Anhand von Berechtigungen wird festgelegt, wozu ein Benutzer im Umgang mit Daten und der Datenbank autorisiert ist. Berechtigungen sollten auf Grundlage der Aufgaben zugewiesen werden, die eine Person innerhalb der Organisation hat. Ist der Benutzer zuständig für die Verwaltung der Geodatabase? Muss der Benutzer auch die Möglichkeit haben, Daten zu bearbeiten oder zu erstellen? Oder muss der Benutzer nur auf die Daten zugreifen können?
Benutzerberechtigungen werden auf verschiedenen Ebenen festgelegt. In den Tabellen dieses Themas sind die mindestens erforderlichen Datenbank- und Dataset-Berechtigungen für die gängigen Benutzertypen aufgeführt: Daten lesen, Daten bearbeiten, Daten erstellen und Geodatabase-Administrator.
Berechtigungen für Benutzer in Geodatabases zu DB2 unter Linux, UNIX und Windows sind anders als jene erforderlichen für Geodatabases auf DB2 unter dem IBM-Z-Betriebssystem (z/OS). Daher gibt es zwei verschiedene Tabellen von Benutzerberechtigungen.
DB2 unter Linux, UNIX und Windows
DB2 gewährt allen Benutzern standardmäßig volle Zugriffsrechte. (Der Gruppe "PUBLIC" werden die Rechte "CREATETAB", "BINDADD", "CONNECT" und "IMPLICITSCHEMA" für die Datenbank gewährt sowie die Berechtigungen "USE" für den USERSPACE1-Tablespace und "SELECT" für die Systemkatalogsichten.) Wenn der Datenbankadministrator Rechte entziehen möchte, muss er sie explizit für die Gruppe "PUBLIC" widerrufen.
Aus der Gruppe "PUBLIC" entfernte Berechtigungen müssen u. U. einzelnen Benutzern oder Gruppen gewährt werden. Wenn z. B. die Berechtigung "CONNECT" für die Gruppe "PUBLIC" widerrufen wird, muss diese Berechtigung einzelnen Benutzern gewährt werden, die die Möglichkeit erhalten sollen, eine Verbindung zur Datenbank herzustellen. Wenn die Berechtigung "SELECT" für die Systemkatalogsichten oder Tabellen für die Gruppe "PUBLIC" widerrufen wird, muss diese Berechtigung einzelnen Benutzern oder Gruppen mindestens für folgende Elemente gewährt werden. Andernfalls können diese Benutzer keine Verbindung mit der Geodatabase herstellen:
- SYSIBM.SYSDUMMY1 (Katalogansicht)
- SYSCAT.ROLEAUTH
- SYSCAT.DBAUTH
- SYSCAT.TABAUTH
| Benutzertyp | Datenbankberechtigungen | Dataset-Berechtigungen | Hinweise |
|---|---|---|---|
Daten lesen |
| "SELECT" zum Auswählen von Datenbankobjekten, "SELECT" für "SYSIBM.SYSDUMMY1", SYSCAT.ROLEAUTH, SYSCAT.DBAUTH und SYSCAT.TABAUTH | Wenn Ihre Datenbank für das Verwenden von freigegebenen Protokolldateitabellen (Standardeinstellung) konfiguriert ist, sind u. U. zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Konfigurationsoptionen für Protokolldateitabellen. Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der Benutzer MON_GET_CONNECTION ausführen können. |
Daten bearbeiten |
| "CONTROL", "ALTER", "DELETE", "INSERT", "SELECT", "UPDATE REFERENCES", "SELECT" für "SYSIBM.SYSDUMMY1" SELECT für SYSCAT.ROLEAUTH, SYSCAT.DBAUTH und SYSCAT.TABAUTH | Wenn der Benutzer versionierte Daten über eine versionierte Sicht bearbeitet, müssen dem Benutzer die Berechtigungen SELECT, INSERT, ALTER und DELETE für die versionierte Sicht gewährt werden. Wenn Sie das Dialogfeld Berechtigungen in ArcGIS verwenden, um die Berechtigungen für eine versionierte Feature-Class zu gewähren, werden die entsprechenden Berechtigungen automatisch für die zugeordnete versionierte Sicht gewährt. Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der Benutzer MON_GET_CONNECTION ausführen können. |
Daten erstellen |
| "CONTROL" für Datenbankobjekte, "SELECT" für "SYSIBM.SYSDUMMY1" SELECT für SYSCAT.ROLEAUTH, SYSCAT.DBAUTH und SYSCAT.TABAUTH | Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der Benutzer MON_GET_CONNECTION ausführen können. |
Geodatabase-Administrator (der SDE-Benutzer) |
| Durch die DBADM-Berechtigung erhält der SDE-Benutzer alle Berechtigungen für alle Objekte in der Datenbank sowie die Möglichkeit, anderen Benutzern Berechtigungen zuzuweisen. Sie ist zum Erstellen oder Aktualisieren einer Geodatabase erforderlich. Die DBADM-Berechtigung ist auch notwendig, um Client-Verbindungen aus der Datenbank zu entfernen. Außerdem muss der SDE-Benutzer entweder über die Berechtigung "SYSCTRL" oder "SYSADM" verfügen, um Client-Verbindungen aus der Datenbank zu entfernen. Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der SDE-Benutzer MON_GET_CONNECTION ausführen können. |
DB2 for z/OS
z/OS-Plattformen weisen eine höhere Sicherheit auf als andere Plattformen. Die meisten Berechtigungen werden der Gruppe "PUBLIC" nicht standardmäßig zugewiesen. Sie müssen einzelnen Benutzer-IDs oder Gruppen Berechtigungen zuweisen.
| Benutzertyp | Datenbankberechtigungen | Dataset-Berechtigungen | Hinweise |
|---|---|---|---|
Daten lesen | "SELECT" für benutzerdefinierte Datenbankobjekte und für die folgenden Systemtabellen:
| ||
Daten bearbeiten | Wie "Daten lesen" plus "CONTROL", "ALTER", "DELETE", "INSERT", "SELECT" und "UPDATE REFERENCES" für Datenbankobjekte | ||
Daten erstellen | "CREATETAB" und "CREATETS" | Wie "Daten lesen" plus "CONTROL" zum Steuern von Datenbankobjekten | |
Geodatabase-Administrator (der SDE-Benutzer) |
| Wie "Daten lesen" |
Verwenden Sie DB2-Werkzeuge oder SQL-Anweisungen für die Verwaltung der Datenbankberechtigungen.
Berechtigungen für Datasets müssen vom Dataset-Besitzer über das Dialogfeld Berechtigungen bzw. das Geoverarbeitungswerkzeug Berechtigungen ändern in ArcGIS for Desktop gewährt bzw. widerrufen werden. Anweisungen finden Sie unter Gewähren und Widerrufen von Dataset-Berechtigungen.