BASE DE DATOS / SQL SERVER

I INTRODUCCIN Y ORIENTACIN PARA EL ESTUDIO

Amigo participante:
A continuacin trataremos los siguientes temas:
Administracin de cuentas

LOGROS

El participante lograr comprender el concepto de administracin de usuarios, creando usuarios,

asignando privilegios.

II DESARROLLO DE LOS CONTENIDOS

ADMINISTRACIN DE CUENTAS DE USUARIO
En este captulo se conocer cmo se definen y modifican los usuarios, perfiles y roles de una base
de datos.
Es una tarea bastante comn de cualquier DBA, ya que constantemente se estn incorporando
nuevos usuarios al sistema o modificando las opciones de stos. Aqu se repasarn todas las
opciones que permiten manejar estas caractersticas y se aprender a simplificar la carga mediante
la administracin de perfiles y roles, que son conceptos que controlan diferentes tipos de recursos.

Privilegio
Permiso para realizar una accin, asignable a un usuario o un rol.

GRANT (conceder un privilegio a un usuario o a un rol)

REVOKE (denegar un privilegio a un usuario o a un rol)

Rol
Conjunto de privilegios, asignables a un usuario o un rol.

CREATE ROLE (crear)

ALTER ROLE (modificar)
DROP ROLE (borrar)
SET ROLE (activar, desactivar)
GRANT (conceder un permiso o un rol a un rol)
REVOKE (denegar un permiso o un rol a un rol)

Usuario
Coleccin de objetos y privilegios identificados con un nombre y password.

CREATE USER (crear)

ALTER USER (modificar)
DROP USER (borrar)
GRANT (conceder un permiso o un rol a un usuario)
REVOKE (denegar un permiso o un rol a un usuario)
2

Perfil
Conjunto de restricciones relativas al uso de recursos, y asignable a usuarios. Un usuario slo puede
tener un perfil.
Recurso
Uso susceptible de ser restringido, asignable a un perfil.

CREATE PROFILE (crear)

ALTER PROFILE (modificar)
DROP PROFILE (borrar)
ALTER USER ... PROFILE (asignar a un usuario)
CREATE USER ... PROFILE (asignar a un usuario)

CREACIN DE USUARIOS
Cuando se da de alta a un usuario basta, como mnimo, con indicar el nombre y el password de la
cuenta (esquema) que se est creando. Enseguida se asigna un espacio fsico al nuevo esquema
dentro de la base de datos con los parmetros por defecto.
Para crear un usuario especificando las opciones adecuadas sin considerar los valores por defecto,
se debera respetar la siguiente sintaxis:
CREATE USER nombre_usuario
IDENTIFIED BY password
[DEFAULT TABLESPACE nombre_tablespace]
[TEMPORARY TABLESPACE nombre_tablespace]
[QUOTA [nmero, K o M o UNLIMITED] ON nombre_tablespace1]
[, QUOTA [nmero, K o M o UNLIMITED] ON nombre_tablespace2]
[PROFILE nombre_perfil]
[PASSWORD EXPIRE]
[ACCOUNT LOCK o ACCOUNT UNLOCK]
Donde los parmetros corresponden a lo siguiente:
Username: Nombre del usuario que se est creando.
Password: Clave de inicio que se le otorga al usuario. Luego l podr reemplazarla por la que
desee.
Default Tablespace: Es el tablespace por defecto al que se conectar el usuario cada vez que
ingrese a la base de datos y donde guardar todos sus objetos. Si no se especifica, entonces se
conectar al tablespace system.
Temporary Tablespace: Es el tablespace temporal que utilizar el usuario en todas sus conexiones.
Quota: Cuota de disco (en Kilobytes o Megabytes) que le es otorgada al usuario en cada uno de los
tablespaces a los que puede acceder. Si se indica UNLIMITED entonces el usuario podr utilizar
todo el espacio que quiera dentro del tablespace designado.
3

Profile: Es el nombre del perfil que ha sido asignado a este usuario.

Password expire: Establece que el password del usuario expirar en forma automtica y, por lo
tanto, deber cambiarlo al iniciar su prxima sesin.
Account lock (o unlock): Permite establecer si la cuenta debe permanecer bloqueada o no
inmediatamente despus de crearla.
MODIFICACIN DE USUARIOS
La forma de modificar usuarios a travs de comandos es utilizando la opcin Alter User, cuya sintaxis
completa es muy similar a la de creacin de usuarios. Todos los parmetros que fueron establecidos
en el instante de la creacin pueden ahora modificarse con esta instruccin.
ELIMINACIN DE USUARIOS
Para eliminar un usuario se ejecuta la siguiente instruccin:
DROP USER nombre_usuario [CASCADE]
Y la opcin Cascade se hace obligatoria cuando el usuario posee objetos en su esquema (tablas,
vistas, etc.) y debemos borrarlos junto con l. Sin usar esta opcin no podramos eliminar un usuario
con objetos.
PRIVILEGIOS DEL SISTEMA
Privilegio

Capacidades

Manejo de Objetos

...

