oracle数据库课件chapter6safeMON.ppt

《oracle数据库课件chapter6safeMON.ppt》由会员分享，可在线阅读，更多相关《oracle数据库课件chapter6safeMON.ppt（66页珍藏版）》请在三一办公上搜索。

1、概要文件、用户和角色,一、用户类型数据库管理员DBA每个数据库至少有一个DBA，可以有多个，职责：安装或更新ORACLE服务器和应用工具；分配存储空间；建立或修改基本数据库存储结构；建立数据库对象（表、视图、索引等）；注册用户并维护系统安全信息；控制和管理用户对数据库的访问；监视和优化数据库性能；备份或恢复数据库；,2.安全管理员 主要职责：它注册用户；监视和管理用户对数据库的访问；维护系统安全。如果有安全员，DBA就不完成这些工作。3.网络管理员 管理ORACLE网络产品，如ORACLE NET。4.应用开发者，主要职责设计开发数据库应用，设计应用的数据库结构；评估应用存储需求，描述对数据库

2、结构的修改；与DBA一起建立应用的安全机制,5.应用管理员：管理特定的应用系统。6.数据库用户(终端用户)数据库用户通过应用程序与数据库交互。输入、修改或删除数据；根据数据生成报表；二、建立安全策略每个数据库有一个或多个管理员负责数据库安全。数据安全策略指的是控制用户对数据库中对象的访问和使用方法。每类用户使用不同的安全策略，如口令等。,1.用户的特性每个用户必须有唯一名字和口令每个用户占有一个模式，模式名同用户名每个用户可拥有一个缺省表空间用户可以有存放临时信息的临时表空间用户可分配自己在表空间的配额空间用户定义配置文件来表明自己的操作范围用户有系统权限及对象权限建立用户必须有CREATE

3、USER系统权限新建立用户必须授予CREATE SEESION权限才可登录ORACLE数据库。,三、建立用户,PUBLIC用户组,每个数据库中都有一个PUBLIC用户组，Oracle会在创建数据库时自动创建PUBLIC用户组。每个数据库用户创建后都自动成为PUBLIC组中的成员。利用PUBLIC用户组可以方便地为数据库中所有用户授予必要的对象权限和系统权限。如果某个用户将一项权限或角色授予PUBLIC用户组，那么数据库中所有的用户都会拥有这项权限或这个角色。PUBLIC组中用户可以查询所有以 USER和 ALL开头的数据字典视图。,PUBLIC用户组,注意：1.不能为PUBLIC用户组设置任何

4、表空间配额；2.不能在PUBLIC模式中创建数据库对象。,CREATE USER 用户名 IDENTIFIED BY 口令DEFAULT TABLESPACE 表空间名TEMPORARY TABLESPACE 表空间名QUOTA 整数UNLIMITED ON 表空间名PROFILE 概要文件名PASSWORD EXPIREACCOUNT LOCK|UNLOCK说明：省略缺省表空间,为SYSTEM;表空间必须存在省略临时表空间,为SYSTEM或其它临时表空指定临时表空间，表空间是临时而不是永久,2.建立用户命令,QUOTA n ON 表空间，指定对表空间的配额QUOTA UNLIMIED ON

5、表空间,空间不限制可以有多个QUOTA 子句概要文件分配用户可用的资源，不指定用缺省的环境文件DEFAULT分配给用户PASSWORD EXPIRE强制用户第一次登录时改变口令ACCOUNT LOCK建立一个锁定的帐号3.例1:CREATE USER WANG1 IDENTIFIED BY WANG;缺省或临时表空间为SYSTEM,没有指定配额。必须CREATE SESSION才能登录。要建立对象必须用QUOTA配额。,对于WANG用户，SQL PLUS登录，出错：ERROR:ORA-01045:user WANG lacks CREATE SESSION Privilege,logon de

