【转】Oracle的System和Object权限 ---OCP--047--146

最新推荐文章于 2023-07-31 18:10:01 发布
最新推荐文章于 2023-07-31 18:10:01 发布
阅读量60 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库
原文链接:http://www.cnblogs.com/Peyton-for-2012/archive/2013/01/17/2864730.html
本文深入解析了Oracle数据库中的系统权限与对象权限,包括如何使用DDL命令控制权限,系统权限的分类与限制,以及如何授予与撤销权限。详细介绍了权限的层级关系与级联影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

System :允许用户执行特定的数据库操作或某类数据库操作,例如,创建表空间的权限就是一种系统权限。
Object :允许用户对特定对象(如表、视图、序列、过程、函数或程序包)执行特定的操作。
 
oracle100 多种不同的系统权限。
系统权限可分为以下几类:
1)允许执行系统范围操作的权限;如 CREATE SESSIONCREATE TABLESPACE
2)允许管理用户自己方案中的对象的权限;如 CREATE TABLE
3)允许管理任何方案中的对象的权限;如 CREATE ANY TABLE
可使用DDL 命令GRANT REVOKE  控制权限,这两个命令为用户或角色添加和撤消系统权限
 
系统权限举例

1
授予系统权限
使用 SQL  语句 GRANT  为用户授予系统权限。
被授予者可通过 ADMIN  选项进一步为其他用户授予系统权限。使用 ADMIN  选项授予系统权限时应小心。这样的权限通常只限于安全管理员使用,很少授予其他用户。
GRANT {system_privilege|role}
[, {system_privilege|role} ]...
TO {user|role|PUBLIC}
[, {user|role|PUBLIC} ]...
[WITH ADMIN OPTION]
其中:
system_privilege :指定要授予的系统权限
Role :指定要授予的角色名
PUBLIC :将系统权限授予所有用户
WITH ADMIN OPTION :允许被授予者进一步为其他用户或角色授予权限或角色
Grant any object privilege :见授予对象权限。
两个特殊角色:

2
只有数据库管理员可以使用管理员权限与数据库连接。以 SYSDBA  身份连接可以授予用户不受限制的权限,以便对数据库或数据库中的对象执行任何操作。
系统权限限制
Oracle9i  中的字典保护机制可防止未经授权的用户访问字典对象。
只有角色 SYSDBA SYSOPER  可以访问字典对象。允许访问其他方案中的对象的系统权限并不授予您对字典对象的访问权限。例如, SELECT ANY TABLE  权限允许访问其它方案中的视图和表,但不允许选择字典对象(基表、视图、程序包和同义词)。
如果  O7_DICTIONARY_ACCESSIBILITY 参数设置为 TRUE,  则允许访问 SYS  方案中的对象( Oracle7  行为)。如果该参数设置为 FALSE ,则允许访问其它方案中的对象的 SYSTEM  权限不允许访问字典方案中的对象。
例如,如果 O7_DICTIONARY_ACCESSIBILITY=FALSE ,则 SELECT ANY TABLE  语句将允许访问除 SYS  方案外的任何方案中的视图或表(例如,不能访问字典)。系统权限 EXECUTE ANY PROCEDURE  将允许访问除 SYS  方案外的任何其它方案中的过程。
撤消系统权限
可以使用 REVOKE SQL  语句撤消系统权限。使用 ADMIN OPTION  授予系统权限的用户可以撤消任何其他数据库用户的权限。撤消者不必是原先授予该权限的那个用户。
REVOKE {system_privilege|role}
[, {system_privilege|role} ]...
FROM {user|role|PUBLIC}
[, {user|role|PUBLIC} ]...
注:
-  REVOKE  命令只能撤消使用 GRANT  命令直接授予的权限(即不包括角色的权限)。
-   撤消系统权限可能对一些相关对象有影响。例如,如果将 SELECT ANY TABLE  授予某用户,而该用户已创建了使用其它方案中的表的过程或视图,则撤消该权限将使这些过程或视图无效。

