Oracle sys和system用户、sysdba 和sysoper系统权限、sysdba和dba角色的区别

原创

test0l 2012-07-09 19:08:29 ©著作权

©著作权归作者所有：来自51CTO博客作者test0l的原创作品，请联系作者获取转载授权，否则将追究法律责任

Oracle sys和system用户、sysdba 和sysoper系统权限、sysdba和dba角色的区别

sys和system用户区别

1）最重要的区别，存储的数据的重要性不同

sys所有oracle的数据字典的基表和视图都存放在sys用户中，这些基表和视图对于oracle的运行是至关重要的，由数据库自己维护，任何用户都不能手动更改。sys用户拥有dba，sysdba，sysoper等角色或权限，是oracle权限最高的用户。

system用户用于存放次一级的内部数据，如oracle的一些特性或工具的管理信息。system用户拥有普通dba角色权限。

2）其次的区别，权限的不同

system用户只能用normal身份登陆em，除非你对它授予了sysdba的系统权限或者syspoer系统权限。
sys用户具有“SYSDBA”或者“SYSOPER”系统权限，登陆em也只能用这两个身份，不能用normal。

以sys用户登陆Oracle，执行select * from V_$PWFILE_USERS;可查询到具有sysdba权限的用户，如：

SQL> select * from V_$PWFILE_USERS;
USERNAME SYSDBA SYSOPER
SYS TRUE TRUE

Sysdba和sysoper两个系统权限区别

normal 、sysdba、 sysoper有什么区别
normal 是普通用户
另外两个，你考察他们所具有的权限就知道了
sysdba拥有最高的系统权限，登陆后是 sys
sysoper主要用来启动、关闭数据库，sysoper 登陆后用户是 public

sysdba和sysoper属于system privilege，也称为administrative privilege，拥有例如数据库开启关闭之类一些系统管理级别的权限sysdba和sysoper具体的权限可以看下表：

系统权限	sysdba	sysoper
区别	Startup(启动数据库)	startup
	Shutdown(关闭数据库)	shutdown
	alter database open/mount/backup	alter database open/mount/backup
	改变字符集	none
	create database(创建数据库)	None不能创建数据库
	drop database(删除数据库)	none
	create spfile	create spfile
	alter database archivelog(归档日志)	alter database archivelog
	alter database recover(恢复数据库)	只能完全恢复，不能执行不完全恢复
	拥有restricted session(会话限制)权限	拥有restricted session权限
	可以让用户作为sys用户连接	可以进行一些基本的操作，但不能查看用户数据
	登录之后用户是sys	登录之后用户是public

system如果正常登录，它其实就是一个普通的dba用户，但是如果以as sysdba登录，其结果实际上它是作为sys用户登录的，这一点类似Linux里面的sudo的感觉，从登录信息里面我们可以看出来。因此在as sysdba连接数据库后，创建的对象实际上都是生成在sys中的。其他用户也是一样，如果 as sysdba登录，也是作为sys用户登录的，看以下实验：

SQL> create user strong identified by strong;

用户已创建。

SQL> conn strong/strong@magick as sysdba;

已连接。

SQL> show user;

USER 为 "SYS"

SQL> create table test(a int);

表已创建。

SQL> select owner from dba_tables where table_name='test';

未选定行 //因为创建表时oracle自动转为大写，所以用小写查的时候是不存在的；

SQL> select owner from dba_tables where table_name='TEST';

OWNER

------------------------------

SYS

dba和sysdba的区别

dba、sysdba这两个系统角色有什么区别呢

在说明这一点之前我需要说一下oracle服务的创建过程

创建实例→·启动实例→·创建数据库(system表空间是必须的)

启动过程

实例启动→·装载数据库→·打开数据库

sysdba，是管理oracle实例的，它的存在不依赖于整个数据库完全启动，只要实例启动了，他就已经存在，以sysdba身份登陆，装载数据库、打开数据库。只有数据库打开了，或者说整个数据库完全启动后，dba角色才有了存在的基础！

默认密码：

   sys  change_on_install   （意思是安装时改变，我改成zxsz4084）

system manager

scott tiger

概念：

SYS用户是Oracle中权限最高的用户，而SYSTEM是一个用于数据库管理的用户。在数据库安装完之后，应立即修改SYS,SYSTEM这两个用户的口令，以保证数据库的安全。

可以用三种方法修改口令：
sqlplus / as sysdba;
1.sql> alter user sys identified by 123456

2.sql>grant connect to sys identified by 123456

3.sql>password system （注：此命令只适用于SYSTEM）

SYS和SYSTEM用户之间可以相互修改口令

但是请注意，将修改完口令修改成123456后，按以下几种方法登录：
sqlplus / as sysdba;
sqlplus sys/abcde as sysdba;
sqlplus sys/ as sysdba;
sqlplus sys as sysdba;
都可以登录成功，然后查看当前用户：
sql>show user
显示 user is 'SYS'。
这是为什么呢，为什么修改了口令没有效果，不用口令或者随便用什么口令都可以进入呢。
答案是：认证方法。

oracle的口令认证

SYS口令认证分为操作系统认证和Oracle认证方法。

1.在操作系统认证方式下，

对于如果是Unix操作系统，只要旧以DBA组中的用户登录的操作系统，就可以以SYSDBA的身份登录数据库，不会验证SYS的口令。
对于windows操作系统，在oracle数据库安装后，会自动在操作系统中安装一个名为ORA_DBA的用户组，只要是该组中的用户，即可以SYSDBA的身份登录数据库而不会验证SYS的口令。也可以创建名为ORA_SID_DBA(SID为实例名)的用户组，属于该用户组的用户也可以具备以上特权。

如何修改认证方式

接下说一说，如何修改认证方式为操作系统认证或oracle认证。(windows，unix平台有大同小异)

要将认证方式设置为操作系统认证：
1.修改参数REMOTE_LOGIN_PASSWORDFILE为NONE
2.修改SQLNET.ORA文件，此文件所在目录为：...\oracle\product\10.1.0\db_1\network\admin\sqlnet.ora。在其中添加这一行：SQLNET.AUTENTICATION_SERVICES=(NTS)
3.重新启动数据库。

要将认证方式设置为oracle认证(口令文件认证)：
1.修改参数REMOTE_LOGIN_PASSWORDFILE为EXCLUSIVE或SHARED。其中，exclusive表示仅有一个实例可以使用口令文件。shared表口令文件可以供多个实例使用。
2.修改SQLNET.ORA文件，在SQLNET.AUTENTICATION_SERVICES=(NTS)前加#号，即#SQLNET.AUTENTICATION_SERVICES=(NTS)
3.重新启动数据库。

如果发生sys口令丢失的情况，怎么办？

1.使用system用户进行口令更改

2.如果存在密码文件，则删除它（一般路径在..\oracle\product\xx.x.x\db_1\database下）然后创建密码文件--cmd下输入
orapwd file=FILEPATH\pwd<sid> password=PASSWORD entries=N
其中FILEPATH表示密码文件路径，密码文件的格式为pwd<sid>,sid是数据库实例名。