Benutzerberechtigungen für Geodatabases in Oracle

Benutzer müssen über bestimmte Berechtigungen verfügen, je nachdem, welche Aktionen sie in der Oracle-Datenbank ausführen. Einige Berechtigungen können Rollen zugewiesen werden, andere müssen jedoch direkt für den einzelnen Benutzer eingerichtet werden.

Im ersten Abschnitt in diesem Thema werden Paketberechtigungen genannt, die für alle Benutzer erforderlich sind. Diese Berechtigungen müssen der öffentlichen Rolle für die Erstellung und Aktualisierung von Geodatabases zugewiesen werden. Wenn Sie die Berechtigungen jedoch von der öffentlichen Rolle widerrufen möchten, können sie auch sämtlichen Einzelbenutzern nach der Erstellung oder Aktualisierung der Geodatabase erteilt werden.

Im zweiten Abschnitt werden die mindestens erforderlichen Datenbankberechtigungen für die gängigen Benutzertypen aufgelistet: Benutzer, die Daten lesen, Daten bearbeiten bzw. Daten erstellen und Geodatabase-Administrator. Diese Berechtigungen sind zusätzlich zu den im ersten Abschnitt genannten Berechtigungen erforderlich.

Im dritten Abschnitt werden die für den Geodatabase-Administrator erforderlichen Berechtigungen zum Erstellen oder Aktualisieren einer Geodatabase aufgeführt. Auch diese Berechtigungen sind zusätzlich zu den im ersten Abschnitt genannten Berechtigungen erforderlich.

Im letzten Abschnitt werden optionale Berechtigungen genannt, die Benutzern von Geodatabases in Oracle häufig zugewiesen werden.

Die Benutzerberechtigungen lassen sich über Oracle Enterprise Manager verwalten. Sie können auch SQL-Anweisungen zum Gewähren und Widerrufen von Berechtigungen verwenden.

Paketberechtigungen

Für die folgenden Pakete sind EXECUTE-Berechtigungen erforderlich:

Für die Erstellung und Aktualisierung der Geodatabase muss die EXECUTE-Berechtigungen für diese Pakete der öffentlichen Rolle zugewiesen werden.

GRANT EXECUTE ON dbms_pipe TO public;
GRANT EXECUTE ON dbms_lock TO public;
GRANT EXECUTE ON dbms_lob TO public;
GRANT EXECUTE ON dbms_utility TO public;
GRANT EXECUTE ON dbms_sql TO public;
GRANT EXECUTE ON utl_raw TO public;

TippTipp:

EXECUTE-Berechtigungen für dbms_utility, dbms_sql, und utl_raw werden in Oracle standardmäßig der öffentlichen Rolle zugewiesen. Somit müssen Sie die Berechtigung "EXECUTE" nur für die Pakete erteilen, wenn Sie sie explizit von der öffentlichen Rolle widerrufen haben.

Nachdem Sie die Geodatabase erstellt oder aktualisiert haben, können Sie die Berechtigungen für diese Pakete einschränken, indem Sie sie von der öffentlichen Rolle widerrufen und für jeden Benutzer einzeln erteilen, der sich bei der Geodatabase anmeldet, einschließlich des Geodatabase-Administrators.

AchtungAchtung:

Es ist nicht möglich, die EXECUTE-Berechtigung für eine Rolle zu erteilen und diese Rolle anschließend allen Benutzern zuzuweisen, da durch Benutzerrollen erteilte Berechtigungen beim Ausführen von Oracle-Paketen nicht anwendbar sind.

Nachdem Sie einzelnen Benutzern die Berechtigung "EXECUTE" gewährt haben, muss das sde-Schema neu kompiliert werden:

EXEC dbms_utility.compile_schema( 'SDE' );

Mindestberechtigungen

Folgende Berechtigungen sind zusätzlich zu den im ersten Abschnitt genannten Berechtigungen für jeden der genannten Benutzertypen erforderlich:

Benutzertyp

Datenbankberechtigungen

Dataset-Berechtigungen

Hinweise

Daten lesen

  • CREATE SESSION

"SELECT" zum Auswählen von Datenbankobjekten

Wenn Ihre Datenbank für das Verwenden von gemeinsamen ArcSDE-Protokolldateitabellen (Standardeinstellung) konfiguriert ist, sind u. U. zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Konfigurationsoptionen für Protokolldateitabellen in Oracle-Geodatabases.

