ORACLE数据库用户与权限管理

一、概述Oracle数据库是当前企业中常用的数据库管理系统之一，而数据库管理人员在企业中扮演着至关重要的角色，他们负责数据库的管理与维护，包括权限设置与分配。

本文将探讨Oracle数据库管理人员权限设置及分配表的相关内容。

二、数据库管理员的权限1. 数据库管理员（DBA）是Oracle数据库中最高权限的用户，具有对数据库进行全面控制的特权。

他们可以创建、修改、删除数据库对象，分配SQL权限，管理数据库用户和角色等。

2. DBA用户的权限通常由系统管理员在安装数据库时创建，或是通过GRANT命令授予。

3. DBA用户可以通过GRANT和REVOKE命令控制其他用户的权限，以及管理数据库对象的安全性。

三、数据库操作员的权限1. 数据库操作员（DBO）是在数据库中具有一定权限的用户，通常负责对数据库进行日常操作。

2. DBO用户可以执行SELECT、INSERT、UPDATE、DELETE等操作，并且可以创建临时表和视图。

3. DBO用户的权限通常由DBA用户通过GRANT命令分配，可以根据需要灵活控制其权限范围。

四、权限设置的最佳实践1. 了解业务需求：在设置数据库用户的权限之前，需要充分了解企业的业务需求，确保每个用户都能够在权限范围内完成工作。

2. 分配最小权限原则：根据最小权限原则，应该仅分配用户所需的最低权限，以降低数据泄露和操作错误的风险。

3. 定期审计权限：定期对数据库用户的权限进行审计，及时发现和修复不合理的权限设置，保障数据库的安全性。

五、权限分配表的编制数据库管理人员需要编制一份权限分配表，清晰地记录每个用户的权限范围，确保权限设置的合理性与一致性。

权限分配表通常包括以下内容：1. 用户名称：列出数据库中所有的用户名称。

2. 权限说明：对用户的权限进行详细说明，包括SELECT、INSERT、UPDATE、DELETE等操作的权限范围。

3. 是否受限：记录是否对用户的权限进行了限制，比如是否禁止用户执行DROP TABLE等危险操作。

oracle赋dba权限如何给Oracle数据库用户赋予DBA权限Oracle数据库的DBA（Database Administrator）权限是指最高级别的数据库管理权限，具有该权限的用户可以对数据库进行全面的管理和控制。

在某些情况下，给予用户DBA权限是必要的，例如需要进行数据库维护、性能优化或者进行一些故障排除等任务。

下面将详细介绍如何给Oracle数据库用户赋予DBA权限的步骤。

1. 连接到Oracle数据库首先，使用管理员账号连接到Oracle数据库。

这个管理员账号通常是sys 或system用户，拥有sysdba权限。

连接到Oracle数据库的命令可以使用SQL*Plus工具或者命令行界面。

例如，在Windows系统上可以使用以下命令连接到数据库：sqlplus / as sysdba2. 创建新的数据库用户接下来，需要创建一个新的数据库用户来赋予DBA权限。

使用以下SQL 语句创建一个新用户，例如，创建一个名为new_user的用户：SQL> CREATE USER new_user IDENTIFIED BY password;在这里，new_user是新用户的用户名，password是新用户的密码。

3. 授权DBA权限接下来，使用以下SQL命令将DBA角色授予新用户：SQL> GRANT DBA TO new_user;这个命令将DBA角色授予新创建的用户，使其具有DBA权限。

4. 验证DBA权限为了验证新用户是否已成功获得DBA权限，可以先注销当前的数据库连接，然后使用新用户重新连接到数据库。

使用以下命令重新连接到数据库：sqlplus new_user/password as sysdba连接成功后，可以使用以下命令查询用户的权限：SQL> SELECT * FROM session_privs;这个查询将会显示新用户所具有的权限列表，其中应该包含DBA权限。

