NET SOLUTION

Mettre en uvre la
scurit sous Microsoft
Access
CONFIGURATION

Luc Lebref Nembot
17/07/2004




www.nembot.com

Page 2
Mettre en uvre la scurit sous Microsoft
Access








I - Introduction

II - Architecture

III - Scurit Systme

IV - Scurit applicative

V - Bases de la scurit utilisateur

VI - Groupe de travail

VII - Groupes d'utilisateurs

VIII - Droits d'accs

IX - Cration et gestion des comptes utilisateurs

X - Mots de passe et dgradation

XI Sauvegarde et Restauration



I/ INTRODUCTION

Ce document traite des moyens de scuriser une application Microsoft ACCESS.
Nous ne traiterons que la scurit d'applications de type mdb utilisant le moteur de base de donnes
propritaire (JET) de Microsoft ACCESS. Nous n'aborderons pas les pages d'accs aux donnes ni les
applications bases sur le moteur SQL Server ou via ODBC. Nous traiterons ici de la scurit au niveau
de la configuration uniquement. Avant d'effectuer les manipulations dcrites dans ce document veuillez
faire une sauvegarde des fichiers de votre application. La sauvegarde est enregistre lemplacement de
sauvegarde par dfaut ou dans le dossier en cours. Pour restaurer une base de donnes, accdez
lemplacement de la sauvegarde, renommez le fichier, puis ouvrez-le dans access.

Il existe plusieurs mthodes pour scuriser une application Microsoft ACCESS. Elles sont indpendantes
et souvent complmentaires. Nous allons expliquer chacune d'elle et proposer un exemple pour sa mise
en oeuvre. Sachons avant daller plus loin que la mthode de protection la plus simple consiste coder sa
base de donnes. Le codage dune base de donnes compacte son fichier et le rend indchiffrable pour
un traitement de texte, par contre si vous codez une base de donnes qui nutilise aucune mesure ou
stratgie de scurit, vous naurez alors rien fait car nimporte qui pourra ouvrir et avoir un accs total aux
objets de votre base de donnes. Le codage est efficace et utile lors du transfert de la base de donnes
par voie lectronique ou pour les sauvegardes (sur disque, CD ou bande). Pour pouvoir coder ou dcoder

Page 3
une base de donnes Microsoft Access, vous devez tre son propritaire ou, si la base de donnes utilise
des mesures de scurit, votre appartenance au groupe Administrateur du fichier de groupe de travail qui
contient les comptes servant la protection de la base de donnes vous permettra aussi de
coder/dcoder celle ci. Vous devez aussi avoir une autorisation ouvrir en mode exclusif sur la base de
donnes.


II/ ARCHITECTURE

Pour comprendre la scurit nous devons faire un bref rappel des types d'architecture d'application
possibles avec Microsoft ACCESS.

II 1/ Fichier unique
A - Fichier unique
Dans ce type d'architecture les donnes (tables) et l'interface (formulaires, tats, requtes, code, macro)
sont dans le mme fichier. Il est employ par de nombreux utilisateurs de Microsoft ACCESS pour des
applications personnelles et mono utilisateur.
Chaque utilisateur se connecte l'espace de partage et lance le mme fichier.
Notez que la zone de partage peut tre situe sur un serveur ddi ou un poste utilisateur ayant un
rpertoire en partage.




Bien que ce fichier puisse tre partag et donc tre accessible plusieurs utilisateurs, il est fortement
dconseill de l'employer cet effet.
Les accs sont fortement ralentis ;
L'infrastructure surcharge le rseau ;
Les mthodes de conception base de tables temporaires deviennent lourdes grer ;
Le blocage d'un utilisateur peut se rpercuter sur l'ensemble.


II.2/ Fichier serveur
II-B - Fichier Serveur (Pseudo client serveur)
Dans cette architecture les tables sont spares de l'interface et le fichier de l'interface (frontal) est install
sur chaque poste client. Le fichier de donnes (dorsal) est en partage et les tables sont lies par un
attachement dans chaque fichier frontal.

Page 4




Celle-ci est conseille pour les applications ayant une forte charge (plus d'un utilisateur simultan/volume
de donnes important).C'est cette dernire que nous prendrons comme exemple pour mettre en place les
diverses scurits.

III/ SECURITE SYSTEME

Bien que ne faisant pas partie de Microsoft Access, la scurit du systme dexploitation (Windows XP,
Vista, etc.) permet entre autre de contrler les accs aux rpertoires. Elle est mise en place le plus
souvent dans le cadre d'une application partage ou sur des espaces de stockages multi-utilisateurs. Une
fois configure, seul l'utilisateur dclar aura accs au rpertoire et aux fichiers prsents.
Les utilisateurs de l'application doivent avoir les accs systmes suivants sur l'ensemble des rpertoires
de l'application :
Cration,
Modification,
Suppression.
Dans le cas d'une application "fichier serveur" les utilisateurs doivent avoir accs aux 2 rpertoires avec
les droits indiqus prcdemment:
Le rpertoire contenant l'application appele Frontale.
Le rpertoire contenant le(s) fichier(s) de donnes appel(s) Dorsal(s).

III.1/ Importance des accs et fichier ldb

Pourquoi avoir autant d'accs est si important pour l'utilisation d'une application ?
Un fichier est cr dans le rpertoire chaque accs l'un des fichiers d'une application, ce
comportement est valable pour toute application quelque soit l'architecture et le nombre d'utilisateurs. Les
fichiers crs portent le nom du fichier Microsoft ACCESS qui est ouvert (mdb, mde) suivi de l'extension
ldb (Lock file for Access Data Base).

