第4讲_Oracle用户管理

4.Oracle用户管理Page24.1Oracle数据库用户类型4.2Oracle数据库管理员4.3Oracle数据库用户管理的命令(权限和角色的管理)资料提供由个人网站制作，转载注明内容安排Page34.1Oracle数据库用户类型Oracle提供了多种用户类型，用于实现不同的管理职责。数据库管理员：通常情况需要一组数据库管理员，甚至兼职安全官员；网络管理员：可以管理Oracle的网络产品，例如OracleNetServices等；应用程序开发员：负责设计和实现数据库应用程序；应用程序管理员：对指定的应用程序进行管理，每个应用程序都有各自的管理员；数据库用户：通过应用程序与数据库打交道。数据库管理员（DBA)网络管理员应用程序开发人员应用程序管理员数据库用户Page44.2数据库管理员（DBA）评估数据库服务器的硬件设施安装oracle软件规划数据库创建和打开数据库备份数据库注册系统用户具体实施数据库的设计备份具有完整功能的数据库协调数据库的性能4.2.1数据库管理员的职责Page54.2.1数据库管理员的权限数据库管理员需要管理权限才能执行基本的数据库操作，Oracle提供两种特殊的系统权限，即SYSDBA和SYSOPER。DBA角色是由每个Oracle数据库自动创建的，包括大多数的数据库系统权限；但不包括SYSDBA和SYSOPER系统权限。当使用SYSDBA和SYSOPER权限连接到数据库时，用户会被连接到一个默认的方案，而不是与用户名相关联的那个方案。SYSDBA对应的方案是SYS，而SYSOPER对应的方案是PUBLIC。Page64.1.2默认的数据库管理员在Oracle数据库中任何对象都属于一个特定用户，或者说一个用户与同名的模式相关联。要连接到oracle数据库需要一个用户账户，根据需要的操作授予权限。数据库管理员可拥有两种类型用户：数据库管理员的操作系统账号数据库管理员的用户名在创建一个Oracle数据库时，SYS用户和SYSTEM用户将被默认创建并授予DBA角色。SYS用户默认密码是CHANGE_ON_INSTALL所有数据库数据字典中的基本表和视图都放在SYS的方案中，SYS方案中的表只能由系统来维护。它们不被任何用户或系统管理员修改，且任何用户不能再SYS方案中创建表。SYSTEM默认密码是MANAGERSYSTEM用户用于创建显示管理信息的表或视图，以及被各种Oracle数据库应用和工具使用的内部表或视图。Page74.2Oracle的用户管理创建用户在oracle中创建一个新的用户用createuseridentifiedby密码语句，一般有DBA的权限才能使用。给用户修改密码如果直接给自己修改密码，可用sqlpassword(用户名）如果给别人修改密码，需要DBA的权限，或是拥有alteruser的系统权限。sqlalteruser用户名identifiedby新密码删除用户一般以DBA的身份去删除某个用户，如果用其他用户去删除某个用户，需要有dropuser的权限dropuser用户名[cascade]如果要删除的用户已经创建了表，需要带参数cascadePage8Oracle的用户管理用户管理的综合案例创建的新用户是没有任何权限的，甚至连登录数据库的权限都没有，需要为其指定相应的权限。为某个用户赋予权限使用命令grant，回收权限使用命令revoke。举例a.创建用户xiaoming，并使之登陆数据库b.使xiaoming用户查询scott用户的emp表涉及权限、角色的概念。授权新用户数据库Page9Oracle的用户管理•希望xiaoming用户可以登录数据库grantconnecttoxiaoming;•希望小明用户查询emp表grantselectonemptoxiaoming;•希望小明用户修改emp表grantupdateonemptoxiaoming;•希望小明用户修改，删除，添加，查询emp表grantallonemptoxiaoming;1.xiaoming是否有表？2.xiaoming是否能创建表？3.哪些用户可以赋这个权限？4.Oracle里可以有两张emp表吗？Page10Oracle的用户管理•scott希望收回小明用户查询emp表的权限revokeselectonscott.empfromxiaoming;•希望小明用户查询emp表，还希望把这种权限继续赋予其他用户（权限维护）grantselectonemptoxiaoming[withgrantoption];grantcreatesessiontoxiaoming[withadminoption];•如果scott把xiaoming对emp表的查询权限回收，那么xiaohong会怎样？被回收。对象权限系统权限Page114.2.1权限管理权限是用户对一项功能的执行权力。