要执行数据库DBA的管理任务,你需要数据库的特定权限或者数据库运行服务器的操作系统的特定权限。需要严格控制数据库管理员账户的访问。
本节包含如下主题:
1、数据库管理员的操作系统账号(The Database Administrator's Operating System Account)
2、管理用户账户(Administrative User Accounts)
数据库管理员的操作系统账号
要执行数据库的许多管理职责,必须能够执行操作系统命令。根据运行Oracle数据库的操作系统,可能需要使用操作系统帐户或ID才能访问操作系统。如果是这样,你的操作系统帐户可能需要其他数据库用户不需要的操作系统权限或访问权限。(例如,执行Oracle数据库软件安装)。尽管您不需要将Oracle数据库文件存储在您的帐户中,但你应该可以访问它们。
管理用户帐户
安装Oracle数据库时会自动创建两个管理用户帐户:
- SYS
- SYSTEM
创建至少一个额外的管理用户,并授予该用户执行日常管理任务时使用的适当管理角色。不要将SYS和SYSTEM用于这些目的
在此版本的Oracle数据库和后续版本中,正在进行一些增强功能以确保默认数据库用户帐户的安全性。可以在Oracle Database Security Guide中找到此版本的安全清单。 Oracle建议阅读此清单并相应地配置您的数据库。
SYS
在创建Oracle数据库时,会自动创建用户SYS并授予DBA角色。数据库数据字典的所有基表和视图都存储在SYS模式中。这些基表和视图对于Oracle数据库的操作至关重要。为了维护数据字典的完整性,SYS模式中的表只能由数据库操纵。它们不应该由任何用户或数据库管理员修改,也不应该在用户SYS的模式中创建任何表。(但是,如有必要,您可以更改数据字典设置的存储参数。)
确保大多数数据库用户永远无法使用SYS帐户连接到Oracle数据库。
SYSTEM
在创建Oracle数据库时,用户SYSTEM也会自动创建并授予DBA角色。SYSTEM用户名用于创建显示管理信息的附加表和视图,以及各种Oracle数据库选项和工具使用的内部表和视图。切勿使用SYSTEM模式来存储非管理用户感兴趣的表。
DBA角色
每个Oracle数据库安装都会自动创建预定义的DBA角色。此角色包含大多数数据库系统特权。因此,只应将DBA角色授予实际的数据库管理员。
DBA角色不包括SYSDBA或SYSOPER系统特权。这些特殊的管理权限允许管理员执行基本的数据库管理任务,例如创建数据库和实例启动和关闭。
参考资料
https://docs.oracle.com/cd/E11882_01/server.112/e25494/dba.htm#ADMIN11040