3
情况:
1. DBA  使用 ADMIN OPTION  将系统权限 CREATE TABLE  授予 Jeff
2. Jeff  创建一个表。
3. Jeff  将系统权限 CREATE TABLE  授予 Emi
4. Emi  创建一个表。
5. DBA  撤消 Jeff CREATE TABLE  系统权限。
结果:
Jeff  的表依然存在,但是,无法创建新表。
Emi  的表依然存在,并且她仍然拥有 CREATE TABLE  系统权限。
Tips:

对象权限

图5
对象权限是一种对于特定的表、视图、序列、过程、函数或程序包执行特定操作的一种权限或权利。上表列出了各种对象的权限。需要注意的是适用于序列的权限只有 SELECT ALTER 。通过指定可更新列的子集可以对 UPDATEREFERENCES INSERT  权限加以限制。通过用列的子集创建视图并授予对于该视图的 SELECT  权限,则可对 SELECT  权限加以限制。对于同义词的授权会转换为对于该同义词所引用的基表的授权。
授予对象权限
GRANT { object_privilege [(column_list)]
[, object_privilege [(column_list)] ]...
|ALL [PRIVILEGES]}
ON [schema.]object
TO {user|role|PUBLIC}[, {user|role|PUBLIC} ]...
[WITH GRANT OPTION]
其中:
object_privilege :指定要授予的对象权限
column_list :指定表或视图列(只在授予 INSERTREFERENCES UPDATE  权限时才指定。)
ALL :将所有权限授予已被授予 WITH GRANT OPTION  的对象
ON object :标识将要被授予权限的对象
WITH GRANT OPTION :使被授予者能够将对象权限授予其他用户或角色
使用 GRANT  语句授予对象权限。
要授予权限,对象必须在自己的方案中(除非已被授予 Grant any object privilege 权限) ,或者已通过 GRANT OPTION  被授予权限。
缺省情况下,如果拥有某个对象,则自动获得对该对象的所有权限。
若有安全方面的考虑,则将您的对象权限授予其他用户时应谨慎。
WITH GRANT OPTION  clause
Specify  WITH GRANT OPTION  to enable the grantee to grant the object privileges to other users and roles. The user whose schema contains an object is automatically granted all associated object privileges with the  GRANT OPTION . This special privilege allows the grantee several expanded privileges:
- The grantee can grant the object privilege to any users in the database, with or without the  GRANT OPTION , or to any role in the database.
- If both of the following are true, the grantee can create views on the table and grant the corresponding privileges on the views to any user or role in the database:
-  The grantee receives object privileges for the table with the GRANT OPTION.
-  The grantee has the  CREATE VIEW  or  CREATE ANY VIEW  system privilege
撤消对象权限
REVOKE  语句用来撤消对象权限。要撤消对象权限,撤消者必须是将被撤消的对象权限的原始授予者。
使用下列命令撤消对象权限:
REVOKE { object_privilege
[, object_privilege ]...
| ALL [PRIVILEGES] }
ON [schema.]object
FROM {user|role|PUBLIC}
[, {user|role|PUBLIC} ]...
[CASCADE CONSTRAINTS]
其中:
object_privilege :指定将撤消的对象权限
ALL :撤消已授予用户的所有对象权限
ON :标识将撤消其对象权限的对象
FROM :标识将撤消其对象权限的用户或角色
CASCADE CONSTRAINTS :删除撤消使用 REFERENCES ALL  权限定义的任何引用完整性约束
限制:
授予者只能对其已经授予权限的用户撤消对象权限。

图6
情况:
通过 GRANT OPTION  授予 Jeff  对于 EMPLOYEES SELECT  对象权限。
? Jeff  将对于 EMPLOYEES SELECT  权限授予 Emi
之后,撤消 Jeff SELECT  权限。该撤消也对 Emi  产生级联影响。
Tips

 

 

7
获取信息:
DBA_SYS_PRIVS
SESSION_PRIVS
DBA_TAB_PRIVS
DBA_COL_PRIVS
 
 
 
 
 
 
 
 
 

