Oracle用戶及角色介紹

-.z.Oracle用戶及角色介紹一.用戶管理1.1建立用戶〔數(shù)據(jù)庫驗證〕CREATEUSERDAVEIDENTIFIEDBYpwdDEFAULTTABLESPACEusersTEMPORARYTABLESPACEtempQUOTA5mONusers;1.2修改用戶ALTERUSERDAVEQUOTA0ONSYSTEM;1.3刪除用戶DROPUSERDAVE;DROPUSERDAVECASCADE;1.4顯示用戶信息SELECT*FROMDBA_USERSSELECT*FROMDBA_TS_QUOTAS二.系統(tǒng)權限系統(tǒng)權限作用CREATESESSION連接到數(shù)據(jù)庫CREATETABLE建表CREATETABLESPACE建立表空間CREATEVIEW建立視圖CREATESEQUENCE建立序列CREATEUSER建立用戶系統(tǒng)權限是指執(zhí)行特定類型SQL命令的權利，用于控制用戶可以執(zhí)行的一個或一類數(shù)據(jù)庫操作?！残陆ㄓ脩魶]有任何權限〕2.1授予系統(tǒng)權限GRANTCREATESESSION,CREATETABLETODAVE;GRANTCREATESESSIONTODAVEWITHADMINOPTION;選項：ADMINOPTION使該用戶具有轉授系統(tǒng)權限的權限。2.2顯示系統(tǒng)權限查看所有系統(tǒng)權限：Select*fromsystem_privilege_map;顯示用戶所具有的系統(tǒng)權限：Select*fromdba_sys_privs;顯示當前用戶所具有的系統(tǒng)權限：Select*fromuser_sys_privs;顯示當前會話所具有的系統(tǒng)權限：Select*fromsession_privs;2.3收回系統(tǒng)權限REVOKECREATETABLEFROMDAVE;REVOKECREATESESSIONFROMDAVE;三.角色：角色是一組相關權限的命名集合，使用角色最主要的目的是簡化權限管理。3.1預定義角色。CONNECT自動建立，包含以下權限：ALTERSESSION、CREATECLUSTER、CREATEDATABASELINK、CREATESEQUENCE、CREATESESSION、CREATESYNONYM、CREATETABLE、CREATEVIEW。RESOURCE自動建立，包含以下權限：CREATECLUSTER、CREATEPROCEDURE、CREATESEQUENCE、CREATETABLE、CREATETRIGGR。3.2顯示角色信息，§ROLE_SYS_PRIVS§ROLE_TAB_PRIVS§ROLE_ROLE_PRIVS§SESSION_ROLES§USER_ROLE_PRIVS§DBA_ROLES四.Oracle用戶角色每個Oracle用戶都有一個名字和口令,并擁有一些由其創(chuàng)立的表、視圖和其他資源。Oracle角色〔role〕就是一組權限〔privilege〕(或者是每個用戶根據(jù)其狀態(tài)和條件所需的類型)。用戶可以給角色授予或賦予指定的權限，然后將角色賦給相應的用戶。一個用戶也可以直接給其他用戶授權。數(shù)據(jù)庫系統(tǒng)權限〔DatabaseSystemPrivilege〕允許用戶執(zhí)行特定的命令集。例如，CREATETABLE權限允許用戶創(chuàng)立表，GRANTANYPRIVILEGE權限允許用戶授予任何系統(tǒng)權限。數(shù)據(jù)庫對象權限〔DatabaseObjectPrivilege〕使得用戶能夠對各個對象進展*些操作。例如DELETE權限允許用戶刪除表或視圖的行，SELECT權限允許用戶通過select從表、視圖、序列〔sequences〕或快照〔snapshots〕中查詢信息。4.1創(chuàng)立用戶Oracle內部有兩個建好的用戶：SYSTEM和SYS。用戶可直接登錄到SYSTEM用戶以創(chuàng)立其他用戶，因為SYSTEM具有創(chuàng)立別的用戶的權限。在安裝Oracle時，用戶或系統(tǒng)管理員首先可以為自己建立一個用戶。例如：createuseruser01identifiedbyu01;該命令還可以用來設置其他權限。要改變一個口令，可以使用alteruser命令：alteruseruser01identifiedbyusr01;現(xiàn)在user01的口令已由"u01〞改為"usr01〞。除了alteruser命令以外，用戶還可以使用password命令。如果使用password命令，用戶輸入的新口令將不在屏幕上顯示。有dba特權的用戶可以通過password命令改變任何其他用戶的口令；其他用戶只能改變自己的口令。當用戶輸入password命令時，系統(tǒng)將提示用戶輸入舊口令和新口令，如下所示：passwordChangingpasswordforuser01Oldpassword:Newpassword:Retypenewpassword:當成功地修改了口令時，用戶會得到如下的反應：Passwordchanged4.2刪除用戶刪除用戶，可以使用dropuser命令，如下所示：dropuseruser01;如果用戶擁有對象，則不能直接刪除，否則將返回一個錯誤值。指定關鍵字CASCADE，可刪除用戶所有的對象，然后再刪除用戶。下面的例子用來刪除用戶與其對象：dropuseruser01CASCADE;4.33種標準角色Oracle為了兼容以前的版本，提供了三種標準的角色〔role〕：CONNECT、RESOURCE和DBA。