3 Supporting Oracle Home User on Windows

Starting with Oracle Database 12 c Release 1 (12.1), Oracle Database supports the use of Oracle Home User, specified at the time of Oracle Database installation. Oracle Home User is used to run the Windows services for the Oracle home. Oracle Home User can be Windows built-in account or a standard Windows User Account (not an Administrator account). Oracle Home User cannot be changed post installation.

If a Windows built-in account is used, then no user name or password is required during installation and administration. However, if a Windows User Account is used as Oracle Home User, then you must provide the user name and password during installation and some of the administration tasks.

Oracle Home User is different from Oracle Installation User. Oracle Installation User is the user who requires administrative privileges to install Oracle products. Oracle Home User is used to run the Windows services. You must not log into the Oracle Home User to perform administrative tasks.

Note that the Windows administrator privilege is still required to perform Oracle administrative functions such as installation, upgrade, patching, and other functions.

A Windows User Account used as Oracle Home User cannot have administrator privileges as it causes the Oracle Universal Installer to display an error message.

See the Microsoft documentation for more information on different types of Windows user accounts.

Oracle Database Installation Guide for Microsoft Windows

See the following sections for more information:

Managing Oracle Home User

If you use a Windows User Account as the Oracle Home User, then you must ensure that this user account is present in the Windows system and its password is managed securely to ensure the proper operation and security of the database.

You must secure the password of this Windows User Account and ensure that only database administrators have access to this password as one can log on to the database as the database administrator from this Windows User Account. You must also change the password for this Windows User Account at regular intervals as a part of security. You can change the password using Windows tools. However, when you change the password for this Windows User Account, you must also update the password for all Oracle services running under the Windows User Account.

This release has introduced a new Windows utility called the Oracle Home User Control. This is a command-line tool that displays the Oracle Home User name associated with the current Oracle home and updates the password for all Oracle services running under a specific Windows User Account (used as Oracle Home User). See section «Using the Oracle Home User Control Tool» for more information.

Using Oracle Home User for Oracle Single-Instance Database and Oracle Database Client

For single-instance Oracle Database and Oracle Database Client installations, you can use Windows built-in account or a standard Windows User Account as Oracle Home User.

The Windows User Account can be an existing Windows Local User, Windows Domain User or Managed Services Account (MSA) with no administration privileges. For a Windows Local User Account or a Windows Domain User Account, you must provide both the user name and password during installation. For a Managed Services Account, you must provide the user name only.

For a Windows Local User, you also have the option of creating a new Windows user during installation. You must provide the user name and password for the user account and Oracle Universal Installer creates the Windows user during installation. The newly created Windows account is denied interactive logon privileges to the Windows computer. However, a Windows administrator can still manage this account like any other Windows account.

Note that if a Windows Local User Account is chosen as the Oracle Home User during single-instance Oracle Database installation, Windows NT Native Authentication (NTS) cannot be used for authenticating Windows domain users or users from remote computers.

For single-instance Oracle Database installations, Oracle recommends that you use a standard Windows User Account (instead of Windows built-in account) as Oracle Home User for enhanced security. For Oracle Database Client installations, it is not necessary to use a Windows User Account as Oracle Home User for reasons of security. Even when the Windows built-in account is chosen as the Oracle Home User, Oracle services for a client home are run using the built-in low-privileged LocalService account.

Using Oracle Home User for Oracle RAC Database

See Oracle Grid Infrastructure Installation Guide for Microsoft Windows x64 (64-Bit) for information about using Oracle Home User for Oracle RAC Installation.

Use windows built in account что это

During Oracle Database Client installation, you can specify an optional Oracle Home User associated with the Oracle home.

For example, assume that you use an Administrator user named OraSys to install the software (Oracle Installation user), then you can specify the ORADOMAIN\OraDb domain user as the Oracle Home User for this installation. The specified Oracle home domain user must exist before you install the Oracle Database Client software.

The Oracle Home User can be either the Windows Built-in Account (LocalService) or a Windows User Account. This account is used for running the Windows services for the Oracle home. Do not log in using this account to perform administrative tasks.

Windows User Account can be a Windows Local User, Windows Domain User, Managed Services Account (MSA), or Group Managed Services Account (gMSA). Starting with Oracle Database 12 c Release 2 (12.2), Group Managed Services Account (gMSA) is introduced as an additional option.

Using Windows built-in account, MSA, or gMSA enables you to install Oracle Database Client, and create and manage Database services without passwords.

If you specify an existing user as the Oracle Home User, then the Windows User Account you specify can either be a Windows Domain User or a Windows Local User. If you specify a non-existing user as the Oracle Home User, then the Windows User Account you specify must be a Windows Local User. The new user is then created during installation and the created user is denied interactive logon privileges to the Windows computer. However, a Windows administrator can manage this account like any other Windows account.

For enhanced security, Oracle recommends that you use the standard Windows User Account or Windows Built-in Account (LocalService), which is not an administrator account, to install Oracle Database Client.

You cannot change the Oracle Home User after the installation is complete. If you must change the Oracle Home User, then you must reinstall the Oracle Database Client software.

When you specify an Oracle Home User, the installer configures that user as the Oracle Service user for all software services that run from the Oracle home. The Oracle Service user is the operating system user that the Oracle software services run as, or the user from which the services inherit privileges.

Silent installation is enhanced to support password prompt for the Oracle Home User. So, customers and independent software vendors (ISV) can use response files without hard coding the password into the source code.

Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора User Account Control: Admin Approval Mode for the Built-in Administrator account

Относится к: Applies to

Описывает лучшие практики, расположение, значения, управление политикой и соображения безопасности для управления учетной записью пользователя: режим утверждения администратора для параметра политики безопасности учетной записи встроенного администратора. Describes the best practices, location, values, policy management and security considerations for the User Account Control: Admin Approval Mode for the Built-in Administrator account security policy setting.