Par exemple :

Pour le fichier Monapplication.mdb le fichier portera le nom de Monapplication.ldb.

Page 5
Ce fichier contient des informations importantes : l'identification unique de l'utilisateur connect et non du
poste accdant la base.
Le tableau suivant dresse les actions simplifies opres sur les fichiers Ldb dans le cadre de l'utilisation
d'une application de type "fichier serveur" par plusieurs utilisateurs.
Les fichiers applicatifs portent les noms respectifs de application.mdb (ou mde) pour la partie applicative
et donnes.mdb pour la partie contenant les donnes.







Dans de rares cas il arrive que le fichier ldb ne soit pas supprim automatiquement par Microsoft
ACCESS la sortie du dernier utilisateur, dans ce cas vous pouvez le supprimer manuellement.


IV/ SECURITE APPLICATIVE
IV - Scurit applicative
La scurit applicative consiste empcher l'utilisateur de modifier les formulaires, les tats, les macros
et le code. Il existe 3 mthodes de protection qui protgent plus ou moins l'application.

1/ Mthode Compilation MDE
IV-A - Mthode Compilation MDE
Pour scuriser simplement et rapidement une interface l'un des moyens les plus utiliss est la
"compilation" MDE. Il n'y a aucune connaissance technique avoir puisque cela se fait partir du menu
de Microsoft ACCESS et ceci est la raison pour laquelle nous conseillons cette mthode. Il existe tout de
mme quelques contraintes l'utilisation de cette mthode.
Pour gnrer ce type de fichier il faut imprativement que :
le code soit exempt de toute erreur de compilation mme si le code contenant les erreurs n'est jamais
excut ;
Il ne faut pas que le code modifie les objets en mode cration.

Un nouveau fichier "compil" est cr partir de l'ancien, ce dernier n'tant ni modifi, ni effac.
L'extension de ce nouveau fichier n'est plus MDB mais MDE.

Mme si on le dit "compil" ce fichier n'est pas directement excutable par le systme.

Page 6
Vous aurez toujours besoin de Microsoft ACCESS ou de son Runtime (livr sur le CD-ROM partir de la
version 2002 Professional) pour l'utiliser.
I
Pour gnrer un fichier MDE :
a) Commencez par ouvrir votre application.
b) Rendez-vous dans le menu Outils et choisissez le sous-menu Utilitaires de base de donnes et
l'option Crer un fichier MDE...
c) A l'ouverture de la fentre Enregistrer Fichier, donnez un nom au nouveau fichier (en principe le mme
que l'application d'origine)
d) Cliquez sur Enregistrer
Si tout s'est bien pass vous n'aurez aucun message derreur sinon vous devriez corriger l'erreur (ou les
erreurs) avant de retenter la gnration MDE.



Pour trouver l'erreur (ou les erreurs) ouvrez un module VBA (module ou formulaire) et compilez
l'ensemble du code. Menu Dbogage option Compiler "nom du fichier".
Corrigez les erreurs signales et recommencez jusqu' ce qu'il n'y en ait plus.
Notez que pour un projet (fichier ADP) il y a galement une version "compile", l'extension de ce type de
fichier est ADE.

M 22thode Mot de passe
2/ Mthode Mot de passe

Ce type de protection consiste verrouiller l'accs la base. Une fois le mot de passe fourni, l'application
est non seulement utilisable mais galement modifiable. Seul un compte dadministrateur (membre du
groupe Administrateur utilis pour la gestion de la scurit au sein de votre groupe de travail) peut
supprimer un mot de passe de compte de scurit. Si vous avez oubli ou perdu votre mot de passe,
vous devez demander un administrateur de le supprimer.
IV-B-1 - Mot de passe au dmarrage
Le mot de passe au dmarrage verrouille l'ensemble du fichier, il est impossible de lancer l'application
sans celui-ci. Le mot de passe est demand au dmarrage de l'application. Une fois que le mot de passe
est fournit, tous les objets sont modifiables.
Cette mthode n'est pas trs utilise sauf pour interdire l'accs d'une application mono utilisateur.
IV-B-1-a - Mettre en place ce mot de passe
Pour mettre en place ce mot de passe :

1 Ouvrez l'application en mode exclusif, (pour ouvrir la base de donnes en mode exclusif, fermez la base
de donnes et rouvrez-la en utilisant la commande OUVRIR dans le menu fichier. Dans la bote de
dialogue ouvrir, cliquez sur la flche situe droite du bouton ouvrir et choisissez ouvrir en mode
exclusif.)
2 Allez dans le menu Outils sous-menu Scurit
3 Option Dfinir le mot de passe pour la base de donnes.
4 La fentre de dfinition du mot de passe apparat. Entrez le mot de passe de votre choix. Il peut tre
compos d'un maximum de 20 caractres.
IV-B-1-b - Retirer le mot de passe
Pour enlever un mot de passe, procdez de la mme manire que pour le mettre :

Page 7
Ouvrez l'application en mode exclusif.
Allez dans le menu Outils sous-menu Scurit
Option Dfinir le mot de passe pour la base de donnes.
La fentre de dfinition du mot de passe apparat. Entrez le mot de passe de votre choix. Il peut tre
compos d'un maximum de 20 caractres.
Il est noter que vous ne devez pas utiliser de mot de passe sur votre base de donnes si vous la
rpliquez. Les bases de donnes rpliques ne peuvent pas tres synchronises si elles sont protges
par mot de passe.

