NTFSファイル・システムとWindowsレジストリの権限の概要
認可されたデータベース管理者(DBA)に完全な制御権を与えるように、Oracle Databaseファイル、ディレクトリおよびレジストリの設定を構成することをお薦めします。
Oracle Database Configuration Assistantを使用してデータベースを作成した場合、またはOracle Database Upgrade Assistantを使用してデータベースをアップグレードした場合は、それ以上の処理は不要です。
Oracle Universal Installer、Oracle Database Configuration AssistantおよびOracle Database Upgrade Assistantで自動的に設定される権限と、これらの権限を手動で設定する手順について説明します。
示されている様々なグループに加えて、Oracle Databaseソフトウェアのインストールでは、Oracleソフトウェアが適正に機能するように、Oracle内部利用のために次のグループが作成され、それらのグループのファイルおよびレジストリ・エントリに権限が設定されます。次のグループのグループ・メンバーシップおよび権限セットは変更または削除できません。
-
ORA_INSTALL
-
ORA_GRID_LISTENERS
-
ORA_CLIENT_LISTENERS
-
ORA_
HOMENAME
_SVCSIDS
関連項目:
-
NTFSファイル・システムおよびWindowsレジストリの設定の変更の詳細は、オペレーティング・システムのドキュメントを参照
- ファイル権限の設定
Oracle Universal Installer、Oracle Database Configuration AssistantおよびOracle Database Upgrade AssistantはOracle Databaseソフトウェアがインストールまたはアップグレードされるときに、ファイル権限を設定します。 - Windowsレジストリ・エントリの権限の設定
Oracle Universal Installerにより、Oracle Databaseソフトウェアに関連するWindowsレジストリ・エントリに対してアクセス権が設定されます。 - Windowsサービス・エントリの権限の設定
Oracle Universal Installerにより、Oracle DatabaseサービスのWindowsサービス・エントリに対して次のアクセス権がユーザーおよびユーザー・グループに設定されます。 - NTFSファイル・システムのセキュリティの設定
NTFSファイル・システムのセキュリティを設定するには、この手順を使用します。 - Windowsレジストリのセキュリティの設定
Oracle Database DBAとシステム管理者以外のユーザーからは、WindowsレジストリのHKEY_LOCAL_MACHINE\SOFTWARE\ORACLE
ディレクトリにある書込み権限を削除することをお薦めします。
親トピック: Windowsでのインストール後の構成タスク
ファイル権限の設定
Oracle Universal Installer、Oracle Database Configuration AssistantおよびOracle Database Upgrade AssistantはOracle Databaseソフトウェアがインストールまたはアップグレードされるときに、ファイル権限を設定します。
- Oracle Universal Installerによって設定されるデフォルトのファイル権限について
Oracle Databaseのインストール中に、デフォルトでOracle Universal InstallerはソフトウェアをORACLE_HOME
ディレクトリにインストールします。 - Oracle Database Configuration Assistantによって設定されるファイル権限について
Oracle Databaseの構成時に、Oracle Database Configuration Assistantによって、ファイルとディレクトリが次のデフォルトの場所にインストールされます(database_name
は、データベース名またはSID
です)。 - Oracle Database Upgrade Assistantによって設定されるファイル権限について
旧バージョンのデータベースがOracle Database 12cリリース2 (12.2)にアップグレードされるときに、Oracle Database Upgrade Assistantにより、ソフトウェアが次のディレクトリにインストールされます。database_name
は、データベース名またはSID
です。 - Oracleウォレットの権限の設定について
Oracleウォレットがファイル・システムに作成される場合、ウォレットを作成しているユーザーにはウォレット作成ツールによりウォレットへのアクセス権が付与されます。 - ファイル・システムACLの手動での設定について
Oracle Databaseサービスが標準のWindowsユーザー・アカウントで実行するようになったので、ファイル・システムのアクセス制御リスト(ACL)でファイルへのアクセス権を付与していないかぎり、ファイルがOracle Databaseサービスによりアクセスできない可能性があります。
Oracle Universal Installerによって設定されるデフォルトのファイル権限について
Oracle Databaseのインストール中に、デフォルトでOracle Universal InstallerはソフトウェアをORACLE_HOME
