Hejsan.
Är någon duktig på behörigheterna i AD´t?
Jag har en FE- och en BE- fil som ligger i olika kataloger.
Kan man ställa in så att användarna kan komma åt databasen för att skapa, tabort, ändra poster men inte komma in i katalogen via filsystemet?
//eva b

skapa en säkerhetsgrupp i AD. Lägg till dem som att de får modify på din dina filer. Lägg sedan till användaren i denna grupp. Detta borde fungera men är inte helt säker. Du kanske redan har prövat detta eftersom du skriver här.

Går inte, eftersom användaren måste ha rättigheter att både läsa och skriva till databasfilen. Det är detta som är en av problemen med fildatabaser.

/Johan

Tack för era svar. Jag har skapat grupper labbat lite och misstänkte att det var som Johan säger. Det var trist. Man vill ju förhindra att användaren går in och tar bort BE-filen.
//eva b

Själv har jag i min applikation gjort en fulfix och lagt BE i en gömd mapp på servern. Det hindrar i alla fall de flesta användarna att slumpmässigt hitta den.

En fortsättningsfråga: Om man lägger BE i en share (till vilken krävs ett särskilt användarnamn och lösenord), går det då inte att från kod i FE accessa BE genom att använda dessa "login credentials". Jag tänker ungefär som när man i Utforskaren väljer Tools>Map Network Drive och där kan välja "Connect using a different user name". Hittade även följande fulhack:
http://www.lancelhoff.com/2007/11/13/how-to-password-protect-a-shared-folder/

Vad jag fiskar efter är alltså ett sätt att låta FE få access till BE genom att använda en sökväg och/eller ett username/password som inte användaren känner till, men som ligger inbäddat i FE, och att man på så sätt uppnår det som Eva frågar efter, dvs att användaren inte kommer åt BE via filsystemet?

Jag knuffar på lite. Johan D, vad säger t ex du. Tänker jag rätt, eller är jag ute och cyklar?

<b>Tänker jag rätt, eller är jag ute och cyklar?</b>

Beror ju lite på vad man är ute efter, helt säkert blir det inte, men det stoppar ju åtminstone "svensson-användaren". Så länge man inte tror att man gjort något som är helt säkert så är det väl ok. Men samtidigt tycker jag det är lite meningslöst att lägga massa kraft på ett skydd som inte är helt säkert...




<b>En fortsättningsfråga: Om man lägger BE i en share (till vilken krävs ett särskilt användarnamn och lösenord), går det då inte att från kod i FE accessa BE genom att använda dessa "login credentials". Jag tänker ungefär som när man i Utforskaren väljer Tools>Map Network Drive och där kan välja "Connect using a different user name". Hittade även följande fulhack:
http://www.lancelhoff.com/2007/11/13/how-to-password-protect-a-shared-folder/</b>

Tanken är god (förutom då att användaruppgifterna skulle lagras FE och i teorin skulle vara åtkomliga för den händige användaren). Frågan är om det går att ange nya credentials som bara gäller för Access. När du i vanliga fall anger "andra credentials" så gäller det för alla program, så oavsett om du accessar sharet från Access eller Utforskaren så får du samma rättigheter.

<b>Vad jag fiskar efter är alltså ett sätt att låta FE få access till BE genom att använda en sökväg och/eller ett username/password som inte användaren känner till, men som ligger inbäddat i FE, och att man på så sätt uppnår det som Eva frågar efter, dvs att användaren inte kommer åt BE via filsystemet?</b>

Hemliga sökvägar är ingen idé, det är enkelt att ta reda på vilken filaccess ett program gör. Ligger inloggningsuppgifterna i programmet så är de i teorin tillgängliga för angriparen, så det är ingen 100%-ig metod. Dessutom TROR jag inte det går att genomföra utan att andra program får samma rättigheter, någon som vet bättre?

I grund och botten så är det ju så att det som applikationen kommer åt i filsystemet är tillgängligt för användaren.

/Johan

Hej Johan D

OK, jag är med på hur du tänker. 100% skydd kan man aldrig få. Om Access kan nå BE så har ju användaren teoretiskt också samma möjligheter. Vad gäller inloggningsuppgifter inbäddade i koden menade jag jag att man måste "kompilera" FE till en .MDE. Annars håller jag med om att det bli enkelt att hitta dessa uppgifter. Nåväl, för att runda av tråden följer här en liten sammanställning av några enkla steg för att skydda sin BE.

Steg 1. I FE, välj "dölj databasfönster" och förhindra möjlighet till skift-öppna (disable "Access Special Keys" + ChangeProperty "AllowBypassKey"). => Gör att användaren inte kan se sökvägen till BE från FE.

Steg 2. Lägg BE i en mapp med obskyr sökväg. => Förhindrar att användaren enkelt kan navigera till den.

Steg 3. Göm mappen där BE ligger ("Hide folder"). => Förhindrar att användaren råkar snubbla över BE-filen. (Kräver dock att användaren inte klickat i "show hidden files/folders", men detta brukar inte vara fallet i nätverksmiljöer med standardiserade klienter).

Steg 4. Ändra ändelsen på BE från .MDB till något annat. => Förhindrar man hittar filen genom att söka efter "*.MDB"

Steg 5. Sätt rättigheter på den nätverksmapp som BE ligger i så att bara rätt användare kommer åt BE (vilket gör att man minskar det antal användare som teoretisk vill snoka rätt på BE-filen).

Tack för era kreativa idéer. Just deta att användaren av en slump hitttar filen och råkar ta bort den är det jag vill förhindra. Dold katalog ska jag genast pröva!
//eva

egenskaper på en mapp->säkehet->välj användare (typ en grupp för de som ska ha åtkomst) -> tryck på avancerat-> leta upp gruppen och tryck på redigera. Där kan du styra exakt vad som de ska få göra, kan du bara sätta Neka på ta bort. Så ska de inte få radera i den mappen.

Det tror jag är en smidig lösning.
Mvh
Nisse Pettersson