sys用户具有“SYSDBA”或者“SYSOPER”权限,登陆em也只能用这两个身份,不能用normal。
--
最重要的区别,存储的数据的重要性不同
sys所有oracle的数据字典的基表和视图都存放在sys用户中,这些基表和视图对于oracle的运行是至关重要的,由数据库自己维护,任何用户都不能手动更改。sys用户拥有dba,sysdba,sysoper等角色或权限,是oracle权限最高的用户。
system用户用于存放次一级的内部数据,如oracle的一些特性或工具的管理信息。system用户拥有普通dba角色权限。
“SYSOPER”权限,即数据库操作员权限,权限包括:
打开数据库服务器 关闭数据库服务器
备份数据库 恢复数据库
日志归档 会话限制
“SYSDBA”权限,即数据库管理员权限,权限包括:
打开数据库服务器 关闭数据库服务器
备份数据库 恢复数据库
日志归档 会话限制
管理功能 创建数据库
sysdba拥有最高的系统权限
sysoper主要用来启动、关闭数据库,sysoper 登陆后用户是 public
sysdba登陆后是sys,而且只能是SYS登录sysdba.
- SQL>conn/assysdba
- 已连接。
- SQL>grantsysopertotest;
- 授权成功。
- SQL>conntest/testassysoper;
- 已连接。
- SQL>showuser
- USER为"PUBLIC"
- SQL>conntest/testassysdba
- 已连接。
- SQL>showuser
- USER为"SYS"
- SQL>
系统权限 | sysdba | sysoper |
区别 | Startup(启动数据库) | startup |
Shutdown(关闭数据库) | shutdown | |
alter database open/mount/backup | alter database open/mount/backup | |
改变字符集 | none | |
create database(创建数据库) | None不能创建数据库 | |
drop database(删除数据库) | none | |
create spfile | create spfile | |
alter database archivelog(归档日志) | alter database archivelog | |
alter database recover(恢复数据库) | 只能完全恢复,不能执行不完全恢复 | |
拥有restricted session(会话限制)权限 | 拥有restricted session权限 | |
可以让用户作为sys用户连接 | 可以进行一些基本的操作,但不能查看用户数据 | |
登录之后用户是sys | 登录之后用户是public |
system如果正常登录,它其实就是一个普通的dba用户,但是如果以as sysdba登录,其结果实际上它是作为sys用户登录的,这一点类似Linux里面的sudo的感觉,从登录信息里面我们可以看出来。因此在as sysdba连接数据库后,创建的对象实际上都是生成在sys中的。其他用户也是一样,如果 as sysdba登录,也是作为sys用户登录的,看以下实验:
- SQL>createuserstrongidentifiedbystrong;
- 用户已创建。
- SQL>connstrong/strong@magickassysdba;
- 已连接。
- SQL>showuser;
- USER为"SYS"
- SQL>createtabletest(aint);
- 表已创建。
- SQL>selectownerfromdba_tableswheretable_name='test';
- 未选定行//因为创建表时oracle自动转为大写,所以用小写查的时候是不存在的;
- SQL>selectownerfromdba_tableswheretable_name='TEST';
- OWNER
- ------------------------------
- SYS
在说明这一点之前我需要说一下oracle服务的创建过程
·创建实例
·启动实例
·创建数据库(system表空间是必须的)
启动过程
·实例启动
·装载数据库
·打开数据库
sysdba,是管理oracle实例的,它的存在不依赖于整个数据库完全启动,
只要实例启动了,它就已经存在,以sysdba身份登陆,装载数据库、打开数据库
只有数据库打开了,或者说整个数据库完全启动后,dba角色才有了存在的基础,dba只是个角色而已.
4.在查询用户角色表的时候,没有看到sysdba等角色,为什么?