6、nied.,SWJ001重新登录：Grant create session to wang1create table dd(n char(3);出错ALTER USER WANG QUOTA 2M ON SYSTEM注意：用户在表空间必须有配额(不管是否指定缺省表空间)，才可建立对象。,例2：CREATE USER SWJTEST IDENTIFIED BY TEST DEFAULT TABLESPACE SWJ TEMPORARY TABLESPACE TEMP QUOTA 2M ON SYSTEM QUOTA UNLIMITED ON SWJ例3:CREATE USER SWJ1 IDEN

7、TIFIED BY TTTT DEFAULT TABLESPACE SWJ TEMPORARY TABLESPACE TEMP QUOTA UNLIMITED ON SWJ PASSWORD EXPIRE,注意：新建立用户要想能登录到ORACLE,必须要：GRANT CREATE SESSION TO SWJTEST,用SWJ1第一次登录ORACLE时，将提示错误：ERROR:ORA-28001:the password has expired,例4：CREATE USER SWJ2 IDENTIFIED BY TTTT DEFAULT TABLESPACE SWJ TEMPORARY TAB

8、LESPACE TEMP QUOTA UNLIMITED ON SWJ PASSWORD EXPIRE ACCOUNT LOCK；用SWJ2登录时，显示错误：ERROR:ORA-2800:the account is locked.必须由管理员解锁：alter user swj2 account unlock,USER_USERS：当前用户信息表,主要列名：USERNAME(用户名)、USER_ID(用户编号)、ACCOUNT_STATUS(状态：OPEN或LOCKED)LOCK_DATE(加锁日期)、EXPIRY_DATE(口令过期日期)DEFAULT_TABLESPACE(缺省表空间)TE

9、MPORARY_TABLESPACE(临时表空间)CREATED(用户建立日期)select username,user_id,account_status,lock_date,expiry_date,default_tablespace,temporary_tablespace,created from user_users,4.查询用户信息,ALL_USERS:所有用户名及编号，主要列名：USERNAME、USER_ID、CREATED SELECT*FROM ALL_USERS；USERNAME USER_ID CREATED-SWJ010 351 27-10月-02SWJ1 465 3

10、1-10月-02SQLselect*from all_users 2 where username like SWJ%;USER_TS_QUOTAS:表空间配额信息，主要列：TABLESPACE_NAME，BYTES SELECT*FROM USER_TS_QUOTAS;TABLESPACE_NAME BYTES MAX_BYTES BLOCKS MAX_BLOCKS-SWJ 131072-1 32-1 一块=4096Bytes,1.修改用户(系统权限：ALTER USER)ALTER USER 用户名 选项这里的选项与CREATE USER中的一样。例1:alter user swj001

11、account unlock;-解锁例2:alter user swj001 account lock;-加锁例3:alter user swj001 identified by swj-改口令例4:alter user swj001 quota unlimited on system quota 5M on swj;例5：alter user swj001 password expire;下次用SWJ001登录到ORACLE时，提示改口令。,四、修改用户,DROP USER 用户名 CASCADE选项CASCADE删除用户模式下的所有对象，但不删除用户建立的角色。例6:删除没有对象的用户：D

12、ROP USER SWJ1;例7:如果用户模式下有对象，必须用命令：DROP USER SWJ2 CASCADE;例8:不能删除当前用户。设当前用户SWJ001SQL drop user swj001 cascade;drop user swj001 cascade*ERROR 位于第 1 行:ORA-01940:cannot drop a user that is currently connected,删除用户,权限,权限是执行一种特殊类型的SQL语句或存取另一用户的对象的权力。有两类权限：系统权限和对象权限。1）系统权限：是执行一处特殊动作或者在对象类型上执行一种特殊动作的权利。系统权限

