Oracle Cloud Infrastructure-Dokumentation

ADMIN-Benutzerrollen und -berechtigungen

In Autonomous Database ist der vordefinierte administrative Benutzer ADMIN, und dieser Account verfügt über Berechtigungen zum Verwalten von Benutzern und zur Verwaltung der Datenbank.

Es wird empfohlen, mit dem ADMIN-Benutzer Accounts zu erstellen und Benutzern Berechtigungen zum Herstellen einer Verbindung zur Datenbank zu erteilen. Weitere Informationen finden Sie unter Benutzer verwalten.

Um die Sicherheit zu gewährleisten, wird dem ADMIN-Benutzer die Berechtigung SYSDBA nicht erteilt. ADMIN wird eine begrenzte Anzahl von Systemberechtigungen erteilt. Die folgende Abfrage zeigt Berechtigungen, die SYS erteilt wurden, die dem ADMIN-Benutzer nicht erteilt wurden:

SELECT privilege FROM dba_sys_privs WHERE grantee='SYS' MINUS
    SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;

Einschränkungen für ADMIN-Benutzer GRANT ANY

Die Systemberechtigung GRANT ANY PRIVILEGE ist für den ADMIN-Benutzer nicht verfügbar. Verwenden Sie stattdessen GRANT ANY OBJECT PRIVILEGE, GRANT ANY SCHEMA PRIVILEGE oder GRANT ANY ROLE.

Systemberechtigung Beschreibung
GRANT ANY OBJECT PRIVILEGE

Auf diese Weise können Objektberechtigungen für Objekte, einschließlich der Objekte, die SYS gehören, mit wenigen Ausnahmen erteilt werden. In Autonomous Database kann GRANT ANY OBJECT PRIVILEGE nur für vom Kunden erstellte Benutzerschemas ausgeübt werden und kann nicht für von Oracle verwaltetes Schema wie SYSTEM oder SYS und viele andere ausgeübt werden, um die Sicherheit zu gewährleisten.

ORA-1031/942-Fehler weisen darauf hin, dass ADMIN eine Berechtigung nicht erteilen kann.

GRANT ANY PRIVILEGE

Dadurch können alle Systemberechtigungen ohne Administratorberechtigungen wie SYSDBA erteilt werden. Der ADMIN-Benutzer verfügt nicht über SYSDBA-Berechtigungen (statt einer Liste von Systemberechtigungen wird eine Liste erteilt). Mit der folgenden Abfrage können Sie die ADMIN-Berechtigungen auflisten:

SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;
GRANT ANY ROLE

Dadurch können Benutzern und Benutzerrollen Rollen erteilt werden. In Autonomous Database kann GRANT ANY ROLE nur für vom Kunden erstellte Rollen ausgeübt werden. Die Berechtigungen, die ADMIN-Benutzern NICHT mit WITH ADMIN OPTION erteilt werden, wie DBA, EXP_FULL_DATABASE und anderen Benutzern, können vom ADMIN-Benutzer nicht erteilt werden.

ORA-1031-Fehler weisen darauf hin, dass ein Rollout von ADMIN nicht erteilt werden kann.

Rollen und Views - Einschränkungen für Data Dictionary

Wenn Sie SELECT ANY DICTIONARY erteilen, erhalten Sie keinen Zugriff auf die Schemas SYS/SYSTEM. Sie können SELECT_CATALOG_ROLE erteilen, um bei Bedarf SELECT-Berechtigungen für alle Data Dictionary Views zuzulassen.