Access 数据库的安全设置方案

Access数据库的安全性比起Sql Server、Oracle等这些数据库来，要差很多，但是如果我们精心设计和设置的话，它的安全性还是很容易得到保证的，本文从Access本身提供的各种方法进行了设置。

在Office 2000下，Access数据库的安全机制已经更为完善。除了对数据库设置密码保护，对数据库进行编码压缩，还可以启用用户级的安全机制，在用户级别上控制对数据库的访问。

一、数据库设置密码

对于单机使用的数据库或者是需要工作组共享的数据库，仅设置密码保护较为合适。知道密码的组成员，都有数据库的完全操作权限，彼此之间的使用权限没有什么区别。设置密码的步骤如下：

启动Microsoft Access，在弹出的选择窗口中点取消，不打开任何数据库。

点击菜单：文件---打开，在弹出的打开窗口中，选中要打开的数据库文件。然后在打开按钮的右侧展开箭头上单击选定以独占方式打开，用独占方式打开选定的数据库。

在Access窗口菜单上点击：工具—安全—设置数据库密码。在弹出的密码和验证输入框中，输入密码，注意区分大小写，并请记住。然后点击确定按钮。

关闭数据库，退出Access环境，密码设置完毕。下次再打开此数据库，就会提示输入密码，密码正确才能打开数据库。

如要复制数据库，请不要使用数据库密码。如设置了密码，复制的数据库将不能同步。数据库的密码是和数据库文件放置在一起，而不是放在工作组信息文件中。

二、数据库压缩编码

为了进一步对数据库进行加密保护，可以对数据库进行编码压缩。这样使用其它工具程序或字处理等软件就无法查看此数据库的内容。而对用户在Access下的使用则不影响。编码的步骤如下：

启动Microsoft Access，在弹出的选择窗口中点取消，不打开任何数据库。

点击菜单：工具—安全—加密/解密数据库。

在弹出的数据库加密/解密窗口中，选取要编码的数据库，点击确定按钮。

在弹出的数据库加密后另存为窗口中，在文件名输入框中输入编码后的文件名，点击保存按钮。编码压缩后的数据库被另保为另一个文件。

三、用户级安全机制

使用用户级的安全机制，可以更灵活更安全的保护数据库。在这种安全机制下，在Access关联的工作组信息文件中建立用户和工作组帐户，用来管理用户；在具体的数据库中管理对象权限，可以给用户和工作组分别指定使用权限。用户要输入用户名称和密码才能打开数据库，对数据库的操作要受拥有权限的限制。

1、工作组信息文件

在Microsoft Access中，用户和工作组的信息帐户，是存储在工作组信息文件中的，即使用工作组信息文件来管理用户和工作组。而默认的工作组信息文件是：C:\Program Files\Microsoft Office\Office\System.mdw。

用户也可以建立自己的工作组信息文件，用来按照自己的需要来划分和管理用户和工作组，一般是存放在数据库所在的工作目录下的Secured.mdw文件中，当然用户也可以自己指定文件名和存放位置，但文件的扩展名不可以变。

工作组信息文件与整个Access关联对应着，在Access运行环境下有效，而不是对应某个数据库的。每次Access启动，都要读取工作组信息文件从而得到用户和工作组的帐户信息。默认是读取默认工作组信息文件System.mdw，但用户可以指定Access与哪个工作组信息文件关联：运行工作组信息管理器Wrkgadm.exe，（通常在C:\Program Files\Microsoft Office\Office\下已经有指向该程序的快捷方式MS Access Workgroup Administrator）可以创建新的工作组信息文件或指定Access联接某一个工作组信息文件。还可以在启动Access的时候用ming令行启动参数选项/wrkg <工作组信息文件名>来指定联接的工作组信息文件。

2、工作组信息文件的管理

启动MS Access Workgroup Administrator快捷方式，在工作组管理员窗口中，点联接按钮可以更改Access启动时要联接的工作组信息文件：在弹出的工作组信息文件窗口中指定文件的路径名称即可。点创建按钮，则可以创建一个新的工作组信息文件：在弹出的工作组所有权信息窗口中，输入工作组名称、单位、工作组ID三项内容。在工作组信息文件窗口中输入工作组信息文件数据库的存放路径和名称。这就可以创建新的工作组信息文件，并已经建立了关联。

工作组ID是工作组唯一的唯一性标识，用于区别于其它的工作组信息文件，必须要保存好，必要时可以凭此重建文件。

在Access下，点击菜单：工具—安全—用户级安全性向导，选中新建工作组信息文件，也可以建立新的工作组信息文件。

3、安全机制

在用户级安全机制下，每个用户有用户名称、个人标识（PID）、根据名称和PID用加密算法产生的唯一安全标识(SID)、密码；每个工作组有唯一的工作组名称、个人标识（PID）、安全标识（SID），组没有密码，也不能用组名登录。

用户和组的个人标识(PID)是唯一的，由4~20个字符组成，区分大小写。用户和组的安全标识SID（Security ID），是由名称和PID用加密算法产生的，唯一性的。

在工作组信息文件中（实际是特殊的Access数据库），表MsysAccounts中保存用户和组的名称、SID、密码信息，用户和组的SID和用户的密码，是用二进制保存的。在表MsysGroups中，存储工作组SID和用户SID之间的对照关系，以此判断用户属于哪个组。这两个表都是隐藏系统表。

用户和组，对于数据库机器各对象之间的对应操作权限关系，并不保存在工作组信息文件中，而是存放在数据库文件中，是因数据库而异的。在Access数据库（.mdb）文件中，有一个隐藏系统表MSysACEs，其中存放着用户和组的SID以及与之对应的数据库各对象的标识ID，还有操作权限信息。以此表示用户和组与数据库对象之间的对应和操作权限关系。

在用户打开数据库时，Microsoft Access根据用户输入的用户名称和密码，在工作组信息文件的MsysAccounts表中查找该用户的SID，若未找到则提示帐户无效并让重新输入；若找到了用户的SID，则在MsysGroups表中查找到用户所属组的SID。根据找到的用户和组的SID，再去数据库(.mdb)的MSysACEs表中查找对应的数据库对象ID和其权限信息，由此可以确定用户和组可以访问什么数据库对象及有什么操作权限。

4、用户与工作组

在默认的工作组信息文件System.mdw中，默认的有三个帐户：Admin、Creator、Engine，其中Creator和Engine是Microsoft Jet数据库引擎内建的，用户无法干涉。管理员帐户Admin，则是唯一的默认帐户，拥有对数