Как так, shutdown full разве не всем запрещает соединяться с БД, включая SYSDBA? "full - Shutdown and don't allow any connections from anyone, even SYSDBA or the database owner."

Я вполне понимаю, как использовать эти режимы по уму, и что всем сидеть под SYSDBA|OWNER чревато не спорю. Внезапный DDL чего стоит.

Мне непонятно откуда "куча" проблем с shutdown, когда пользователь один. Если требуется отрубить пользователей, то вполне хватает и shutdown single. Если после него удаётся начать обслуживание - ок, больше никто не помешает. Если нет - значит подцепился пользователь и обслужить не выйдет, обслуживание аварийно завершается. БД при этом остаётся в частичном shutdown'е, но вернёть её в online не проблема.

"Да, ужас, но не ужас-ужас" =)

в результате этим самым single sysdba может оказаться кто угодно
Верно. Но в приложениях, в которых один пользователь БД, разграничением прав занимается само приложение. А это значит, что даже если пользователь SYSDBA-обычный успеет подрубиться в паузе между shutdown single и SYSDBA-админом, то он не натворит ничего страшнее того, чего он мог бы натворить и без shutdown single - приложение не даст. Да и времени у него не так много на реконнект, т.к. пауза - кратчайшая.

И какой смысл "создать пользователя, отличного от SYSDBA, но дать ему все права на БД"? Он наворотит бед не меньше, чем SYSDBA. Ну разве что базу не удалит (если только он не DB OWNER). Второго пользователя надо сильно поражать в правах, DDL запрещать, хотя бы на физические данные. Но тут мы выходим за рамки темы, ТС говорит про одного пользователя.

И да, я ни в коем случае не говорю, что один пользователь на БД - хорошая идея. Плохая. Но не смертельная. Как рыба фугу.