Oracle用户及权限管理Question本章目标主要内容Oracle认证方法Oracle认证方法操作系统身份认证Oracle数据库身份认证数据库管理员认证主要内容用户管理预定义用户Sys是自动创建的管理账户，并被授予dba角色，因此有该角色的相应权限。数据字典的基础表和视图都是存储在sys方案中，为了维护数据字典的完整性，在sys方案中的表只能由数据库来操作，任何人不能在sys方案中创建任何表。因为sys用户的权限比较大，所以应该确保绝大多数用户不能用sys账户连接数据库。 System账户一般用户创建显示管理信息的表和视图，或被oracle数据库选项和工具使用的内部表和视图。不要在system方案中存储并不用于数据管理的表。创建用户例如：创建新用户，用户名和密码分别为itsoft和itsoft，默认表空间users，临时对象默认表空间为temp。修改用户密码使用alteruser语句修改口令 例如：sys用户登录，（1）用alteruser修改itsoft用户的密码，（2）用password命令修改当前用户的密码。如图3所示。锁定用户和解除用户锁定其中 Lock表示锁定用户。 Unlock表示解除锁定用户。例如：以sys用户登录，对ifsoft用户进行锁定和解除锁定操作。修改用户的默认表空间查看用户信息删除用户OEM中管理用户主要内容权限管理系统权限为用户授予系统权限查看用户的系统权限收回授予的系统权限回收系统权限不会级联对象权限授予对象权限授予对象权限查看撤销对象权限主要内容角色管理创建角色为角色和用户授予权限查看角色信息撤销角色权限删除角色Questions6、系统权限 SQL>Grantcreatesession,createtabletomyuser0; SQL>connmyuser0/abc; SQL>grantcreatetabletomyuser1; SQL>connsys/sysassysdba; SQL>revokecreatetablefrommyuser0;7、对象权限 SQL>Grantselect,deletetomyuser0 withgrantoption; SQL>connmyuser0/abc; SQL>grantdeleteonscott.depttomyuser1; SQL>connsys/sysassysdba; SQL>revokedeleteonscott.deptfrommyuser0;用户的角色管理在前面例子中，如果在将myrole1角色授予myuser1用户时带withadminoption选项，则myuser1用户可将获得的myrole1角色再授予myuser2用户。然而能否将myrole1角色中的系统权限、对象权限再单独授予myuser2用户，仍需要看在给myrole1角色授予这些权限时是否带有withadminoption选项（因为在授予对象权限时不能带withgrantoption选项，所以对于对象权限没有此问题）。可授予的权限回收用户的角色更改用户的默认角色更改默认角色一般都是有dba完成，如果其他用户要更改用户的默认角色，则要求该用户必须具有alteruser系统权限。启用与禁用角色概要文件概要文件(profile)默认概要文件初始时对资源没有做任何限制，参数值都是unlimited。数据库管理员可以修改这些参数值，以便默认地将这些参数值应用到使用默认概要文件的所有用户。 概要文件将口令资源管理、内核资源管理的各个方面分门别类地用不同的参数来表示，用这些参数的值来表示对相应的资源限制。 将一个概要文件分配给一个用户，就可以限定该用户对各种资源的使用。在用户所使用的资源超过限制之前，不会发生任何动作，所以概要文件首先起到的是防范作用。概要文件不是一个物理的操作系统中的文件，而是sys用户的几个表。 当安装、创建数据库之后就会运行sql.bsq脚本创建这个几个表：profile表，profname表，resource_map表和resource_cost表等。可以在%oracle_home%\rdbms\admin目录下找到该脚本。创建概要文件登录尝试4次，被锁口令30天后自动解除。更改概要文件SQL>alterprofilemyprofile1limit failed_login_attempts3;分配概要文件删除概要文件使用概要文件管理口令口令有效期password_life_timepassword_grace_time可以限制普通用户定期修改口令。使用概要文件管理内核资源查看概要文件信息WebOEM概要文件管理本章内容小结