oracle⽤户管理,授权与回收权限⼀. ⽤户管理参数,0.删除⽤户: drop user ⽤户名 [cascade] 当我们删除⽤户时, 如改⽤户已创建过数据对象, 那么删除⽤户时必须加cascade参数, ⽤来同步删除 改⽤户的所有信息. 如还想使⽤该⽤户的数据, 则不可删除⽤户, 可以冻结该⽤户即可.1.创建⽤户⽅法⼀: create user ⽤户名 identified by 密码 ; # 创建⽤户, 但缺少必要的东西, 完整命令看下⾯. 创建的⽤户没有任何权限.ORA-01045: user QUZQ lacks CREATE SESSION privilege; logon denied 需要dba给新建的⽤户进⾏授权,如下: 基本语法: grant 权限/⾓⾊ to ⽤户 grand connect to ⽤户名 # 授权可以链接数据库 grand resource to ⽤户名 # 授权建表⽆空间⼤⼩的限制 grand dba to ⽤户名 # 设置⽤户为dba grand create session to ⽤命名 # create session权限即登陆数据库实列 使⽤revoke命令可回收权限或⾓⾊, 语法: revoke 权限/⾓⾊ from ⽤户 ⾓⾊就是权限的⼀个集合, ⾓⾊分为预先定义(即oracle定义的) 和⾃定义的2.创建⽤户⽅法⼆: sql > create user ⽤户名 identified by 密码 default tabspace users # 指定新建⽤户的表空间为users, users是oracle⾃带的⼀个表空间 temporary tablespace temp # 指定临时表空间为temp, temp空间也是oracle⾃带的 quota 3m on users; # ⽤来限制改⽤户创建的数据对象最⼤只能是3M3.oracle中⽤户的权限管理概念图如下:⼆. ⽤户⽅案 oracle会给每个⽤户创建个⽅案(⽅案可理解为⽤户的独⽴存储空间; 把oracle⽐喻成⼀个⼤房⼦, 那⽅案就相当于是⼤房⼦ 中隔出来的⼩房⼦, 每当添加个oracle⽤户时, 就会在⼤房⼦⾥隔出个⼩屋), 当然前提是该⽤户要创建数据对象, 不然是不会 被分配⽅案的. 每个⽤户的⽅案都是隔离的, 各个⽅案中的表名都可以相同; oracle给⽤户创建的⽅案名同⽤户名. 1. 现有两个⽤户, user1和user2, 如何实现user1来访问user2中的stu表呢? 正常情况这两⽤户是不能互相访问的. ⾸先使⽤user2登陆, 执⾏授权命令,如下: grant select [update | delete | insert | all ] on stu to user1 # 参数为all时, 表⽰增删改查 然后使⽤user1登陆, 执⾏相应命令, 语法如下: select * from user2.stu # select * from ⽅案名.表明 2. 有三个⽤户, user1和user2和user3, 如何把user1的stu表权限给user2,并由user2再把user1的stu表权限给user3呢 这⾥涉及两个命令: with admin option # 如果是⽀配系统权限, 则使⽤这个命令; ⽤于系统权限 with grant option # 得到权限的⽤户, 可继续分配权限, 即有⽀配所得权限的能⼒; ⽤于对象权限 grant all on user1.stu to user2 with grant option # 登陆user1前提下给user2⽀配stu表和crud该表的能⼒ grant all on user1.stu to user3 # 登陆user2把user1的stu表增删该查权限给user3, 但user3⽆再分配权限的能⼒三. ⽤户管理之限制登陆次数, 锁定账户时长 1. 创建profile限制集合, ⽤于配置限制的设置 create profile 集合名 limit failed_login_attempts 3 password_lock_time 2; limit failed_login_attempts 3 # 限制登陆次数为3 password_lock_time 2 # 3次失败后账户锁定2天 2. 把创建好的限制集合分配给⽤户user1 alter user user1 profile 集合名; 3. profile是⼝令限制.资源限制的命令集合, 当建⽴⽤户没有指定frofile选项, oracle将会产⽣个名为default的profile, 并将该default分配给⽤户.。

oracle19c之⽤户、权限、表空间 ⼀、⽤户相关操作 1、查询⽤户select * from dba_users; --查询全库所有的⽤户select * from all_users; --查询当前⽤户可看到的⽤户select * from user_users; --查询当前登录的⽤户 2、创建⽤户（创建者需要有dba权限，⽤户名必须以c##开头，默认的表空间是users，新⽤户没有任何权限。

