Benutzerberechtigungen für Geodatabases in Oracle

Benutzer müssen über bestimmte Berechtigungen verfügen, je nachdem, welche Aktionen sie in der Oracle-Datenbank ausführen. Einige Berechtigungen können Rollen zugewiesen werden, andere müssen direkt für den einzelnen Benutzer eingerichtet werden.

Im ersten Abschnitt in diesem Thema werden Paketberechtigungen genannt, die für alle Benutzer erforderlich sind. Diese Berechtigungen müssen der öffentlichen Rolle für die Erstellung und Aktualisierung von Geodatabases zugewiesen werden. Wenn Sie die Berechtigungen jedoch aus der öffentlichen Rolle widerrufen möchten, können sie auch sämtlichen Einzelbenutzern nach der Erstellung oder Aktualisierung der Geodatabase erteilt werden.

Im zweiten Abschnitt werden die mindestens erforderlichen Datenbankberechtigungen für die gängigen Benutzertypen aufgelistet: Daten lesen, Daten bearbeiten, Daten erstellen und ArcSDE-Administrator. Diese Berechtigungen sind zusätzlich zu den im ersten Abschnitt genannten Berechtigungen erforderlich.

Im dritten Abschnitt werden die für den ArcSDE-Administrator erforderlichen Berechtigungen zum Erstellen oder Aktualisieren einer Geodatabase aufgeführt. Auch diese Berechtigungen sind zusätzlich zu den im ersten Abschnitt genannten Berechtigungen erforderlich.

Im letzten Abschnitt werden optionale Berechtigungen genannt, die Benutzern von ArcSDE for Oracle häufig zugewiesen werden.

Die Benutzerberechtigungen lassen sich über Oracle Enterprise Manager verwalten. Sie können auch SQL-Anweisungen zum Gewähren und Widerrufen von Berechtigungen verwenden.

Paketprivilegien

Für die folgenden Pakete sind EXECUTE-Berechtigungen erforderlich:

Für die Erstellung und Aktualisierung der Geodatabase muss die EXECUTE-Berechtigungen für diese Pakete der öffentlichen Rolle zugewiesen werden.

GRANT EXECUTE ON dbms_pipe TO public;
GRANT EXECUTE ON dbms_lock TO public;
GRANT EXECUTE ON dbms_lob TO public;
GRANT EXECUTE ON dbms_utility TO public;
GRANT EXECUTE ON dbms_sql TO public;
GRANT EXECUTE ON utl_raw TO public;

TippTipp:

Berechtigungen zum Ausführen für "dbms_lob", "dbms_utility", "dbms_sql" und "utl_raw" werden in Oracle standardmäßig der öffentlichen Rolle zugewiesen. Somit müssen Sie diese Berechtigung nur für die Pakete erteilen, die Sie explizit aus PUBLIC widerrufen haben.

Nachdem Sie die Geodatabase erstellt oder aktualisiert haben, können Sie die Berechtigungen für diese Pakete einschränken, indem Sie sie aus der öffentlichen Rolle widerrufen und für jeden Benutzer einzeln erteilen, der sich bei der Geodatabase anmeldet, einschließlich des ArcSDE-Administrators.

VorsichtVorsicht:

Es ist nicht möglich, eine EXECUTE-Berechtigung für eine Rolle zu erteilen und diese Rolle anschließend allen Benutzern zuzuweisen, da durch Benutzerrollen erteilte Berechtigungen beim Ausführen von Oracle-Paketen nicht anwendbar sind.

Mindestberechtigungen

Folgende Berechtigungen sind zusätzlich zu den im ersten Abschnitt genannten Berechtigungen für jeden der genannten Benutzertypen erforderlich:

Benutzertyp

Datenbankberechtigungen

Dataset-Berechtigungen

Hinweise

Daten lesen

  • CREATE SESSION

SELECT zum Auswählen von Datenbankobjekten

Wenn Ihre Datenbank für das Verwenden von Shared Log Files (Standardeinstellung) aus ArcSDE konfiguriert ist, sind u. U. zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Konfigurationsoptionen für Protokolldateitabellen in Oracle.

Daten bearbeiten

  • CREATE SESSION

SELECT, INSERT, UPDATE und DELETE für Datasets anderer Benutzer

Wenn Ihre Datenbank für das Verwenden von Shared Log Files (Standardeinstellung) aus ArcSDE konfiguriert ist, sind u. U. zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Konfigurationsoptionen für Protokolldateitabellen in Oracle.