- sys@WENCHAOD>selectrolefromdba_rolesorderbyrole
- 2;
- ROLE
- ------------------------------
- ADM_PARALLEL_EXECUTE_TASK
- APEX_ADMINISTRATOR_ROLE
- AQ_ADMINISTRATOR_ROLE
- AQ_USER_ROLE
- AUTHENTICATEDUSER
- CONNECT
- CSW_USR_ROLE
- CTXAPP
- CWM_USER
- DATAPUMP_EXP_FULL_DATABASE
- DATAPUMP_IMP_FULL_DATABASE
- DBA
- DBFS_ROLE
- DELETE_CATALOG_ROLE
- EJBCLIENT
- EXECUTE_CATALOG_ROLE
- EXP_FULL_DATABASE
- GATHER_SYSTEM_STATISTICS
- GLOBAL_AQ_USER_ROLE
- HS_ADMIN_EXECUTE_ROLE
- HS_ADMIN_ROLE
- HS_ADMIN_SELECT_ROLE
- IMP_FULL_DATABASE
- JAVADEBUGPRIV
- JAVAIDPRIV
- JAVASYSPRIV
- JAVAUSERPRIV
- JAVA_ADMIN
- JAVA_DEPLOY
- JMXSERVER
- LOGSTDBY_ADMINISTRATOR
- MGMT_USER
- OEM_ADVISOR
- OEM_MONITOR
- OLAPI_TRACE_USER
- OLAP_DBA
- OLAP_USER
- OLAP_XS_ADMIN
- ORDADMIN
- OWB$CLIENT
- OWB_DESIGNCENTER_VIEW
- OWB_USER
- RECOVERY_CATALOG_OWNER
- RESOURCE
- SCHEDULER_ADMIN
- SELECT_CATALOG_ROLE
- SPATIAL_CSW_ADMIN
- SPATIAL_WFS_ADMIN
- WFS_USR_ROLE
- WM_ADMIN_ROLE
- XDBADMIN
- XDB_SET_INVOKER
- XDB_WEBSERVICES
- XDB_WEBSERVICES_OVER_HTTP
- XDB_WEBSERVICES_WITH_PUBLIC
- 55rowsselected.
- sys@WENCHAOD>
dba是Oracle里的一种对象,Role 和User一样,是实实在在存在在Oracle里的物理对象,而sysdba是指的一种概念上的操作对象,在Oracle数据里并不存在。
所以说这两个概念是完全不同的。dba是一种role对应的是对Oracle实例里对象的操作权限的集合,而sysdba是概念上的role是一种登录认证时的身份标识而已。
- --grantdba和grantsysdba的差别
- --dba是正真的role,所以grant后在dba_role_privs里有记录,而revoke后就没有了
- SQL>grantdbatotestuser;
- SQL>select*fromdba_role_privswheregrantee=‘TESTUSER’;
- GRANTEEGRANTED_ROLEADMDEF
- ——————————————————————
- TESTUSERRESOURCENOYES
- TESTUSERCONNECTNOYES
- TESTUSERDBANOYES
- SQL>revokedbafromtestuser;
- SQL>select*fromdba_role_privswheregrantee=‘TESTUSER’;
- GRANTEEGRANTED_ROLEADMDEF
- ——————————————————————
- TESTUSERRESOURCENOYES
- TESTUSERCONNECTNOYES
- --对于sysdba是不会出现这个情况的,因为他不是正真的role
- SQL>grantsysdbatotestuser;
- SQL>select*fromdba_role_privswheregrantee=‘TESTUSER’;
- GRANTEEGRANTED_ROLEADMDEF
- ——————————————————————
- TESTUSERRESOURCENOYES
- TESTUSERCONNECTNOYES
那么这个是sysdba是这么记录的叻,
我在一个文章和帖子里对对sysdba的登录有过详细的叙述
对了,sysdba是登录时候需要的他是和remote_login_passwordfile关联的
我们可以查询v$pwfile_users;
如下:
SQL> select * from v$pwfile_users;
USERNAME SYSDB SYSOP
—————————— —– —–
SYS TRUE TRUE
SYSTEM TRUE FALSE
TESTUSER TRUE FALSE
当你grant sysdba后,在这里就多了一条
下面我们revoke一下,再来看
SQL> revoke sysdba from testuser;
SQL> select * from v$pwfile_users;
USERNAME SYSDB SYSOP
—————————— —– —–
SYS TRUE TRUE
SYSTEM TRUE FALSE
没有叻。
所以在这里dba和sysdba是根本不同概念了。
有关sysdba登录的解释可以查看帖子
http://topic.csdn.net/u/20090429/12/6d495d87-9f04-4828-ab2a-cb186ba8c5de.html
5.Oracle数据库登录一些命令及解释
