Oracle Database 21c XE (Express Edition) je odlehčená verze databáze Oracle, která je zdarma k použití a vhodná zejména pro výuku, vývoj a menší aplikace. Jedním z klíčových témat při práci s Oracle databází jsou systémové účty – tedy předdefinovaní uživatelé, kteří mají speciální oprávnění pro správu databáze.
V tomto článku si vysvětlíme:
co jsou systémové účty v Oracle,
jak fungují,
pro koho jsou určeny,
a jak je správně nastavit a zabezpečit v Oracle 21c XE.
Systémové účty jsou předvytvoření databázoví uživatelé, které Oracle instaluje automaticky při instalaci databáze. Tyto účty mají speciální role a oprávnění, která běžní aplikační uživatelé nemají.
Jejich hlavním účelem je:
správa databáze,
údržba systému,
instalace objektů,
řešení problémů a diagnostika.
V Oracle 21c XE se s nimi setkáš prakticky hned po instalaci.
Nejdůležitější a nejsilnější účet v celé databázi.
Vlastník datového slovníku (data dictionary)
Má oprávnění SYSDBA
Používá se pro:
start a shutdown databáze,
obnovu databáze,
nízkoúrovňovou správu systému
👉 Nikdy by se neměl používat pro běžnou práci ani aplikace.
Druhý hlavní administrátorský účet.
Má vysoká oprávnění, ale nevlastní datový slovník
Slouží pro:
správu uživatelů,
přidělování rolí a práv,
správu tabulkových prostorů
V praxi se často používá místo účtu SYS pro administrátorské úkony, které nejsou kritické.
Oracle 21c XE používá multitenant architekturu (CDB + PDB).
Účet určený pro správu konkrétní pluggable databáze (PDB)
Má administrátorská práva pouze v rámci dané PDB
Vhodný pro lokální správu bez zásahu do celé instance
Oracle obsahuje i další systémové účty (např. pro monitoring nebo interní procesy). Tyto účty:
nejsou určeny pro přímé přihlašování,
často jsou uzamčené,
neměly by se mazat ani měnit bez důvodu.
Systémové účty jsou určeny především pro:
DBA administrátory
vývojáře databází (v omezené míře)
správce serverů
Naopak nejsou určeny pro:
běžné uživatele aplikací,
webové aplikace,
přímé připojení z produkčního kódu.
Pro aplikace by se měl vždy vytvářet samostatný databázový uživatel s minimálními potřebnými právy.
Oracle používá kombinaci:
systémových práv (např. vytváření tabulek, uživatelů),
objektových práv (přístup ke konkrétním tabulkám),
rolí (skupiny oprávnění).
Systémové účty mají:
předem přiřazené role,
často přímá systémová práva,
možnost udělovat oprávnění dalším uživatelům.
Po instalaci databáze je nutné:
změnit výchozí hesla,
používat dostatečně silná hesla,
pravidelně je obměňovat (pokud to prostředí vyžaduje).
Přihlašování účtu SYS by mělo být omezeno pouze na administrátory.
Ideálně používat přihlášení s administrátorskou rolí jen při nutnosti.
Pro běžnou správu používat raději účet SYSTEM nebo PDBADMIN.
Účty, které nejsou potřeba, by měly zůstat uzamčené.
Snižuje se tím riziko neoprávněného přístupu.
Dobrá praxe je:
mít zvláštní účty pro administraci,
zvláštní účty pro aplikace,
žádné aplikace nepřipojovat pod systémovým účtem.
Systémové účty v Oracle 21c XE jsou základním stavebním kamenem databázové bezpečnosti a správy. Poskytují výkonná oprávnění, která jsou nezbytná pro chod databáze, ale zároveň představují riziko, pokud jsou používána nesprávně.
Hlavní pravidla:
SYS jen pro kritickou administraci
SYSTEM pro běžnou správu
aplikace vždy pod vlastním uživatelem
silná hesla a omezený přístup
Správná práce se systémovými účty je klíčem k bezpečné a stabilní Oracle databázi.
© Design JN 2025