GRANT DBA TO 授予的是 Oracle 内置 DBA 角色,含约 160 个系统权限及数据字典 SELECT 权限,但不含 SYSDBA/SYSOPER 特权,且非最小权限,生产环境应避免滥用。Oracle 中 GRANT DBA TO 实际授予的是什么权限它不是"超级管理员"这个模糊概念的等价物,而是授予 dba 角色------一个 oracle 内置角色,包含约 160 个系统权限(如 create any table、drop any index、alter database),以及对数据字典视图的 select 权限。但注意:dba 角色不包含 sysdba 或 sysoper 系统特权,无法执行启动/关闭数据库、恢复控制文件等底层操作。常见错误现象:GRANT DBA TO user1; 后,用户仍无法 STARTUP 或访问 V$INSTANCE ------ 因为那需要 AS SYSDBA 连接,和角色无关。DBA 是角色(role),不是权限(privilege)本身,必须通过 SET ROLE DBA 或登录时启用(取决于 DEFAULT ROLE 设置)才能生效授予前需确认目标用户已存在,且执行者拥有 GRANT ANY ROLE 权限(通常只有 SYS 或已授该权限的用户能操作)Oracle 12c 及以后,DBA 角色默认不包含 UNLIMITED TABLESPACE,需单独授予,否则用户建表可能报 ORA-01950: no privileges on tablespace为什么不能直接用 GRANT DBA TO 替代最小权限原则因为 DBA 是全库级高危角色:它允许用户删任意表、改任意存储过程、导出所有用户数据,甚至通过 CREATE LIBRARY + 外部函数执行操作系统命令(在旧版本中曾被用于提权)。生产环境直接授 DBA,等于交出数据库的物理控制权。使用场景仅限于:DBA 自己管理账号、临时排障账号、隔离的开发测试库。绝不可用于应用连接账号或第三方工具账号。替代方案更安全:GRANT CREATE SESSION, CREATE TABLE, SELECT ANY DICTIONARY TO user1; 按需组合若需部分 DBA 能力,可复制 DBA 角色内容,新建受限角色(如去掉 DROP ANY * 类权限)Oracle 12c+ 支持权限分析(DBMS_PRIVILEGE_CAPTURE),可先捕获真实使用权限,再精准授权GRANT DBA TO 在不同 Oracle 版本中的兼容性差异语法本身从 Oracle 7 一直保留至今,但行为有隐性变化。最关键是 12c 引入的"公共用户/本地用户"模型,以及 19c 对角色激活的限制增强。 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手,依托大模型,帮助用户记录、整理和分析音视频内容,体验用大模型做音视频笔记、整理会议记录。
相关推荐
landyjzlai2 小时前
蓝迪哥玩转Ai(8)---端侧AI:RK3588 端侧大语言模型(LLM)开发实战指南S1998_1997111609•X4 小时前
论当今社会主义与人文关怀人格思想下的恶意仿生注入污染蜜罐描述进行函数值非法侵入爬虫的咼忄乂癿〇仺⺋.我叫黑大帅4 小时前
如何通过 Python 实现招聘平台自动投递其实防守也摸鱼4 小时前
CTF密码学综合教学指南--第九章砚底藏山河4 小时前
Python量化开发:2026最佳实时股票数据API接口推荐与对比倔强的石头_5 小时前
kingbase备份与恢复实战(六)—— 备份自动化与保留策略:Windows任务计划+日志追溯研究点啥好呢5 小时前
专为求职者开发的“面馆”!!!摆脱面试焦虑!!!轻刀快马5 小时前
别被 ORM 框架宠坏了:从一场“订单消失”悬案,看懂 MySQL 为什么要强推 InnoDBDFT计算杂谈6 小时前
自动化脚本一键绘制三元化合物相图EW Frontier7 小时前
6G ISAC新范式:基于智能漏波天线的Wi‑Fi通感一体化系统设计与实测【附MATLAB+python代码】