Establecer o cambiar en Access 2010 la seguridad por usuarios de Access 2003

Si creó una base de datos en una versión anterior de Access y le aplicó seguridad por usuarios, los valores de configuración de seguridad permanecen en vigor al abrir el archivo en Microsoft Access 2010. Además, puede iniciar las herramientas de seguridad proporcionadas por Microsoft Office Access 2003, el Asistente para seguridad por usuarios y los diversos cuadros de diálogo de permisos de grupo y usuario desde Access 2010. En este artículo se explica el funcionamiento de las características de seguridad de Access 2003 y cómo se inician y usan en Access 2010.

 Nota   La información de este artículo solo se aplica a bases de datos creadas en Access 2003 o en versiones anteriores (archivo .mdb). La seguridad por usuarios no está disponible para las bases de datos creadas en Access 2010 ( archivos.accdb). Además, si convierte el archivo .mdb al nuevo formato (archivo .accdb), Access 2010 descarta los valores de configuración de seguridad por usuarios.

En este artículo


Comportamiento de la seguridad por usuarios en Access 2010

Access 2010 proporciona seguridad por usuarios solo para las bases de datos que usan Access 2003 y formatos de archivo anteriores (archivos .mdb y .mde). En Access 2010, si abre una base de datos creada en una versión anterior de Access y dicha base de datos tiene aplicada seguridad por usuarios, la característica de seguridad funcionará tal como se diseñó para la base de datos. Por ejemplo, los usuarios deben especificar una contraseña para usarla.

Además, puede iniciar y ejecutar las diversas herramientas de seguridad proporcionadas por Access 2003 y versiones anteriores, como el Asistente para seguridad por usuarios y los diversos cuadros de diálogo de permisos de grupo y usuario. Al trabajar, recuerde que las citadas herramientas solo están disponibles cuando se abre un archivo .mdb o .mde. Si convierte los archivos al formato de archivo de Access 2010, Access eliminará todas las características de seguridad por usuarios existentes.

Volver al principio Volver al principio

Descripción general de la seguridad por usuarios de Access 2003

Las secciones siguientes proporcionan información auxiliar sobre la seguridad por usuarios en Access 2003 y versiones anteriores. Si ya está familiarizado con el modelo de seguridad y la seguridad por usuarios anteriores, puede omitir estas secciones y pasar directamente a las tituladas Establecer seguridad por usuarios o Quitar seguridad por usuarios, más adelante en este artículo.

Conceptos básicos de la seguridad por usuarios

La seguridad por usuarios en Access es similar a los mecanismos de seguridad de los sistemas basados en servidor: usa contraseñas y permisos para permitir o restringir el acceso de personas o grupos de personas a los objetos de la base de datos. En Access 2003 o en versiones anteriores, cuando se implementa la seguridad por usuarios en una base de datos de Access, un administrador de base de datos o el propietario de un objeto pueden controlar las acciones que los usuarios individuales o grupos de usuarios pueden realizar en las tablas, consultas, formularios, informes y macros de la base de datos. Por ejemplo, un grupo de usuarios puede cambiar los objetos de una base de datos, otro grupo solo puede incluir datos en determinadas tablas y un tercer grupo solo puede ver los datos de un conjunto de informes.

La seguridad por usuarios en Access 2003 y en versiones anteriores usa una combinación de contraseñas y permisos: un conjunto de atributos que especifica los tipos de acceso que un usuario tiene a los datos u objetos de una base de datos. Puede establecer contraseñas y permisos para personas o grupos de personas, y dichas combinaciones de contraseñas y permisos se convierten en cuentas de seguridad que definen los usuarios y grupos de usuarios a los que se permite el acceso a los objetos de la base de datos. A su vez, la combinación de usuarios y grupos se conoce como grupo de trabajo, y Access almacena la citada información en un archivo de información de grupo de trabajo. Cuando se inicia, Access lee el archivo de información de grupo de trabajo e impone los permisos en función de los datos del archivo.

De forma predeterminada, Access proporciona un identificador de usuario integrado y dos grupos integrados. El identificador de usuario predeterminado es Admin y los grupos predeterminados son Users y Admins. De forma predeterminada, Access agrega el identificador de usuario integrado al grupo Users porque todos los identificadores deben pertenecer a un grupo como mínimo. A su vez, el grupo Users tiene permisos completos sobre todos los objetos de una base de datos. Además, el identificador Admin también es miembro del grupo Admins. El grupo Admins debe contener un identificador de usuario como mínimo (debe haber un administrador de base de datos) y el identificador Admin es el administrador de base de datos predeterminado mientras no lo cambie.

