Temat: Uprawnienia alter user na wszystkich userach z wyjątkiem...

Witam,

Mam do zrobienia zrobienia coś do uproszczenia odblokowania/blokowania i obsługi haseł kont na bazach Oracle.
W chwili obecnej skrypt/automat już zrobiłem acz efekt końcowy (reset hasła, blokada lub odblokowanie konta) można osiągnąć na jeden z dwóch sposobów.

1. Użytkownik techniczny z SUDO i As Sys DBA z dostępem do wszystkich maszyn na których jest jakiś Oracle.
Lub…
2. Konto techniczne na każdej bazie danych Oracle z uprawnieniami connect, alter user i takimi samymi parametrami logowania na wszystkich bazach.
Ewentualnie.
3. Konto imienne na każdej z baz z odpowiednimi uprawnieniami.
4. Konto techniczne gdzie są inne parametry logowania na każdą z baz (bezpieczeństwo).

Najwygodniej idzie zrobić metodą 2. Konto techniczne o identycznych parametrach na każdej z baz.

Efekt jest taki, że mam skrypt który wchodzi przy użyciu BASHa korzysta w SQL-PLUSa i będzie podpięty pod automat do odklikiwania (np. Jenkinsie), podajemy parametry bazy danych czyli: SID, PORT, HOST i ręcznie dane usera do odblokowania i będziemy mieć parametr w dropbox co z nim zrobić. Odblokowanie + wygenerowanie hasła lub zablokowanie konta.

Z technicznego punktu widzenia raczej bezpieczniej mieć użytkownika na bazach danych niż użytkownika z OS który ma wjazd wszędzie.

Teraz pytanie jak...
Chodzi o to by user na bazach danych miał apsolutne minimum uprawnień do wykonywania tych czynności.
Wstępnie czego wymaga to CONNECT, LOCK, UNLOCK i IDENTIFIED BY.

Czy macie może jakiś pomysł jak to wbić w regułę by taki user miał uprawnienia tylko CONNECT, LOCK, UNLOCK i IDENTIFIED BY ale z wyłączeniem kont SYS i SYSDBA?

Pozdrawiam!