13、可授权给用户或角色，一般，系统权限只授予管理人员和应用开发人员，终端用户不需要这些相关功能。2）对象权限：在指定的表、视图、序列、过程、函数或包上执行特殊动作的权利。,用户权限是用户执行SQL语句的权力，或是访问其它用户对象的权力。权限是赋予用户或角色。ORACLE有100多种系统权限，用于完成对数据库操作或对象管理。1.系统权限表系统权限可以完成建立、删除、修改数据库、表空间、数据库对象、用户角色等内容。,系统级权限,将系统权限授予用户，要有权限WITH ADMINOPTION选项，或GRANT ANY PRIVILEGE。GRANT 系统权限名表 TO 用户名 PUBLIC WITH AD

14、MIN OPTIONPUBLIC 将系统权限授予所有用户WITH ADMIN OPTION 可将权限授予其它用户例1:GRANT SELECT ANY TABLE TO T001例2:GRANT CREATE USER,DROP USER TO T001 WITH ADMIN OPTIONT001可将CREATE USER,DROP USER授予其它用户或回收：grant create user to swj002;,给用户授予系统权限,例3:GRANT CREATE SESSION,ALTER USER TO PUBLIC;3.回收系统权限要有系统权限GRANT ANY PRIVILEGE。

15、授予权限的用户可以回收它授予其它用户的权限。或者在得到系统权限时有WITH ADMIN OPTION。REVOKE 系统权限名 FROM 用户名|PUBLIC用户SWJ001：例1:REVOKE CREATE USER FROM T001;例2:REVOKE ALTER USER FROM PUBLIC;,select*from user_sys_privs;USERNAME PRIVILEGE ADM-T001 CREATE SESSION NOT001 CREATE USER YES注意：有WITH ADMIN OPTION ADM为YES此时用户T001可将CREATE USER系统权限

16、授予其它用户或回收。NO时不能(在也没有GRANT ANY PRIVILEGE时)。,数据字典USER_SYS_PRIVS,对象级权限是指用户访问其它用户对象的权利。对象级权限类型,对象级权限,GRANT 对象权限|ALL ON 对象列名表 TO 用户|角色|PUBLIC WITH GRANT OPTION将对对象的操作权限授予用户、角色或所有。对于INSERT、UPDATE对象权限可限制到列名。WITH GRANT OPTION 接受者可将权限授予其它用户例1：SWJ001用户：GRANT SELECT ON EMPLOYEES TO T001T001用户：SELECT*FROM SWJ00

17、1.EMPLOYEES;但不能：SELECT*FROM SWJ001.JOBS;,授予对象级权限,例2：SWJ001用户：GRANT INSERT ON JOBS TO T001；T001用户：INSERT INTO SWJ001.JOBS VALUES(JOBS,PLA,1000,3000);提交SWJ001才看到INSERT INTO SWJ001.JOBS(JOB_ID,JOB_TITLE)VALUES(DDD,TEST);SWJ001用户：GRANT DELETE ON JOBS TO T001;T001用户：DELETE FROM SWJ001.JOBS WHERE JOB_ID L

18、IKE D%,例3：带WITH GRANT OPTION选项SWJ001:GRANT SELECT ON EMPLOYEES TO T001 WITH GRANT OPTIONT001:SELECT*FROM SWJ001.EMPLOYEESGRANT SELECT ON SWJ001.EMPLOYEES TO HR;HR用户：SELECT*FROM SWJ001.EMPLOYEES;对于T001也可回收授予HR的对象权限。,例3：视图权限，用户SWJ001CREATE OR REPLACE VIEW EMV(NAME,SALARY)AS SELECT LAST_NAME|FIRST_NAME

19、,SALARY FROM EMPLOYEES;GRANT SELECT ON EMV TO T001;T001用户：SELECT*FROM SWJ001.EMV WHERE SALARY=10000;其它数据库对象权限与视图和表相似。,例3:对象权限INSERT，UPDATE时可以加列名。SWJ001用户：GRANT INSERT(JOB_ID,JOB_TITLE),UPDATE(JOB_TITLE)ON JOBS TO T001;T001用户：INSERT INTO SWJ001.JOBS(JOB_ID,JOB_TITLE)VALUES(AD_DD,POLICE);SWJ001:UPDATE

