第4讲_Oracle用户管理

1、4.Oracle用户管理用户管理Page 2 4.1 Oracle数据库用户类型 4.2 Oracle数据库管理员 4.3 Oracle数据库用户管理的命令(权限和角色的管理)内容安排内容安排Page 34.1 Oracle数据库用户类型数据库用户类型 Oracle提供了多种用户类型，用于实现不同的管理职责。 数据库管理员：通常情况需要一组数据库管理员，甚至兼职安全官员； 网络管理员：可以管理Oracle的网络产品，例如Oracle Net Services等； 应用程序开发员：负责设计和实现数据库应用程序； 应用程序管理员：对指定的应用程序进行管理，每个应用程序都有各自的管理员； 数据库用户

2、：通过应用程序与数据库打交道。数据库管理员（DBA)网络管理员应用程序开发人员应用程序管理员数据库用户Page 44.2 数据库管理员数据库管理员（DBA）评估数据库服务器的硬件设施安装oracle软件规划数据库创建和打开数据库备份数据库注册系统用户具体实施数据库的设计备份具有完整功能的数据库协调数据库的性能 4.2.1 数据库管理员数据库管理员的职责的职责Page 54.2.1 数据库管理员的权限数据库管理员的权限数据库管理员需要管理权限才能执行基本的数据库操作，Oracle提供两种特殊的系统权限，即SYSDBA和SYSOPER。DBA角色是由每个Oracle数据库自动创建的，包括大多数的数

3、据库系统权限；但不包括SYSDBA和SYSOPER系统权限。当使用SYSDBA和SYSOPER权限连接到数据库时，用户会被连接到一个默认的方案，而不是与用户名相关联的那个方案。SYSDBA对应的方案是SYS，而SYSOPER对应的方案是PUBLIC。Page 64.1.2 默认的数据库管理员默认的数据库管理员 在Oracle数据库中任何对象都属于一个特定用户，或者说一个用户与同名的模式相关联。要连接到oracle数据库需要一个用户账户，根据需要的操作授予权限。 数据库管理员可拥有两种类型用户：数据库管理员的操作系统账号数据库管理员的用户名在创建一个Oracle数据库时，SYS用户和SYSTEM

4、用户将被默认创建并授予DBA角色。SYS用户 默认密码是CHANGE_ON_INSTALL 所有数据库数据字典中的基本表和视图都放在SYS的方案中，SYS方案中 的表只能由系统来维护。它们不被任何用户或系统管理员修改，且任何 用户不能再SYS方案中创建表。SYSTEM 默认密码是MANAGER SYSTEM用户用于创建显示管理信息的表或视图，以及被各种Oracle数据 库应用和工具使用的内部表或视图。Page 74.2 Oracle的用户管理的用户管理创建用户在oracle中创建一个新的用户用create user identified by 密码密码 语句，一般有DBA的权限才能使用。给用户

5、修改密码如果直接给自己修改密码，可用sqlpassword (用户名）如果给别人修改密码，需要DBA的权限，或是拥有alter user的系统权限。sqlalter user 用户名 identified by 新密码删除用户一般以DBA的身份去删除某个用户，如果用其他用户去删除某个用户，需要有drop user的权限drop user 用户名 cascade如果要删除的用户已经创建了表，需要带参数cascadePage 8Oracle的用户管理的用户管理用户管理的综合案例创建的新用户是没有任何权限的，甚至连登录数据库的权限都没有，需要为其指定相应的权限。为某个用户赋予权限使用命令grant，

6、回收权限使用命令revoke。举例a. 创建用户xiaoming，并使之登陆数据库 b.使xiaoming用户查询scott用户的emp表涉及权限、角色的概念。授权新用户数据库Page 9Oracle的用户管理的用户管理 希望xiaoming用户可以登录数据库 grant connect to xiaoming; 希望小明用户查询emp表 grant select on emp to xiaoming;希望小明用户修改emp表 grant update on emp to xiaoming;希望小明用户修改，删除，添加，查询emp表 grant all on emp to xiaoming;