Cuando inicia Access 2003 o versiones anteriores, Access le asigna el identificador de usuario Admin y, de este modo, le convierte en miembro de cada grupo predeterminado. Ese identificador y esos grupos (Admin y Users) proporcionan a todos los usuarios permisos completos sobre todos los objetos de una base de datos; esto significa que cualquier usuario puede abrir, ver y cambiar todos los objetos de todos los archivos .mdb a menos que implemente la seguridad por usuarios.

Un método para implementar la seguridad por usuarios en Access 2003 o en versiones anteriores consiste en cambiar los permisos del grupo Users y agregar nuevos administradores a los grupos Admins. Al realizar esta acción, Access asigna automáticamente nuevos usuarios al grupo Users. Si toma esas medidas, los usuarios deberán iniciar sesión con una contraseña cada vez que abran la base de datos protegida. Sin embargo, si necesita implementar una seguridad más específica, como permitir que un grupo de usuarios especifique datos y otro solo pueda leer esos datos , debe crear usuarios y grupos adicionales y otorgarles permisos concretos a una parte o la totalidad de los objetos de la base de datos. La implementación de ese tipo de seguridad por usuarios puede llegar a ser una tarea compleja. Para simplificar el proceso, Access proporciona el Asistente para seguridad por usuarios, que facilita la creación de usuarios y grupos en un proceso de un solo paso.

El Asistente para seguridad por usuarios ayuda a asignar permisos y crear cuentas de usuario y de grupo. Las cuentas de usuario contienen nombres de usuario y números de identificadores personales (PID) únicos necesarios para administrar los permisos de un usuario para ver, usar o cambiar objetos de base de datos en un grupo de trabajo de Access. Las cuentas de grupo son una colección de cuentas de usuario que, a su vez, residen en un grupo de trabajo. Access usa un nombre de grupo y un identificador personal para identificar cada grupo de trabajo, y los permisos asignados a un grupo se aplican a todos los usuarios del grupo. Para obtener más información sobre el uso del asistente, vea Establecer seguridad por usuarios, más adelante en este artículo.

Una vez finalizado el asistente, puede asignar, modificar o quitar manualmente permisos de cuentas de usuario y de grupo en el grupo de trabajo para una base de datos y sus tablas, consultas, formularios, informes y macros existentes. También puede establecer los permisos predeterminados que Access asigna para las nuevas tablas, consultas, formularios, informes y macros que usted u otro usuario agreguen a una base de datos.

Grupos de trabajo y archivos de información de grupos de trabajo

En Access 2003 y en versiones anteriores, un grupo de trabajo es un grupo de usuarios de un entorno multiusuario que comparten datos. Un archivo de información de grupo de trabajo contiene las cuentas, contraseñas y permisos de usuario y de grupo establecidos para cada usuario individual o grupo de usuarios. Cuando abre una base de datos, Access lee los datos del archivo de información de grupo de trabajo e impone los valores de configuración de seguridad que el archivo contiene. A su vez, una cuenta de usuario es una combinación de un nombre de usuario y un identificador personal (PID) que Access crea para administrar los permisos de usuario. Las cuentas de grupo son colecciones de cuentas de usuario y Access también las identifica por un nombre de grupo y un identificador personal (PID). Los permisos asignados a un grupo se aplican a todos los usuarios del grupo. A esas cuentas de seguridad se les puede asignar permisos para bases de datos y sus tablas, consultas, formularios, informes y macros. Los propios permisos se almacenan en la base de datos con seguridad habilitada.

La primera vez que un usuario ejecuta Access 2003 o versiones anteriores, Access crea automáticamente un archivo de información de grupo de trabajo que se identifica por el nombre y la información de la organización que el usuario especifica cuando instala Access. En Access 2003, el programa de instalación agrega la ubicación relativa de este archivo de información de grupo de trabajo a las siguientes claves del Registro:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

y

HKEY_USERS\.DEFAULT\Software\Microsoft\Office\11.0\Access\Jet\4.0\Engines\SystemDB

Los usuarios posteriores heredarán la ruta de acceso del archivo de grupo de trabajo predeterminado del valor de la clave del Registro HKEY_USERS. Dado que esta información se suele determinar fácilmente, es posible que usuarios no autorizados creen otra versión de este archivo de información de grupo de trabajo. Esto significa que usuarios no autorizados pueden adquirir los permisos irrevocables de una cuenta de administrador (miembro del grupo Admins) en el grupo de trabajo definido por dicho archivo de información de grupo de trabajo. Para evitar que usuarios no autorizados adquieran estos permisos, debe crear un nuevo archivo de información de grupo de trabajo y especificar un identificador de grupo de trabajo (WID), una cadena alfanumérica que distingue mayúsculas y minúsculas de 4 a 20 caracteres de longitud que se escribe cuando se crea un nuevo archivo de información de grupo de trabajo. La creación de un nuevo grupo de trabajo identifica de forma exclusiva el grupo Admins para este archivo de grupo de trabajo. Solo alguien que sepa cuál es el WID podrá crear una copia del archivo de información de grupo de trabajo. Para crear el nuevo archivo, puede usar el Asistente para seguridad por usuarios.

