ProInf.net

1. Establecer la contraseña en el fichero

Para el primer sistema hay que abrir la base de datos en modo exclusivo y luego  ir al menú Herramientas → Seguridad → Establecer contraseña para la base de datos. 

La contraseña queda almacenada con el fichero de la base de datos.

MS-Access pregunta la contraseña cada vez que se intenta abrir el fichero de base de datos.

Este sistema es muy simple: no permite distintos usuarios ni permite establecer permisos para los distintos objetos de la base de datos.

Ejemplo:

La base de datos bd_con_contraseña.mdb tiene establecida la contraseña pepe.

1.1. Romper la contraseña

Es muy fácil romper la contraseña establecida de esta forma mediante un pequeño programa escrito en lenguaje C por Nate Lawson:  crackacc.c

Este programa funciona para la versión MS-Access 97

2. Establecer un sistema completo de usuarios, grupos de usuarios y permisos a objetos

Los pasos a seguir son:

2.1. Crear un archivo de grupo de trabajo dónde almacenar usuarios y grupos de usuarios.

En el menú Herramientas → Seguridad → Administrador de grupos de trabajo.

El archivo del grupo de trabajo predeterminado se almacena en una subcarpeta del usuario y se llama System.mdw (MDW=Microsoft Database Workgroup)

• En este archivo MS-Access almacena la información de los usuarios y grupos de usuarios.

• Este archivo se puede aprovechar para varias base de datos diferentes.

• Al abrir MS-Access estará unido a un grupo de trabajo predeterminado y sólo a uno. Esto le indicará a MS-Access que usuarios y grupos existen en el entorno de trabajo.

Pulsamos el botón Crear e introducimos la siguiente información:

El identificador del grupo de trabajo no es una contraseña y se utiliza para que no se pueda crear otro archivo de grupo de trabajo igual. Una vez tengamos una base de datos asegurada si perdemos el archivo MDW no podremos acceder a nuestra base de datos.

Pulsamos el botón Aceptar e introducimos como nombre del nuevo archivo de grupo de trabajo TierraMedia.mdw.

Pulsamos el botón Aceptar y nos aparece una confirmación de lo que hemos realizado. Además ya estaremos unidos al nuevo grupo de trabajo.

2.2. Nos unimos al grupo de trabajo.

Si acabamos de crear el nuevo grupo de trabajo TierraMedia.mdw ya estaremos unidos a él. En cualquier otro momento nos podemos unir a otro grupo de trabajo pulsando el botón Unirse.

Es importante recordar que si queremos dejar MS-Access como estaba al principio nos deberíamos de unir al grupo de trabajo original System.mdw.

2.3. Establecer una contraseña para el usuario Administrador.

En el menú Herramientas → Seguridad → Cuentas de usuario y de grupo podemos cambiar la contraseña del administrador o del usuario con el que hemos entrado en Access.

Si establecemos una contraseña para el usuario Administrador, cada vez que iniciemos la aplicación MS-Access se nos preguntará el usuario y la contraseña que queremos usar en esa sesión de MS-Access. Podemos cerrar y abrir distintas bases de datos y seguiremos trabajando con el mismo usuario. Para entrar con otro usuario hemos de cerrar y volver a abrir MS-Access.

Si eliminamos la contraseña del Administrador ya no se nos preguntará más por el usuario con el que deseamos iniciar sesión en MS-Access y el usuario que se utilizará por omisión será precisamente el Administrador.

Así que si queremos la posibilidad de iniciar sesión en MS-Access con diferentes usuarios hemos de poner una contraseña cualquiera al usuario administrador. La contraseña puede ser sencilla ya que, a partir de ahora, nos vamos a dedicar a quitarle todos los privilegios que tuviese el administrador.

2.4. Crear una cuenta de administrador alternativo.

Creamos un nuevo usuario gandalf que nos servirá como sustituto del usuario Administrador.

El identificador personal no es la contraseña y sirve para que otra persona no pueda crear nuestro usuario gandalf aunque lo llame igual.

Hacemos que este nuevo usuario pertenezca al grupo Administradores.

2.5. Quitar al Administrador del grupo Administradores

Hemos de conseguir que usuario Administrador no tenga permisos en nuestra base de datos. Esto lo hemos de hacer porque el usuario Administrador del grupo de trabajo TierraMedia.mdw es igual al usuario Administrador del grupo de trabajo original System.mdw.

Cómo ahora ya existe otro usuario que pertenece al grupo Administradores, en nuestro caso es gandalf, ahora ya podremos quitar al Administrador del grupo Administradores.

Al grupo Usuarios pertenecen todos los usuario que existan en la base de datos y no se puede quitar la pertenencia a dicho grupo. Más adelante revocaremos los permisos al grupo Usuarios.

2.6. Crear los grupos de usuarios elfos y orcos.

Para poder poder crear usuarios y grupos hemos de cerrar y abrir MS-Access para así entrar como usuario gandalf que es el único ahora que puede realizar estas tareas.

Lo primero sería establecer una contraseña para este usuario ya que inicialmente no tiene. Le pondremos de contraseña pepe.

Creamos dos grupos de usuario elfos y orcos.

