Berechtigungen für Geodatabases in Db2

Anhand von Berechtigungen wird festgelegt, wozu ein Benutzer im Umgang mit Daten und der Datenbank autorisiert ist. Berechtigungen sollten auf Grundlage der Aufgaben zugewiesen werden, die eine Person innerhalb der Organisation hat. Ist diese Person zuständig für die Verwaltung der Geodatabase? Muss diese Person auch die Möglichkeit haben, Daten zu bearbeiten oder zu erstellen? Oder muss diese Person nur auf die Daten zugreifen können?

Berechtigungen werden auf verschiedenen Ebenen festgelegt. Auf dieser Seite sind die mindestens erforderlichen Datenbank- und Dataset-Berechtigungen für die gängigen Geodatabase-Benutzertypen aufgeführt: Daten-Viewer, Daten-Editor, Daten-Ersteller und Geodatabase-Administrator.

Verwenden Sie IBM Db2-Werkzeuge oder SQL-Anweisungen für die Verwaltung der Datenbankberechtigungen.

Berechtigungen für Datasets in Geodatabases müssen mit ArcGIS erteilt oder widerrufen werden. Dies kann nur der Dataset-Besitzer durchführen.

Der Gruppe "PUBLIC" werden von Db2 standardmäßig die Berechtigungen CREATETAB, BINDADD, CONNECT und IMPLICITSCHEMA für die Datenbank sowie die Berechtigungen USE für den USERSPACE1-Tablespace und SELECT für die Systemkatalogsichten gewährt. Um eine oder mehrere dieser Datenbankberechtigungen zu entfernen, muss ein Datenbankadministrator sie explizit für die Gruppe "PUBLIC" widerrufen.

Wenn Sie der Gruppe "PUBLIC" diese Berechtigungen entziehen, müssen Sie sie einzelnen Benutzern oder Gruppen gewähren. Wenn z. B. die Berechtigung "CONNECT" für die Gruppe "PUBLIC" widerrufen wird, muss die Berechtigung "CONNECT" bestimmten Gruppen gewährt werden, damit die Mitglieder dieser Gruppen eine Verbindung zur Datenbank herstellen können. Wenn die Berechtigung "SELECT" für die Systemkatalogsichten oder Tabellen für die Gruppe "PUBLIC" widerrufen wird, muss die Berechtigung "SELECT" einzelnen Benutzern oder Gruppen für folgende Elemente gewährt werden, damit diese Benutzer eine Verbindung herstellen können.

  • SYSIBM.SYSDUMMY1 (Katalogsicht)
  • SYSCAT.ROLEAUTH
  • SYSCAT.DBAUTH
  • SYSCAT.TABAUTH

Mindestberechtigungen für Db2

BenutzertypHinweise

Daten lesen

Wenn Ihre Datenbank für das Verwenden von gemeinsamen Protokolldateitabellen (Standardeinstellung) konfiguriert ist, sind die folgenden zusätzlichen Berechtigungen erforderlich:

  • CREATETAB
  • IMPLICIT_SCHEMA

Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der Benutzer MON_GET_CONNECTION ausführen können.

Daten bearbeiten

Tabellen- und Feature-Class-Besitzer können das Dialogfeld Berechtigungen oder das Geoverarbeitungswerkzeug "Berechtigungen ändern" in ArcGIS verwenden, um anderen Benutzern Bearbeitungsberechtigungen für ihre Daten zu gewähren.

Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der Benutzer MON_GET_CONNECTION ausführen können.

Daten erstellen

Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der Benutzer MON_GET_CONNECTION ausführen können.

Geodatabase-Administrator (der SDE-Benutzer)

Durch die DBADM-Berechtigung erhält der SDE-Benutzer sämtliche Berechtigungen für alle Objekte in der Datenbank sowie die Möglichkeit, anderen Benutzern Berechtigungen zuzuweisen. Sie ist zum Erstellen oder Aktualisieren einer Geodatabase erforderlich.

Die DBADM-Berechtigung ist auch notwendig, um Client-Verbindungen aus der Datenbank zu entfernen. Außerdem muss der SDE-Benutzer entweder über die Berechtigung SYSCTRL oder SYSADM verfügen, um Client-Verbindungen aus der Datenbank zu entfernen.

Die MON_GET_CONNECTION-Funktion bereinigt fehlfunktionierende Vorgänge aus der PROCESS_INFORMATION-Tabelle, wenn der Benutzer eine Verbindung herstellt. Um Verbindungen zu bereinigen, muss der SDE-Benutzer MON_GET_CONNECTION ausführen können.