进入sqlplus环境,nolog参数表示不登录:
sqlplus /nolog
以管理员模式登录:
sqlplus / as sysdba
启动数据库
startup;
停止数据库
shutdown immediate
远程连接数据库
sqlplus /nolog
conn sys/sys@ip:1521/orainstance as sysdba
也可以直接运行:
dbstart
#启动数据库的脚本
dbshut
#停止数据库的脚本
2、数据库监听:
启动监听服务:
lsnrctl start
停止监听服务:
lsnrctl stop
查看监听状态:
lsnrctl status
3、用户权限管理:
注:以下命令都需要DBA权限。
创建用户:
create user ittbank identified by 123456 ;
赋予用户的表空间权限:
alter user ittbank default tablespace ittbank;;
或者两条命令合并为:
create user ittbank identified by 123456 default tablespace ittbank;
注:刚刚创建完的新用户是没有任何权限的,甚至连登录数据库的权限都没有。这时使用conn 用户名/密码 会提示没有权限。在新建一个用户之后还要对这个用户进行授权操作。当然是要使用有能力授权的用户,如sys、system。角色是指由系统权限集合。通常给某个用户授予权限时如果没有角色存在的话,那么需要一条一条的操作,角色的存在就是使得授权变得很方便。通常一个角色由多个系统权限组成。常用的角色有三个connect(7种权限)、dba、resource(在任何表空间建表)。
授予用户管理权限:
grant connect,resource,dba to ittbank ;
删除用户
drop user“name”cascade;
注:cascade参数是级联删除该用户所有对象,经常遇到如用户有对象而未加此参数则用户删不了的问题,所以习惯性的加此参数。“name”的引号有无都是一样的。
修改用户密码
password ittbank( 在用户已经连接的情况下 )或者
alter user ittbank identified by newpassword
注意:在给其他用户修改密码时,需要具有DBA的权限或拥有alter user的系统权限。
查看当前用户的角色
select * from user_role_privs;
select * from session_privs;
查看当前用户的系统权限和表级权限
select * from user_sys_privs;
select * from user_tab_privs;
查询用户表
select name from dba_users;
修改用户口令
alter user "name" identified by "password";
显示当前用户
show user;
6.ORACLE用户权限管理笔记整理
select * from dba_users where username = 'XXXX';查询用户相关信息
select * from dba_roles; 查询系统所有角色
DBA_ROLE_PRIVS 查询某个用户具有的角色或者某个角色下的有哪些用户
select * from dba_role_privs wheregrantee ='SYS';
select * fromdba_role_privs where granted_role ='RESOURCE';
DBA_SYS_PRIVS 查询某个用户具有的系统权限
select grantee,privilege from dba_sys_privs where grantee='XXXX';
ROLE_SYS_PRIVS显示授予角色的系统权限
select* from role_sys_privs where role = 'RESOURCE';查询RESOURCE角色相关的权限
ROLE_TAB_PRIVS显示授予角色的表权限
管理用户、角色和权限的DBA视图:
DBA_USERS 提供用户的信息
DBA_ROLES 显示数据库中所有角色
DBA_COL_PRIVS 显示列级对象授权
DBA_ROLE_PRIVS 显示用户及其角色
DBA_SYS_PRIVS 显示被授予系统权限的用户
DBA_TAB_PRIVS 显示用户及他们在表上的权限
ROLE_ROLE_PRIVS 显示授予角色的角色
ROLE_SYS_PRIVS 显示授予角色的系统权限
ROLE_TAB_PRIVS 显示授予角色的表权限
SESSION_PRIVS 显示允许用户使用的权限
SESSION_ROLES 显示当前允许用户使用的角色
select * from session_privs;查询用户本身拥有的权限
select * from user_role_privs;查询用户本身拥有的角色
select * from dba_sys_privs where grantee='CONNECT'; 查询角色所拥有的权限
select * from role_sys_privs where role='CONNECT';查询角色所拥有的权限
7.权限讲解
(
首先我应该分清权限和角色,大致讲讲
权限
oracle提供两种权限(系统权限sys privileges和对象(实体)权限object privileges)角色:是具有名称的一组系统权限和对象权限的集合
)
系统权限:系统规定用户使用数据库的权限。(系统权限是对用户而言)。
实体权限:某种权限用户对其它用户的表或视图的存取权限。(是针对表或视图而言的)。
二、系统权限管理:
1、系统权限分类:
DBA:拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构。
RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构。
CONNECT:拥有Connect权限的用户只可以登录Oracle,不可以创建实体,不可以创建数据库结构。
对于普通用户:授予connect, resource权限。
对于DBA管理用户:授予connect,resource, dba权限。
2、系统权限授权命令:
[系统权限只能由DBA用户授出:sys, system(最开始只能是这两个用户)]
授权命令:SQL> grant connect, resource, dba to用户名1 [,用户名2]...;
[普通用户通过授权可以具有与system相同的用户权限,但永远不能达到与sys用户相同的权限,system用户的权限也可以被回收。]
例:
SQL> connect system/manager
SQL> Create user user50 identified by user50;
SQL> grant connect, resource to user50;
查询用户拥有哪里权限:
SQL> select * from dba_role_privs;
SQL> select * from dba_sys_privs;
SQL> select * from role_sys_privs;
删除用户:SQL> drop user用户名cascade; //加上cascade则将用户连同其创建的东西全部删除
3、系统权限传递:
增加WITH ADMIN OPTION选项,则得到的权限可以传递。
SQL> grant connect, resorce to qwith admin option; //可以传递所获权限。
4、系统权限回收:系统权限只能由DBA用户回收
命令:SQL> Revoke connect, resource from user50;
说明:
1)如果使用WITH ADMIN OPTION为某个用户授予系统权限,那么对于被这个用户授予相同权限的所有用户来说,取消该用户的系统权限并不会级联取消这些用户的相同权限。
2)系统权限无级联,即A授予B权限,B授予C权限,如果A收回B的权限,C的权限不受影响;系统权限可以跨用户回收,即A可以直接收回C用户的权限。
三、实体权限管理
1、实体权限分类:select, update, insert, alter, index, delete, all //all包括所有权限
execute //执行存储过程权限
user01:
SQL> grant select, update, insert on product to user02;
SQL> grant all on product to user02;
user02:
SQL> select * from user01.product;
//此时user02查user_tables,不包括user01.product这个表,但如果查all_tables则可以查到,因为他可以访问。
2.将表的操作权限授予全体用户:
SQL> grant all on product to public; // public表示是所有的用户,这里的all权限不包括drop。
[实体权限数据字典]:
SQL> select owner, table_name from all_tables; //用户可以查询的表
SQL> select table_name from user_tables; //用户创建的表
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; //获权可以存取的表(被授权的)
SQL> select grantee, owner, table_name, privilege from user_tab_privs; //授出权限的表(授出的权限)
3. DBA用户可以操作全体用户的任意基表(无需授权,包括删除):
DBA用户:
SQL> Create table stud02.product(
id number(10),
name varchar2(20));
SQL> drop table stud02.emp;
SQL> create table stud02.employee
as
select * from scott.emp;
4.实体权限传递(with grant option):
user01:
SQL> grant select, update on product to user02 with grant option; // user02得到权限,并可以传递。
5.实体权限回收:
user01:
SQL>Revoke select, update on product from user02; //传递的权限将全部丢失。
说明
1)如果取消某个用户的对象权限,那么对于这个用户使用WITH GRANT OPTION授予权限的用户来说,同样还会取消这些用户的相同权限,也就是说取消授权时级联的。
总结:select * from dba_sys_privs;
select * from session_privs;
select * from user_sys_privs;
--查看用户对象权限
select * from dba_tab_privs;
select * from all_tab_privs;
select * from user_tab_privs;
SQL> create profile student limit // student为资源文件名
FAILED_LOGIN_ATTEMPTS 3 //指定锁定用户的登录失败次数
PASSWORD_LOCK_TIME 5 //指定用户被锁定天数
PASSWORD_LIFE_TIME 30 //指定口令可用天数
二、创建用户
SQL> Create User username
