Oracle Cloud Infrastructure-Dokumentation

ADMIN-Benutzerrollen und -berechtigungen

In Autonomous Database ist der vordefinierte administrative Benutzer ADMIN, und dieser Account verfügt über Berechtigungen zum Verwalten von Benutzern und zum Verwalten der Datenbank.

Es wird empfohlen, den ADMIN-Benutzer zum Erstellen von Accounts zu verwenden und Benutzern Berechtigungen für die Anmeldung bei der Datenbank zu erteilen. See Manage Users for more information.

Zur Aufrechterhaltung der Sicherheit wird dem ADMIN-Benutzer die Berechtigung SYSDBA nicht erteilt. ADMIN erhält eine begrenzte Anzahl von Systemberechtigungen. Die folgende Abfrage zeigt Berechtigungen, die SYS erteilt wurden und denen der ADMIN-Benutzer nicht erteilt wurde:

SELECT privilege FROM dba_sys_privs WHERE grantee='SYS' MINUS
    SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;

ADMIN-Benutzer garantiert alle Einschränkungen

Die Systemberechtigung GRANT ANY PRIVILEGE ist für den ADMIN-Benutzer nicht verfügbar. Verwenden Sie stattdessen GRANT ANY OBJECT PRIVILEGE, GRANT ANY SCHEMA PRIVILEGE oder GRANT ANY ROLE.

Systemberechtigung Beschreibung
GRANT ANY OBJECT PRIVILEGE

Dadurch können Objektprivilegien für Objekte, einschließlich der Objekte, deren Eigentümer SYS ist, mit wenigen Ausnahmen erteilt werden. In Autonomous Database kann GRANT ANY OBJECT PRIVILEGE nur für vom Kunden erstellte Benutzerschemas ausgeübt werden und nicht für von Oracle verwaltetes Schema wie SYSTEM oder SYS und viele andere ausgeführt werden, um die Sicherheit zu gewährleisten.

ORA-1031/942-Fehler weisen darauf hin, dass ADMIN keine Berechtigung erteilen kann.

GRANT ANY PRIVILEGE

Dadurch können alle Systemberechtigungen ohne Administratorberechtigungen wie SYSDBA erteilt werden. Der ADMIN-Benutzer verfügt nicht über SYSDBA-Berechtigungen (stattdessen wird eine Liste mit Systemberechtigungen erteilt). Mit der folgenden Abfrage können Sie die ADMIN-Berechtigungen auflisten:

SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;
GRANT ANY ROLE

Dadurch können Benutzern und Benutzerrollen Rollen erteilt werden. In Autonomous Database kann GRANT ANY ROLE nur für vom Kunden erstellte Rollen ausgeübt werden. Die Berechtigungen, die dem ADMIN-Benutzer NICHT mit WITH ADMIN OPTION erteilt werden, wie DBA, EXP_FULL_DATABASE und andere, können vom ADMIN-Benutzer nicht erteilt werden.

ORA-1031-Fehler weisen darauf hin, dass ADMIN keine rol erteilen kann.

Rollen und Views - Einschränkungen für Data Dictionary

Wenn Sie SELECT ANY DICTIONARY erteilen, können Sie nicht auf die SYS/SYSTEM-Schemas zugreifen. Sie können SELECT_CATALOG_ROLE erteilen, um bei Bedarf SELECT-Berechtigungen für alle Data Dictionary Views zuzulassen.