7、1. xiaoming是否有表？2. xiaoming是否能创建表？3. 哪些用户可以赋这个权限？4. Oracle里可以有两张emp表吗？Page 10Oracle的用户管理的用户管理scott希望收回小明用户查询emp表的权限 revoke select on scott.emp from xiaoming;希望小明用户查询emp表，还希望把这种权限继续赋予 其他用户（权限维护） grant select on emp to xiaoming with grant option; grant create session to xiaoming with admin option;如果sc

8、ott把xiaoming对emp表的查询权限回收， 那么xiaohong会怎样？ 被回收。 对象权限系统权限Page 114.2.1 权限管理权限管理 权限是用户对一项功能的执行权力。Oracle权限分为系统权限系统权限和对象权限对象权限 系统权限：指是否被授权用户可以连接到数据库上，在数据库中可以进行哪些系统操作。 对象权限：指用户对具体的模式对象(schema)所拥有的权限。 与权限相关的表： dba_sys_privs(所有系统权限) user_sys_privs (用户拥有的系统权限) User_col_privs (用户拥有的对象权限) 举例： 系统权限例子：grant create

9、 table to user. 用户对象权限例子：grant select on table_name to schema_name;Page 12权限管理权限管理 几个常用的系统权限的赋予语句： grant create session to xiaoming; grant create table to xiaoming; grant unlimited tablespace to xiaoming; grant create session to public; 对象权限的赋予与撤销语句如下： grant select on mytable to xiaoming; grant all

10、on mytable to xiaoming; revoke select on mytable from xiaoming; revoke all on mytable from xiaoming; Oracle中除了能在表对象上赋予相应的权限，还能将权限控制到表的列上: grant update(name) on mytable to xiaoming; grant insert(id) on mytable to xiaoming; Page 134.2.2 Oracle的角色管理的角色管理 角色是一组权限的集合，将角色赋给一个用户，这个用户就拥有了这个角色中的所有权限。 创建角色cre

11、ate role myrole; 角色不论谁创建，所有人都可以将一些权限赋给该角色，只有该角色的创建用户才能将该角色赋予其他用户 权限赋予角色grant create session to myrole; 删除角色drop role myrole; 某些特殊的权限无法授予角色，只能授予用户Page 144.2.3 口令管理口令管理使用profile管理用户口令profile是口令限制，资源限制的命令集合，当建立数据库时，Oracle会自动建立名称为default的profile。当建立用户没有指定profile选项，那Oracle就会将default分配给用户。 例：指定tea这个用户最多只能

12、尝试3次登录，锁定时间为两天，怎么实现呢？a) 创建profile文件 create profile lock_account limit failed_login_attempts 3 password_lock_time 2; alter user tea profile lock_account; 关键字列表： create profile 配置文件名称 limit failed_login_attempts 尝试次数 password_lock_time 锁定天数 alter user scott profile 配置文件名称b) 给账户（用户）解锁 alter user xiaomi

13、ng account unlockPage 15口令管理口令管理终止口令为了让用户定期修改密码可使用终止口令来完成，同样也需要DBA身份操作。创建profile文件 create profile myprofile limit password_life_time 10 password_grace_time 2e) 给用户解锁 alert user xiaoming profile myprofilePage 163.2 Oracle的用户管理的用户管理口令历史如果希望用户在修改密码时，不能使用以前使用过的密码，可使用口令历史，这样oracle就会将口令修改的信息存放到数据字典中。遮阳挡用户

14、修改密码时，oracle就会对新旧密码进行比较，当发现新旧密码相同时，就提示用户重新输入密码 a) 创建profile文件 create profile password_history limit password_life_time 10 password_grace_time 2; password_reuse_time 10b) 分配给某个用户 alter user scott profile password_historyc) 删除profile 当不需要某个profile文件时，可以删除该文件 drop profile password_history cascade指定口令可重用时间