Daten erstellen

  • CREATE SESSION
  • CREATE SEQUENCE
  • CREATE TRIGGER
  • CREATE VIEW
  • CREATE TABLE

Die Berechtigung CREATE VIEW ist nur erforderlich, wenn der Benutzer Datenbanksichten, räumliche Sichten oder Multiversioned Views erstellen muss.

ArcSDE-Administrator

  • CREATE SESSION
  • CREATE SEQUENCE
  • CREATE TABLE
  • CREATE TRIGGER
  • CREATE PROCEDURE
  • SELECT ANY TABLE

Die Berechtigung SELECT ANY TABLE ist erforderlich, wenn Sie die Autoregistrierung bei Oracle Spatial verwenden. Wenn Sie die Autoregistrierung nicht verwenden, wird die Berechtigung SELECT ANY TABLE nicht benötigt.

Mindestberechtigungen in Oracle
HinweisHinweis:

Ab Oracle 10g Release 2 ist der Zugriff auf ORACLE_HOME aus Sicherheitsgründen stärker eingeschränkt. Damit der ArcSDE-Administrator auf die Dateien in ORACLE_HOME zugreifen kann, ohne dem ArcSDE-Administrator erweiterte Berechtigungen zu erteilen, installieren Sie einen kompatiblen Oracle-Client unter dem SDE-Konto des Betriebssystems. Legen Sie ORACLE_HOME für den Client unter UNIX/Linux in der Shell des Benutzers "SDE" fest. Der Knowledge Base-Artikel 34824 enthält hierzu nähere Angaben.

Erforderliche Berechtigungen zum Erstellen oder Aktualisieren einer Geodatabase

In der folgenden Tabelle werden die Berechtigungen aufgelistet, die der ArcSDE-Administrator benötigt, um eine ArcSDE-Geodatabase erstellen oder aktualisieren zu können. Der Grund dafür, warum die jeweilige Berechtigung oder Berechtigungsgruppe erforderlich ist, wird ebenfalls genannt. Einige dieser Berechtigungen können nach Abschluss der Erstellung oder Aktualisierung abgeschlossen werden (siehe das Feld "Zweck" und Mindestberechtigungen für den ArcSDE-Administrator in der vorherigen Tabelle).

HinweisHinweis:

Wenn Sie in Benutzerschemas erstellte Geodatabases in Oracle verwenden, benötigt der Besitzer des Schemas, in dem sich die Geodatabase befindet, zum Erstellen/Aktualisieren der Geodatabase die gleichen Berechtigungen.

Berechtigungen werden nach dem Zweck gruppiert, den sie während der Erstellung und Aktualisierung der Geodatabase erfüllen.

Berechtigung

Zweck

  • CREATE SESSION

Verbinden mit Oracle.

  • CREATE TABLE
  • CREATE TRIGGER

Erstellen und Aktualisieren des ArcSDE-Repositorys.

  • CREATE SEQUENCE

Erstellen von Sequenzen beim Erstellen der Geodatabase.

  • CREATE PROCEDURE

Erstellen/Aktualisieren von Paketen zum Verwalten der Inhalte von ArcSDE-Repository-Tabellen.

  • CREATE INDEXTYPE
  • CREATE LIBRARY
  • CREATE OPERATOR
  • CREATE PUBLIC SYNONYM
  • CREATE TYPE
  • CREATE VIEW
  • DROP PUBLIC SYNONYM

Erstellen Sie die benutzerdefinierten Datentypen "ST_Geometry" und "ST_Raster". CREATE OPERATOR und CREATE INDEXTYPE sind für die Aktualisierung von ArcSDE ebenfalls erforderlich. Diese Berechtigungen können nach der Installation oder Aktualisierung widerrufen werden. CREATE VIEW wird benötigt, um Systemsichten, GDB_Items_vw und GDB_ItemRelationships_vw, zu erstellen.

  • ALTER ANY INDEX
  • CREATE ANY INDEX
  • CREATE ANY TRIGGER
  • CREATE ANY VIEW
  • DROP ANY INDEX
  • DROP ANY VIEW
  • SELECT ANY TABLE

Aktualisieren der Geodatabase-Inhalte.