转载于:https://www.cnblogs.com/Peyton-for-2012/archive/2013/01/17/2864730.html

Oracle OCP 19c 认证1Z0-083考试(第71-80题) - #宝,输了液
#真题在线#
06-18 1876
==本真题,100%有效, Choose the best answer You want to create a duplicate database DUP_DB from your production database PROD on the same host. The PROD database uses Automatic Storage Management (ASM) for storage. Regular backups are taken using RMAN connec.
Oracle OCP 19c 认证1Z0-083考试(100-110题) #7月最新
#真题在线#
06-26 2428
Examine this configuration: 1. CDB1 is a container database. 2. PDB1 and PDB2 are pluggable databases in CDB1. 3. PDB1 and PDB2 are OPEN in READ WRITE mode. You execute these commands successfully: Which two are true? (Choose two.) A. Uncomm...
我的Oracle 9i学习日志(22)-- 权限管理
weixin_34004576的博客
04-16 138
两种用户权限System:允许用户执行特定的数据库操作或某类数据库操作,例如,创建表空间的权限就是一种系统权限Object:限都允许用户对特定对象(如表、视图、序列、过程、函数或程序包)执行特定的操作。 • 有100 多种同的系统权限。 系统权限可分为以下几类: • 允许执行系统范围操作的权限;如CREATE SESSION,CREATE TABLESPA...
oracle表日志权限,Oracle数据库日志模式
weixin_34052916的博客
04-06 757
一、查看数据库当前日志模式SELECT name,log_mode FROM v$database ;//从v$database数据字典中查询相关字段或者用命令: >archive log list; //需dba权限二、修改归档日志文件路径>ALTER SYSTEM SET log_archive_dest='location=/oracle/log/archive_log...
oracle数据库用户权限详解
weixin_45765103的博客
02-22 3146
SYSKM每个新的管理权限都会授予完成每个管理区域中的任务所需的最低权限。作为 DBA,您经常执行特殊操作,例如关闭或启动数据库。因为只有 DBA 应该执行这些操作,所以数据库管理员用户名需要安全的身份验证方案。此权限允许用户从 Oracle Recovery Manager (RMAN) 或 SQL*Plus 执行备份恢复操作。此管理权限允许大多数操作,包括查看用户数据的能力。管理员执行基本数据库操作所需的管理权限是通过特殊系统权限授予的。您必须拥有授予您的这些特权之一,具体取决于您需要的授权级别。
Oracle用户与权限
Libraxu的博客
07-31 1179
Oracle数据库中的SYSSYSTEM是两个预定义的用户账户,它们之间有一些区别。存储的数据的重要性同==sys :==oracle所有的数据字典的基表视图都存放在sys用户中。==system :==用户用于存放次一级的内部数据,如oracle的一些特性或工具的管理信息。权限同角色的同“SYSDBA”“SYSOPER”“normal”“SYSDBA”“SYSOPER”
oracle_权限
weixin_34277853的博客
08-20 107
Oracle 权限权限允许用户访问属于其它用户的对象或执行程序,ORACLE系统提供三种权限Object 对象级、System 系统级、Role 角色级。这些权限可以授予给用户、特殊用户public或角色,如果授予一个权限给特殊用户"Public"(用户public是oracle预定义的,每个用户享有这个用户享有的权限),那么就意味作将该权限授予了该数据库的所有用户。对管理权限而言,角色是一个...
Oracle OCP 1Z0-050(111-120题)解析
梅森上校的博客 业精于勤荒于嬉,形成于思毁于随。
10-07 795
Oracle OCP 1Z0-050(111-120题)解析 QUESTION 111: Sales details are being stored on a daily basis in the SALES_2007 table. A large amount of data is added to the table daily. To save disk space, you issu...
Oracle OCP 1Z0-050(131-140题)解析
梅森上校的博客 业精于勤荒于嬉,形成于思毁于随。
10-10 744
Oracle OCP 1Z0-050(131-140题)解析 QUESTION 131: Which two kinds of failures make the Data Recovery Advisor (DRA) generate a manual checklist? (Choose two.) A. failures because a data file is renamed b...