Identified by password
Default Tablespace tablespace
Temporary Tablespace tablespace
Profile profile
Quota integer/unlimited on tablespace;
例:
SQL> Create user acc01
identified by acc01 //如果密码是数字,请用双引号括起来
default tablespace account
temporary tablespace temp
profile default
quota 50m on account;
SQL> grant connect, resource to acc01;
[*]查询用户缺省表空间、临时表空间
SQL> select username, default_tablespace, temporary_tablespace from dba_users;
[*]查询系统资源文件名:
SQL> select * from dba_profiles;
资源文件类似表,一旦创建就会保存在数据库中。
SQL> select username, profile, default_tablespace, temporary_tablespace from dba_users;
SQL> create profile common limit
failed_login_attempts 5
idle_time 5;
--指定用户资源文件给用户
SQL> Alter user acc01 profile common;
三、修改用户:
SQL> Alter User用户名
Identified口令
Default Tablespace tablespace
Temporary Tablespace tablespace
Profile profile
Quota integer/unlimited on tablespace;
1、修改口令字:
SQL>Alter user acc01 identified by "12345";
2、修改用户缺省表空间:
SQL> Alter user acc01 default tablespace users;
3、修改用户临时表空间
SQL> Alter user acc01 temporary tablespace temp_data;
4、强制用户修改口令字:
SQL> Alter user acc01 password expire;
5、将用户加锁
SQL> Alter user acc01 account lock; //加锁
SQL> Alter user acc01 account unlock; //解锁
四、删除用户
SQL>drop user用户名; //用户没有建任何实体
SQL> drop user用户名CASCADE; //将用户及其所建实体全部删除
*1.当前正连接的用户不得删除。
五、监视用户:
1、查询用户会话信息:
SQL> select username, sid, serial#, machine from v$session;
2、删除用户会话信息:
SQL> Alter system kill session 'sid, serial#';
3、查询用户SQL语句:
SQL> select user_name, sql_text from v$open_cursor;
1.授权
grant<privilege1,privilege2,....>to<user_name> [with admin|grant option];
如果需要让user_name同时拥有分配这些权限的权限可以添加:
With admin option:可以分配系统权限。
With grant option:可以分配对象权限。
2.授权撤销
revoke<privilege1,privilege2,...>from<user_name>;
9.Oracle角色管理
一、何为角色
角色。角色是一组权限的集合,将角色赋给一个用户,这个用户就拥有了这个角色中的所有权限。
二、系统预定义角色
预定义角色是在数据库安装后,系统自动创建的一些常用的角色。下介简单的介绍一下这些预定角色。角色所包含的权限可以用以下语句查询:
sql>select * from role_sys_privs where role='角色名';
1.CONNECT, RESOURCE, DBA
这些预定义角色主要是为了向后兼容。其主要是用于数据库管理。oracle建议用户自己设计数据库管理和安全的权限规划,而不要简单的使用这些预定角色。将来的版本中这些角色可能不会作为预定义角色。
2.DELETE_CATALOG_ROLE,EXECUTE_CATALOG_ROLE,SELECT_CATALOG_ROLE
这些角色主要用于访问数据字典视图和包。
3.EXP_FULL_DATABASE,IMP_FULL_DATABASE
这两个角色用于数据导入导出工具的使用。
4.AQ_USER_ROLE,AQ_ADMINISTRATOR_ROLE
AQ:Advanced Query。这两个角色用于oracle高级查询功能。
5.SNMPAGENT
用于oracle enterprise manager和Intelligent Agent
6.RECOVERY_CATALOG_OWNER
用于创建拥有恢复库的用户。关于恢复库的信息,参考oracle文档《Oracle9i User-Managed Backup and Recovery Guide》
7.HS_ADMIN_ROLE
A DBA using Oracle's heterogeneous services feature needs this role to access appropriate tables in the data dictionary.
