oracle system sys,sysoper sysdba 的区别
Oracle 中sys,system帐户以及登陆时的normal,sysoper,sysdba是经常容易混淆的几个概念,下面详细讲述了这几个的区别。
一、sys,system帐户
当Oracle 数据库安装完毕后,系统会自动创建两个帐户如下:
sys :缺省密码为CHANGE_ON_INSTALL ,且被授予DBA角色
system :缺省密码为MANAGER,且被授予DBA角色
下面具体描述sys与system帐户
sys :这个帐户相当于SQL server中的sa帐户,或者说Xp系统中的administrator,或Linux系统中的root帐户 ,是个超级帐户,拥有的权限最大,可以完成数据库的所有管理任务。Oracle中全部的基表,视图等都是以sys架构存储在数据字典中,类似于SQL server中的master数据库,存储了所有最原始最基本最关键的系统结构,数据等。因此所有以sys架构的对象不允许用户或数据库管理员修改,也不建议创建sys架构的对象。
system :该帐户除了不能完成备份恢复,以及升级之外的数据库所有管理任务,通常用来创建一些用于查看管理信息的表或视图,以及一些被不同Oracle数据库选项和工具使用的内部表或内部视图。同样也不建议使用system架构来创建一些与管理无关的表或视图。
注:sys与system两个帐户都属于dba角色,但是两者拥有不同的权限,sys拥有更多的权限。
system@ORCL> grant sysoper to usr1; --对于特殊权限system不能够授予用户
grant sysoper to usr1
*
ERROR at line 1:
ORA-01031: insufficient privileges
system@ORCL> conn / as sysdba
Connected.
sys@ORCL> grant sysoper to usr1; --sys用户则可以完成上面的授权操作
Grant succeeded.
二、Sysoper与Sysdba特殊权限
sysoper权限能够执行下列操作
startup
shutdown
create spfile
alter database [mount | open | close | dismount]
alter [database | tablespace] [begin | end] backup
alter database recover
restricted session
sysdba权限
除了能执行上述所有命令之外,还能创建数据库,删除数据库,数据库日志归档,执行不完全恢复,以及创建其它的sysoper和sysdba用户
SQL> select * from system_privilege_map where name like '%SYS%';
PRIVILEGE NAME PROPERTY
---------- ---------------------------------------- ----------
-3 ALTER SYSTEM 0
-4 AUDIT SYSTEM 0
-83 SYSDBA 0
-84 SYSOPER 0
The manner in which you are authorized to use these privileges depends upon the method of authentication that you use.When you connect with SYSDBA or SYSOPER privileges, you connect with a default schema, not with the schema that is generally associated with your username. For SYSDBA this schema is SYS; for SYSOPER the schema is PUBLIC.
--两者的schema不同
SQL> show user
USER is "SYS"
SQL> conn / as sysoper
Connected.
SQL> show user
USER is "PUBLIC"
SQL> conn scott/Lb123456
已连接。
SQL> show user
USER 为 "SCOTT"
在使用OEM登陆时,还有一种登陆时角色的选择则是normal,这个是对所有普通用户而言,登陆后其schema是自身
--查看密码文件视图,可以得到哪些用户为sysdba,哪些用户为sysoper
SQL> select * from v$pwfile_users;
USERNAME SYSDB SYSOP SYSAS
------------------------------ ----- ----- -----
SYS TRUE TRUE FALSE
TEST TRUE FALSE FALSE
--下面演示了使用不同的角色来登陆
SQL> conn tset/Lb123456@orcl as sysdba
Connected.
SQL> show user; --尽管登陆的帐户是scott,但执行show user显示的是sys
USER is "SYS"
SQL> conn tset/Lb123456@orcl as sysoper /*scott的sysop列为false*/
ERROR:
ORA-01031: insufficient privileges
Warning: You are no longer connected to ORACLE.
SQL> show user; --登陆的帐户是usr1,执行show user显示的是public
USER is "PUBLIC"
SQL> select * from dba_roles where role like 'SYS%';
未选定行
下面演示sysdba与sysoper都可以用来启动数据库
idle> conn scott/tiger as sysdba
Connected to an idle instance.
idle> startup
idle> conn usr1/usr1 as sysoper
Connected to an idle instance.
idle> startup
总结:
sysoper与sysdba不是角色,DBA角色也不包含这两种权限。
这是两种用于完成数据库管理任务的特殊权限,如数据库创建,实例启动、关闭等
这两个权限独立于数据库之外,位于数据库密码文件之中,属于密码认证范畴
通常在启动数据库时使用的场合较多,当然也可以以这两种方式连接数据库