 Importante   Asegúrese de anotar el nombre, la organización y el identificador de grupo de trabajo exactos, teniendo en cuenta las mayúsculas y minúsculas (de las tres entradas), y conserve esta información en un lugar seguro. Si necesita crear de nuevo el archivo de información de grupo de trabajo, debe proporcionar con exactitud estos mismos datos. Si olvida o pierde estas entradas, puede perder el acceso a las bases de datos.

Funcionamiento de los permisos y quién puede asignarlos

La seguridad por usuarios reconoce dos tipos de permisos: explícitos e implícitos. Los permisos explícitos son aquellos que se conceden directamente a una cuenta de usuario; los demás usuarios no se ven afectados. Los permisos implícitos son los que se conceden a una cuenta de grupo. Si se agrega un usuario a ese grupo, se le conceden los permisos del grupo; si se quita un usuario del grupo, se le retiran los permisos del grupo.

Cuando un usuario intenta realizar una operación en un objeto de base de datos que usa características de seguridad, el conjunto de permisos de dicho usuario está basado en la intersección de sus permisos explícitos e implícitos. El nivel de seguridad de un usuario siempre es el menos restrictivo de los permisos explícitos de dicho usuario y los permisos de los grupos a los que pertenece el citado usuario. Por este motivo, la forma menos complicada de administrar un grupo de trabajo es crear nuevos grupos y asignar permisos a los grupos, y no a los usuarios individuales. Después, puede cambiar permisos de usuarios individuales agregando o quitando esos usuarios de los grupos. Además, si necesita conceder nuevos permisos, puede otorgarlos a todos los miembros de un grupo en una sola operación.

Las siguientes personas pueden cambiar los permisos de un objeto de base de datos:

  • Los miembros del grupo Admins del archivo de información de grupo de trabajo en uso cuando se creó la base de datos.
  • El propietario del objeto.
  • Los usuarios que tienen permisos de administrar para el objeto.

Aunque los usuarios no puedan realizar en ese momento una acción, pueden concederse permisos para realizarla. Este es el caso si un usuario es miembro del grupo Admins o si es el propietario de un objeto.

El usuario que crea una tabla, consulta, formulario, informe o macro es el propietario de ese objeto. Además, el grupo de usuarios que puede cambiar permisos en la base de datos también puede cambiar la propiedad de estos objetos, o puede volver a crear estos objetos; ambas son formas de cambiar la propiedad de los objetos. Para volver a crear un objeto, puede realizar una copia del mismo o puede importarlo de, o exportarlo a, otra base de datos. Esta es la forma más sencilla de transferir la propiedad de objetos, incluida la propia base de datos.

 Nota   Las operaciones de copiar, importar o exportar no cambian la propiedad de una consulta que tenga su propiedad RunPermissions establecida en Owner's. Puede cambiar la propiedad de una consulta solo si su propiedad RunPermissions está establecida en User's.

Cuentas de seguridad

Un archivo de información de grupo de trabajo de Access 2003 contiene las cuentas predefinidas siguientes.

Cuenta Función
Admin Cuenta de usuario predeterminada. Esta cuenta es exactamente la misma para todas las copias de Access y demás programas que pueden usar el motor de base de datos Microsoft Jet, como Visual Basic para Aplicaciones (VBA) y Microsoft Office Excel 2003.
Admins Cuenta de grupo del administrador. Esta cuenta es única para cada archivo de información de grupo de trabajo. De forma predeterminada, el usuario Admin es miembro del grupo Admins. Debe haber un usuario como mínimo en el grupo Admins en todo momento.
Users Cuenta de grupo que comprende todas las cuentas de usuario. Access agrega automáticamente cuentas de usuario al grupo Users cuando un miembro del grupo Admins las crea. Esta cuenta es la misma para cualquier archivo de información de grupo de trabajo, pero solo contiene cuentas de usuario creadas por miembros del grupo Admins de ese grupo de trabajo. De forma predeterminada, esta cuenta tiene permisos completos sobre todos los objetos de nueva creación. La única forma de quitar una cuenta de usuario del grupo Users es que un miembro del grupo Admins elimine dicho usuario.

