Isso é governado por várias coisas. Geralmente, o padrão é não poder fazer isso. Se seus usuários podem fazer isso, é porque seu banco de dados e usuários foram configurados para permitir isso.
A autenticação do sistema operacional funciona apenas quando você tem um nome de usuário do sistema operacional compatível com um nome de conta do banco de dados que foi configurado como IDENTIFICADO EXTERNAMENTE Por compatível, quero dizer que tem o prefixo de Autenticação do SO adequado .
Por padrão, um usuário do sistema operacional 'fred' se conectaria a uma conta de banco de dados 'OP $ fred'. Se tal conta não existe, ele não pode se conectar. Se a conta existe, mas não foi definida com IDENTIFIED EXTERNALLY, ele não pode se conectar.
Vale a pena notar que, em algumas situações, é um mecanismo seguro. Por exemplo, se você configurar tarefas agendadas em 'batch' do usuário do sistema operacional, poderá ter uma conta de banco de dados para esse usuário que só pode ser conectada por essa conta do sistema operacional. A alternativa geral para isso é ter um nome de usuário / senha armazenado em um arquivo de configuração. Inevitavelmente, esse arquivo é lido por alguém que não deveria lê-lo, backup em um local inseguro ...
Supondo que você deseja bloqueá-los, basta fazer uma senha ALTER USER batch ACCOUNT LOCK ou ALTER USER batch IDENTIFICADA POR;
Nota: Há um problema separado sobre os usuários no grupo dba poderem se conectar com a cláusula '/ AS SYSDBA'. A resposta simples para isso é remover esses usuários do grupo dba. Se eles tiverem acesso sudo / root, peça-lhes que não o façam. Se isso não funcionar, você pode tentar o AUDIT para acompanhar o que eles fazem e envolver seu gerente.