Daten bearbeiten

  • CREATE SESSION

"SELECT", "INSERT", "UPDATE" und "DELETE" für Datasets anderer Benutzer

Wenn Ihre Geodatenbank freigegebene ArcSDE-Protokolldateien (Standardeinstellung) verwendet, sind u. U. zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Konfigurationsoptionen für Protokolldateitabellen in Oracle-Geodatabases.

Wenn der Benutzer versionierte Daten über eine versionierte Sicht bearbeitet, müssen dem Benutzer auch die Berechtigungen SELECT, UPDATE, INSERT und DELETE für die versionierte Sicht gewährt werden. Wenn Sie das Dialogfeld Berechtigungen in ArcGIS verwenden, um die Berechtigungen SELECT, INSERT, UPDATE und DELETE für eine versionierte Feature-Class zu gewähren, werden diese Berechtigungen automatisch für die zugeordnete versionierte Sicht gewährt.

Daten erstellen

  • CREATE SESSION
  • CREATE SEQUENCE
  • CREATE TRIGGER
  • CREATE VIEW
  • CREATE TABLE

Geodatabase-Administrator

  • CREATE SESSION
  • CREATE SEQUENCE
  • CREATE TABLE
  • CREATE TRIGGER
  • CREATE PROCEDURE
Mindestberechtigungen in Oracle
HinweisHinweis:

Ab Oracle 10g Release 2 ist der Zugriff auf "ORACLE_HOME" aus Sicherheitsgründen stärker eingeschränkt. Damit der Geodatabase-Administrator auf die Dateien in "ORACLE_HOME" zugreifen kann, ohne dem Geodatabase-Administrator erweiterte Berechtigungen zu erteilen, installieren Sie einen kompatiblen Oracle-Client unter dem SDE-Konto des Betriebssystems. Legen Sie "ORACLE_HOME" für den Client unter UNIX/Linux in der Shell des Benutzers "SDE" fest. Der Knowledge Base-Artikel 34824 enthält hierzu nähere Angaben.

Erforderliche Berechtigungen zum Erstellen oder Aktualisieren einer Geodatabase

In der folgenden Tabelle werden die Berechtigungen aufgelistet, die der Geodatabase-Administrator benötigt, um eine ArcSDE-Geodatabase erstellen oder aktualisieren zu können. Der Grund dafür, warum die jeweilige Berechtigung oder Berechtigungsgruppe erforderlich ist, wird ebenfalls genannt. Einige dieser Berechtigungen können nach Abschluss der Erstellung oder Aktualisierung abgeschlossen werden (siehe das Feld "Zweck" und Mindestberechtigungen für den Geodatabase-Administrator in der vorherigen Tabelle).

In der ersten Tabelle sind die Berechtigungen aufgeführt, die für den SDE-Benutzer zum Erstellen einer Geodatabase im Schema des SDE-Benutzers erforderlich sind. Diese wird als Master-SDE-Geodatabase bezeichnet.

In der zweiten Tabelle sind die Berechtigungen aufgeführt, die für den SDE-Benutzer zum Aktualisieren der Master-SDE-Geodatabase erforderlich sind.

In der dritten Tabelle sind die Berechtigungen aufgeführt, die für einen anderen Benutzer als den SDE-Benutzer zum Erstellen einer Geodatabase im eigenen Schema erforderlich sind. Diese Geodatabases werden als Benutzerschema-Geodatabases bezeichnet.

In der vierten Tabelle sind die Berechtigungen aufgeführt, die für einen anderen Benutzer als den SDE-Benutzer zum Aktualisieren einer Benutzerschema-Geodatabase erforderlich sind.

Berechtigungen werden nach dem Zweck gruppiert, den sie während der Erstellung und Aktualisierung der Geodatabase erfüllen.

Berechtigung

Zweck

  • CREATE SESSION

Verbinden mit Oracle.

  • CREATE TABLE
  • CREATE TRIGGER

Erstellen Sie das Geodatabase-Repository.

  • CREATE SEQUENCE

Erstellen von Sequenzen zum Generieren von IDs. Diese Berechtigung kann nach dem Erstellen der Geodatabase widerrufen werden.

  • CREATE PROCEDURE

Erstellen von Paketen zum Verwalten der Inhalte von Geodatabase-Systemtabellen.

  • EXECUTE ON DBMS_CRYPTO

Dient zum Erstellen einer Kartenelementfunktion für den ST_Geometry-Typ, der beim Durchführen einer räumlichen Vereinigung oder Überschneidung aufgerufen wird.