3/ Mthode Mot de passe sur le code
t de passe sur le code
Cette protection interdit l'affichage, la modification et les proprits du code contenu dans les modules, les
formulaires ainsi que les tats. Il ne protge pas les macros.
Pour mettre en place ce mot de passe :
Ouvrez n'importe quel module (ou module de formulaire ou d'tat)
Ouvrez le menu Outils, Proprits "Nom de la base"
Cliquez sur l'onglet Protection
Cochez la case Verrouillez le projet pour l'affichage
Entrez le mot de passe dans les 2 zones de texte.



Si la case n'est pas coche l'utilisateur peut voir et modifier le code. Seules les proprits de l'application
sont protges. Le mot de passe est demand avant l'affichage du code.
Pour enlever le mot de passe dcochez la case Verrouillez le projet pour l'affichage et videz les zones
de texte contenant le mot de passe.
Cette mthode de protection est utile pour protger uniquement le code et les proprits, ce qui en fait
une protection plutt faible. En effet l'utilisateur a accs tout le reste de l'application. Elle peut venir en
complment de la protection par Scurit utilisateur que nous allons aborder dans le prochain chapitre.


Page 8
Aucun mot de passe n'est inviolable et il existe de nombreux produits shareware ou freeware pour
retrouver les mots de passe des fichiers Office. Mon conseil est d'viter la protection partir d'un mot de
passe sauf si vous y tes contraint.

V/ Bases de la scurit utilisateur

A partir de ce chapitre nous allons traiter de la protection par droit d'accs. Celle-ci ne s'improvise pas
(comme les mthodes vues prcdemment) et met en oeuvre des concepts de groupes, d'utilisateurs, de
droits, et d'hritage. De plus une bonne tude du fonctionnement de l'application et des tches des
utilisateurs est obligatoire.

1) Thorie
- Thorie
Si vous tes un habitu (administrateur systme) de la gestion des utilisateurs avec Windows vous
pouvez directement passer la mise en oeuvre sinon lisez ce qui suit.
Pour bien comprendre cette mthode il est ncessaire d'en expliquer le fonctionnement.
Chaque utilisateur effectue des tches bien prcises dans l'application. Dans l'exemple d'une socit, un
commercial n'aura pas accs aux mmes informations de l'entreprise qu'un acheteur ou qu'un magasinier.
Ils font tous partis du mme groupe de travail puisqu'ils utilisent la mme application des niveaux
diffrents.
Comme il n'y a pas qu'un seul utilisateur acheteur, commercial ou magasinier il est ncessaire de
pouvoir crer des groupes d'utilisateurs ayant les mmes accs.
Ces accs sont appels droits. Ils dterminent qui peut faire quoi dans l'application.

2) Groupe de travail

Le groupe de travail est l'entit la plus haute dans l'organisation, elle contient les groupes
d'utilisateurs.
1 Elle peut tre utilise par une ou plusieurs applications.
2 On ne peut utiliser plusieurs groupes de travail pour une seule application.
3 On peut changer de groupe de travail automatiquement ou manuellement.

3) Groupe dutilisateurs

Le groupe d'utilisateurs est contenu dans le groupe de travail, il contient des utilisateurs.
1 Le groupe possde des droits
2 Il y a plusieurs groupes d'utilisateurs dans un groupe de travail.
3 Les groupes d'utilisateur natifs Administrateurs, Utilisateurs qui ne peuvent tre effacs.

4) Compte dutilisateur
B-3 - Compte d'utilisateur
Le compte d'utilisateur permet l'identification unique de l'utilisateur. Il est dot d'un nom, d'un mot de
passe et ventuellement de droits.
Il est obligatoirement inscrit dans le groupe Utilisateurs.
Il peut tre inscrit dans plusieurs groupes.
Il hrite des droits de chaque groupe dans lequel il est inscrit.
Les utilisateurs natifs (Administrateur, Utilisateur,) ne peuvent tre supprims.

5) Droits

Il s'agit de l'ultime dfinition. Les droits autorisent ou interdisent les actions sur les objets de la base
(tables, requtes...). Ils peuvent tre dfinis au niveau du groupe d'utilisateurs ou du compte d'utilisateur.
Ils sont dfinis sur chaque objet de l'application.


Page 9
6) Objets
-B-5 - Objets
Les objets suivants composent une application Access.

Base de donnes
Tables
Requtes
Formulaires
Etats
Macro

Remarquez que les Modules et les Pages ne figurent pas dans la liste des objets pouvant tre scuriss.
Un nouvel objet fait par contre son apparition, il s'agit de la base de donnes.

Pour les Modules et dans le cas ou vous ne pouvez pas mettre en place la protection par compilation
vous pouvez vous servir de la protection par mot de passe sur le code.

