27_SH43-0144-00 (1038594), страница 56
Текст из файла (страница 56)
Однако опция WITH GRANT OPTION непозволяет отозвать уже предоставленную привилегию. Чтобы отозватьпривилегию, нужно иметь полномочия SYSADM, DBADM или привилегиюCONTROL.Пользователя или группу можно наделить любым сочетанием отдельныхпривилегий и полномочий. При связывании привилегии с ресурсом этот ресурсдолжен существовать. Это значит, что нельзя предоставить пользователюпривилегию SELECT для таблицы, если эта таблица еще не создана.Примечание: Следует проявлять осторожность при предоставлении полномочийи привилегий имени авторизации, если пользователя с этимименем авторизации еще нет. Если позже будет созданпользователь с этим именем авторизации, он автоматическиполучит все полномочия и привилегии, связанные с этим именемавторизации.Информацию об авторизации, требуемой для конкретных команд, интерфейсовAPI и операторов SQL, смотрите в книгах Command Reference, Administrative APIReference или SQL Reference.Полномочия управления системой (SYSADM)Полномочия SYSADM - самый высокий уровень полномочий управления.Пользователи с полномочиями SYSADM могут запускать утилиты, выдаватьГлава 5.
Управление доступом к базам данных251команды базы данных и менеджера баз данных и обращаться к данным в любойтаблице в составе любой базы данных в экземпляре менеджера баз данных. Этиполномочия позволяют управлять всеми объектами баз данных в экземпляре,включая базы данных, таблицы, производные таблицы, индексы, пакеты, схемы,серверы, алиасы, типы данных, функции, процедуры, триггеры, табличныепространства, группы узлов, пулы буферов и мониторы событий.Полномочия SYSADM присваиваются группе, заданной параметромконфигурации sysadm_group (смотрите раздел “Настройка DB2” в Руководствоадминистратора: Производительность).
Членство в этой группе управляется внеменеджера баз данных через утилиту защиты, используемую на вашейплатформе. Информацию о том, как использовать вашу системную утилитузащиты для создания, изменения и удаления полномочий SYSADM, смотрите вкниге Quick Beginnings.Только пользователь с полномочиями SYSADM может выполнять следующиефункции:v Перенастроить базу данныхv Изменить файл конфигурации менеджера баз данных (включая задание группс полномочиями SYSCTRL и SYSMAINT)v Предоставить полномочия DBADM.Кроме того, пользователь с полномочиями SYSADM может выполнять функциипользователей со следующими полномочиями:v “Полномочия управления системой (SYSCTRL)”v “Полномочия обслуживания системы (SYSMAINT)” на стр. 253v “Полномочия управления базой данных (DBADM)” на стр. 254Примечание: Когда пользователи с полномочиями SYSADM создают базыданных, они автоматически получают явные полномочия DBADMдля этих баз данных.
Если создатель базы данных будет удален изгруппы SYSADM и вы также хотите предотвратить его доступ кэтой базе данных с использованием полномочий DBADM, нужноявно отозвать эти полномочия DBADM.Полномочия управления системой (SYSCTRL)Полномочия SYSCTRL - самый высокий уровень полномочий управлениясистемой. Эти полномочия позволяют выполнять обслуживание и операции сутилитами для экземпляра менеджера баз данных и его баз данных. Этиоперации могут затрагивать системные ресурсы, но не дают прямого доступа кданным в базах. Полномочия управления системой предназначены дляпользователей, управляющих экземпляром менеджера баз данных, которыйсодержит конфиденциальные данные.252Руководство администратора: РеализацияПолномочия SYSCTRL присваиваются группе, заданной параметромконфигурации sysctrl_group (смотрите раздел “Настройка DB2” в Руководствоадминистратора: Производительность).
Если эта группа задана, членство в этойгруппе управляется вне менеджера баз данных через утилиту защиты,используемую на вашей платформе.Только пользователь с полномочиями SYSCTRL и выше может:v Изменять каталог баз данных, узла и DCS (distributed connection services служба распределенных соединений)v Принудительно отключать пользователей от системыv Создавать и отбрасывать базы данныхv Отбрасывать, создавать и изменять табличные пространстваv Выполнять восстановление в новую базу данных.Кроме того, пользователь с полномочиями SYSCTRL может выполнятьфункции пользователей с полномочиями “Полномочия обслуживания системы(SYSMAINT)”.Пользователи с полномочиями SYSCTRL имеют также неявную привилегиюсоединяться с базой данных.Примечание: Когда пользователи с полномочиями SYSCTRL создают базыданных, они автоматически получают явные полномочия DBADMдля этих баз данных.
