【必看】Oracle用户、权限、角色管理
发布日期:2019-07-24 16:30:23点击次数:次
一、权限分类
系统权限:系统规定用户使用数据库的权限。(系统权限是对用户而言)。
实体权限:某种权限用户对其它用户的表或视图的存取权限。(是针对表或视图而言的)。
二、系统权限管理
1、系统权限分类:
DBA:拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构。
RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构。
CONNECT:拥有Connect权限的用户只可以登录Oracle,不可以创建实体,不可以创建数据库结构。
对于普通用户:授予connect,resource权限。
对于DBA管理用户:授予connect,resource,dba权限。
2、系统权限授权命令:
[系统权限只能由DBA用户授出:sys,system(最开始只能是这两个用户)]
授权命令:SQL>grantconnect,resource,dbato用户名1[,用户名2]...;
[普通用户通过授权可以具有与system相同的用户权限,但永远不能达到与sys用户相同的权限,system用户的权限也可以被回收。]
例:
SQL>connectsystem/manager
SQL>Createuseruser50identifiedbyuser50;
SQL>grantconnect,resourcetouser50;
查询用户拥有哪里权限:
SQL>select*fromdba_role_privs;
SQL>select*fromdba_sys_privs;
SQL>select*fromrole_sys_privs;
删除用户:SQL>dropuser用户名cascade;//加上cascade则将用户连同其创建的东西全部删除
3、系统权限传递:
增加WITHADMINOPTION选项,则得到的权限可以传递。
SQL>grantconnect,resorcetouser50withadminoption;//可以传递所获权限。
4、系统权限回收:系统权限只能由DBA用户回收
命令:SQL>Revokeconnect,resourcefromuser50;
系统权限无级联,即A授予B权限,B授予C权限,如果A收回B的权限,C的权限不受影响;系统权限可以跨用户回收,即A可以直接收回C用户的权限。
三、实体权限管理
1、实体权限分类:select,update,insert,alter,index,delete,all//all包括所有权限
execute//执行存储过程权限
user01:
SQL>grantselect,update,insertonproducttouser02;
SQL>grantallonproducttouser02;
user02:
SQL>select*fromuser01.product;
//此时user02查user_tables,不包括user01.product这个表,但如果查all_tables则可以查到,因为他可以访问。
2.将表的操作权限授予全体用户:
SQL>grantallonproducttopublic;//public表示是所有的用户,这里的all权限不包括drop。
[实体权限数据字典]:
SQL>selectowner,table_namefromall_tables;//用户可以查询的表
SQL>selecttable_namefromuser_tables;//用户创建的表
SQL>selectgrantor,table_schema,table_name,privilegefromall_tab_privs;//获权可以存取的表(被授权的)
SQL>selectgrantee,owner,table_name,privilegefromuser_tab_privs;//授出权限的表(授出的权限)
3.DBA用户可以操作全体用户的任意基表(无需授权,包括删除):
DBA用户:
SQL>Createtablestud02.product(
idnumber(10),
namevarchar2(20));
SQL>droptablestud02.emp;
SQL>createtablestud02.employee
as
select*fromscott.emp;
4.实体权限传递(withgrantoption):
user01:
SQL>grantselect,updateonproducttouser02withgrantoption;//user02得到权限,并可以传递。
6.实体权限回收:
user01:
SQL>Revokeselect,updateonproductfromuser02;//传递的权限将全部丢失。
四、创建用户的Profile文件
SQL>createprofilestudentlimit//student为资源文件名
FAILED_LOGIN_ATTEMPTS3//指定锁定用户的登录失败次数
PASSWORD_LOCK_TIME5//指定用户被锁定天数
PASSWORD_LIFE_TIME30//指定口令可用天数
五、创建用户
SQL>CreateUserusername
Identifiedbypassword
DefaultTablespacetablespace
TemporaryTablespacetablespace
Profileprofile
Quotainteger/unlimitedontablespace;
例:
SQL>Createuseracc01
identifiedbyacc01//如果密码是数字,请用双引号括起来
defaulttablespaceaccount
temporarytablespacetemp
profiledefault
quota50monaccount;
SQL>grantconnect,resourcetoacc01;
[*]查询用户缺省表空间、临时表空间
SQL>selectusername,default_tablespace,temporary_tablespacefromdba_users;
[*]查询系统资源文件名:
SQL>select*fromdba_profiles;
资源文件类似表,一旦创建就会保存在数据库中。
SQL>selectusername,profile,default_tablespace,temporary_tablespacefromdba_users;
SQL>createprofilecommonlimit
failed_login_attempts5
idle_time5;
SQL>Alteruseracc01profilecommon;
六、修改用户
SQL>AlterUser用户名
Identified口令
DefaultTablespacetablespace
TemporaryTablespacetablespace
Profileprofile
Quotainteger/unlimitedontablespace;
1、修改口令字:
SQL>Alteruseracc01identifiedby"12345";
2、修改用户缺省表空间:
SQL>Alteruseracc01defaulttablespaceusers;
3、修改用户临时表空间
SQL>Alteruseracc01temporarytablespacetemp_data;
4、强制用户修改口令字:
SQL>Alteruseracc01passwordexpire;
5、将用户加锁
SQL>Alteruseracc01accountlock;//加锁
SQL>Alteruseracc01accountunlock;//解锁
四、删除用户
SQL>dropuser用户名;//用户没有建任何实体
SQL>dropuser用户名CASCADE;//将用户及其所建实体全部删除
*1.当前正连接的用户不得删除。
七、监视用户
1、查询用户会话信息:
SQL>selectusername,sid,serial#,machinefromv$session;
2、删除用户会话信息:
SQL>Altersystemkillsession'sid,serial#';
3、查询用户SQL语句:
SQL>selectuser_name,sql_textfromv$open_cursor;
SQL>ALTERSESSIONSET
NLS_LANGUAGE='SIMPLIFIEDCHINESE'
NLS_TERRITORY='CHINA'
NLS_CURRENCY='RMB'
NLS_ISO_CURRENCY='CHINA'
NLS_NUMERIC_CHARACTERS='.,'
NLS_CALENDAR='GREGORIAN'
NLS_DATE_FORMAT='yyyy-mm-dddy'
NLS_DATE_LANGUAGE='SIMPLIFIEDCHINESE'
NLS_SORT='BINARY'
TIME_ZONE='+08:00'
NLS_DUAL_CURRENCY='RMB'
NLS_TIME_FORMAT='HH.MI.SSXFFAM'
NLS_TIMESTAMP_FORMAT='DD-MON-RRHH.MI.SSXFFAM'
NLS_TIME_TZ_FORMAT='HH.MI.SSXFFAMTZH:TZM'
NLS_TIMESTAMP_TZ_FORMAT='DD-MON-RRHH.MI.SSXFFAMTZH:TZM'
八、Oracle权限管理
SQL>grantconnect,resource,dbatoacc01;
SQL>revokeconnect,resourcefromacc01;
二、西安ORACLE培训角色管理
SQL>CreateRole<role_name>
Identifiedbypassword/NotIdentified;
SQL>AlterRole<role_name>...
SQL>Grant<privs>to<role_name>;
SQL>Grant<role_name>to<user_name>
SQL>SetRole<role_name>
AllExcept<role_name2>/None