Oracle权限分为系统权限和对象权限系统权限：指是否被授权用户可以连接到数据库上，在数据库中可以进行哪些系统操作。对象权限：指用户对具体的模式对象(schema)所拥有的权限。与权限相关的表：–dba_sys_privs(所有系统权限)–user_sys_privs(用户拥有的系统权限)–User_col_privs(用户拥有的对象权限)举例：–系统权限例子：grantcreatetabletouser.–用户对象权限例子：grantselectontable_nametoschema_name;Page12权限管理几个常用的系统权限的赋予语句：grantcreatesessiontoxiaoming;grantcreatetabletoxiaoming;grantunlimitedtablespacetoxiaoming;grantcreatesessiontopublic;对象权限的赋予与撤销语句如下：grantselectonmytabletoxiaoming;grantallonmytabletoxiaoming;revokeselectonmytablefromxiaoming;revokeallonmytablefromxiaoming;Oracle中除了能在表对象上赋予相应的权限，还能将权限控制到表的列上:grantupdate(name)onmytabletoxiaoming;grantinsert(id)onmytabletoxiaoming;Page134.2.2Oracle的角色管理角色——是一组权限的集合，将角色赋给一个用户，这个用户就拥有了这个角色中的所有权限。创建角色createrolemyrole;角色不论谁创建，所有人都可以将一些权限赋给该角色，只有该角色的创建用户才能将该角色赋予其他用户权限赋予角色grantcreatesessiontomyrole;删除角色droprolemyrole;某些特殊的权限无法授予角色，只能授予用户Page144.2.3口令管理使用profile管理用户口令profile是口令限制，资源限制的命令集合，当建立数据库时，Oracle会自动建立名称为default的profile。当建立用户没有指定profile选项，那Oracle就会将default分配给用户。例：指定tea这个用户最多只能尝试3次登录，锁定时间为两天，怎么实现呢？a)创建profile文件createprofilelock_accountlimitfailed_login_attempts3password_lock_time2;alteruserteaprofilelock_account;关键字列表：createprofile配置文件名称limitfailed_login_attempts尝试次数password_lock_time锁定天数alteruserscottprofile配置文件名称b)给账户（用户）解锁alteruserxiaomingaccountunlockPage15口令管理终止口令为了让用户定期修改密码可使用终止口令来完成，同样也需要DBA身份操作。创建profile文件createprofilemyprofilelimitpassword_life_time10password_grace_time2e)给用户解锁alertuserxiaomingprofilemyprofilePage163.2Oracle的用户管理口令历史如果希望用户在修改密码时，不能使用以前使用过的密码，可使用口令历史，这样oracle就会将口令修改的信息存放到数据字典中。遮阳挡用户修改密码时，oracle就会对新旧密码进行比较，当发现新旧密码相同时，就提示用户重新输入密码a)创建profile文件createprofilepassword_historylimitpassword_life_time10password_grace_time2;password_reuse_time10b)分配给某个用户alteruserscottprofilepassword_historyc)删除profile当不需要某个profile文件时，可以删除该文件dropprofilepassword_history[cascade]指定口令可重用时间Page17实验内容(1)创建两个用户tea和cup，用sys用户将系统权限resource赋给tea，并且使tea将该权限继续授予cup。当sys回收tea的resource权限后，cup是否还有该权限呢？(2)创建一个角色myrole，密码为myrolepwd①用grant语句将角色myrole授予connect,resource和unlimitedtablespace权限。②将用户tea指定为角色myrole