7) Hritage
V-B-6 - Hritage
L'hritage est la notion pivot de la scurit. Lorsqu'un utilisateur est inscrit dans un groupe, il hrite
automatiquement des droits de ce groupe.
Un exemple trs simple permet de bien comprendre ce concept.
Le groupe1 a le droit de supprimer les donnes,
Le groupe2 a le droit de modifier les donnes,
L'utilisateur X a le droit d'ajouter des donnes.
Si vous inscrivez l'utilisateur X dans le groupe 1 :
Il pourra supprimer des donnes (hritage du groupe 1) et en ajouter (ses propres droits).
Vous l'inscrivez dans les groupes 1 et 2 :
Il pourra supprimer, modifier des donnes (hritage du groupe 1 et 2) et en ajouter (ses propres droits).
L'utilisateur hrite des droits du (ou des) groupe(s) dans lequel il est inscrit.
Ces propres droits sont prioritaires sur ceux du groupe.
Les droits dclars pour un utilisateur n'est valide que pour lui.
Un utilisateur cumule les droits de tous les groupes dans lesquels il est inscrit en plus des siens.
En aucun cas un utilisateur tant inscrit dans le mme groupe qu'un autre utilisateur bnficiera des
droits de ce dernier.
Seul le droit d'Administrer ne peut tre hrit il est toujours li un compte d'utilisateur.

8) Propritaire
V-B-7 - Propritaire
Voici une dfinition particulire lie uniquement l'objet. Il s'agit du propritaire de l'objet.
Il ne peut y avoir qu'un propritaire par objet.
Il peut y avoir plusieurs propritaires d'objets dans une application.
Le propritaire de lobjet ne peut tre chang. Il rgit tous les objets systmes d'un fichier Microsoft
Access.

Cette proprit n'empche pas un administrateur d'oprer des modifications sur un objet dont il n'est pas
propritaire.


VI/ GROUPE DE TRAVAIL
VI - Groupe de travail
Dans ce chapitre nous allons mettre en application les concepts thoriques du chapitre prcdent.

Page 10

1) Dmonstration
VI-A - Dmonstration
Le groupe de travail est toujours prsent dans une application mme s'il est momentanment transparent
pour l'utilisateur. Nous allons en apporter la preuve :
Ouvrez une application
Allez dans le menu Outils / Scurit / Gestion des utilisateurs et des groupes...




Cliquez sur l'onglet Changer le Mot de passe
Saisissez un mot de passe dans les zones de texte Nouveau et Confirmation



Confirmez en cliquant sur Ok ou Confirmer et Ok
Fermez Access puis rouvrez une application.


Page 11
Attention !! Sur les systmes Windows XP le nom d'utilisateur dans la fentre de connexion est le nom
du compte de connexion Windows. Ceci est pratique en exploitation, mais ici il faut mettre
Administrateur car c'est le compte par dfaut.




Une fois que vous tes connect et tant que vous ne fermez pas Microsoft Access vous restez avec le
compte de connexion et le groupe de travail prcdent.

Remettez le mot de passe blanc :
Allez dans le menu Outils / Scurit /Gestion des utilisateurs et des groupes...
Cliquez sur l'onglet Changer le Mot de passe
Entrez le mot de passe dans Ancien mot de passe n'entrez rien dans les autres zones de texte
Confirmez en cliquant sur Ok ou Confirmer et Ok
Fermez Access puis rouvrez une application.

Notez que cette manipulation permet galement de changer le mot de passe.

Ces manipulations sont identiques pour initialiser, supprimer ou changer le mot de passe de n'importe
quel utilisateur dclar.
Aprs ces quelques manipulations simples nous allons crer un nouveau groupe de travail.

2) Cration dun groupe de travail
VI-B - Cration d'un groupe de travail
Pour une protection optimale il est obligatoire de crer un nouveau groupe de travail. Dans le cas
contraire n'importe quel utilisateur utilisant le groupe de travail par dfaut est en mesure d'accder la
scurit utilisateur.

Dans la fentre du gestionnaire de groupe de travail vous pouvez lire plusieurs informations importantes.




Page 12
Si vous utilisez le groupe standard les informations Nom et Organisation apparaissent vides.
L'information Fichier de groupe de travail indique le fichier qui est utilis pour le groupe de travail
courant. Vous pouvez remarquer que ce fichier s'appelle SYSTEM.MDW.

Avant d'effectuer les manipulations suivantes, veillez faire une sauvegarde du fichier de scurit actif.
C'est celui indiqu dans Fichier Groupe de travail. En cas de problme vous pouvez le rcuprer sur
votre CD-Rom d'installation d'Office ou de Microsoft ACCESS.

Notez que le fichier SYSTEM.MDW original est strictement identique pour toutes les licences Microsoft
Access. Si vous l'ouvrez vous constaterez qu'il ne contient que des tables.

Cliquez sur le bouton Crer... pour crer un nouveau fichier de groupe de travail (extension Mdw).



Entrez le nom du groupe de travail dans la zone Nom. En principe un nom explicite dsignant soit
l'application, soit un groupe d'utilisateurs d'applications (nom d'un service...).
Entrez le nom de votre socit dans la zone Organisation.
Identificateur de groupe de travail est un numro unique servant de clef unique. Vous pouvez entrez
jusqu' 20 caractres alphanumriques.
Validez les paramtres en cliquant sur Ok.
L'ensemble de ces informations constitue une protection contre la cration d'un nouveau fichier mdw.

Enregistrez ces informations pour qu'en cas de problme vous puissiez le recrer. En effet dans le cas o
aprs avoir scuris une application vous perdiez le fichier MDW correspondant il ne vous sera plus
possible d'accder l'application.