4.3.1.CONNECTRole(連接角色)臨時用戶，特別是那些不需要建表的用戶，通常只賦予他們CONNECTrole。CONNECT是使用Oracle的簡單權限，這種權限只有在對其他用戶的表有權時，包括select、insert、update和delete等，才會變得有意義。擁有CONNECTrole的用戶還能夠創(chuàng)立表、視圖、序列〔sequence〕、簇〔cluster〕、同義詞〔synonym〕、會話〔session〕和與其他數(shù)據(jù)庫的鏈〔link〕。4.3.2.RESOURCERole(資源角色)更可靠和正式的數(shù)據(jù)庫用戶可以授予RESOURCErole。RESOURCE提供應用戶另外的權限以創(chuàng)立他們自己的表、序列、過程〔procedure〕、觸發(fā)器〔trigger〕、索引〔inde*〕和簇〔cluster〕。4.3.3.DBARole(數(shù)據(jù)庫管理員角色)DBArole擁有所有的系統(tǒng)權限包括無限制的空間限額和給其他用戶授予各種權限的能力。SYSTEM由DBA用戶擁有。一些DBA經常使用的典型權限。1.grant〔授權〕命令 grantconnect,resourcetouser01;2.revoke〔撤消〕權限revokeconnect,resourcefromuser01;一個具有DBA角色的用戶可以撤消任何別的用戶甚至別的DBA的CONNECT、RESOURCE和DBA的其他權限。當然，這樣是很危險的，因此，除非真正需要，DBA權限不應隨便授予那些不是很重要的一般用戶。撤消一個用戶的所有權限，并不意味著從Oracle中刪除了這個用戶，也不會破壞用戶創(chuàng)立的任何表；只是簡單制止其對這些表的。其他要這些表的用戶可以象以前那樣地這些表。五、創(chuàng)立角色除了前面講到的三種系統(tǒng)角色CONNECT、RESOURCE和DBA，用戶還可以在Oracle創(chuàng)立自己的role。用戶創(chuàng)立的role可以由表或系統(tǒng)權限或兩者的組合構成。為了創(chuàng)立role，用戶必須具有CREATEROLE系統(tǒng)權限。5.1創(chuàng)立rolecreateroleSTUDENT;這條命令創(chuàng)立了一個名為STUDENT的role。5.2對role授權一旦創(chuàng)立了一個role，用戶就可以給他授權。給role授權的grant命令的語法與對對用戶的語法一樣。在給role授權時，在grant命令的to子句中要使用role的名稱，如下所示：grantselectonCLASStoSTUDENT;現(xiàn)在，擁有STUDENT角色的所有用戶都具有對CLASS表的select權限。5.3刪除角色要刪除角色，可以使用droprole命令，如下所示：droproleSTUDENT;指定的role連同與之相關的權限將從數(shù)據(jù)庫中全部刪除。六.oraclesyssystem用戶的區(qū)別sys是Oracle數(shù)據(jù)庫中權限最高的**，具有createdatabase的權限，而system沒有這個權限，sys的角色是sysdba，system的角色是sysoper。其余就是他們兩個用戶共有的權限了：startup/shutdown/dba兩個用戶都是可以管理的。平時用system來管理數(shù)據(jù)庫就可以了。這個用戶的權限對于普通的數(shù)據(jù)庫管理來說已經足夠權限了。七.查看權限和角色ORACLE中數(shù)據(jù)字典視圖分為3大類,用前綴區(qū)別，分別為：USER，ALL和DBA，許多數(shù)據(jù)字典視圖包含相似的信息。USER_*:有關用戶所擁有的對象信息，即用戶自己創(chuàng)立的對象信息ALL_*：有關用戶可以的對象的信息，即用戶自己創(chuàng)立的對象的信息加上其他用戶創(chuàng)立的對象但該用戶有權的信息DBA_*：有關整個數(shù)據(jù)庫中對象的信息〔這里的*可以為TABLES，INDE*ES，OBJECTS，USERS等〕。比方：只知道scott用戶的密碼，需要查看一下scott的一些信息7.1、查scott用戶的創(chuàng)立時間、用戶狀態(tài)、使用的默認表空間、臨時表空間等信息SQL>connscott/admin已連接。SQL>select*fromuser_users;另：select*fromall_users;(scott用戶可以其他數(shù)據(jù)庫用戶對信息的用戶名)

另：select*fromall_users;(所有數(shù)據(jù)庫的用戶信息，各用戶的密碼、狀態(tài)、默認表空間、臨時表空間等)7.2、查看scott用戶自己擁有什么角色SQL>select*fromuser_role_privs;USERNAMEGRANTED_ROLEADMDEFOS_SCOTTCONNECTNOYESNOSCOTTRESOURCENOYESNO注："ADM〞表示這個用戶是否可以把該具有的角色賦予給其他的用戶另：沒有all_role_privs這個視圖另：select*fromdba_role_privs〔所有數(shù)據(jù)庫用戶具有哪些角色，這個視圖只有dba角色的權限才可以查詢〕7.3、查看scott用戶自己具有什么的權限SQL>select*fromsession_privs;7.4、查看scott用戶具有什么的系統(tǒng)權限呢SQL>select*fromuser_sys_privs;另：沒有all_sys_privs視圖另：select*fromdba_sys_privs;(所有數(shù)據(jù)庫用戶、角色所用于的系