Если создатель базы данных будет удален изгруппы SYSCTRL и вы также хотите предотвратить его доступ кэтой базе данных с использованием полномочий DBADM, нужноявно отозвать эти полномочия DBADM.Полномочия обслуживания системы (SYSMAINT)Полномочия SYSMAINT - второй уровень полномочий управления системой.Эти полномочия позволяют выполнять обслуживание и операции с утилитамидля экземпляра менеджера баз данных и его баз данных. Эти операции могутзатрагивать системные ресурсы, но не дают прямого доступа к данным в базах.Полномочия обслуживания системы предназначены для пользователей,обслуживающих базы данных в экземпляре менеджера баз данных, которыйсодержит конфиденциальные данные.Полномочия SYSMAINT присваиваются группе, заданной параметромконфигурации sysmaint_group (смотрите раздел “Настройка DB2” в Руководствоадминистратора: Производительность).
Если эта группа задана, членство в этойгруппе управляется вне менеджера баз данных через утилиту защиты,используемую на вашей платформе.Только пользователь с системными полномочиями SYSMAINT и выше может:v Изменять файлы конфигурации баз данныхГлава 5. Управление доступом к базам данных253vvvvСоздавать резервные копии баз данных и табличных пространствВыполнять восстановление в существующую базу данныхВыполнять восстановление с повтором транзакцийЗапускать и останавливать экземпляр базы данныхv Восстанавливать табличное пространствоv Запускать трассировкуv Делать с помощью монитора баз данных снимки экземпляра менеджера базданных или его баз данных.Пользователь с полномочиями SYSMAINT, DBADM и выше может:v Выполнять запросы состояния табличного пространстваv Изменять файлы хронологии журналовv Стабилизировать табличное пространствоv Реорганизовать таблицуv Собирать статистику каталога с помощью утилиты RUNSTATS.Пользователи с полномочиями SYSMAINT имеют также неявную привилегиюсоединяться с базой данных.Полномочия управления базой данных (DBADM)Полномочия DBADM - второй уровень полномочий управления.
Они действуюттолько для конкретной базы данных и позволяют пользователю запускатьопределенные утилиты, выдавать команды базы данных и обращаться к даннымв любой таблице в составе этой базы данных. Когда предоставляютсяполномочия DBADM, одновременно предоставляются привилегии BINDADD,CONNECT, CREATETAB, CREATE_NOT_FENCED и IMPLICIT_SCHEMA.Только пользователь с полномочиями SYSADM может предоставлять иотозвать полномочия DBADM.
Пользователь с полномочиями DBADM можетпредоставлять другим привилегии для базы данных и может отозвать любуюпривилегию у любого пользователя, независимо от того, кто ее предоставил.Только пользователь с полномочиями DBADM и выше может:v Читать файлы журналовv Создавать, активировать и отбрасывать мониторы событий.|Пользователь с полномочиями DBADM, SYSMAINT и выше может:v Выполнять запросы состояния табличного пространстваv Изменять файлы хронологии журналовv Стабилизировать табличное пространствоv Реорганизовать таблицуv Собирать статистику каталога с помощью утилиты RUNSTATS.254Руководство администратора: РеализацияПримечание: DBADM может выполнять перечисленные функции только на тойбазе данных, для которой у него есть полномочия DBADM.||||Полномочия LOADПользователи, имеющие полномочия LOAD на уровне базы данных, а такжепривилегию INSERT для таблицы, могут выдавать команду LOAD и запускатьутилиту AutoLoader для загрузки данных в таблицу.|||Пользователи, имеющие полномочия LOAD на уровне базы данных, а такжепривилегию INSERT для таблицы, могут выдавать команды LOAD RESTART иLOAD TERMINATE, если предыдущая операция загрузки - вставка данных.|||Если предыдущая операция загрузки - загрузка с заменой, пользователю нужнапривилегия DELETE, чтобы он мог выдавать команды LOAD RESTART и LOADTERMINATE.||Если при операции LOAD используются таблицы исключений, пользователюнужна привилегия INSERT для таблиц исключений.||Пользователь с этими полномочиями может выполнять команды QUIESCETABLESPACES FOR TABLE, RUNSTATS и LIST TABLESPACES.Привилегии базы данныхНа рис.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