三、管理角色
1.建一个角色
sql>create role role1;
2.授权给角色
sql>grant create any table,create procedure to role1;
3.授予角色给用户
sql>grant role1 to user1;
4.查看角色所包含的权限
sql>select * from role_sys_privs;
5.创建带有口令以角色(在生效带有口令的角色时必须提供口令)
sql>create role role1 identified by password1;
6.修改角色:是否需要口令
sql>alter role role1 not identified;
sql>alter role role1 identified by password1;
7.设置当前用户要生效的角色
(注:角色的生效是一个什么概念呢?假设用户a有b1,b2,b3三个角色,那么如果b1未生效,则b1所包含的权限对于a来讲是不拥有的,只有角色生效了,角色内的权限才作用于用户,最大可生效角色数由参数MAX_ENABLED_ROLES设定;在用户登录后,oracle将所有直接赋给用户的权限和用户默认角色中的权限赋给用户。)
sql>set role role1;//使role1生效
sql>set role role,role2;//使role1,role2生效
sql>set role role1 identified by password1;//使用带有口令的role1生效
sql>set role all;//使用该用户的所有角色生效
sql>set role none;//设置所有角色失效
sql>set role all except role1;//除role1外的该用户的所有其它角色生效。
sql>select * from SESSION_ROLES;//查看当前用户的生效的角色。
8.修改指定用户,设置其默认角色
sql>alter user user1 default role role1;
sql>alter user user1 default role all except role1;
详见oracle参考文档
9.删除角色
sql>drop role role1;
角色删除后,原来拥用该角色的用户就不再拥有该角色了,相应的权限也就没有了。
说明:
1)无法使用WITH GRANT OPTION为角色授予对象权限
2)可以使用WITH ADMIN OPTION为角色授予系统权限,取消时不是级联
10.sqlplus / as sysdba方式登录
Oracle的用户信息一般来说是保存在数据字典里的,所以常规用户在Oracle数据库没有启动的时候是无法登陆的。但有两类用户例外,这就是具有sysdba或者sysoper权限的用户。Oracle sysdba或者sysoper用户的登陆有两种方式:一是通过OS认证,二是通过密码文件验证。
究竟使用哪一种验证方式以及能否成功登陆取决于三个方面的因素:
1. sqlnet.ora中SQLNET.AUTHENTICATION_SERVICES的设置
2. 参数文件中REMOTE_LOGIN_PASSWORDFILE的设置
3. 密码文件 PWD%sid%.ora
Oracle进行权限验证的大致顺序如下:
1. 根据SQLNET.AUTHENTICATION_SERVICES的值决定是进行os验证还是密码文件验证。
2. 如果是os验证,根据当前用户的用户组判断是否具有sysdba权限。如果os验证失败,则进行密码文件验证。
2. 如果是密码文件验证,REMOTE_LOGIN_PASSWORDFILE的值以及密码文件是否存在决定了验证是否成功。
sqlnet.oraSQLNET.AUTHENTICATION_SERVICES= (NTS) 基于操作系统验证;
SQLNET.AUTHENTICATION_SERVICES= (NONE) 基于Oracle密码文件验证
SQLNET.AUTHENTICATION_SERVICES= (NONE,NTS) 二者并存,注意是半角,否则不识别(windows)
数后,不管SQLNET.AUTHENTICATION_SERVICES设置为NONE还是NTS还是(NONE,NTS),都是
基于Oracle密码验证。
none:作用是不允许通过os系统用户登录数据库,需要提供用户名及密码;
all:作用是允许所有的登录方式;
nts:作用是windows的本地操作系统用户认证;
注:需要说明的是据试验该用户名和密码是指具有sysdba权限的用户;在linux上若用系统用户oracle登录数据库需要设定为all或是注销该字段;
注:linux上默认是没有该文件的,可以手动创建,参考$ORACLE_HOME/network/admin/samples/sqlnet.ora内容,并将之设定在$ORACLE_HOME/network/admin/目录下。
--查看具有sysdba或者sysoper权限的用户
select*fromv$pwfile_users;
- SQL>showparametersremote_login_passwordfile;
- NAMETYPEVALUE
- -----------------------------------------------------------------------------
- remote_login_passwordfilestringEXCLUSIVE
- SQL>select*fromv$pwfile_users;
- USERNAMESYSDBSYSOPSYSAS
- ---------------------------------------------
- SYSTRUETRUEFALSE
- SQL>grantsysdbatohr
- 2;
- Grantsucceeded.