統(tǒng)權限)7.5、查看scott用戶中，都哪些用戶把對象授予給scott用戶呢〔讀取其他用戶對象的權限〕SQL>select*fromuser_tab_privs;另：select*fromall_tab_privs;select*fromdba_tab_privs;7.6、查看scott用戶中擁有的resource角色都具有什么權限呢SQL>select*fromrole_sys_privswhererole='RESOURCE';ROLEPRIVILEGEADMRESOURCECREATESEQUENCENORESOURCECREATETRIGGERNORESOURCECREATECLUSTERNORESOURCECREATEPROCEDURENORESOURCECREATETYPENORESOURCECREATEOPERATORNORESOURCECREATETABLENORESOURCECREATEINDE*TYPENO已選擇8行。7.7、scott用戶自己擁有多少的表SQL>select*fromuser_tables;另：select*fromall_tables;其他用戶所擁有的表另：select*fromdba_tables；數(shù)據(jù)庫中所有用戶的表7.8、查看scott用戶已經使用多大的空間，允許使用的最大空間是多少SQL>selecttablespace_name,bytes,ma*_bytesfromuser_ts_quotas;另：select*fromdba_ts_quotas;(所有的數(shù)據(jù)庫用戶在每個表空間已使用的空間，最大空間)7.9、把自己的表賦予給其他用戶SQL>grantselectonemptomzl;查看都把哪些表什么權限賦予了其他用戶SQL>select*fromuser_tab_privs_made7.10、把表的*一列操作權限賦予給其他用戶SQL>grantupdate(job)onemptomzl;注：查看數(shù)據(jù)庫中所有的角色select*form.dba_roles;7.11、sys授予scott用戶dba角色SQL>conn/assysdba已連接。SQL>grantdbatoscott;授權成功。另：如果這樣SQL>grantdbatoscottwithadminoption;授權成功。scott用戶就可以把dba的權限授予給其他的用戶了。7.12sys回收scott用戶的dba角色SQL>revokedbafromscott;撤銷成功。八．Oracle用戶及作用介紹docs.oracle./cd/B28359_01/server.111/b28337/tdpsg_user_accounts.htmOracle官方文檔對Oracle的用戶分成了三類：(1)and\l"OLSAG038"OracleLabelSecurityAdministrator'sGuide.E*piredandlockedMDSYSTheOracleSpatialandOracleMultimediaLocatoradministratoraccount.See\l"SPATL010"OracleSpatialDeveloper'sGuide.E*piredandlockedMGMT_VIEWAnaccountusedbyOracleEnterpriseManagerDatabaseControl.OpenPasswordisrandomlygeneratedatinstallationordatabasecreationtime.Usersdonotneedtoknowthispassword.OLAPSYSTheaccountthatownstheOLAPCatalog(CWMLite).Thisaccounthasbeendeprecated,butisretainedforbackwardpatibility.E*piredandlockedOWBSYSTheaccountforadministratingtheOracleWarehouseBuilderrepository.AccessthisaccountduringtheinstallationprocesstodefinethebaselanguageoftherepositoryandtodefineWarehouseBuilderworkspacesandusers.Adatawarehouseisarelationalormultidimensionaldatabasethatisdesignedforqueryandanalysis.SeeOracleWarehouseBuilderInstallationandAdministrationGuide.E*piredandlockedORDPLUGINSTheOracleMultimediauser.Plug-inssuppliedbyOracleandthird-party,formatplug-insareinstalledinthisschema.OracleMultimediaenablesOracleDatabasetostore,manage,andretrieveimages,audio,video,DIformatmedicalimagesandotherobjects,orotherheterogeneousmediadataintegratedwithotherenterpriseinformation.See\l"IMURG2000"OracleMultimediaUser'sGuideandOracleMultimediaReference.E*piredandlockedORDSYSTheOracleMultimediaadministratoraccount.See\l"IMURG2000"OracleMultimediaUser'sGuide,OracleMultimediaReference,andOracleMultimediaDIDeveloper'sGuide.E*piredandlockedOUTLNTheaccountthatsupportsplanstability.Planstabilitypreventscertaindatabaseenvironmentchangesfromaffectingtheperformancecharacteristicsofapplicationsbypreservinge*ecutionplansinstoredoutlines.OUTLNactsasaroletocentrallymanagemetadataassociatedwithstoredoutlines.See\l"PFGRF007"OracleDatabasePerformanceTuningGuide.E*piredandlockedSI_INFORMTN_SCHEMATheaccountthatstorestheinformationviewsfortheSQL/MMStillImageStandard.See\l"IMURG2000"OracleMultimediaUser'sGuideandOracleMultimediaReference.E*piredandlockedSYSAnaccountusedtoperformdatabaseadministrationtasks.See\l"ADMQS12003"OracleDatabase2DayDBA.OpenPasswordiscreatedatinstallationordatabasecreationtime.SYSMANTheaccountusedtoperformOracleEnterpriseManagerdatabaseadministrationtasks.TheSYSandSYSTEMaccountscanalsoperformthesetasks.SeeOracleEnterpriseManagerGridControlInstallationandBasicConfiguration.OpenPasswordiscreatedatinstallationordatabasecreationtime.SYSTEMAdefaultgenericdatabaseadministratoraccountforOracledatabases.Forproductionsystems,OracleremendscreatingindividualdatabaseadministratoraccountsandnotusingthegenericSYSTEMaccountfordatabaseadministrationoperations.See\l"ADMQS12003"OracleDatabase2DayDBA.OpenPasswordiscreatedatinstallationordatabasecreationtime.TSMSYSAnaccountusedfortransparentsessionmigration(TSM).E*piredandlockedWK_TESTTheinstanceadministratorforthedefaultinstance,WK_INST.Afteryouunlockthisaccountandassignthisuserapassword,thenyoumustalsoupdatethecachedschemapasswordusingtheadministrationtoolEditInstancePage.UltraSearchprovidesuniformsearch-and-locationcapabilitiesovermultiplerepositories,suchasOracledatabases,otherODBCpliantdatabases,IMAPmailservers,HTMLdocumentsmanagedbyaWebserver,filesondisk,andmore.SeeOracleUltraSearchAdministrator'sGuide.E*piredandlockedWKSYSAnUltraSearchdatabasesuper-user.WKSYScangrantsuper-userprivilegestootherusers,suchasWK_TEST.AllOracleUltraSearchdatabaseobjectsareinstalledintheWKSYSschema.SeeOracleUltraSearchAdministrator'sGuide.E*piredandlockedWKPRO*YAnadministrativeaccountofOracle9iApplicationServerUltraSearch.SeeOracleUltraSearchAdministrator'sGuide.E*piredandlockedWMSYSTheaccountusedtostorethemetadatainformationforOracleWorkspaceManager.SeeOracleDatabaseWorkspaceManagerDeveloper'sGuide.E*piredandlocked*DBTheaccountusedforstoringOracle*MLDBdataandmetadata.Oracle*MLDBprovideshigh-performance*