A los hobbits les maravillan los elfos, pero les repugnan los orcos. Algunos hombres son amigos de los elfos y otros en cambio son unos mercenarios que luchan junto a los orcos.

2.7. Crear los usuarios y unirlos a los grupos.

Creamos dos usuarios, el primero arwen que pertenecerá al grupo elfos y el segundo usuario ugluk que pertenecerá al grupo orcos.

Como se puede apreciar en las imágenes, lo que tienen en común todos los usuarios es que pertenecen al grupo Usuarios.

Si queremos establecer una contraseña para cada usuario debemos cerrar y abrir MS-Access para poder entrar con el usuario deseado y luego vamos al menú Herramientas → Seguridad → Cuentas de usuario y de grupo. En el presente ejemplo todos los usuarios tienen de contraseña pepe.

Si queremos podríamos crear más usuarios en cada grupo, por ejemplo:

Grupo	Usuarios
Elfos	Arwen, Celeborn, Elrond, Galadriel, Glorfindel, Idril, Legolas
Orcos	Boldog, Bolg, Golfimbul, Gorbag, Gorgol, Grishnákh, Mauhúr, Orcobal, Shagrat, Uglúk

Gandalf	Arwen	Uglúk

2.8. Crear una base de datos segura.

Primero de todo, cerramos y abrimos MS-Access para entrar con el usuario gandalf que es nuestro usuario con más privilegios.

Ahora creamos una nueva base de datos vacía a la que llamaremos bd_protegida.mdb. El propietario de esta nueva base de datos será gandalf ya que era el usuario activo en el momento de crear la base de datos. El propietario tiene todos los permisos sobre la base de datos por el hecho de ser su propietario. Hemos evitado que nuestra base de datos sea del usuario Administrador.

2.9 Importar todos los objetos de la base de datos anterior

Como nuestra base de datos está vacía es el momento de importar todos los objetos de nuestra base de datos anterior bd_original_sin_proteger.mdb

Vamos al menú Archivo → Obtener datos externos → Importar

En el momento de Importar objetos vamos marcando el botón Seleccionar todo en cada una de las pestañas: Tablas, Consultas, Formularios, Informes, etc. Una vez esté todo marcado pulsamos el botón Aceptar.

2.10. Quitar todos los permisos al grupo Usuarios

Al grupo Usuarios pertenecen todos los usuarios que existen en la base de datos y es un grupo que no se puede eliminar, así que vamos a quitarle todos los permisos sobre los objetos de nuestra base de datos bd_protegida.mdb. Para ello hemos tenido que iniciar previamente sesión en MS-Access con el usuario gandalf.

Vamos al menú Herramientas → Seguridad → Permisos de usuario y de grupo.

En el diálogo realizamos lo siguiente:

1. Seleccionamos de la lista Grupos y el grupo Usuarios

2. Seleccionamos el tipo de objetos Tabla y todas las tablas incluyendo la nuevas.

3. Desmarcamos la casilla Leer diseño para desmarcar todos los permisos en un sólo gesto.

4. Pulsamos el botón Aplicar.

2.11. Establecer permisos a nuestros grupos de usuarios.

Al grupo elfos damos permisos a todas las tablas. Para activar todos los permisos, de una sola vez, marcamos la casilla Administrar.

Y al grupo orcos damos permisos sólo a la tabla_hombres

2.12. Probar la seguridad entrando con los distintos usuarios.

Por cada usuario que deseemos probar hemos de cerrar MS-Access y abrir la base de datos bd_protegida.mdb.

• El usuario Administrador, al no ser del grupo Administradores ni ser propietario de la base de datos, no puede abrir ninguna tabla de la base de datos.

• El usuario gandalf, tanto por ser del grupo Administradores como por ser el propietario de la base de datos, puede abrir cualquier tabla.

• Si entramos con el usuario arwen (contraseña pepe) que es del grupo elfos, podremos abrir tanto la tabla_hombres, como la tabla_hobbits.

• Si entramos con el usuario ugluk (contraseña pepe) que es del grupo orcos, podremos abrir la tabla_hombres pero no podremos abrir la tabla_hobbits.
  

2.13. Probar la seguridad uniéndonos al grupo de trabajo original.

Nos unimos al grupo de trabajo original System.mdw. Menú Herramientas → Seguridad → Administrador de grupos de trabajo → Unirse.

En este grupo de usuario el único usuario que existe es el Administrador que no tiene contraseña.

Si probamos de abrir cualquier tabla de bd_protegida.mdb veremos que se nos deniega el acceso.

2.14. Conclusión

Ya hemos asegurado perfectamente nuestra base de datos con un sistema de usuarios y de grupos. Sólo podemos acceder a nuestra base de datos si estamos unidos al grupo de trabajo TierraMedia.mdw que es el que habilita los usuarios que hemos creado: gandalf, arwin y ugluk. Para dar o quitar permisos a un usuario sólo hemos de hacer que pertenezca al grupo elfos o al grupo orcos. El usuario Administrador no tiene ningún permiso en nuestra base de datos.

Descargar

• Descargar todos los ejemplos: ejemplos.7z
• Manual en formato PDF:  manual_seguridad_ms-access.pdf
• Manual en formato OpenOffice.org: manual_seguridad_ms-access.odt