Realmente, la seguridad en Access 2003 y en versiones anteriores siempre está activa. Hasta que se produce la activación del procedimiento de inicio de sesión para un grupo de trabajo, Access inicia la sesión de todos los usuarios de manera invisible al iniciarse mediante el uso de la cuenta de usuario Admin predeterminada con una contraseña en blanco. En segundo plano, Access usa la cuenta Admin como cuenta de administrador del grupo de trabajo. Access usa además esta cuenta para el propietario (grupo o usuario) de las bases de datos y tablas, consultas, formularios, informes y macros que se crean.

Los administradores y los propietarios son importantes porque tienen permisos que no se pueden quitar:

  • Los administradores (miembros del grupo Admins) pueden obtener siempre permisos completos para los objetos creados en el grupo de trabajo.
  • Una cuenta que es propietaria de una tabla, consulta, formulario, informe o macro puede obtener siempre permisos completos para ese objeto.
  • Una cuenta que es propietaria de una base de datos puede abrir siempre esa base de datos.

Dado que la cuenta de usuario Admin es exactamente la misma para todas las copias de Access, los primeros pasos que hay que dar para que la base de datos sea segura consisten en definir cuentas de administrador y propietario (o usar una sola cuenta de usuario como cuenta de administrador y cuenta de propietario) y, a continuación, quitar la cuenta de usuario Admin del grupo Admins. De lo contrario, cualquier persona que tenga una copia de Access podrá iniciar sesión en el grupo de trabajo mediante el uso de la cuenta Admin y disponer de permisos completos para las tablas, consultas, formularios, informes y macros del grupo de trabajo.

Puede asignar tantas cuentas de usuario como desee al grupo Admins, pero solo una cuenta de usuario puede ser propietaria de la base de datos; la cuenta propietaria es la cuenta de usuario que está activa cuando se crea la base de datos o cuando se transfiere la propiedad mediante la creación de una nueva base de datos y la importación a ella de todos los objetos de una base de datos. Sin embargo, las cuentas de grupo pueden ser propietarias de las tablas, consultas, formularios, informes y macros de una base de datos.

Consideraciones sobre la organización de cuentas de seguridad

  • Solo las cuentas de usuario pueden iniciar sesión en Access; no se puede iniciar sesión con una cuenta de grupo.
  • Las cuentas que se crean para usuarios de la base de datos se deben almacenar en el archivo de información de grupo de trabajo al que se unirán dichos usuarios cuando usen la base de datos. Si se usa un archivo diferente para crear la base de datos, se debe cambiar el archivo antes de crear las cuentas.
  • Hay que asegurarse de crear una contraseña única para las cuentas de administrador y de usuario. Un usuario que puede iniciar sesión con la cuenta de administrador puede obtener siempre permisos completos para las tablas, consultas, formularios, informes y macros que se crean en el grupo de trabajo. Un usuario que puede iniciar sesión con una cuenta de propietario puede obtener siempre permisos completos para los objetos que son propiedad de dicho usuario.

Después de crear cuentas de grupo y de usuario, puede ver e imprimir las relaciones entre ellas. Access imprime un informe de las cuentas del grupo de trabajo que muestra los grupos a que pertenece cada usuario y los usuarios que pertenecen a cada grupo.

 Nota   Si usa un archivo de información de grupo de trabajo creado con Microsoft Access 2.0, debe iniciar sesión como miembro del grupo Admins para imprimir información de usuarios y grupos. Si el archivo de información de grupo de trabajo se creó con Microsoft Access 97 o una versión posterior, todos los usuarios del grupo de trabajo pueden imprimir información de usuarios y grupos.

Volver al principio Volver al principio

Establecer seguridad por usuarios

Los pasos de esta sección explican la forma de iniciar y ejecutar el Asistente para seguridad por usuarios. Recuerde que estos pasos solo se aplican a bases de datos que tienen un formato de archivo de Access 2003 o de versiones anteriores y que se abren en Access 2010.

 Importante    En Access 2010, si usa el Asistente para seguridad por usuarios para especificar un archivo de información de grupo de trabajo predeterminado, también debe usar el modificador de la línea de comandos /WRKGP para apuntar al archivo de información de grupo de trabajo al iniciar Access. Para obtener más información sobre cómo usar un modificador de la línea de comandos con Access, vea el artículo sobre modificadores de la línea de comandos para Access.