Page 13

1 Indiquez le chemin et le nom d'un fichier mdw
2 Utilisez le bouton Parcourir pour placer le fichier o vous le souhaitez.
Je vous conseille un nom explicite, soit le nom de l'application auquel il est destin, soit un nom plus
gnrique dans le cas d'applications multiples. Toujours diffrent de system.mdw pour viter toute
confusion.

Il est conseill de placer le fichier de scurit dans le mme rpertoire que l'application.
Cela vite de l'garer sur vos disques et de ne plus savoir quel fichier va avec quelle(s) application(s).

1 Une fentre rappelant les informations apparat.
2 Cliquez sur le bouton Ok pour confirmer ou Changer pour revenir la fentre prcdente pour faire des
modifications.
3 Enfin une fentre apparat confirmant la cration du fichier de scurit. Cliquez sur Ok

Voici l'ultime phase de la cration du fichier, vous venez de retourner sur le premier cran. Vous pouvez
constater que le nouveau fichier est devenu actif.

Pour activer un autre fichier de scurit, l'original par exemple :
1 Cliquez sur le bouton Joindre... et suivez les instructions.
2 Sinon le bouton Quitter vous permet de fermer cette fentre.
3 Fermer la fentre.

Cette manipulation ne constitue aucun problme en soit, mais il faut bien la matriser car vous serez
emmen l'utiliser souvent.


VII/ GROUPES DUTILISATEURS
II - Groupes d'utilisateurs
En rgle gnrale il est prfrable d'attribuer des droits aux groupes et non aux utilisateurs, sauf pour les
comptes d'administration/dveloppeur. La raison en est simple, lorsque vous dfinissez des droits sur
des groupes il suffit d'ajouter l'utilisateur aux diffrents groupes souhaits pour qu'il hrite immdiatement
des droits. Si vous vous amusez dfinir les droits directement sur les comptes utilisateurs vous devrez
faire la mme dfinition autant de fois qu'il y a d'utilisateurs avec les risques d'erreurs que cela comporte.

1) Dfinition des groupes dutilisateurs
VII-A - Dfinition des groupes d'utilisateurs
Pour dfinir les groupes d'utilisateurs il faut d'abord dfinir une stratgie d'utilisation de l'application. Le
mieux est d'organiser tout cela sous forme de tableau.

2) Cration de groupe
VII-B - Cration de groupes
Nous allons crer les groupes ncessaires.

Ouvrez la base si ce n'est pas dj fait.
Allez dans le menu Outils/scurit/Gestion des utilisateurs et des groupes
Cliquez sur l'onglet Groupes
Puis sur le bouton Nouveau...
Indiquez le Nom du Groupe et le Numro d'Indentification unique ou PID Personnel ID.
Recommencez l'opration autant de fois qu'il y a de groupes.

Attention le numro d'identification (PID) est trs important, il ne faut pas mettre le mme numro pour
tous les groupes et/ou utilisateurs.

Page 14

3) La suppression de groupes
VII-C - Suppression de groupes
La suppression se fait dans la mme fentre que la cration.

Slectionnez le groupe que vous souhaitez supprimer.
Cliquez sur le bouton Supprimer

La suppression d'un groupe n'entrane pas la suppression des utilisateurs qui y sont inscrits, seuls leurs
droits seront perdus.
Les groupes natifs (Administrateurs et Utilisateurs) ne peuvent pas tre supprims.


VIII/ DROITS DACCES

Nous allons dfinir les droits pour chacun des groupes d'utilisateurs.

Allez dans le menu Outils/Scurit/Autorisations d'accs
Cliquez sur le bouton d'option Groupes
Les groupes dfinis apparaissent dans la liste droulante.
Slectionnez le groupe Commerciaux.
Slectionnez la table Client
Slectionnez les droits Lire les donnes, Ajouter les donnes et Modifier les donnes
Cliquez sur Appliquer pour enregistrer la modification.
Slectionnez la table Commande
Slectionnez les droits Lire les donnes, Ajouter les donnes, Modifier les donnes et Supprimer les
donnes
Cliquez sur Appliquer pour enregistrer la modification.
Slectionnez la table Tarif
Slectionnez les droits Lire les donnes
Cliquez sur Appliquer pour enregistrer la modification.
Slectionnez la table Stock
Slectionnez les droits Lire les donnes
Cliquez sur Appliquer pour enregistrer la modification.

Nous venons de dfinir les droits du groupe Commerciaux pour les tables. Recommencez lopration pour
Acheteurs, Magasinier, Vente.

Dans un environnement Multi-Utilisateur, il est souvent souhaitable dutiliser des mesures de scurit pour
votre base de donnes et notamment dempcher les utilisateurs de rpliquer une base de donnes (la
rplication est le processus de copie dune table de donnes de sorte que deux copies, ou plus, puissent
changer des mises jour de donnes ou des objets rpliqus. Cet change est appel
synchronisation .)

La rplication dune base de donnes permet aux utilisateurs de faire une copie dune base de donnes
partage ainsi que dajouter des champs et dapporter dautres modifications la base de donnes en
utilise. Il est tout aussi souhaitable dempcher les utilisateurs de dfinir un mot de passe de base de
donnes car, si un utilisateur dfinit un mot de passe pour une base de donnes partage, aucun autre
utilisateur ne pourra ouvrir cette base de donnes sil ne fournit ce mot de passe. Vous pouvez aussi
empcher aux utilisateurs de modifier les proprits de dmarrage qui spcifient les fonctionnalits telles
que les menus personnaliss, les barres doutils personnalises ou le formulaire de dmarrage.