）create user c##sl IDENTIFIED BY 123456; 3、删除⽤户drop user c##sl2 cascade; --删除⽤户不会删除其表空间 注意：⽆法删除⽤户C##SL3，报错“[Err] ORA-01940: ⽆法删除当前连接“的⽤户解决⽅法：select username,sid,serial#,paddr from v$session where username='C##SL3';alter system kill session '17,55857'; 4、修改密码alter user c##sl3 identified by 1234; ⼆、权限相关操作 a、系统权限：⽤户在系统层⾯的权限，如CREATE SESSION、SELECT ANY TABLE等不依赖于对象的权限 b、对象权限：⽤户关于某个具体对象的权限，如SELECT、UPDATE、INSERT等依赖于表、视图、存储过程的权限 c、⾓⾊：⼀组权限的集合 注意：PUBLIC⽤户具有的权限，其他⽤户都会有，即修改PUBLIC⽤户的权限，其他⽤户也会对应得改变权限 1、查看权限、⾓⾊select * from user_tab_privs; --当前⽤户具有的对象权限select * from dba_tab_privs WHERE grantee='C##SL' OR grantor='C##SL'; --全部⽤户具有的对象权限，查询C##SL⽤户的select * from user_sys_privs; --当前⽤户具有的系统权限select * from dba_sys_privs WHERE grantee='C##SL'; --全部⽤户具有的系统权限，查询C##SL⽤户的SELECT * FROM user_role_privs; --当前⽤户具有的⾓⾊SELECT * FROM dba_role_privs where grantee='C##SL'; --全部⽤户具有的⾓⾊，查询C##SL⽤户的 注意：上⾯每⼀对查询出的结果应该⼀样，因为全部⽤户中肯定也包含当前⽤户，普通⽤户没有查询全部⽤户⾓⾊、权限表的权限 2、常⽤权限、⾓⾊dba 管理员⾓⾊connect 连接数据库⾓⾊，能修改、删除表及数据，不能创建表resource 能创建表create session 连接数据库权限create table 建表权限unlimited tablespace 操作表空间权限select any table 查询任何表的权限select on c##test.book 查询c##test⽤户的book表的权限 说明： a、⼀般来说，新建的普通⽤户后授予connect和resource⾓⾊就好了、如果是管理员需要再授予dba⾓⾊。