Iniciar el Asistente para seguridad por usuarios

  1. Abra el archivo .mdb o .mde que desea administrar.
  2. En la ficha Herramientas de base de datos, en el grupo Administrar, haga clic en la flecha situada debajo de Usuarios y permisos y, a continuación, haga clic en Asistente para seguridad por usuarios.
  3. Siga los pasos en cada página para completar el asistente.

 Notas 

  • El Asistente para seguridad por usuarios crea una copia de seguridad de la base de datos de Access actual con el mismo nombre y una extensión de archivo .bak y, a continuación, usa medidas de seguridad para los objetos seleccionados de la base de datos actual.
  • Si la base de datos de Access usa una contraseña para proteger el código de VBA, el asistente la solicita y se debe proporcionar para que pueda realizar su operación correctamente.
  • Las contraseñas creadas a través del asistente se incluyen en el informe del Asistente para seguridad por usuarios que se imprime una vez finalizado su uso. Este informe se debe conservar en una ubicación segura y puede usarse para volver a crear el archivo de grupo de trabajo si se pierde o resulta dañado.

Volver al principio Volver al principio

Quitar seguridad por usuarios

Para quitar la seguridad por usuarios mientras trabaja en Access 2010, guarde el archivo .mdb como un archivo .accdb.

Guardar una copia del archivo en formato Access 2007

  1. Haga clic en la pestaña Archivo. Se abrirá la vista Backstage.
  2. A la izquierda, haga clic en Compartir.
  3. A la derecha, haga clic en Guardar base de datos como y, a continuación, haga clic en Base de datos de Access (*.accdb).

Se abrirá el cuadro de diálogo Guardar como.

  1. Use la lista Guardar en para buscar una ubicación en la que guardar la base de datos convertida.
  2. En la lista Guardar como tipo, seleccione Base de datos de Microsoft Access 2007 (*.accdb).
  3. Haga clic en Guardar.

Volver al principio Volver al principio

Referencia de permisos de objetos

La tabla siguiente enumera los permisos que se pueden establecer para una base de datos y sus objetos, y describe el efecto o resultado de usar cada valor de configuración de permisos.

Permiso Se aplica a estos objetos Resultado
Abrir o ejecutar Toda la base de datos, los formularios, los informes y las macros Los usuarios pueden abrir o ejecutar el objeto, incluidos los procedimientos de los módulos de código.
Abrir en modo exclusivo Toda la base de datos Los usuarios pueden abrir una base de datos e impedir el acceso a otros usuarios.
Leer diseño Tablas, consultas, formularios, macros y módulos de código

Los usuarios pueden abrir los objetos enumerados en la vista Diseño.

 Nota   Cada vez que se concede acceso a los datos de una tabla o consulta mediante la asignación de otro permiso, como Leer datos o Actualizar datos, también se deben conceder permisos Leer diseño porque el diseño debe estar visible para presentar y ver los datos correctamente.

Modificar diseño Tablas, consultas, formularios, macros y módulos de código Los usuarios pueden cambiar el diseño de los objetos enumerados.
Administrar Toda la base de datos, tablas, consultas, formularios, macros y módulos de código Los usuarios pueden asignar permisos a los objetos enumerados, aunque el usuario o grupo no sea propietario del objeto.
Leer datos Tablas y consultas Los usuarios pueden leer los datos de una tabla o consulta. Para conceder a los usuarios permisos para leer consultas, también debe concederles permisos para leer las consultas o tablas principales. Este valor de configuración lleva implícito el permiso Leer diseño, es decir, los usuarios pueden leer el diseño de la tabla o consulta además de los datos.
Actualizar datos Tablas y consultas Los usuarios pueden actualizar los datos de una tabla o consulta. Además, deben tener permisos para actualizar las consultas o tablas principales. Este valor de configuración lleva implícitos los permisos Leer diseño y Leer datos.
Insertar datos Tablas y consultas Los usuarios pueden insertar datos en una tabla o consulta. En el caso de consultas, los usuarios deben tener permisos para insertar datos en las consultas o tablas principales. Este valor de configuración lleva implícitos los permisos Leer datos y Leer diseño.
Eliminar datos Tablas y consultas Los usuarios pueden eliminar datos de una tabla o consulta. En el caso de consultas, los usuarios deben tener permisos para eliminar datos de las consultas o tablas principales. Este valor de configuración lleva implícitos los permisos Leer datos y Leer diseño.

Volver al principio Volver al principio

 
 
Corresponde a:
Access 2010