Page 15
Si une base de donnes partage nest pas protge par une scurit au niveau utilisateur, vous ne
pouvez pas empcher les utilisateurs dapporter les modifications mentionnes ci-dessus. En revanche, si
la scurit au niveau utilisateur est dfinie, un utilisateur ou un groupe doit disposer de lautorisation
Administrateur sur la base de donnes pour pouvoir la rpliquer, dfinir un mot de passe de base
de donnes ou modifier ses proprits de dmarrage. Seuls les membres du groupe Administrateurs
disposent de cette autorisation.

Si un utilisateur ou un groupe dispose actuellement de lautorisation de niveau Administrateur pour
une base de donnes, la suppression de cette autorisation les empchera deffectuer ces modifications.
Sil est ncessaire quun utilisateur ou un groupe puisse effectuer lune de ces tches, vous pouvez lui
affecter lautorisation approprie. Il reste impossible aujourdhui de contrler indpendamment laccs
ces trois tches.

Rcapitulons dans le tableau suivant les diffrentes autorisations daccs disponibles dans Microsoft
ACCESS.


Autorisation Permet un utilisateur de
Ouvrir/Excuter Ouvrir une base de donnes, un formulaire ou un tat, ou excuter une macro
Ouvrir en mode
exclusif
Ouvrir une base de donnes avec accs exclusif.
Lire la structure
Afficher les tables, les requtes, les formulaires, les tats ou les macros en
mode Cration.
Modifier la
structure
Afficher et modifier la structure des tables, des requtes, des formulaires, des
tats ou des macros, ou supprimer ces objets.
Administrer
Pour les bases de donnes, dfinir un mot de passe de base de donnes,
rpliquer une base de donnes et modifier les proprits de dmarrage.
Pour les tables, requtes, formulaires, tats et macros, avoir un accs total
ces objets et ces donnes, y compris avoir la possibilit d'accorder des
autorisations.
Lire les donnes Afficher les donnes dans les tables et les requtes.
Modifier les
donnes
Afficher et modifier les donnes dans les tables et les requtes mais pas les
ajouter ou les supprimer.
Ajouter des
donnes
Afficher et ajouter des donnes dans les tables et les requtes, mais pas les
afficher ou les supprimer.
Supprimer des
donnes
Afficher et supprimer des donnes dans les tables et les requtes, mais pas les
modifier ou les ajouter.

Certaines autorisations d'accs s'accompagnent automatiquement de la slection d'autres
autorisations d'accs. Par exemple, l'autorisation d'accs Modifier les donnes d'une table
s'accompagne automatiquement des autorisations d'accs Lire les donnes et Lire la structure
car vous en avez besoin pour modifier les donnes d'une table. Modifier la structure et Lire les

Page 16
donnes s'accompagnent automatiquement de Lire la structure. Dans le cas des macros, Lire la
structure s'accompagne automatiquement de Ouvrir/excuter.
Pour crer des formulaires, des tats, des macros et des modules dans un environnement Multi-
Utilisateur, vous devez ouvrir une base de donnes Microsoft Access en mode exclusif, ce qui
signifie que vous devez bnficier d'une autorisation Ouvrir en mode exclusif sur la base de
donnes Access.
En rgle gnrale, pour que les utilisateurs puissent accder une table lie, accordez-leur les
autorisations Lire les donnes et Lire la structure sur la base de donnes principale, ainsi que
l'autorisation Modifier la structure sur le lien vers la table, dfini sur la base de donnes frontale,
pour que les utilisateurs puissent facilement rajouter un lien vers la table. Si vous souhaitez
interdire tous les accs la table principale tout en permettant aux utilisateurs de consulter les
donnes et d'ajouter des liens aux tables, supprimez toutes les autorisations sur la table
principale et utilisez des requtes sur la base de donnes frontale en attribuant leur proprit
Autorisations (RunPermissions) la valeur Propritaire.

IX/ CREATION ET GESTION DES COMPTES UTILISATEURS
IX-A - Cration des comptes
La procdure de cration des comptes utilisateurs est trs semblable celle de la cration des groupes.
Il y a un utilisateur qui doit tre cr avant tous les autres. Il s'agit de l'utilisateur qui va remplacer le
compte d'administration natif. Cet utilisateur aura tous les droits sur tous les objets de la base. Ces tches
seront :
Crer des groupes ou des utilisateurs,
Supprimer des utilisateurs,
Rinitialiser des mots de passe utilisateurs,
Modifier les droits des groupes,
Affecter les utilisateurs dans les groupes,
Faire les oprations de maintenance sur la base.
Crer, modifier, supprimer tout objet de la base.

Pour le crer suivez les instructions suivantes :

Allez dans le menu Outils/scurit/Gestion des utilisateurs et des groupes
Cliquez sur l'onglet Utilisateurs


Page 17


Puis sur le bouton Nouveau...



Indiquez comme nom superutilisateur et un Numro d'Indentification unique ou PID Personal ID.
Recommencez l'opration pour les autres comptes d'utilisateurs.