20、 SWJ001.JOBS SET JOB_TITLE=UPDATE WHERE JOB_ID=AD_PV;但下面出错：INSERT INTO SWJ001.JOBS VALUES(AD_DD,POLICE,43,54);,回收对象级权限,REVOKE 对象权限名 ON 对象名|ALL PRIVILEGES FROM 用户名|PUBLICSQLREVOKE ALL PRIVILEGES 2 ON employees FROM user1；SQLREVOKE INSERT,SELECT 2 ON employees FROM PUBLIC；,USER_TAB_PRIVS：用户所有的对象权限GRAN

21、TEE(接收者)、OWNER(对象所有者）TABLE_NAME(对象名)、GRANTOR(授予者)PRIVILEGE(权限名)、GRANTABLE(可授予)T001用户的所有对象权限：SELECT OWNER,TABLE_NAME,GRANTOR,PRIVILEGE FROM USER_TAB_PRIVS;OWNER TABLE_NAME GRANTOR PRIVILEGE-SWJ001 JOBS SWJ001 SELECTSWJ001 EMPLOYEES SWJ001 INSERT,对象级权限数据字典,USER_COL_PRIVS_RECD:对象列名的权限 OWNER(所有者)、TABLE_

22、NAME(对象名)COLUMN_NAME(列名)、GRANTOR(授权者)PRIVILEGE(对象权限)、GRANTABLE(可授予）T001用户所有对其它模式中列的权限：SELECT OWNER,TABLE_NAME,COLUMN_NAME,GRANTOR,PRIVILEGE FROM USER_COL_PRIVS_RECD;OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE-SWJ001 JOBS JOB_ID SWJ001 INSERTSWJ001 JOBS JOB_TITLE SWJ001 INSERTSWJ001 JOBS JOB_TITLE

23、 SWJ001 UPDATE,为相关权限的命名组，可授权给用户和角色。数据库角色包含下列功能：（1）一个角色可授予系统权限或对象权限。（2）一个角色可授权给其它角色，但不能循环授权。（3）任何角色可授权给任何数据库用户。（4）授权给用户的每一角色可以是可用的或者不可用的。一个用户的安全域仅包含当前对该用户可用的全部角色的权限。（5）一个间接授权角色对用户可显式地使其可用或不可用。在一个数据库中，每一个角色名必须唯一。角色名与用户不同，角色不包含在任何模式中，所以建立角色的用户被删除时不影响该角色。,角色,ORACEL利用角色更容易地进行权限管理。有下列优点：（1）减少权限管理，不要显式地将同一

24、权限组授权给几个用户，只需将这权限组授给角色，然后将角色授权给每一用户。（2）动态权限管理，如果一组权限需要改变，只需修改角色的权限，所有授给该角色的全部用户的安全域将自动地反映对角色所作的修改。（3）权限的选择可用性，授权给用户的角色可选择地使其可用或不可用。（4）应用可知性，当用户经用户名执行应用时，该数据库应用可查询字典，将自动地选择使角色可用或不可用。（5）应用安全性，角色使用可由口令保护，应用可提供正确的口令使用角色，如不知其口令，不能使用角色。,角色角色是系统级和对象级权限的集合，并给赋予一个名字。2.角色分类角色自定义角色和系统缺省角色。3.系统缺省角色CONNECT角色ALTE

25、R SESSION,CREATE CLUSTER,CREATE DATABASE LINK,CREATE VIEWCREATE SEQUENCE,CREATE SESSION,CREATE SYNONYM,CREATE TABLE,角色,角色不包含在任何模式中,b.RESOURCE角色开发人员CREATE CLUSTER，CREATE PROCEDURECREATE SEQUENCE，CREATE TABLECREATE TRIGGERc.DBA角色DBA具有所有系统的权限d.EXP_FULL_DATABASE角色SELECT ANY TABLE,BACKUP ANY TABLE,EXECUT