Oracle OCP 1Z0-050(101-110题)解析
梅森上校的博客 业精于勤荒于嬉,形成于思毁于随。
10-07 2488
Oracle OCP 1Z0-050(101-110题)解析 QUESTION 101: View the Exhibit for some of the parameter settings. You start a session and issue the following command: SQL>CREATE INDEX emp_ename ON emp(ename)...
oracle sys sysman system 介绍
weixin_33966095的博客
06-05 206
Oracle数据库中SYS、SYSTEM、DBSNMP、SYSMAN四用户的区别 SYS用户: SYS,默认密码为CHANGE_ON_INSTALL,当创建一个数据库时,SYS用户将被默认创建并授予DBA角色,所有数据库数据字典中的基本表视图都存储在名为SYS的方案中,这些基本表视图对于Oracle数据库的操作时非常重要的。为了维护数据字典的真实性,SYS方案中的表只能由系统来维护,他们能被...
oracle数据库系统权限与对象权限
m0_65357177的博客
05-28 2985
权限管理:是Oracle实现安全管理的一部分。通过授予同用户的系统权限与对象权限,可以控制用户对系统功能的数据库对象的操作 系统权限:是指在系统级控制数据库的存取使用的机制,即执行某种SQL语句的能力。例如启动/停止数据库,修改数据库参数,连接数据库权限-----系统权限是针对于用户设置的,用户必须被授予相应的系统权限,才能连接到数据库中进行想要的操作。 注:在Oracle数据库中,用户system,sys是数据库管理员,它具有DBA所有系统权限; eg:查看系统中的所有用户(此时是用的系统管
关于oracle用户权限
dongxl_2016的博客
05-20 1373
用户身份分类: Oracle用户的身份一般分为三种:sysoper(管理员),sysdba(管理员),normal(普通用户) 其中normal是普通用户,其他身份的区别如下:登录的 一.sysdba 与system权限的区别 (1)sys:所有oracle的数据字典的基表视图都存放在sys用户中,这些基表视图对于oracle的运行是至关重要的,由数据库自己维护,任何用户都能手动更改,sys用户拥有dba,sydba,sysoper角色或权限oracle权限的最高用户 system:
oracle 权限一览表
weixin_34191845的博客
12-15 769
为什么80%的码农都做了架构师?>>> ...
Oracle逻辑块之各种变量类型讲解
上善若泪
05-24 3554
目录 1 scott登录上 2syssystem用户的区别 3 normal 、sysdba、 sysoper有什么区别 1 scott登录上 scott用户使用SYSDBA可以登录,但是使用NORMAL可以登录 解决方法~ 第一步:提示 account is locked --------------->>>在SQL PLUS中用system用户登录执行&l......
Oracle默认系统用户(账户)syssystem解疑
cnds123的专栏
05-28 6551
Oracle默认系统用户(账户)syssystem解疑,及SQLNET.ORA文件中SQLNET.AUTENTICATION_SERVICES=(NTS)作用
Oracle system用户的实际权限
dawuafang
07-12 447
Oracle system用户登录数据库也会出现问题吗,下文对Oracle system用户的实际权限作了分析讨论,供您参考学习。 之前新建了一个数据库,通过pl/sql developer登录,使用的是Oracle system用户,身份为SYSDBA,结果报错:insufficient privileges( 权限足 )。最后只好让sys用户登录后执行grant sysdba to s...
Oracle权限管理详解(原创)
czmmiao的专栏
12-11 1335
Oracle 权限 权限允许用户访问属于其它用户的对象或执行程序,ORACLE系统提供三种权限Object 对象级、System 系统级、Role 角色级。这些权限可以授予给用户、特殊用户public或角色,如果授予一个权限给特殊用户"Public"(用户public是oracle预定义的,每个用户享有这个用户享有的权限),那么就意味作将该权限授予了该数据库的所有用户。 对管理权限而...
Oraclesystem用户的实际权限
aylx222333的专栏
07-22 949
  之前新建了一个数据库,通过pl/sql developer登录,使用的是system用户,身份为SYSDBA,结果报错:insufficient privileges( 权限足 )。最后只好让sys用户登录后执行grant sysdba to systemsystem用户赋予sysdba权限。   这里就有了问题:难道system用户...
1Z0-047 Oracle OCP认证题库与模拟考试工具解析
标题中提到的“OCP题库1Z0-047考试模拟器”是指针对Oracle Certified Professional(Oracle认证专业人员)数据库管理员认证考试的复习资料模拟测试工具。OCP认证是Oracle公司提供的认证体系中的一个中级认证,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值