Справочные материалы Reference

Этот параметр политики определяет поведение режима утверждения администратора для встроенной учетной записи администратора. This policy setting determines the behavior of Admin Approval Mode for the built-in administrator account. Когда включен режим утверждения администратора, учетная запись местного администратора функционирует как стандартная учетная запись пользователя, но она имеет возможность повысить привилегии без входа в систему с помощью другой учетной записи. When the Admin Approval Mode is enabled, the local administrator account functions like a standard user account, but it has the ability to elevate privileges without logging on by using a different account. В этом режиме любая операция, требуемая повышения привилегий, отображает подсказку, позволяющую администратору разрешить или запретить высоту привилегии. In this mode, any operation that requires elevation of privilege displays a prompt that allows the administrator to permit or deny the elevation of privilege. Если режим утверждения администратора не включен, встроенная учетная запись администратора запускает все приложения по умолчанию с полными административными привилегиями. If Admin Approval Mode is not enabled, the built-in Administrator account runs all applications by default with full administrative privileges. По умолчанию режим утверждения администратора настроен на отключение. By default, Admin Approval Mode is set to Disabled.

Если компьютер обновлен из предыдущей версии операционной системы Windows, а учетная запись администратора является единственной учетной записью на компьютере, встроенная учетная запись администратора остается включенной, и этот параметр также включен. If a computer is upgraded from a previous version of the Windows operating system, and the administrator account is the only account on the computer, the built-in administrator account remains enabled, and this setting is also enabled.

Возможные значения Possible values

Встроенная учетная запись администратора входит в режим утверждения администратора так, чтобы любая операция, требуемая для повышения привилегий, отображала запрос, который предоставляет администратору возможность разрешить или запретить повышение привилегии. The built-in administrator account logs on in Admin Approval Mode so that any operation that requires elevation of privilege displays a prompt that provides the administrator the option to permit or deny the elevation of privilege.

Если режим утверждения администратора не включен, встроенная учетная запись администратора запускает все приложения по умолчанию с полными административными привилегиями If Admin Approval Mode is not enabled, the built-in Administrator account runs all applications by default with full administrative privileges

Рекомендации Best practices

Рекомендуется не включить встроенную учетную запись администратора на клиентский компьютер, а использовать стандартную учетную запись пользователя и управление учетной записью пользователя (UAC). It is recommended not to enable the built-in Administrator account on the client computer, but to use the standard user account and User Account Control (UAC) instead. Если вы хотите включить встроенную учетную запись администратора для выполнения административных задач, в целях безопасности также следует включить режим утверждения администратора. If you want to enable the built-in Administrator account to carry out administrative tasks, for security reasons you should also enable Admin Approval Mode. См. отчет UAC-Admin-Approval-Mode-for-the-Built-in-Administrator-account See UAC-Admin-Approval-Mode-for-the-Built-in-Administrator-account

Чтобы включить режим утверждения администратора, необходимо также настроить параметр локальной политики безопасности: Управление учетной записью пользователя: поведение запроса на повышение для администраторов в режиме утверждения администратора, чтобы получить согласие на безопасном рабочем столе, а затем нажмите кнопку ОК. **** To enable Admin Approval Mode, you must also configure the local security policy setting: User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode to Prompt for consent on the secure desktop and then click OK.

После включения режима утверждения администратора, чтобы активировать параметр, необходимо сначала войти и выйти. Кроме того, вы можете выполнять gpupdate /force из команды с повышенным запросом. After enabling Admin Approval Mode, to activate the setting, you must first log in and out. Alternatively, You may perform gpupdate /force from an elevated command prompt.

Местонахождение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Отключено Disabled
Эффективные параметры по умолчанию DC DC Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Отключено Disabled

Управление политикой Policy management

В этом разделе описываются функции и средства, доступные для управления этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Один из рисков, которые пытается смягчить функция UAC, — это вредоносное программное обеспечение, запущенное под повышенными учетными данными, без того, чтобы пользователь или администратор не знали о его деятельности. One of the risks that the UAC feature tries to mitigate is that of malicious software running under elevated credentials without the user or administrator being aware of its activity. Вектор атаки для вредоносных программ — обнаружение пароля учетной записи администратора, так как учетная запись пользователя была создана для всех установок Windows. An attack vector for malicious programs is to discover the password of the Administrator account because that user account was created for all installations of Windows. Для устранения этого риска встроенная учетная запись администратора отключена на компьютерах, работающих по крайней мере в Windows Vista. To address this risk, the built-in Administrator account is disabled in computers running at least Windows Vista. На компьютерах с windows Server 2008 включена учетная запись администратора, и пароль необходимо изменить при первом входе администратора. In computers running at least Windows Server 2008, the Administrator account is enabled, and the password must be changed the first time the administrator logs on. При установке по умолчанию компьютера, на который работает по крайней мере Windows Vista, если компьютер не присоединяется к домену, первая создаемая учетная запись пользователя имеет эквивалентные разрешения локального администратора. In a default installation of a computer running at least Windows Vista, if the computer is not joined to a domain, the first user account you create has the equivalent permissions of a local administrator.

Противодействие Countermeasure

Включить управление учетной записью пользователя: режим утверждения администратора для параметра встроенной учетной записи администратора, если включена встроенная учетная запись администратора. Enable the User Account Control: Admin Approval Mode for the Built-in Administrator account setting if you have the built-in Administrator account enabled.

Возможное влияние Potential impact

Пользователям, входя в систему с помощью учетной записи местного администратора, запрашивается согласие, когда программа запрашивает повышение привилегии. Users who log on by using the local administrator account are prompted for consent whenever a program requests an elevation in privilege.