26、E ANY PROCEDURE,EXECUTEANY TYPE,ADMINISTER RESOURCE MANAGER,CREATE ROLE 角色名 角色建立时是空的，没有任何权限。使用角色给用户授予权限分四步：建立角色；给角色授予系统权限或对象权限；将角色授予给角色或用户；角色定义为默认角色。,定义角色(要有系统权限CREATE ROLE),例1：CREATE ROLE ROLE1;例2：CREATE ROLE ROLE2 IDENTIFIED BY ROLE；,3.修改角色(系统权限ALTER ANY ROLE)ALTER ROLE 角色 NOT IDENTIFIED IDENTIFIE

27、D BY 口令例3：ALTER ROLE ROLE1 IDENTIFIED BY ROLE;4.删除角色(系统权限DROP ANY ROLE)DROP ROLE 角色名例4：DROP ROLE ROLE1；,用GRANT命令为角色授予系统权限或对象权限，并用GRANT命令将角色授予给用户或角色。从角色或用户回收权限用REVOKE命令。GRANT 权限 TO 角色名 GRANT 角色名 TO 用户名REVOKE 权限 FROM 角色名REVOKE 角色名 FROM 用户名,授予或回收角色权限(GRANT ANY PRIVILEGE),例5：用户SWJ001CREATE ROLE R001;GRA

28、NT CREATE USER TO R001 WITH ADMIN OPTIONGRANT SELECT ON JOBS TO R001;GRANT INSERT,UPDATE ON JOBS TO R001;GRANT R001 TO T001;REVOKE SELECT ON JOBS FROM R001；REVOKE R001 FROM T100；,不是用户默认角色，连接数据库，角色无效。设置默认角色用ALTER USER命令。ALTER USER 用户名 DEFAULT ROLE 角色|ALL|ALL EXCEPT 角色|NONE例6：ALTER USER T001 DEFAULT R

29、OLE R001；ALTER USER T001 DEFAULT ROLE ALL；ALTER USER T001 DEFAULT ROLE ALL EXCEPT R001；ALTER USER T001 DEFAULT ROLE NONE,设置用户默认角色(ALTER USER权限),激活或禁用角色,用户连接数据库时，只有默认角色处于激活状态。可以用ALTER USER的DEFAULT ROLE子句来改变用户的默认角色。建立用户时默认角色设置为ALL，即后续所有授予给用户的角色都是默认角色。在已连接到数据库后，激活和禁用当前会话的角色使用SET ROLE命令。SET ROLE 角色名 ALL

30、 EXCEPT 角色名|NONE,查询角色信息,USER_ROLE_PRIVS 当前用户的所有角色信息。ROLE_SYS_PRIVS 角色被授予的系统权限信息ROLE_TAB_PRIVS 角色被授予对象权限信息。ROLE_ROLE_PRIVS 角色中被授予的角色信息SESSION_PRIVS 当前会话具有系统权限信息。SESSION_ROLES 当前会话所具有的角色信息例 查看当前用户的所有角色信息。SQL SELECT*FROM user_role_privs；USERNAME GRANTED_ROLE ADM DEF OS_-USER1 APPROLE NO YES NOUSER1 MYR

31、OLE NO YES NO,7.ROLE_ROLE_PRIVS(被授予其它角色的角色)ROLE(角色)、GRANTED_ROLE(被授予角色)ADMIN_OPTION(管理选项)例7：用户SWJ001：CREATE ROLE r1;CREATE ROLE r2;GRANT R2 TO R1;SELECT*FROM ROLE_ROLE_PRIVS;ROLE GRANTED_ROLE ADM-R1 R2 NO,8.ROLE_SYS_PRIVS(角色中的系统权限)GRANT SELECT ANY TABLE TO R1;GRANT CREATE USER TO R1;SELECT*FROM ROLE

