Skalierbare Datensicherheit mit Access

Lies diesen Artikel und viele weitere mit einem kostenlosen, einwöchigen Testzugang.

Autor: André Minhorst, Duisburg

Die Verwendung von allgemein zugänglichen Datenbanken ist eine Sache – der Umgang mit sensiblen Daten eine andere. Datenbanken mit sensiblen Daten müssen verschiedenen Benutzern oder Benutzergruppen differenzierten Zugriff auf den Datenbestand der Datenbank ermöglichen. Zu diesem Zweck gibt es so genannte Arbeitsgruppen-Informationsdateien, in denen Sie Benutzer- und Benutzergruppen und deren Berechtigungen bezogen auf die unterschiedlichen Objekte der Datenbank festlegen können.

Es gibt zwei Wege zum Sichern einer Datenbank mit einer Arbeitsgruppen-Informationsdatei, einerseits mit Hilfe eines Assistenten und andererseits manuell. Im vorliegenden Beitrag lernen Sie den zweiten Weg kennen. Dazu legen Sie zunächst eine neue Arbeitsgruppen-Informationsdatei an und sichern diese anschließend ab, indem Sie für verschiedene Benutzergruppen die Rechte für den Zugriff auf die unterschiedlichen Datenbankobjekte festlegen.

Die Sicherheit mittels Arbeitsgruppen-Informationsdatei beruht auf zweierlei Faktoren: erstens der genannten Datei selbst, in der die Benutzergruppen, die Benutzer und die Zuweisung von Benutzern zu den Gruppen gespeichert werden, sowie der Datenbank selbst, in der Informationen über die Zugriffsrechte der Benutzergruppen und Benutzer auf die unterschiedlichen Datenbankobjekte gespeichert werden.

Die Arbeitsgruppen-Informationsdatei

Bei der Installation von Access wird automatisch eine Standard-Informationsdatei namens System.mdw mit den zwei Benutzergruppen Administratoren und Benutzer angelegt.

Solange Sie keine weitere Arbeitsgruppen-Informationsdatei erstellen oder sich einer anderen Arbeitsgruppen-Informationsdatei anschließen, greifen neu erstellte Datenbanken auf die Standarddatei zu und verwenden die dort gespeicherten Einstellungen.

Da jeder Anwender standardmäßig als Administrator ohne Passwort angemeldet wird und für diesen als Angehörigen der Gruppe Administratoren keine Einschränkungen gelten, tritt der Mechanismus zunächst nicht in Erscheinung.

Um diesen uneingeschränkten Zugriff zu verhindern, müssen Sie einige Schritte durchführen. Damit erstellen Sie zunächst eine neue Arbeitsgruppen-Informationsdatei, legen dort die gewünschten Benutzergruppen mit den gewünschten Benutzern an und erstellen dann aus der bestehenden Datenbank eine neue, die dann die neue Arbeitsgruppen-Informationsdatei berücksichtigt.

Festlegung von Berechtigungen in der Datenbank

Die individuellen Berechtigungen für die Benutzergruppen und deren Mitglieder legen Sie dann in der Datenbank selbst fest. Es ist besonders wichtig, dass die Arbeitsgruppen-Informationsdatei, mit der Sie die neue Datenbank angelegt haben, nicht versehentlich gelöscht wird, da Sie ansonsten möglicherweise nicht mehr auf die Datenbank zugreifen können.

Für die Erstellung der Arbeitsgruppen-Informationsdatei verwenden Sie die Anwendung Wrkgadm.exe. Am einfachsten starten Sie diese Anwendung, indem Sie über das Windows-Startmenü den Eintrag Ausführen… auswählen und hier den Namen der Anwendung eingeben (siehe Bild 1).

Bild 1: Aufruf der Anwendung wrkadm.exe

Daraufhin öffnet sich die Anwendung und bietet die drei Optionen Erstellen…, Anschließen… und Beenden an (siehe Bild 2).

Bild 2: Auswahl einer Arbeitsgruppen-Informationsdatei

Nach einem Mausklick auf die Schaltfläche Erstellen… erscheint ein weiteres Fenster, in das Sie Informationen wie Name, Firma und Arbeitsgruppen-Code eingeben. Notieren Sie sich diese Informationen und bewahren Sie diese an einem sicheren Ort auf.

Im nächsten Fenster werden Sie zur Eingabe von Pfad und Dateinamen der Arbeitsgruppen-Informationsdatei aufgefordert. Geben Sie hier beispielsweise c:\Beispiel.mdw ein.

Nachdem Sie im folgenden Fenster die Angaben bestätigt haben, können Sie die Anwendung beenden.

Starten Sie zunächst die Access-Datenbank, für die Sie Berechtigungen festlegen möchten.

Hinweis

Für Beispielzwecke können Sie – wie üblich – die Nordwind-Datenbank verwenden, die standardmäßig mit Access installiert wird. Die in den folgenden Kapiteln beschriebene Vorgehensweise setzt voraus, dass Sie derzeit an die Arbeitsgruppen-Informationsdatei System.mdw angeschlossen sind und dort standardmäßig als Administrator angemeldet werden.

über den Menübefehl Extras ( Zugriffsrechte ( Benutzer- und Gruppenkonten… können Sie Benutzergruppen und Benutzer anlegen sowie das Anmeldungskennwort für unterschiedliche Benutzer ändern.

Es spielt keine Rolle, ob Sie zuerst Benutzer oder Gruppen anlegen. Sie können allerdings einen Benutzer nicht einer Gruppe zuordnen, die noch nicht existiert. Daher sollten Sie zunächst die gewünschten Gruppen anlegen und anschließend die Benutzer. Sie können die neuen Benutzer dann direkt den gewünschten Gruppen zuordnen.