  • CREATE INDEX TYPE
  • CREATE LIBRARY
  • CREATE OPERATOR
  • CREATE PUBLIC SYNONYM
  • CREATE TYPE
  • CREATE VIEW
  • DROP PUBLIC SYNONYM

Erstellen der benutzerdefinierten Datentypen "ST_Geometry" und "ST_Raster" und der Typen für die Abfrageoptimierung. "CREATE VIEW" wird benötigt, um folgende Systemsichten zu erstellen: "GDB_Items_vw" und "GDB_ItemRelationships_vw". Diese Berechtigungen können nach dem Erstellen der Geodatabase widerrufen werden.

  • ADMINISTER DATABASE TRIGGER

Ermöglicht das Erstellen von Datenbankereignis-Triggern, die erforderlich sind, um die Tabellen "ST_GEOMETRY_COLUMNS" und "ST_GEOMETRY_INDEX" zu ändern, wenn eine Tabelle mit dem Geometriespeichertyp "ST_GEOMETRY" mit SQL entfernt, geändert oder umbenannt wird. Diese Berechtigung kann nach dem Erstellen der Geodatabase widerrufen werden.

Berechtigungen für SDE-Benutzer in Oracle zum Erstellen einer Master-SDE-Geodatabase

Berechtigung

Zweck

  • CREATE SESSION

Verbinden mit Oracle.

  • CREATE TABLE
  • CREATE TRIGGER
  • CREATE VIEW

Aktualisieren Sie das Geodatabase-Repository. Die Berechtigung "CREATE VIEW" kann nach dem Aktualisieren widerrufen werden.

  • CREATE PROCEDURE

Aktualisieren Sie die Pakete zum Verwalten der Inhalte von Geodatabase-Systemtabellen.

  • CREATE SEQUENCE

Aktualisieren von Sequenzen zum Generieren von IDs. Diese Berechtigung kann nach dem Aktualisieren widerrufen werden.

  • EXECUTE ON DBMS_CRYPTO

Dient zum Aktualisieren einer Kartenelementfunktion für den ST_Geometry-Typ, der beim Durchführen einer räumlichen Vereinigung oder Überschneidung aufgerufen wird.

  • CREATE INDEXTYPE
  • CREATE LIBRARY
  • CREATE OPERATOR
  • CREATE PUBLIC SYNONYM
  • CREATE TYPE
  • DROP PUBLIC SYNONYM

Aktualisieren der benutzerdefinierten Datentypen "ST_Geometry" und "ST_Raster" und der Typen für die Abfrageoptimierung. Diese Berechtigungen können nach dem Aktualisieren widerrufen werden.

  • ALTER ANY INDEX
  • CREATE ANY INDEX
  • CREATE ANY TRIGGER
  • CREATE ANY VIEW
  • DROP ANY INDEX
  • DROP ANY VIEW
  • SELECT ANY TABLE

Aktualisieren der Geodatabase-Inhalte.

  • ADMINISTER DATABASE TRIGGER

Ermöglicht das Erstellen von Datenbankereignis-Triggern, die erforderlich sind, um die Tabellen "ST_GEOMETRY_COLUMNS" und "ST_GEOMETRY_INDEX" zu ändern, wenn eine Tabelle mit dem Geometriespeichertyp "ST_GEOMETRY" mit SQL entfernt, geändert oder umbenannt wird. Diese Berechtigung kann nach dem Aktualisieren widerrufen werden.

Berechtigungen für SDE-Benutzer in Oracle zum Aktualisieren einer SDE-Master-Geodatabase

Berechtigung

Zweck

  • CREATE SESSION

Verbinden mit Oracle.

  • CREATE TABLE
  • CREATE TRIGGER
  • CREATE VIEW

Erstellen Sie das Geodatabase-Repository.

  • CREATE SEQUENCE

Erstellen von Sequenzen zum Generieren von IDs. Diese Berechtigung kann nach dem Erstellen der Geodatabase widerrufen werden.

  • CREATE PROCEDURE

Erstellen von Paketen zum Verwalten der Inhalte von Geodatabase-Systemtabellen.

  • CREATE TYPE

Erstellen von Typen für die Abfrageoptimierung.

Berechtigungen zum Erstellen einer Benutzerschema-Geodatabase in Oracle

Berechtigung

Zweck

  • CREATE SESSION

Verbinden mit Oracle.

  • CREATE TABLE

Aktualisieren Sie das Geodatabase-Repository.

  • CREATE SEQUENCE

Aktualisieren von Sequenzen zum Generieren von IDs. Diese Berechtigung kann nach dem Aktualisieren widerrufen werden.

  • ALTER ANY INDEX
  • CREATE ANY INDEX
  • CREATE ANY TRIGGER
  • CREATE ANY VIEW
  • DROP ANY INDEX
  • DROP ANY VIEW
  • SELECT ANY TABLE
  • CREATE PROCEDURE
  • CREATE TYPE

Aktualisieren der Geodatabase-Inhalte.

Berechtigungen zum Aktualisieren einer Benutzerschema-Geodatabase in Oracle

Häufig verwendete optionale Berechtigungen

Viele Unternehmen nutzen zusätzliche Oracle-Funktionen, um die Möglichkeiten ihrer Geodatabases zu erweitern. In der folgenden Tabelle sind mehrere häufig verwendete optionale Berechtigungen für den Geodatabase-Administrator und ihr Zweck aufgeführt. Die Berechtigungen sind nach Zweck sortiert.

Berechtigung

Zweck

  • ALTER SESSION
  • PLUSTRACE

Mit dieser Berechtigung können die SQL-Ablaufverfolgung und das SQL*Plus AUTOTRACE-Feature aktiviert, sitzungsspezifische Initialisierungsparameter für Leistungsoptimierung und Problembehandlung geändert und die PLUSTRACE-Rolle, durch Ausführung von "ORACLE_HOME/sqlplus/admin/plustrce.sql" erstellt werden.

  • ADVISOR (nur Oracle 10g)
  • ALTER ANY INDEX
  • ANALYZE ANY
  • SELECT ANY DICTIONARY
  • CREATE JOB (nur Oracle 10g)

Mit dieser Berechtigung kann der Geodatabase-Administrator das Oracle-System überwachen und allgemeine Wartungsaufgaben ausführen.

Dies ist nützlich für Unternehmen, in denen der ArcSDE-Administrator nicht der Oracle-DBA ist.

  • CREATE DATABASE LINK
  • CREATE MATERIALIZED VIEW
  • CREATE VIEW

Diese Berechtigung ist nützlich, um die Geodatabase mit anderen nicht räumlichen Datenbanken im Unternehmen zu integrieren.

  • RESTRICTED SESSION

Diese Berechtigung ermöglicht dem Geodatabase-Administrator die Ausführung von Wartungsaufgaben, während die Datenbank online ist, Endbenutzer jedoch nicht darauf zugreifen können.

  • UNLIMITED TABLESPACE

Die Erteilung dieser Berechtigung für den Geodatabase-Administrator für Installation und Upgrade stellt sicher, dass der Tablespace des Geodatabase-Administrators in der Datenbank über genügend Speicherplatz verfügt, damit die Installation/Aktualisierung abgeschlossen werden kann. Diese Berechtigung kann nach der Installation oder Aktualisierung der Geodatabase widerrufen werden, wenn Beschränkungen für die Speicherverwaltung bestehen. Informationen zum Verwenden von Speicherkontingenten finden Sie unter Speicheroptimierung in Oracle.

  • ALTER SYSTEM
  • SELECT_CATALOG_ROLE

Der SDE-Benutzer muss über diese Berechtigungen verfügen, um Verbindungen aus der Geodatabase zu entfernen. Das Geoverarbeitungswerkzeug Enterprise-Geodatabase erstellen weist dem SDE-Benutzer diese Berechtigungen zu. Sie können diese Berechtigungen nach dem Ausführen dieses Werkzeugs für den SDE-Benutzer widerrufen. Allerdings kann der SDE-Benutzer dann nicht mehr die Verbindung von Benutzern zur Geodatabase trennen.

Alternativ kann der SDE-Benutzer der DBA-Rolle hinzugefügt werden, damit er weiterhin Benutzerverbindungen zur Datenbank trennen kann.

Optionale Berechtigungen in Oracle

Dataset-Berechtigungen müssen vom Dataset-Besitzer über das Dialogfeld Berechtigungen bzw. das Geoverarbeitungswerkzeug Berechtigungen ändern gewährt bzw. widerrufen werden, das in ArcGIS for Desktop verfügbar ist. Anweisungen finden Sie unter Gewähren und Widerrufen von Berechtigungen für Datasets and Berechtigungen ändern.

Verwandte Themen

5/9/2014