32、_SYS_PRIVS;ROLE PRIVILEGE ADM-R1 CREATE USER NO R1 SELECT ANY TABLE NO,9.ROLE_TAB_PRIVS(角色中的对象权限)ROLE、OWNER、TABLE_NAME、COLUMN_NAME、PRIVILEGE、GRANTABLE GRANT SELECT ON JOBS TO R1;GRANT INSERT(JOB_ID,JOB_TITLE)ON JOBS TO R1ROLE OWNER TABLE_NAME COLUMN_NAME PRIVILEGE GRA-R1 SWJ001 JOBS SELECT NOR1 SWJ0

33、01 JOBS JOB_ID INSERT NOR1 SWJ001 JOBS JOB_TITLE INSERT NO,10.USER_ROLE_PRIVS(授予用户角色)USERNAME(用户名)GRANTED_ROLE（授予的角色）ADM（管理选项）、DEF(用户缺省角色)例8:GRANT R1 TO T001;GRANT R1 TO T001;用户T001：SELECT*FROM USER_ROLE_PRIVS;USERNAME GRANTED_ROLE ADM DEF-T001 R1 NO NO T001 R2 NO NO,配置文件用于控制用户使用的资源(CPU、连接数量、SGA的内存数

34、量、口令限制等)。配置文件是数据库对象，然后将它赋予一个或多个用户会话:与ORACLE进行一次连接是构成一次会话。配置文件的分类缺省配置文件：每个数据库有一个DEFAULT的配置文件，它赋予数据库所有用户。自定义配置文件：用CREATE PROFILE建立。配置文件作用：用户会话数、CPU使用时间、SGA区域的大小等。,配置文件或概要文件,在概要文件中通过定义资源参数的值来控制用户对资源的使用。资源参数的值可以是一个整数、UNLIMITED（不受限制）或DEFAULT（使用默认概要文件中的参数设置）。资源限制分为会话级和调用级。会话级资源限制是对用户一个会话过程中所使用的资源进行的限制，而调用

35、级资源限制是对一条 SQL语句在执行过程中所能使用的资源进行的限制。,配置文件的参数值,1.SESSION_PER_USER 限制每个用户所允许建立的最大并发会话数目。达到限制时，用户不能再建立连接。2.CPU_PER_SESSION该参数限制每个会话所能使用的CPU时间。参数值是一个整数，单位为百分之一秒。3.CPU_PER_CALL该参数限制每条SQL语句所能使用的 CPU时间。参数值整数，单位为百分之一秒。4.LOGICAL_READS_PER_SESSION每个会话所能读取的数据块数目(内外存),配置文件的参数值,5.LOGICAL_READS_PER_CALL限制每条SQL语句所能读

36、取的数据块数目6.CONNECT_TIME限制每个会话能连接到数据库的最长时间。达到该限制时，会话自动断开。分钟数7.IDLE_TIME限制每个会话所允许的最大连续空闲时间。如果一个会话持续的空闲时间达到该限制，会话自动断开。参数是表示分钟的整数。,配置文件的参数值(口令）,8.FAILED_LOGIN_ATTEMPS指定允许输入错误口令的次数，超过该次数后用户账户被自动锁定。9.PASSWORD_ LOCK_ TIME指定用户账户由于口令输入错误而被锁定后，持续保持锁定状态的天数。10.PASSWORD_LIFE_TIME指定同一个用户口令可以持续使用的时间。如果在达到这个限制之前用户还没有

37、更换另外一个口令，他的口令将失效。失效后必须由管理员重新设置新的口令。,CREATE PROFILE 配置文件名 LIMIT 参数名1=值1 参数名2=值2 例1：CREATE PROFILE ABC LIMIT SESSIONS_PER_USER UNLIMITED CPU_PER_SESSION 100 CPU_PER_CALL 3000 CONNECT_TIME 30 PRIVATE_SGA DEFAULT;各参数可以取值UNLIMITED、DEFAULT或具体的数值。,建立概要文件(CREATE PROFILE系统权限),4.修改配置文件(ALTER PROFILE系统权限)ALTER