ディレクトリにインストールします。
Oracle Universal Installerにより、このディレクトリ、およびこのディレクトリの下のすべてのファイルとディレクトリに対して次のアクセス権が設定されます。
Oracle Grid Infrastructureホーム:
データベースのORACLE_HOME:
クライアントのORACLE_HOME:
-
フル・コントロール -
Administrators
、SYSTEM
、Oracleインストール・ユーザー、ORA_
HOMENAME
_SVCSIDS
またはOracleホーム・ユーザー
Oracle Universal Installerにより、ORACLE_BASE
ディレクトリ、およびこのディレクトリの下のすべてのファイルとディレクトリ(データベース・ファイル、ウォレットなどを除く)に対して次のアクセス権が設定されます。
-
フル・コントロール -
Administrators
、SYSTEM
、Oracleインストール・ユーザー、Oracleホーム・ユーザー、または仮想アカウント・ホームのORA_<HomeName>_SVCACCTS
グループ。 -
フル・コントロール -
ORA_GRID_LISTENERS
(ORACLE_BASE
がOracle Grid InfrastructureORACLE_HOME
用である場合) -
フル・コントロール -
ORA_
HOMENAME
_SVCSIDS
またはOracleホーム・ユーザー(ORACLE_BASE
がクライアントのORACLE_HOME
用である場合)
注意:
これらのアカウントがすでに存在し、より制限された権限を持つ場合は、最も制限された権限が保持されます。Administrators
、SYSTEM
、Authenticated
Users
および指定したOracleグループ以外のアカウントがすでに存在する場合、これらのアカウントの権限は削除されます。
Oracle Database Configuration Assistantによって設定されるファイル権限について
Oracle Databaseの構成時に、Oracle Database Configuration Assistantによって、ファイルとディレクトリが次のデフォルトの場所にインストールされます(database_name
は、データベース名またはSID
です)。
-
ORACLE_BASE
\admin\
database_name
(管理ファイル・ディレクトリ) -
ORACLE_BASE
\oradata\
database_name
(データベース・ファイル・ディレクトリ) -
ORACLE_BASE
\oradata\
database_name
(REDOログ・ファイルおよび制御ファイル) -
ORACLE_HOME
\database
(SPFILE
SID
.ORA
)
Oracle Database Configuration Assistantにより、これらのディレクトリ、およびこれらのディレクトリの下のすべてのファイルとディレクトリに対して次のアクセス権が設定されます。
-
フル・コントロール
Administrators
、SYSTEM
、Oracleホーム・ユーザー、または仮想アカウント・ホームのORA_<HomeName>_SVCACCTS
グループ注意:
これらのアカウントがすでに存在し、より制限された権限を持つ場合は、最も制限された権限が保持されます。
Administrators
、SYSTEM
およびOracleホーム・ユーザー以外のアカウントがすでに存在する場合、これらのアカウントの権限は削除されます。
親トピック: ファイル権限の設定
Oracle Database Upgrade Assistantによって設定されるファイル権限について
旧バージョンのデータベースがOracle Database 12cリリース2 (12.2)にアップグレードされるときに、Oracle Database Upgrade Assistantにより、ソフトウェアが次のディレクトリにインストールされます。database_name
は、データベース名またはSID
です。
旧バージョンのデータベースがOracle Database 12cリリース2 (12.2)にアップグレードされるときに、Oracle Database Upgrade Assistantにより、ソフトウェアが次のディレクトリにインストールされます。database_name
は、データベース名またはSID
です。
-
ORACLE_BASE
\admin\
database_name
(管理ファイル) -
ORACLE_BASE
\oradata\
database_name
(データベース・ファイル・ディレクトリ) -
ORACLE_BASE
\oradata\
database_name
(REDOログ・ファイルおよび制御ファイル) -
ORACLE_BASE
\
ORACLE_HOME
\database
(SPFILE
SID
.ORA
)
Oracle Database Upgrade Assistantにより、これらのディレクトリ、およびこれらのディレクトリの下のすべてのファイルとディレクトリに対して次のアクセス権が設定されます。
-
フル・コントロール
Administrators
、SYSTEM
、Oracleホーム・ユーザー、または仮想アカウント・ホームのORA_<HomeName>_SVCACCTS
グループ注意:
これらのアカウントがすでに存在し、より制限された権限を持つ場合は、最も制限された権限が保持されます。
Administrators
、SYSTEM
およびOracleホーム・ユーザー以外のアカウントがすでに存在する場合、これらのアカウントの権限は削除されます。
