Предопределенные Административные Учетные записи
Учетная запись
SYS
:Предоставляется роль DBA, так же как несколько других ролей.
Имеет все привилегии с
ADMIN OPTION
Требуется для запуска, завершения работы и некоторых команд обслуживания
Владеет словарем данных и Автоматическим Репозитарием Рабочей нагрузки (AWR)
Учетной записи
SYSTEM
предоставлены ролиDBA
,MGMT_USER
иAQ_ADMINISTRATOR_ROLE
.Учетной записи
DBSNMP
предоставлена рольOEM_MONITOR
.Учетной записи
SYSMAN
предоставлены ролиMGMT_USER
,RESOURCE
иSELECT_CATALOG_ROLE
.Эти учетные записи не используются для стандартных операций.
У учетных записей SYS и SYSTEM есть роль администратора базы данных (DBA), предоставленная им по умолчанию. Кроме того, учетная запись SYS имеет все привилегии с ADMIN OPTION и владеет словарем данных. Чтобы подключиться из под учетной записи SYS, следует использовать предложение AS SYSDBA для экземпляра базы данных и AS SYSASM для экземпляра Автоматического Управления Хранением (ASM). Любой пользователь, которому предоставлено привилегия SYSDBA, может подключиться под учетной записью SYS, используя предложение AS SYSDBA. Только "привилегированным" пользователям, которым предоставлены привилегии SYSDBA, SYSOPER или SYSASM, разрешено запускать и завершать работу экземпляров. У учетной записи SYSTEM нет привилегии SYSDBA. SYSTEM также имеет роли AQ_ADMINISTRATOR_ROLE и MGMT_USER. Учетные записи SYS и SYSTEM являются обязательными учетными записями в базе данных. Они не могут быть удалены.
Учетная запись DBSNMP используется агентом управления Enterprise Manager, чтобы контролировать и управлять базой данных. Учетная запись SYSMAN используется, чтобы выполнять задачи администрирования Oracle Enterprise Manager. Ни у DBSNMP, ни у SYSMAN нет привилегии SYSDBA.
Совет из передовой практики: Применяя принцип наименьшего количества привилегий, эти учетные записи не используются для стандартных операций. Пользователи, которые нуждаются в привилегиях DBA, имеют отдельные учетные записи с предоставленными им необходимыми привилегиими. Например, у Джима есть учетная запись с небольшим набором привилегий, названная jim, и привилегированная учетная запись jim_dba. Этот метод позволяет применять принцип наименьшего количества привилегий, избавляя от необходимости совместного использования учетной записи, и позволяет контролировать отдельные действия.