Comme pour les groupes n'oubliez pas de bien noter chaque N PID pour permettre leur recration.
IX-A-1 - Dfinir les mots de passe des comptes
Pour qu'un compte soit scuris il faut dfinir un mot de passe, sans quoi n'importe qui pourrait se
connecter l'application s'il connat le nom d'un utilisateur. Nous verrons cette manipulation plus loin dans
cette partie.
IX-B - Affectation des comptes
A l'exception des comptes d'administration il est inutile de dfinir les droits pour chaque utilisateur, il faut
simplement les affecter aux groupes correspondants.

Allez dans le menu Outils/scurit/Gestion des utilisateurs et des groupes
Droulez la liste Utilisateurs pour choisir superutilisateur
Dans la liste Groupe slectionnez le groupe Administrateurs
Cliquez sur le bouton Inscrire
Recommencez l'opration pour les autres comptes d'utilisateurs dans leur(s) groupe(s) respectif(s).
Lorsque vous avez termin cliquez sur Ok

Page 18

Vous pouvez remarquer que tous les utilisateurs sont inscrits dans le groupe Utilisateurs.
C'est tout fait normal, le groupe Utilisateurs est un groupe natif, tous les comptes utilisateurs en font
partie. Comme le groupe Administrateurs il ne peut tre supprim et on ne peut supprimer ses membres.

Vous pouvez inscrire un utilisateur dans plusieurs groupes. Ceci aura pour effet de combiner les droits
des groupes.
IX-C - L'administrateur un cas particulier
Nous allons d'abord dfinir les droits pour l'administrateur. Comme nous l'avons dj vu il s'agit d'un cas
particulier car le droit d'Administrer n'est pas soumis l'hritage.

Allez dans le menu Outils/Scurit/Autorisations d'accs
Cliquez sur le bouton d'option Utilisateurs



Les utilisateurs dfinis apparaissent dans la liste droulante.
Slectionnez l'utilisateur superutilisateur
Slectionnez l'intgralit des tables (Shift + Clic)


Page 19


Cliquez sur Administrer.

Lorsque vous slectionnez Administrer tous les droits se slectionnent.

Pour les objets suivants les droits sont lgrement diffrents mais il faut tous les cocher.
Recommencez l'opration pour les objets Formulaires et <Nouveaux Formulaires>
Recommencez l'opration pour les objets Etats et <Nouveaux Etats>
Recommencez l'opration pour les objets Macros et <Nouvelles Macros>
Recommencez l'opration pour les objets Requtes et <Nouvelles Tables/Requtes>
Cliquez sur Appliquer pour enregistrer la modification.
IX-E - Activer les comptes
Les comptes sont actifs puisque nous les avons crs et affects aux groupes.

Mais alors pourquoi nous n'y avons pas accs ?
Pour accder la gestion des comptes il faut dfinir un mot de passe pour le compte Administrateur,
n'oubliez pas que c'est le compte par dfaut. C'est avec lui que l'ensemble des utilisateurs de Microsoft
Access dans le monde, lorsqu'ils n'ont pas mis en place la scurit, se connectent.
Activons le mot de passe pour le compte par dfaut.

Allez dans le menu Outils/scurit/Gestion des utilisateurs et des groupes
Cliquez sur l'onglet Changer le mot de passe
Administrateur est le compte actif dans la session
Ancien mot de passe doit rester vide.


Page 20


Nouveau mot de passe entrez admin
Confirmation entrez de nouveau admin
Cliquez sur Appliquer et Ok
Fermez Microsoft ACCESS

La scurisation est pratiquement termine, il ne reste que quelques manipulations effectuer pour
verrouiller compltement notre fichier.
IX-D - Propritaire
Comme nous avons cr un compte d'administrateur (superutilisateur) nous allons changer la valeur
Propritaire des objets. Le propritaire est celui qui a l'autorisation de modification des objets lui
appartenant.

Allez dans le menu Outils/scurit/Autorisations d'accs
Cliquez sur l'onglet Changer de propritaire
Slectionnez chaque objet ayant comme propritaire Administrateur (ctrl + click)
Cliquez sur le bouton d'option Lister : Utilisateurs


Page 21



Slectionnez l'utilisateur superutilisateur.
Cliquez sur Changer le propritaire
Nous avons donc chang le propritaire Administrateur par superutilisateur.





X/ MOTS DE PASSE ET DEGRADATION
- Mots de passe et dgradation
Ultime phase de la protection : la dgradation des droits qui va empcher l'accs l'application avec un
fichier mdw standard. Pour faire cette manipulation il faut se connecter avec le nouveau compte
d'administration que nous avons appel superutilisateur.

Ouvrez Microsoft ACCESS et l'application.
Remplacez le nom Administrateur par superutilisateur
Cliquez sur Ok
Ouvrez le menu Outils/Scurit/Autorisations d'accs...
Slectionnez Administrateur
Slectionnez tous les objets Tables de la liste
Cliquez 2 fois sur l'option Lire Structure pour tout dcocher



Page 22


Cliquez sur Appliquer
Cliquez sur Ok
Il manque encore une dgradation faire, celle du groupe Utilisateurs.
Slectionnez Lister : Groupe
Slectionnez Groupe
Slectionnez tous les objets Tables
Cliquez 2 fois sur l'option Lire Structure pour tout dcocher
Cliquez sur Appliquer
Cliquez sur Ok

La base est maintenant scurise.
Xes autres objets
Vous avez remarqu que nous avons protg seulement les tables. Vous pouvez choisir galement de
protger les formulaires, tats et requtes. Dans le cas d'une protection avec compilation mde l'utilisateur
ne pourra pas faire de modification sur les formulaires, tats et codes. Lorsqu'un utilisateur consulte un
formulaire, tat ou requte dont il ne possde pas les droits de lecture l'objet apparat sans aucun contrle
et donnes.
Maintenant est-il opportun d'en informer l'utilisateur ?

