常见问题:在 Windows 平台的 Oracle 12.1 数据库版本上的 Oracle Home 用户 (Doc ID 2101982.1)
FAQ: Oracle Database 12.1 Oracle Home User On Windows (Doc ID 1529702.1)
用途
提供了在 WINDOWS 平台上针对 12c 的新特性”Oracle Home 用户”的常见问题的回答。
问题和答案
1. Oracle Home 用户账号是什么?
Oracle Home 用户账号是低权限的非管理员账号,它用于承载 Oracle 服务。Oracle 服务需要 Oracle Home 用户权限。
2. 介绍 Oracle Home 用户账号的目的是?
在之前版本上,所有的 Oracle 服务都运行在拥有非常高本地系统权限内置账户下。
因此任何人通过 Oracle 服务所拥有的完全权限就获得了对服务器的非授权访问。
避免这个安全漏洞,一个低权限的非管理员用户,Oracle Home 用户被引进来运行 Oracle 服务。
3. 谁可以成为 Oracle Home 用户?
任何没有管理员权限,内置或者 MSA 的本地或域用户都可以成为 Oracle Home 用户。
如果 DBA 倾向于内置账号做 Oracle Home 用户的话,那么所有的 Oracle 服务将拥有本地系统权限运行。
4. Windows 内置用户账号是什么?
本地系统账号是拥有非常高权限的内置账号。
它在本地系统拥有广泛的权限并在网络上代表本计算机。
该帐户的实际名称是"NT AUTHORITY\SYSTEM"。
本地服务帐户是可以访问相同的资源水平和对象为用户组的成员的一个内置帐户。
这种有限的访问将有助于在单个服务或进程的系统被攻破时保护整个系统。
当本地服务帐户访问网络资源时,会以没有认证信息的空会话来运行服务。
请注意,本地服务帐户不支持 SQL Server 或 SQL Server 代理服务。
该帐户的实际名称是“NT AUTHORITY\ LOCAL SERVICE”。
网络服务帐户是具有比 Users 组的成员更多访问资源和对象权限的的内置帐户。
作为网络服务运行服务通过使用计算机帐户的凭据帐户访问网络资源。
该帐户的实际名称是“NT AUTHORITY\ NETWORK SERVICE”。
5. 如何将 Oracle Home 用户关联到 Oracle Home?
在安装过程中,OUI 提供了三个选项关联 Oracle Home 用户到 Oracle Home:
- 让 OUI 创建一个新的用户帐户来作为 Oracle Home 用户。
选择此选项新创建的用户将没有登录到服务器权限。
这只能用于单实例的数据库。 - 选择一个现有的本地或域帐户作为 Oracle Home 用户。
如果现有的帐户拥有登录权限,则 Oracle Home 用户拥有登录到服务器权限。
这应该是一个非管理员用户。 - 选择一个内置帐户作为 Oracle Home 用户。
在此选项本地系统/本地服务内置帐户将成为 Oracle Home 用户。
6. 在静默安装模式如何创建 Oracle Home 用户?
在静默安装中请按照下面的参数创建 Oracle Home 用户
12c 引入这些新的变量名字:
oracle.install.IsBuiltInAccount= false | true
oracle.install.OracleHomeUserName=
oracle.install.OracleHomeUserPassword=
例如:
oracle.install.IsBuiltInAccount= false
oracle.install.OracleHomeUserName=
oracle.install.OracleHomeUserPassword= (** 注:密码在 shell 中可以使用 -promptForPassword 传入)
注意:
如果你想使用内置账号,那么将 oracle.install.IsBuiltInAccount 设置成 true,反之设置成 false。
如果你不想在响应文件中的写入密码,使用"-promptForPassword 参数"调用 setup.exe。
在 12c 中调用 OUI 不使用响应文件静默安装的例子:
setup.exe -silent -debug -promptForPassword ^
oracle.install.option=INSTALL_DB_SWONLY ^
ORACLE_HOSTNAME=WIN-OQ40SUNBJQU ^
INVENTORY_LOCATION=”C:\Program Files\Oracle\Inventory” ^
SELECTED_LANGUAGES=en ^
ORACLE_HOME=E:\app\homeowner4\product\12.1.0\dbhome_1 ^
ORACLE_BASE=E:\app\homeowner4 ^
oracle.install.db.InstallEdition=EE ^
oracle.install.IsBuiltInAccount=false ^
oracle.install.OracleHomeUserName=homeowner4 ^
SECURITY_UPDATES_VIA_MYORACLESUPPORT=false ^
DECLINE_SECURITY_UPDATES=true ^
oracle.installer.autoupdates.option=SKIP_UPDATES
(注:字符'^'是在 Windows 命令提示符下命令继续符)
7. Oracle Home 用户的角色是什么?
虽然 Oracle Home 用户拥有 Oracle Home 目录,它不应该被用于管理 Oracle Home。
由于大多数 Oracle 服务都以 Oracle Home 用户运行的,该用户将停止和启动部分或全部服务。
根据 Oracle 文档,Oracle 管理任务必须使用管理员帐户。
Oracle Home 用户帐户存在的意义仅仅是使用低权限用户来运行 Oracle 服务,以避免对托管 Oracle 数据库服务器的潜在威胁。
8. 能否用 Oracle Home 用户在 Oracle home 下打补丁?
Oracle Home 用户只具有 Oracle Home 目录的权限,它对 Central Inventory没有权限 。
所以,它不能被用来在 Oracle Home 上打补丁。
不支持使用此帐户在 Oracle Home 上应用任何补丁。
所有的补丁和升级,必须由安装 Oracle Home 相同的用户以管理员权限进行。
9. 哪些服务不能使用 Oracle Home 用户权限运行?
Oracle OCM 和监听服务将不会以 Oracle Home 用户权限运行。
监听器服务需要系统的最低权限,因此它将作为本地服务权限运行。
OCM 需要系统级权限,因此它仍然会作为本地系统权限运行。
10. 在 Oracle home 下 Oracle Home 用户的默认权限是什么?
Oracle Home 用户对 Oracle 主目录有完全控制的权限。
由于 Oracle 服务用这个账号的权限运行,它需要能够访问 Oracle Home 的大多数二进制文件。
11. 使用 OUI 安装时哪些组被创建?
使用 OUI 下面的组将被创建:
ORA_ASMDBA ( Default Members, Installed user )
ORA_ASMOPER ( Default Members, None )
ORA_CLIENT_LISTENERS ( Default Members, None )
ora_dba ( Default Members, Installed user )
ORA_GRID_LISTENERS ( Default Members, None )
ORA_INSTALL ( Default Members, Oracle Home User )
ORA_OPER ( Default Members, None )
ORA_<oracle home name>_DBA ( Default Members, Oracle Home User )
ORA_<oracle home name>_OPER ( Default Members, None )
ORA_<oracle home name>_SYSBACKUP ( Default Members, Installed user )
ORA_<oracle home name>_SYSDG ( Default Members, Installed user )
ORA_<oracle home name>_SYSKM ( Default Members, Installed user )12. Oracle Home 用户的默认成员组是什么?
ORA_INSTALL
ORA_<oracle home name>_DBA13. 在安装软件后有没有可能改变 Oracle Home 用户?
不可能去改变 Oracle Home 用户,您需要重新安装 Oracle 软件。
参考
NOTE:1351051.1 - Information Center: Install and Configure Database Server/Client Installations
NOTE:1520299.1 - Primary Note For Oracle Database 12c Release 1 (12.1) Database/Client Installation/Upgrade/Migration Standalone Environment (Non-RAC)