38、 PROFILE 配置文件名 LIMIT 配置参数例2:ALTER PROFILE ABC LIMIT SESSIONS_PER_USER 15.删除配置文件(DROP PROFILE系统权限)DROP PROFILE 配置文件名 CASCASECASCADE撤消文件的分配，将DEFAULT分配给使用被撤消文件的用户。例3:DROP PROFILE ABC;例4:DROP PROFILE ABC CASCADE;,6.将配置文件授予给用户并激活可以在建立用户时指定“PROFILE 配置文件”。或通过改变用户ALTER USER来指定配置文件。例1:ALTER USER SWJ001 PROFI

39、LE ABC;例2:CREATE USER TTT IDENTIFIED BY A21 PROFILE ABC;,7.配置文件的数据字典(user_resource_limits)select*from user_resource_limits;RESOURCE_NAME LIMIT-COMPOSITE_LIMIT UNLIMITEDSESSIONS_PER_USER 1CPU_PER_SESSION 100CPU_PER_CALL 3000LOGICAL_READS_PER_SESSION UNLIMITEDLOGICAL_READS_PER_CALL UNLIMITEDIDLE_TIME

40、UNLIMITEDCONNECT_TIME 30PRIVATE_SGA UNLIMITED,创建概要文件,【例】创建一个LIMITED_PROFILE概要文件，把它提供给用户NICK使用。CREATE PROFILE LIMITED_PROFILE LIMITFAILED_LOGIN_ATTEMPTS 5PASSWORD_LOCK_TIME 10;ALTER USER NICKPROFILE LIMITED_PROFILE;如果连续5次与AUTHOR帐户的连接失败，该帐户将自动由Oracle锁定。然后使用AUTHOR帐户的正确口令时，系统会提示错误信息，只有对帐户解锁后，才能再使用该帐户。若一

41、个帐户由于多次连接失败而被锁定，当超过其概要文件的PASSWORD_LOCK_TIME值时将自动解锁。例如，在本例为AUTHOR锁定10天后即被解锁。,用OEM管理数据库安全,数据库名，展开“安全性”项目，单击“用户”,安全性,用户,角色,概要文件,用OEM创建新用户,右键单击导航窗口中“用户”项目，或右键单击右边窗口中的任何一个用户名，然后从弹出的菜单中选择“创建”菜单，或类似创建,用户名称,概要文件,口令,缺省表空间,用户角色,系统权限,对象权限,限额,可用角色,已授予角色,管理选项,缺省角色,为新用户分配角色,为新用户分配配额,表空间名称,限额值,无、无限制、值,1.删除用户右键单击要删

42、除的用户名称，从弹出的菜单中选择“移去”菜单将删除选定的用户；或者选择用户名，按DELETE键。2.修改用户右键单击要修改的用户名称，从弹出的菜单中选择“查看/编辑详细资料”菜单，或者直接双击要修改的用户名称,用OEM删除和修改用户,用OEM管理角色,用OEM管理概要文件,上机内容：每个人在建立一个新用户T001T120，要求下次登录时改变口令。缺省表空间SWJ通过GRANT语句给用户T001授予会话权限（CREATE SESSION)给用户T001加锁，然后试着T001登录，解锁。给用户T001分别授予关于表的建立、插入、查询和删除的系统权限，每加一个试着T001登录，查看可以做的事及T00

43、1的系统权限。删除4题中T001的表的权限，给表JOBS列名(JOB_ID,JOB_TITLE)授予插入和更新权限查看T001的对象权限和列权限。,7.给用户T001带WITH ADMIN OPTION授予系统权限.T001将该权限授予其它用户。8.删除用户T001的所有系统和对象权限。9.建立角色R001,并试着将CREATE SESSION等系统权限和对象权限授予R001,再将角色授予用户T001。用T001登录。11.定义多个角色，将一个角色授予另一角色12.查看角色的系统权限、对象权限和授予用户的角色。13.建立配置文件S001,并将它授予用户T001.14.改变配置S001的参数值。15.查看用户资源信息。删除配置文件S001。,