为了规范数据库用户的操作，特制订如下规范：一、每个系统建立自己的数据库文件和索引文件，每个文件不允许超过2G，不支持自动扩展，系统根据自己的情况申请相应大小的数据文件；创建文件系统的命令为：（1）创建表空间Create tablespace coredb_data logging datafile'/home/oracle/oracle/product/10.2.0/oradata/orcl/coredb_data01.dbf'size 2G autoextend off（2）创建索引空间Create tablespace coredb_idx logging datafile'/home/oracle/oracle/product/10.2.0/oradata/orcl/coredb_idx01.dbf'size 1G autoextend off（3）增扩表空间alter tablespace coredb_idx add datafile'/home/oracle/oracle/product/10.2.0/oradata/orcl/coredb_idx02.dbf' size 2Gautoextend off（4）查看表空间select dbf.tablespace_name,dbf.totalspace "总量(M)",dbf.totalblocks as 总块数,dfs.freespace "剩余总量(M)",dfs.freeblocks "剩余块数",(dfs.freespace / dbf.totalspace) * 100 "空闲比例"from (select t.tablespace_name,sum(t.bytes) / 1024 / 1024 totalspace,sum(t.blocks) totalblocksfrom dba_data_files tgroup by t.tablespace_name) dbf,(select tt.tablespace_name,sum(tt.bytes) / 1024 / 1024 freespace,sum(tt.blocks) freeblocksfrom dba_free_space ttgroup by tt.tablespace_name) dfswhere trim(dbf.tablespace_name) = trim(dfs.tablespace_name)二、创建用户的命令使用ORACLE用户执行如下命令（无DBA权限）：sqlplus '/as sysdba' <<!drop user <user> cascade;create user <user> identified by <user> default tablespace coredb_data temporary tablespace temp;grant connect to <user>;grant resource to <user>;grant create session to <user>;grant create view to <user>;alter user <user> quota unlimited on coredb_idx;alter user <user> quota unlimited on coredb_data;!三、检查用户是否有DBA权限select * from sys.dba_role_privs where granted_role='DBA';GRANTEE GRANTED_ROLE ADM DEF------------------------------ ------------------------------ --- ---------------------- SYSTEM DBA YES YESGLSDB DBA YES YESSHENG DBA YES YESSYS DBA YES YES COREDB DBA YES YES四、去除DBA权限1）Sqlplus “/as sysdba”2）revoke dba from <user>;3）exit;五、用户的权限（1）查看用户权限；（2）增加用户权限；当系统报错：ORA-01031: 权限不足grant create any synonym to dhrep;//增加同义词权限（3）解除用户权限；五、异常情况的处理（1）ora-01045:user system lacks create session privilege; logon denied 解决办法：1）使用oracle 用户执行sqlplus “/as sysdba”2）grant create session,resource to <user>;3）exit;（2）ORA-1536：space quota exceeded for tablespace解决办法：1）使用oracle 用户执行sqlplus “/as sysdba”2）Grant unlimited tablespace to <user>;3）Exit;（3）ORA-01950: 对表空间'USERS' 无权限解决办法：1）使用oracle 用户执行sqlplus “/as sysdba”2）Conn <user>/<passwd>;3）select * from user_sys_privs;USERNAME PRIVILEGE ADM-----------------------------------------------------coredb CREATE SESSION NO4）grant connect,resource,create session,create view to glsdb_hn;5）select * from user_sys_privs;USERNAME PRIVILEGEADM------------------------ ---------------------------------------- ---coredb_HN CREATE VIEW NOcoredb_HN CREATE SESSION NOcoredb_HN UNLIMITED TABLESPACE NO 6）Exit;（4）没有DBA权限后，如果涉及跨db_user访问其他用户的，需要以下方法：1）创建存储过程将两个用户名作为参数传给存储过程：/*把用户（From_user）所有表的读写权限赋给用户（To_user）的存储过程为*/create or replace procedure grantUser(From_user in varchar2, To_user in varchar2) isretval number;scursor int;v_tablename VARCHAR2(60);sqlstr varchar2(200);cursor c_tablename is select table_name from dba_tables where owner=From_user; BEGINfor v_tablename in c_tablenameloopsqlstr := 'grant select,delete,update,insert on '|| From_user||'.'||v_tablename.table_name || ' to '||To_user;scursor := dbms_sql.open_cursor;dbms_sql.parse(scursor,sqlstr, dbms_sql.native);retval := dbms_sql.execute(scursor);dbms_sql.close_cursor(scursor);end loop;exceptionWHEN NO_DATA_FOUND THENDBMS_OUTPUT.PUT_LINE('你需要的数据不存在!');WHEN TOO_MANY_ROWS THENDBMS_OUTPUT.PUT_LINE('程序运行错误!请使用游标');WHEN OTHERS THENDBMS_OUTPUT.PUT_LINE('发生其它错误!');END grantUser;//*把用户（From_user）所有表的读写权限从用户（To_user）收回的存储过程为*/ create or replace procedure revokeUser(From_user in varchar2, To_user in varchar2) isretval number;scursor int;v_tablename VARCHAR2(60);sqlstr varchar2(200);cursor c_tablename is select table_name from dba_tables where owner=From_user; BEGINfor v_tablename in c_tablenameloopsqlstr := 'revoke select,delete,update,insert on '||From_user||'.'||v_tablename.table_name || ' from '||To_user;scursor := dbms_sql.open_cursor;dbms_sql.parse(scursor,sqlstr, dbms_sql.native);retval := dbms_sql.execute(scursor);dbms_sql.close_cursor(scursor);end loop;exceptionWHEN NO_DATA_FOUND THENDBMS_OUTPUT.PUT_LINE('你需要的数据不存在!');WHEN TOO_MANY_ROWS THENDBMS_OUTPUT.PUT_LINE('程序运行错误!请使用游标');WHEN OTHERS THENDBMS_OUTPUT.PUT_LINE('发生其它错误!');END revokeUser;2）执行存储过程（注意，存储过程的名称不能一样，否则会被替换）Execute grantUser / revokeUser;3）如果增加新的表，还需要充分执行同样的操作；。

在PLSQL中创建Oracle数据库Users用户并设置权限
1、首先在PLQL Developer 中打开数据库。

使用"sys" 用户，输入数据库名称，输入该数
据库”sys”用户的密码sysdba，在”Connect as”组合框中选中“SYSDBA”。

单击OK 按钮打开数据库。

2、创建”User”型用户“DXXFLD”。

找到“Users”文件夹，右键弹出菜单中，选中”New”，
弹出用户创建界面：
在其中输入要添加的用户名”DXXFLD”，并作其他设置如下：
户名连接到数据库。

然后通过“Quotas”选项卡设置用户权限：将“Tablespace”中选中“User”, 勾选“Unlimited”复选项(这个一定要选中啊，不然创建表的时候会提示没有表空间的访问权限
的)。

最后单击”Apply”按钮使各项设置起作用。

2、使用新创建的用户创建表。

在”Tables”文件夹上右键单击，选中弹出菜单中“New”选
项
在之后弹出属性页下，做如下设置：
然后再设置字段名等其他属性就和直接用“System”或“Sys”等表空间创建表一样了。

要说明的是使用自定义”Users”创建的表，其在PLSQL 中“Users“->”Tables”目录下才
可见。