В СУБД Tibero реализованы две модели контроля за действиями привилегированных пользователей.
1. Стандартное существование аккаунта SYS, который обладает всем набором прав и из которого, конечно, можно раздавать права другим администраторским аккаунтам. Но при этом пользователь SYS принципиально существует в БД (и может быть скомпрометирован) а его использование может быть ограничено только административными методами (например, когда каждый из двух администраторов знает только половину пароля). Впрочем, большинство пользователей СУБД административными методами не заморачиваются.
2. Концепция разделения обязанностей (Separation of duties). В этом, случае разделение прав реализовано на уровне СУБД Tibero. Аккаунт SYS заблокирован (без возможности разблокировки), зато есть аккаунты Администратора БД (SYSADM), Администратора Безопасности (SYSSEC) и Аудитора (SYSAUD).