MLstorageandretrievalforOracleDatabasedata.SeeOracle*MLDBDeveloper'sGuide.E*piredandlocked8.2PredefinedNon-AdministrativeUserAccountsNon-administrativeuseraccountsonlyhavetheminimumprivilegesneededtoperformtheirjobs.TheirdefaulttablespaceisUSERS.Table3-2PredefinedOracleDatabaseNon-AdministrativeUserAccountsUserAccountDescriptionStatusAfterInstallationAPE*_PUBLIC_USERTheOracleDatabaseApplicationE*pressaccount.UsethisaccounttospecifytheOracleschemausedtoconnecttothedatabasethroughthedatabaseaccessdescriptor(DAD).OracleApplicationE*pressisarapid,WebapplicationdevelopmenttoolforOracleDatabase.See\l"HTMDB04004"OracleDatabaseApplicationE*pressUser'sGuide.E*piredandlockedDIPTheOracleDirectoryIntegrationandProvisioning(DIP)accountthatisinstalledwithOracleLabelSecurity.ThisprofileiscreatedautomaticallyaspartoftheinstallationprocessforOracleInternetDirectory-enabledOracleLabelSecurity.See\l"OLSAG026"OracleLabelSecurityAdministrator'sGuide.E*piredandlockedFLOWS_30000TheaccountthatownsmostofthedatabaseobjectscreatedduringtheinstallationofOracleDatabaseApplicationE*press.Theseobjectsincludetables,views,triggers,inde*es,packages,andsoon.SeeOracleDatabaseApplicationE*pressUser'sGuide.E*piredandlockedFLOWS_FILESTheaccountthatownsthedatabaseobjectscreatedduringtheinstallationofOracleDatabaseApplicationE*pressrelatedtomodplsqldocumentconveyance,fore*ample,fileuploadsanddownloads.Theseobjectsincludetables,views,triggers,inde*es,packages,andsoon.SeeOracleDatabaseApplicationE*pressUser'sGuide.E*piredandlockedMDDATATheschemausedbyOracleSpatialforstoringGeocoderandrouterdata.OracleSpatialprovidesaSQLschemaandfunctionsthatenableyoutostore,retrieve,update,andquerycollectionsofspatialfeaturesinanOracledatabase.See\l"SPATL010"OracleSpatialDeveloper'sGuide.E*piredandlockedORACLE_OCMTheaccountusedwithOracleConfigurationManager.ThisfeatureenablesyoutoassociatetheconfigurationinformationforthecurrentOracleDatabaseinstancewithOracleMetaLink.Thenwhenyoulogaservicerequest,itisassociatedwiththedatabaseinstanceconfigurationinformation.SeeOracleDatabaseInstallationGuideforyourplatform.E*piredandlockedSPATIAL_CSW_ADMIN_USRTheCatalogServicesfortheWeb(CSW)account.ItisusedbyOracleSpatialCSWCacheManagertoloadallrecord-typemetadataandrecordinstancesfromthedatabaseintothemainmemoryfortherecordtypesthatarecached.SeeOracleSpatialDeveloper'sGuide.E*piredandlockedSPATIAL_WFS_ADMIN_USRTheWebFeatureService(WFS)account.ItisusedbyOracleSpatialWFSCacheManagertoloadallfeaturetypemeta