Anlegen vonBenutzergruppen

Zum Anlegen einer Benutzergruppe wechseln Sie in das Register Gruppen. Hier klicken Sie entweder auf die Schaltfläche Neu und geben dann den Namen der neuen Gruppe an oder Sie tragen den neuen Gruppennamen in das Feld Name: ein und klicken anschließend auf die Schaltfläche Neu. In beiden Fällen erscheint der Dialog Neue(r) Benutzer/Gruppe (siehe Bild 3), in den Sie noch eine persönliche Identifikationskennung eingeben müssen.

Bild 3: Anlegen einer neuen Benutzergruppe

Bild 4: Hinzufügen eines neuen Benutzers

Hinweis

Es gibt standardmäßig die beiden Benutzergruppen Administratoren und Benutzer. Die Gruppe Administratoren können Sie weder löschen, noch darf sie jemals weniger als ein Mitglied haben. Die Gruppe Benutzer hat die Besonderheit, dass jeder Benutzer auf jeden Fall mindestens dieser einen Gruppe zugewiesen ist. Daher sollten die Mitglieder dieser Gruppe in der Regel keine Berechtigung zum Zugriff auf kritische Daten erhalten.

Anlegen von Benutzern

Wenn Sie die gewünschten Gruppen angelegt haben, wechseln Sie zurück in das Register Benutzer des Dialoges. Im Listenfeld Verfügbare Gruppen: finden Sie nun die neu eingegebenen Gruppen (siehe Bild 4).

Nun geben Sie einen neuen Benutzer ein, indem Sie entweder den Benutzernamen in das Feld Name: eintragen und anschließend die Schaltfläche Neu betätigen oder direkt auf diese Schaltfläche klicken und dann den Benutzernamen eintragen.

Schließlich fehlt noch die bereits von den Benutzergruppen bekannte persönliche Identifikationskennung.

Hinweis

Die Kombination aus Benutzer oder Gruppe und persönlicher Identifikationskennung soll verhindern, dass unberechtigte Personen einfach eine Arbeitsgruppen-Informationsdatei mit den gleichen Benutzern und Gruppen wie in der Original-Datei erstellen. Dies funktioniert nur, wenn neben den Namen von Benutzern und Gruppen auch die persönlichen Identifikationskennungen mit dem Original übereinstimmen. Notieren Sie sich daher an einer sicheren Stelle neben den Namen auch die persönlichen Identifikationskennungen, um die .mdw-Datei im Falle eines Verlustes erneuern zu können.

Zuweisen eines Passworts

Im dritten Register des Dialoges finden Sie die Möglichkeit zum ändern des Anmeldungskennworts. Dieses Kennwort wird beim Start von Access abgefragt, sobald es erstmalig für den Benutzer Administrator angegeben wurde. Mit dem Anlegen dieses Passworts aktivieren Sie auch das Sicherheitssystem von Access.

Um das Kennwort für einen bestimmten Benutzer festzulegen, wählen Sie den gewünschten Benutzer im Register Benutzer aus und wechseln dann in das Register Anmeldungskennwort ändern (siehe Bild 5).

Access wird standardmäßig mit dem Benutzer Administrator geöffnet. Daher macht es Sinn, zunächst für den Administrator ein Passwort zu vergeben. Dabei gibt es jedoch einen Punkt zu beachten: Falls jemand einfach eine andere Arbeitsgruppen-Informationsdatei verwendet, in der für den Benutzer Administrator kein Passwort festgelegt ist, kann er die Datenbank ohne die Eingabe eines Passworts starten.

Hinweis

Im Fall des Benutzers Administrator gibt es eine Besonderheit: Er besitzt keine persönliche Identifikationskennung. Daher sollten Sie diesem Benutzer alle Rechte entziehen oder ihn direkt aus der .mdw-Datei entfernen. Wie das funktioniert, erfahren Sie weiter unten.

Da die Datenbank also momentan offensichtlich alles andere als sicher ist, führen Sie nun die folgenden Schritte durch, die in den nächsten Abschnitten detaillierter beschrieben werden:

  • Festlegen eines Administratorkennworts
  • Anlegen eines neuen Benutzers als Administrator
  • Schließen der Datenbank und unter dem neuen Benutzernamen anmelden
  • Festlegen eines Kennwortes für den neuen Benutzer
  • Kopieren der Datenbankinhalte in eine neue Datenbank
  • Entziehen der Rechte des Benutzers Administrator
  • Anlegen von neuen Benutzern und Gruppen und Vergabe von Berechtigungen
  • Bild 5: Zuweisen eines Passwortes

    Festlegen einesAdministratorkennworts

    Um das Sicherheitssystem zu aktivieren, müssen Sie für den Benutzer Administrator ein Passwort festlegen. Welches Sie dabei verwenden, spielt keine Rolle. Sie sollten es sich nur merken, da Sie es einige Absätze weiter unten wieder benötigen.

    Anlegen eines neuen Benutzers als Administrator

    Da der Benutzername Administrator – wie oben beschrieben – einige Sicherheitsrisiken birgt, legen Sie nun zunächst einen neuen Benutzer an, der zukünftig administrative Rechte erhalten soll und zur Erledigung der entsprechenden Aufgaben dient.

    Wählen Sie beispielsweise den Namen Entwickler und weisen Sie ihm die Gruppe Administratoren zu.

    Schließen der Datenbank undAnmeldung als neuer Benutzer

    Ende des frei verfügbaren Teil. Wenn Du mehr lesen möchtest, hole Dir ...

    Testzugang

    eine Woche kostenlosen Zugriff auf diesen und mehr als 1.000 weitere Artikel

    diesen und alle anderen Artikel mit dem Jahresabo

    Schreibe einen Kommentar