Pour crer ou modifier des objets formulaires, tats et macros vous devez vous ouvrir l'application en
mode exclusif.
XI - Tests
Pour nous assurer que la base est scurise nous allons faire quelques tests.
XI-A - Avec le fichier MDW scuris
Nous allons faire le test avec le compte administrateur.
Fermez ACCESS

Page 23
Ouvrez l'application
Connectez vous avec le compte Administrateur
Essayez d'ouvrir l'une des tables
Vous obtenez le message derreur suivant.


XI-B - Avec le fichier MDW standard
Nous allons faire le test avec le compte administrateur.

Fermez ACCESS
Excutez le programme MS Access Workgroup Administrateur
Cliquez sur le bouton Joindre...
Cliquez sur le bouton Parcourir...
Slectionnez le fichier system.mdw prsent dans le rpertoire Office.

Dans le cas o vous ne trouvez pas le fichier system.mdw utilisez la recherche de Windows.




Ouvrez l'application, notez qu'aucun mot de passe ne vous est demand.
Essayez d'ouvrir l'une des tables
Vous obtenez le message mme message que prcdemment.
XII - Les requtes et la protection
Lorsque la scurit est en place, les requtes dpendent des droits sur les tables. Pourtant certaines
requtes doivent pouvoir s'excuter par un utilisateur ayant des droits restreints sur la ou les tables
concernes.

Microsoft Access permet de faire cela.

1 Ouvrez ou crez une requte avec le compte superutilisateur.
2 Faites un clic droit dans la zone des tables.
3 Dans le menu contextuel choisissez Proprits...
4 Dans Excuter Autorisations choisissez Celles du propritaire.




Page 24
5 Fermez la fentre Proprits...
6 Sauvegardez la requte.

Il est vident que le propritaire de la requte doit avoir les droits sur les tables concernes.
Si vous regardez le rsultat de cette manipulation vous pourrez constater que la chane SQL comporte
une option supplmentaire :

WITH OWNERACCESS OPTION

Requte avec option propritaire

SELECT CLIENT.N_CLIENT, CLIENT.NOM
FROM CLIENT
WITH OWNERACCESS OPTION;

Cette option peut tre utilise pour tous les types de requtes.
XII-A - Plus loin e type de requte
Vous pouvez choisir de concevoir l'application uniquement avec des requtes de ce type. Dans ce cas
vous devez respecter les directives suivantes :

Pas d'accs direct aux tables,
Toutes les requtes doivent comporter le paramtre
Les formulaires et tats sont bases sur des requtes,
Les contrles de zone liste et zone liste modifiable sont bass sur des requtes,
XIII - Codes, SQL et astuces
XIII-A - Fichier MDW et options de dmarrage
Il est souvent plus pratique de se servir des options de dmarrage de Microsoft Access pour paramtrer le
fichier mdw correspondant l'application.
Ceci permet d'viter de manipuler le programme MS Access Workgroup Administrateur, de toujours
utiliser le bon fichier mdw et surtout d'utiliser par dfaut le fichier mdw standard.


XI/ SAUVEGARDE ET RESTAURATION


1/ SAUVEGARDE

Pour effectuer une copie de sauvegarde de votre base de donnes Microsoft Access partir dAccess,

1. Enregistrez et fermez tous les objets dans le projet Access.
2. Dans le menu Fichier, cliquez sur sauvegarder la base de donnes.
3. Dans la bote de dialogue Enregistrer la sauvegarde sous, indiquez le nom et lemplacement de la
copie de sauvegarde.

Si vous utilisez une scurit au niveau utilisateur, vous devez galement crer une copie de sauvegarde
du fichier de groupe de travail. Si ce fichier est perdu ou endommag, vous ne serez plus en mesure de
dmarrer Access avant de lavoir restaur ou recr.

Pour effectuer la sauvegarde de votre base de donnes partir dun logiciel tiers de sauvegarde,
reportez-vous au manuel dutilisation dudit logiciel.

Il est vivement conseill deffectuer votre sauvegarde vers un priphrique externe (cl USB, disque,
bande, )


Page 25
2/ RESTAURATION

Pour restaurer une base de donnes Access partir dune copie de sauvegarde :
. Si vous avez sauvegard votre base de donnes avec Access, allez dans le dossier qui contient
votre sauvegarde et copiez/collez-la dans Access, vous pouvez aussi louvrir (la sauvegarde) partir de
longlet ouvrir dAccess.
. Si vous avez effectu la sauvegarde partir dun logiciel de sauvegarde, reportez-vous la section
restauration de ce logiciel et suivez les instructions pour restaurer votre base de donnes.

Sachez que si la base de donnes Access existante dans le dossier de base de donnes et la copie de
sauvegarde portent le mme nom, il est possible que la restauration de la copie de sauvegarde entrane
le remplacement du fichier existant. Si vous souhaitez conserver ce fichier, renommez-le avant de copier
la base de donnes de sauvegarde.

L'utilisation de la touche F1 est vivement conseille tous les stades de l'utilisation d'ACCESS.
L'amlioration constante de l'aide en fait un partenaire de choix dans l'apprentissage permanent
d'ACCESS.