Oracle角色与配置文件整理.docx

角色 权限的集合，可以分配给一个用户或其他角色，但角色不能授予自己，也不能循环授予 角色的优点 可以先创建角色，向该角色赋予一系列权限，然后再将该角色授予多个用户或角色 增加或删除角色中的某一权限，被授予该角色的所有用户或角色自动地获得新增权限或删除旧的权限 可以为角色设置密码 创建修改角色 CREATE ROLE role_name [NOT IDENTIFIED(默认) | IDENTIFIED BY password | EXTERNALLY |GLOBALLY]; 注：同一个数据库中角色名称必须唯一，且不能使用已存在的用户名称 不支持with grant option 为角色授予对象权限 支持with admin option 为角色授予系统权限或另一个角色 使用Enterprise Manager创建某个用户时，该用户被自动授予了CONNECT角色， 即同时具有了该角色的所有权限 IDENTIFIED BY EXTERNALLY 意味着了启用一个角色，用户必须是某个操作系统组的一个成员，该操作系统组的名称应当与角色相对应。 当希望通过操作系统对角色进行身份认证，则需要设置OS_ROLE参数为TRUE 且当设定了使用IDENTIFIED BY EXTERNALLY身份验证，必须在数据库驻留的服务器上按以下格式创建组 ora_<SID>_<ROLE>[_[d][a]] d:指示<ROLE>部分指定的角色为用于用户的默认角色 a:指示可以使用with admin option为用户授予<ROLE>部分所指定的角色 关于外部身份验证，请参考：Oracle 密码文件 常用的角色 角色 被授予的权限 DBA 几乎所有系统权限 SELECT_CATALOG_ROLE 数据字典上的对象权限，未被授予任何系统权限 EXECUTE_CATALOG_ROLE 数据字典上的程序包、过程、函数的对象权限 DELETE_CATALOG_ROLE DELETE ON SYS.AUD$ DELETE ON SYS.FGA_LOG$ EXP_FULL_DATABASE 从数据库中导出数据时查询任何表或序列、执行任何过程或类型以及修改 数据字典对象的权限 IMP_FULL_DATABASE 执行导入时，在数据库内除了sys模式之外的任何模式中创建对象的权限 CONNECT ALTER SESSION CREATE CLUSTER CREATE DATABASE LINK CREATE SEQUENCE CREATE SESSION CREATE SYNONYM CREATE TABLE CREATE VIEW RESOURCE CREATE CLUSTER CREATE INDEXTYPE CREATE OPERATOR CREATE PROCEDURE CREATE SEQUENCE CREATE TABLE C