达梦数据库教程（6）用户权限与模式管理

一、达梦数据库用户

1、达梦数据库系统用户

达梦数据库在安装完成以后，通过三权分立（达梦数据库安全版则是四权分立）的特性将数据库管理员分为数据库管理员（SYSDBA）、数据库安全员（SYSSSO）、数据库审计员（SYSAUDITOR），并且为这些不同的管理账号提供了独立的权限，互相制约，提高了整个数据库系统的安全性。另还存在一个SYS特殊用户，该账户并不能登录和对数据库进行管理，仅用于保存系统内部对象。这几个账号主要作用如下：

· SYSDBA 

数据库管理员账号，类似于操作系统root账号，用于对数据库进行日常管理

· SYSSSO 

该账号是数据库初始化后自动创建，用于对安全性有高要求的场景，如不允许管理员账号拥有所有对象的权限。数据库安全员通过制定安全策略和安全标记可以限制SYSDBA账号对这些资源进行访问。SYSSSO账号不能对数据进行增删改查，通过该账号可以创建新的数据库安全员。

· AUDITOR 

数据库审计员账号，用于审计其他账号对数据库进行的所有操作。该账号也是在数据库安装完成后自动创建

· SYSDBO

数据库对象操作员账号，是四权分立机制下独有账号。四权分立时数据库管理员只能进行系统管理和维护工作，不能对数据内容进行增删查改操作，而数据库操作员可进行数据增删改查，但不能管理和维护系统

2、达梦数据库用户管理

· 用户口令策略

达梦数据库通过PWD_POLICY参数来决定用户的默认密码策略，该参数可以通过DM.INI文件设置或者创建用户时使用PASSWORD_POLICY 子句单独设置，可选值为 15 或 31：

· 15： 默认设置，口令禁止与用户名相同，口令长度需大于等于 INI 参数 PWD_MIN_LEN 设置的值，最长为 48 字节，至少包含一个大写字母和一个小写字母，至少包含一个数字

· 31：口令禁止与用户名相同，口令长度需大于等于 INI 参数 PWD_MIN_LEN 设置的值，最长为 48 字节，至少包含一个大写字母和一个小写字母，至少包含一个数字，至少包含一个除空格外的半角符号

#查询 PWD_POLICY 当前策略
SELECT * FROM V$PARAMETER WHERE NAME= 'PWD_POLICY';

#将 PWD_POLICY 设置为 31，同时修改文件和内存参数
SP_SET_PARA_VALUE(1, 'PWD_POLICY',31);

· 查询用户信息

查询实例中已经存在的用户

#只查询用户名
select username from DBA_USERS

#包含过期时间等信息
Select username,account_status,expiry_date,default_tablespace,default_index_tablespace,CREATED from dba_users order by CREATED desc;

· 创建用户

使用不同方式创建用户会影响用户的默认权限，使用图形化工具达梦MANAGER 执行 CREATE USER 语句所创建的用户会同时具备 SVI 和 VTI 权限；使用 disql 执行 CREATE USER 语句创建的用户只具备 SVI 角色权限；但是不管什么方式都必须先具有 CREATE USER 权限才可以进行创建用户操作

#创建用户YWPIE，并指定表空间和权限
create user YWPIE identified by "**********"
default tablespace "YWPIE"
default index tablespace "YWPIE";

grant "DBA","PUBLIC","RESOURCE","SOI" to YWPIE;

· 删除用户

达梦数据库删除用户命令虽然也是DROP USER，但是和MySQL有较大的区别。如果用户下有对象存在则无法删除用户，或者使用CASCADE选项级联删除，使用级联删除时会自动删除该用户以及与用户相关联的所有对象，包括表、视图、存储过程等

DROP USER YWPIE CASCADE;

二、达梦数据库角色

达梦内置了很多角色，不同角色有不同的权限，三权分立下角色与说明

1、查询用户角色

SELECT GRANTEE,GRANTED_ROLE FROM DBA_ROLE_PRIVS;

2、查询角色权限

#查询SYSDBA角色的权限
SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE='SYSDBA'

3、角色授权

#对用户YWPIE授予RESOURCE角色权限
grant resource to YWPIE;

三、达梦数据库模式

模式（SCHEMA）是一个用户拥有的数据库对象集的集合，包含表、视图、索引和权限定义等对象。通过模式可以将数据库对象组织称逻辑组，将不同的应用放在不同的模式中，实现业务资源的隔离（类似MySQL中的database概念）。当创建用户以后会自动创建一个与用户名同名的模式作为该用户的默认模式。一个用户可以创建多个模式，一个模式中的对象可以给多个用户使用。

1、创建模式

#创建模式，其拥有者为YWPIE
CREATE SCHEMA YWPIE AUTHORIZATION "YWPIE";

2、查看用户模式

select a.name as username, b.name as schenma from sysobjects a inner join sysobjects b on a.id = b.pid where b.subtype$ is null order by username desc;

3、查询当前模式

SELECT SF_GET_SCHEMA_NAME_BY_ID(CURRENT_SCHID());

4、删除模式

drop schema YWPIE;

达梦国产数据库信创