在 上进行缺省的 安装时,这些参数的值被缺省地设置为
。这意味着超级用户权限被授给属于本地 5(2(组的所有有效用
户账户。在 和 平台上,值被缺省地赋给实例所有者的主组,
完成安装后,缺省情况下这个组只包含用户 和实例所有者。
作为一项最佳实践,应该将每个实例级权限参数的缺省值改为一个显式的组
名,以防止意料之外的超级用户访问。
在小型企业中,一个 扮演着多种角色,那么这些参数可以设置为相同
的组名。而在大型环境中,由多个 负责一个系统,因此可以使用不同的组
名。除了确保这些参数具有显式值以外,还应该尽量确保参数值所指定的组中的
所有用户都确实有必要成为这个组的成员。如果没有这个必要,那么应该从这个
组中删除6由于用户和组账户的管理是在 之外处理的,因此 不会仔细
检查用户应不应该成为一个组的成员。
跟踪隐式的特权
如前所述,创建一个新的数据库时,被隐式地授予一些特权。实际
上,并不是只有此时才会授予隐式的特权。在某些情况下,当一个用户创建一个
数据库对象,例如一个表或者包的时候,或者当授予 .权限级别的时候,
数据库管理器会隐式地将一些特权授给用户。理解被隐式授予的特权有哪些,这
些隐式特权所蕴涵的安全意义,这一点非常重要。
表 授予不同动作的隐式特权小结
授予执行该动作的用户的隐式特权
将 ' ! .权限以及
、%!、
!! 、 !/! /%!、
!/%!/-/%!、.!/&
. 、%
和 "/%!权限授予创建者($ .或
$!)
将 ' !
、 !! 、%!和
.!/&. 授予
将 表空间上的 特权授予
将 $%模式中所有过程和函数的 !
!&
' !特权授予
将 "#模式中所有过程上的 !(7' !特
权授予
将 模式中所有包上的 和 !特权
授予
将 "#和 模式上的 !授予
将 $.编目上的 !授予
将 $ !编目视图上的 !特权授予