达梦数据库的三员介绍

        达梦数据库三员包括：系统管理员（SYSDBA）、安全员（SYSSO）、审计员(SYSAUDITOR)三个。

        系统管理员（SYSDBA）负责生成用户身份标识符和系统运行维护。可以创建、删除用户，可以修改用户属性，没有修改用户安全属性的权限。可以创建、删除角色。可管理表空间。可以备份恢复数据库。没有审计权限。没有自主访问控制权限。安全员（SYSSO）不能创建用户，负责用户权限设定以及系统日志、普通用户和安全审计员日志的审查分析。能配置自主访问控制。能够对数据库管理系统中所有主体和客体进行标记。审计员(SYSAUDITOR)不能创建用户，负责对系统管理员和安全保密管理员的日志进行审查分析。

        系统管理员

        1.负责生成用户身份标识符和系统运行维护。SYSDBA可以不可以修改用户密码，但是可以查看用户的属性。使用DM管理工具，系统管理员SYSDBA登陆，右键选中左侧导航栏中管理用户，选定要查看的用户选择“属性”，查看该用户的属性信息。

        2.可以创建、删除用户。但是对普通用户的表没有操作权限。只有普通用户对SYSDBA进行授权后，才能够对表进行操作。

        3.可以创建（CREATE ROLE）、删除角色（DROP ROLE）。在创建用户时可以给用户指定角色。比如为TEST1用户指定为DBA角色：GRANT "DBA" TO "TEST1";

        4.可以管理表空间（TABLESPACE），创建、修改以及增加数据文件，修改数据文件的大小。举例如下：

--创建名为“TS1.dbf”,大小为128M的表空间：CREATE TABLESPACE TS1 DATAFILE 'TS1.dbf' SIZE 128;

--修改表空间TS1的名字为TS2：ALTER TABLESPACE TS1 RENAME TO TS2;

--在表空间中增加一个数据文件大小为128M的数据文件：ALTER TABLESPACE TS2 ADD DATAFILE 'TS1_1.DBF' SIZE 128;

--修改数据文件TS1.dbf的大小为200M：ALTER TABLESPACE TS2 RESIZE DATAFILE 'TS1.DBF' TO 200;

--删除表空间：DROP TABLESPACETS2;5.可以备份恢复数据库。

        5.可以备份恢复数据库。

        6.没有审计权限。没有自主访问控制权限。

数据库安全员

       1.不能够创建用户，但在创建用户时，需要由安全员来分发用户密码。用户创建完成后，密码的修改由用户自己负责，SYSSSO不再具有修改密码的权限。

        2.负责用户权限设定,可以将系统权限授予指定用户。一些常见的系统权限CREATE TABLE、SELECT TABLE、INSERT VIEW、BACKUP DATABASE等等。比如：将表的SELECT权限授予TEST1用户GRANT SELECT TABLE TOTEST1。

        3.可以修改用户属性，例如会话超时时间、用户的最大会话数等等，但是没有修改用户安全属性的权限。比如：修改会话超时时间：ALTER USER "TEST1" LIMIT CONNECT_IDLE_TIME 3;修改最大会话数：ALTER USER "TEST1" LIMIT SESSION_PER_USER 5;

        4.对普通用户和安全审计员日志的进行审查分析。可以根据需求设置相应的设计策略。比如审计普通用户和安全审计员的连接登录状况，包括成功和失败，执行：SP_AUDIT_STMT('CONNECT', 'NULL', 'ALL')。

        5.能够对数据库管理系统中所有主体和客体进行标记。

数据库审计员

        负责对系统管理员和安全保密管理员的日志进行审查分析。例如审计系统管理员和安全保密管理员的连接登录状况，包括成功和失败，执行：SP_AUDIT_STMT('CONNECT', 'NULL', 'ALL')。审计系统管理员对表的更新操作，执行：SP_AUDIT_STMT('UPDATE TABLE', 'NULL', ' SYSDBA');审计安全保密管理员的策略设置，执行：SP_AUDIT_STMT('MACPOLICY', 'SYSSSO', 'ALL');