CREATE ANY INDEX

Crear cualquier ndice.

CREATE [PUBLIC] SYNONYM

Crear sinnimos [pblicos].

CREATE [ANY] TABLE

Crear tablas. El usuario debe tener cuota en el espacio de

tablas, o ha de tener asignado el privilegio UNLIMITED
TABLESPACE.

CREATE [ANY] VIEW

Crear vistas.

ALTER ANY INDEX

Alterar cualquier ndice.

ALTER ANY TABLE

Alterar cualquier tabla

DROP ANY INDEX

Borrar cualquier ndice.

DROP ANY SYNONYM

Borrar cualquier sinnimo.

DROP PUBLIC SYNONYM

Borrar sinnimos pblicos.

DROP ANY VIEW

Borrar cualquier vista.

DROP ANY TABLE

Borrar cualquier tabla.

SELECT ANY TABLE

Efectuar selecciones de cualquier tabla o vista.

INSERT ANY TABLE

Insertar en cualquier tabla o vista.

DELETE ANY TABLE

Borrar filas de cualquier tabla o vista, y tambin truncar.

4

ALTER SESSION

Alterar los parmetros de la sesin.

CREATE SESSION

Conectarse a la BD.

Gestin de la BD

...

CREATE PROFILE

Crear perfiles de usuario.

CREATE ROLE

Crear roles.

CREATE ROLLBACK SEGMENT

Creacin de segmentos de rollback.

CREATE TABLESPACE

Crear espacios de tablas.

CREATE USER

Crear usuarios.

ALTER PROFILE

Alterar perfiles existentes.

ALTER ANY ROLE

Alterar cualquier rol.

ALTER ROLLBACK SEGMENT

Alterar segmentos de rollback.

ALTER TABLESPACE

Alterar espacios de tablas.

ALTER USER

Alterar usuarios.

DROP PROFILE

Borrar un perfil existente.

DROP ANY ROLE

Borrar cualquier rol.

DROP ROLLBACK SEGMENT

Borrar un segmento de rollback existente.

DROP TABLESPACE

Borrar un espacio de tablas.

DROP USER

Borrar un usuario. Aadir CASCADE si el usuario posee objetos.

ALTER DATABASE

Permite una sentencia ALTER DATABASE.

GRANT ANY PRIVILEGE

Otorgar cualquiera de estos privilegios.

GRANT ANY ROLE

Otorgar cualquier rol a un usario.

UNLIMITED TABLESPACE

Puede usar una cantidad de almacenamiento ilimitada.

DROP PROFILE

Borrar un perfil existente.

Los privilegios se pueden agrupar en roles, para as satisfacer a distintos tipos de usuarios. En la
instalacin se crea un rol llamado OSOPER que sirve para los operarios de la mquina donde est
la BD y permite realizar copias de seguridad en frio y en caliente. Los privilegios de OSOPER son
STARTUP, SHUTDOWN, ALTER DATABASE OPEN/MOUNT, ALTER DATABASE BACKUP, ARCHIVE
LOG, RECOVER y RESTRICTED SESSION.

Oracle incluye otros tres roles de sistema: CONNECT, RESOURCE y DBA, cuyos privilegios son:
Rol

Privilegios

CONNECT

alter session, create session, create cluster, create table, create

view, create synonym, create sequence, create database link

RESOURCE

create cluster, create table, create procedure, create sequence,

create trigger

DBA

todos los privilegios de sistema con la opcion with admin option

GESTIONANDO PRIVILEGIOS
Los privilegios dan acceso a los usuarios a los datos que no poseen. Los roles con grupos de
privilegios que facilitan la administracin de los privilegios. Pero los privilegios se pueden manejar
de manera explcita en algunas circunstancias.
Los privilegios se crean va el comando GRANT y son registrados en el diccionario de datos.
Los privilegios que pueden otorgarse sobre objetos son los siguientes:
Privilegio

Capacidades Otorgadas

SELECT

Puede consultar a un objeto.

INSERT

Puede insertar filas en una tabla o vista. Puede especificarse las columnas donde se
permite insertar dentro de la tabla o vista.

UPDATE

Puede actualizar filas en una tabla o vista. Puede especificarse las columnas donde
se permite actualizar dentro de la tabla o vista.

DELETE

Puede borrar filas dentro de la tabla o vista.

ALTER

Puede alterar la tabla.

INDEX

Puede crear ndices de una tabla.

REFERENCES

Puede crear claves ajenas que referencie a esta tabla.

EXECUTE

Puede ejecutar un procedimiento, paquete o funcin.

Haciendo un privilegio PUBLIC lo hace disponible a todos los usuarios de la BD.