- SQL>select*fromv$pwfile_users;
- USERNAMESYSDBSYSOPSYSAS
- ---------------------------------------------
- SYSTRUETRUEFALSE
- HRTRUEFALSEFALSE
- SQL>
密码文件的重建
有些朋友经常使用connect / as sysdba登录,但不知道为什么没有提供用户名和密码就得到了sysdba的权限。还认为这样是不是不安全呢?
Oracle在常见的多用户操作系统上都可以进行OS认证方式来登录。例如solaris,windows等等。
下面以常见的windows操作系统来说明看一下这个操作系统认证方式登录的原理。如果你的机器可以使用connect / as sysdba获取sysdba的权限,那么下面的每一个过程你的机器上都会得到验证,如果不能,按照下面的操作更改后,你也能以这种方式登录。
- 在命令行下敲入compmgmt.msc 进入计算机管理
- 选择本地用户和组—>组
- 看是不是有一个组的名字叫做ORA_DBA
- 双击改组可以看到里面是不是有administrator用户
- 想一想你是不是以administrator用户登录的呢?
- 再进入Oracle安装目录(即$ORACLE_HOME 一般是D:"oracle)"ora92"network"admin 找到sqlnet.ora文件看看里面的是不是有SQLNET.AUTHENTICATION_SERVICES= (NTS)
- 如果这些都对的话,你就能已操作系统认证的方式(connect / as sysdba)来登录Oracle
接下来的问题是,如果你的数据很重要,出于安全考虑,希望禁止这种操作系统认证的方式。那么该怎么做呢?
很简单,找到在刚才的第6步骤中的sqlnet.ora文件,将SQLNET.AUTHENTICATION_SERVICES= (NTS)改为SQLNET.AUTHENTICATION_SERVICES=none即可。你再试一下看看会不会得到到如下结果:
ERROR:
ORA-01031: insufficient privileges
警告: 您不再连接到 ORACLE。
如果你的机器不能以系统认证的方式登录,检查以上几个步骤,你总可以找到原因的。
操作系统认证,不需要数据库服务器启动listener,也不需要数据库服务器处于可用状态。比如我们想要启动数据库就可以用这种方式进入
sqlplus,然后通过startup命令来启动。
2. sqlplus username/password
连接本机数据库,不需要数据库服务器的listener进程,但是由于需要用户名密码的认证,因此需要数据库服务器处于可用状态才行。
3. sqlplususernaem/password@orcl
通过网络连接,这是需要数据库服务器的listener处于监听状态。此时建立一个连接的大致步骤如下
a. 查询sqlnet.ora,看看名称的解析方式,默认是TNSNAME
b. 查询tnsnames.ora文件,从里边找orcl的记录,并且找到数据库服务器的主机名或者IP,端口和service_name
c. 如果服务器listener进程没有问题的话,建立与listener进程的连接。
d. 根据不同的服务器模式如专用服务器模式或者共享服务器模式,listener采取接下去的动作。默认是专用服务器模式,没有问题的话客户端
就连接上了数据库的server process。
e. 这时连接已经建立,可以操作数据库了。
整理自:
http://blog.csdn.net/wanghai__/article/details/4791879
http://logicgate.iteye.com/blog/335179
系统权限 | sysdba | sysoper |
区别 | Startup(启动数据库) | startup |
Shutdown(关闭数据库) | shutdown | |
alter database open/mount/backup | alter database open/mount/backup | |
改变字符集 | none | |
create database(创建数据库) | None不能创建数据库 | |
drop database(删除数据库) | none | |
create spfile | create spfile | |
alter database archivelog(归档日志) | alter database archivelog | |
alter database recover(恢复数据库) | 只能完全恢复,不能执行不完全恢复 | |
拥有restricted session(会话限制)权限 | 拥有restricted session权限 | |
可以让用户作为sys用户连接 | 可以进行一些基本的操作,但不能查看用户数据 | |
登录之后用户是sys | 登录之后用户是public |