Oracle Database 12cリリース2 (12.2)からは、Oracle Database Upgrade AssistantによってOracle Enterprise Managerも構成できます。Oracle Enterprise Managerの構成時に「日次バックアップ有効化」オプションを選択している場合は、別画面が表示されて、高速リカバリ領域の指定を要求されます。指定したファイル・システムの場所に、Oracle Database Upgrade Assistantによって、ディレクトリ構造の作成が試みられます(存在しない場合)。この場所に同じファイル権限のセットも付与されます。Oracle Database Upgrade Assistantによって表示される、高速リカバリ領域のデフォルトの場所は次のとおりです。
-
ORACLE_BASE
\recovery_area
親トピック: ファイル権限の設定
Oracleウォレットの権限の設定について
Oracleウォレットがファイル・システムに作成される場合、ウォレットを作成しているユーザーにはウォレット作成ツールによりウォレットへのアクセス権が付与されます。
Oracle Database 12cリリース1 (12.1)から、Oracle Database Windowsサービスは、標準のWindowsユーザー・アカウントまたは仮想アカウントで実行でき、ウォレットにアクセスできない可能性があります。データベース・サービスおよびリスナー・サービスへのアクセス権限を付与するには、ウォレット・ファイルのファイル・システムACLを手動で変更する必要がある場合があります。
親トピック: ファイル権限の設定
ファイル・システムACLの手動での設定について
Oracle Databaseサービスが標準のWindowsユーザー・アカウントで実行するようになったので、ファイル・システムのアクセス制御リスト(ACL)でファイルへのアクセス権を付与していない限り、ファイルがOracle Databaseサービスによりアクセスできない可能性があります。
Oracleインストールでは、一般的な用途で手動で変更する必要がないようにACLが構成されますが、たとえば、データベースの手動でのアップグレードで、データベース・ファイルがOracleベースにない場合、またはファイル・システムのウォレットにアクセス権を付与するには、ACLを手動で変更する必要がある場合があります。
ファイル・システムACLの手動での設定のルールは次のとおりです。
-
Oracle Databaseサービスがファイルにアクセスできるようにするには: Windowsユーザー・アカウントがOracleホーム・ユーザーとして使用されている場合、ファイルに対するアクセス権をOracleホーム・ユーザーに付与します。Windowsの組込みアカウントをOracleホーム・ユーザーとして使用する場合、Oracle Databaseサービスは管理アカウントで実行されるので、このような権限は必要ありません。
-
Oracle Grid Listenersサービスがファイルにアクセスできるようにするには: ファイルに対するアクセス権を
ORA_GRID_LISTENERS
グループに付与します。 -
Oracleサービスがクライアント
ORACLE_HOME
からファイルにアクセスできるようにするには: Windowsユーザー・アカウントがクライアント・ホームのOracleホーム・ユーザーとして使用されている場合、ファイルに対するアクセス権をOracleホーム・ユーザーに付与します。Windowsの組込みアカウントをOracleホーム・ユーザーとして使用する場合、ファイルに対するアクセス権をORA_
HOMENAME
_SVCSIDS
グループに付与します。
親トピック: ファイル権限の設定
Windowsレジストリ・エントリの権限の設定
Oracle Universal Installerにより、Oracle Databaseソフトウェアに関連するWindowsレジストリ・エントリに対してアクセス権が設定されます。
Windowsレジストリ・エントリの権限を設定する場合は、次のガイドラインに従います。
-
すべてのユーザーは読取り権限を持ちます。
-
ローカル管理者およびOracleインストール・ユーザーはフル・コントロールを持ちます。
Windowsサービス・エントリの権限の設定
Oracle Universal Installerにより、Oracle DatabaseサービスのWindowsサービス・エントリに対して次のアクセス権がユーザーおよびユーザー・グループに設定されます。
Oracle DatabaseサービスのWindowsサービス・エントリに対するアクセス権をユーザーおよびユーザー・グループに設定するためのガイドラインを次に示します。
-
ORA_DBA
およびORA_
HOMENAME
_DBA
グループ・ユーザーは、Windowsサービス・エントリに対し、開始および停止権限を持ちます。 -
ローカル・システム・アカウントおよびローカル管理者は、Windowsサービス・エントリのフル・コントロールを持ちます。
NTFSファイル・システムのセキュリティの設定
NTFSファイル・システムのセキュリティを設定するには、この手順を使用します。
認可されたユーザーのみが完全なファイル・システムの権限を持つようにするには、次のようにします。
- Windowsエクスプローラに移動します。
- 前述の項目の情報に基づき、各ディレクトリまたはファイルに、次の権限が設定されます。
関連項目:
NTFSファイル・システムおよびレジストリの設定の変更方法の詳細は、オペレーティング・システムのオンライン・ヘルプを参照してください。