  • ADMINISTER DATABASE TRIGGER

Ermöglicht das Erstellen von Datenbankereignis-Triggern, die erforderlich sind, um die Tabellen "ST_GEOMETRY_COLUMNS" und "ST_GEOMETRY_INDEX" zu ändern, wenn eine Tabelle mit dem Geometriespeichertyp "ST_GEOMETRY" mit SQL entfernt, geändert oder umbenannt wird. Diese Berechtigung kann nach der Installation oder Aktualisierung widerrufen werden.

Oracle ArcSDE-Administratorberechtigungen zum Erstellen oder Aktualisieren einer Geodatabase
TippTipp:

Zusammen mit ArcSDE for Oracle wird im Verzeichnis SDEHOME > tools > Oracle ein Skript ("createsdeoracle.sql") installiert. Sie können dieses Skript bearbeiten und verwenden, um einen Tablespace und einen Benutzer "sde" zu erstellen und dem Benutzer "sde" Berechtigungen zum Erstellen oder Aktualisieren einer Geodatabase zuzuweisen.

Häufig verwendete optionale Berechtigungen

Viele Unternehmen nutzen zusätzliche Oracle-Funktionen, um die Möglichkeiten ihrer Geodatabases zu erweitern. In der folgenden Tabelle sind mehrere häufig verwendete optionale Berechtigungen für den ArcSDE-Administrator und ihr Zweck aufgeführt. Die Berechtigungen sind nach Zweck sortiert.

Berechtigung

Zweck

  • ALTER SESSION
  • PLUSTRACE

Aktiviert SQL-Tracing und die Funktion SQL*Plus AUTOTRACE und ermöglicht die Änderung sitzungsspezifischer Initialisierungsparameter zur Leistungsoptimierung und Problembehandlung. Erstellen Sie die PLUSTRACE-Rolle, indem Sie "ORACLE_HOME/sqlplus/admin/plustrce.sql" ausführen.

  • ADVISOR (nur Oracle 10g)
  • ALTER ANY INDEX
  • ANALYZE ANY
  • SELECT ANY DICTIONARY
  • CREATE JOB (nur Oracle 10g)

Mit dieser Berechtigung kann der ArcSDE-Administrator das Oracle-System überwachen und allgemeine Wartungs-Tasks ausführen.

Nützlich für Unternehmen, in denen der ArcSDE-Administrator nicht der Oracle-DBA ist.

  • CREATE DATABASE LINK
  • CREATE MATERIALIZED VIEW
  • CREATE VIEW

Nützlich zur Integration der Geodatabase mit anderen nicht räumlichen Datenbanken im Unternehmen.

  • RESTRICTED SESSION

Ermöglicht dem ArcSDE-Administratorbenutzer, Wartungs-Tasks auszuführen, während die Datenbank online ist, Endbenutzer jedoch nicht darauf zugreifen können.

  • UNLIMITED TABLESPACE

Die Erteilung dieser Berechtigung für den ArcSDE-Administrator für Installation und Upgrade stellt sicher, dass der Tablespace des ArcSDE-Administrators in der Datenbank, über genügend Speicherplatz verfügt, damit die Installation/Aktualisierung abgeschlossen werden kann. Diese Berechtigung kann nach der Installation oder Aktualisierung von ArcSDE widerrufen werden, wenn Beschränkungen für die Speicherverwaltung bestehen.

HinweisHinweis:

Sie müssen Quota vor dem Gewähren der UNLIMITED TABLESPACE-Systemberechtigung zuweisen. Später können Sie die Quota nicht mehr über die Oracle Enterprise Manager-Konsole ändern.

Informationen zum Verwenden von Speicherkontingenten finden Sie unter Speicheroptimierung in Oracle.

  • ALTER SYSTEM
  • SELECT_CATALOG_ROLE

Der Benutzer "sde" muss über diese Berechtigungen verfügen, um direkte Verbindungen zur Geodatabase mit dem Befehl "sdemon" abzubrechen.

Alternativ kann der Benutzer "sde" der DBA-Rolle hinzugefügt werden, um direkte Verbindungen abzubrechen.

Optionale Berechtigungen in Oracle

Dataset-Berechtigungen sollten von dem Dataset-Besitzer mithilfe des in ArcGIS Desktop verfügbaren Geoverarbeitungswerkzeugs "Berechtigungen ändern" gewährt oder widerrufen werden. Anweisungen finden Sie unter Gewähren und Widerrufen von Berechtigungen für Datasets and Berechtigungen ändern.

Verwandte Themen


3/6/2012