее число. Учтите, что свободно изменять права доступа к объектам могут только администраторы. Если обычный пользователь, например, попробует «чужой» документ сделать «своим», ему придется ввести пароль администратора. Групповая настройка прав доступа Как быть, если необходимо изменить права доступа к нескольким объектам? Конечно, вам не придется перебирать их по одному. Есть несколько вариантов решения этой задачи. Если при попытке запустить такую программу вы получите сообигение, что «Программа не отвечает» или что-то в этом роде, проверьте, правильно ли заданы привилегии доступа к папке -/Библиотеки/. Вы должны быть единственным пользователем с правами чтения и записи. Все остальные должны иметь категорию «нет доступа». В таком случае включите Игнорировать владельцев в этом томе и спокойно открывайте все документы. Иногда для этого, может потребоваться перезагрузить компьютер. «Скорая помощь» для прав доступа Советую очень осторожно относиться к изменению прав доступа, особенно к папкам, содержащим системные и программные компоненты. После некоторых, казалось бы, совершенно безобидных изменений – например, запрещения всем остальным пользователям иметь доступ к системным папкам – возможна неправильная работа системы и остальных программ. Поэтому лучше ограничиться настройкой прав для своих собственных папок, которые вы хотели бы скрыть от всеобщего доступа. Но не всегда положение дел с правами будет зависеть только от вас. Есть ряд ситуаций, после которых возможны изменения в правах доступа к системным компонентам, что чревато сбоями в работе системы и некоторых программ. Перечислим основные причины появления проблем с правами. Решить проблемы в работе системы, связанные с неправильно установленными правами, можно с помощью программы Дисковая утилита (/Программы/ Служебные программы/). В левом окне профаммы вылелите диск (или раздел диска), где находится «проблемная» Mac OS, в правом – откройте закладку Первая помощь (First Aid). Что можно сделать: Проверить права доступа . Программа проверит, нет ли конфликтов в правах доступа на этом диске. Вы получите отчет о проверке, на основании которого сможете решить, нужно ли их исправлять или нет. Восстановить права доступа . Если в ходе проверки прав доступа были обнаружены какие-то проблемы, можете попробовать их исправить. На сообщения типа «ACL обнаружен, но не ожидается», можно не обращать внимания. Наличие ACL не нарушает работы системных компонентов и Дисковая утилита их, как правило, не удаляет. В Леопарде восстанавливать права доступа можно без перезагрузки с установочного диска, как того требовали предыдущие версии Mac OS. Права доступа ко всем компонентам операционной системы и программам Apple будут сброшены в состояние «по умолчанию». Программы Apple в процессе установки записывают информацию о своих компонентах в папку /Библиотеки/Receipts/. Эти данные дисковая утилита и использует для восстановления прав. Если содержимое папки со сведениями об этих пакетах было уничтожено, утилита восстановит только системные права. Без изменений останутся программы сторонних производителей, и если они при установке изменяли права доступа к системному программному обеспечению, то после восстановления прав доступа могут работать некорректно. Средства обмена данными между пользователями До сих пор мы рассказывали как Mac OS защищает данные пользователей от постороннего доступа. Но есть множество ситуаций, когда наоборот - многие данные, такие как медиатека iTunes или фотоснимки iPhoto должны стать доступными всем пользователям одного Мака. Рассмотрим, какие есть средства организацгии обмена файлами всех зарегистрированных пользователей. Папка Общий доступ . Находится в папке /Пользователи/. Информация внутри этой папки доступна всем пользователям, – они могут копировать из нее существующие объекпл и записывать свои. Папка Общие . Находится в вашей личной папке. Информация в этой папке доступна остальным пользователям только с правом чтения. Все могут могут открывать ее, просматривать файлы и что-либо из нее копировать. Папка Почтовый ящик . Находится в папке -/Общие/). Только вы будете иметь к ней полный доступ. Все остальные могут в нее только что-либо записывать, без права даже просматривать ее содержимое. Итак, если вам нужно предоставить файл или папку для всеобщего пользования – поместите ее в папку /Пользователи/Общий доступ/. Только не спешите копировать туда свою медиатеку или фототеку. Чтобы разместить в ней файлы каких-то программ, лучше обратиться к справке этих программ – здесь могут быть нюансы относительно того, какие компоненты лучше туда скопировать и как остальным пользователям «подключиться» к общим данным. Но если музыкальные файлы или изображения хранятся у вас за пределами медиатеки или фототеки, можете смело переносить их в папку Общий доступ – они тут же станут доступными для всех пользователей. Если хотите, чтобы все могли пользоваться вашими файлами, но не могли их удалять или добавлять свои - запишите эти файлы в папку -/Общие/. И, наконец, чтобы передать файл кому-либо лично, бросьте его в Почтовый ящик этого пользователя. Вы также можете создавать и другие папки для обмена данными, назначая остальным пользователям соответствующие права доступа. |