oracle数据库管理人员权限设置及分配表

oracle创建⽤户、创建表空间、授权、建表的完整过程1.⾸先以sysdba的⾝份登录oracle conn /as sysdba 查询⽤户： select username from dba_users; 查询表空间 select username, default_tablespace from dba_users where username='⽤户名‘; 查询数据⽂件 select file_name, tablespace_name from dba_data_files;2.然后就可以来创建⽤户. create user ⽤户名 identified by 密码;3.修改⽤户的密码 alter user ⽤户名 identified by 新密码;4.创建⼀个表空间 create tablespace 表空间名 datafile '空间物理存储路径（f:\ts_zzg\zzg_data.dbf后缀随意）' size ⼤⼩（200M）;5.将表空间分配给⽤户 alter user ⽤户名 default tablespace 表空间名;6.为⽤户分配权限 grant create session,create table,create view,create sequence,unlimited tablespace to ⽤户名; grant all privileges to ⽤户名;（全部权限）7.查看所有⽤户所在的表空间 select username,default_tablespace from dba_users;8.查询⽤户所具有的权限 select *from session_privs;9.删除⽤户及其相关对象 drop user ⽤户名;。

数据库三权分立表格
数据库三权分立是一种数据库的安全管理机制，该管理机制是将数据库的管理权限划分为三个独立的职责领域，用以防止管理权限的过度集中，从而降低安全风险的增加，有效保障数据库的安全。

通常数据库三权分立会将管理角色分为数据库管理员（DBA, Database Administrator）、安全管理员（Security Officer 或Security Administrator）、数据审计员（Data auditor）三个角色。

具体数据库三权分立内容如下表：
我们通过上面的角色划分，从而实现了对数据库的安全管理，降低数据安全风险，可以有效提升数据的整体安全。

根据以上内容，从而可以设计出数据库三权分立表格。

表格如下：
2。

oracle下的数据库实例、表空间、⽤户及其表的区分完整的Oracle数据库通常由两部分组成：Oracle数据库和数据库实例。

1) 数据库是⼀系列物理⽂件的集合（数据⽂件，控制⽂件，联机⽇志，参数⽂件等）；2) Oracle数据库实例则是⼀组Oracle后台进程/线程以及在服务器分配的共享内存区。

在启动Oracle数据库服务器时，实际上是在服务器的内存中创建⼀个Oracle实例（即在服务器内存中分配共享内存并创建相关的后台内存），然后由这个Oracle数据库实例来访问和控制磁盘中的数据⽂件。

Oracle有⼀个很⼤的内存快，成为全局区（SGA）。

⼀、数据库、表空间、数据⽂件1、数据库数据库是数据集合。

Oracle是⼀种数据库管理系统，是⼀种关系型的数据库管理系统。

通常情况了我们称的“数据库”，并不仅指物理的数据集合，他包含物理数据、数据库管理系统。

也即物理数据、内存、操作系统进程的组合体。

我们在安装Oracle数据库时，会让我们选择安装启动数据库（即默认的全局数据库）如下图：全局数据库名：就是⼀个数据库的标识，在安装时就要想好，以后⼀般不修改，修改起来也⿇烦，因为数据库⼀旦安装，数据库名就写进了控制⽂件，数据库表，很多地⽅都会⽤到这个数据库名。

启动数据库：也叫全局数据库，是数据库系统的⼊⼝，它会内置⼀些⾼级权限的⽤户如SYS，SYSTEM等。

我们⽤这些⾼级权限账号登陆就可以在数据库实例中创建表空间，⽤户，表了。

查询当前数据库名：select name from v$database;2、数据库实例⽤Oracle官⽅描述：实例是访问Oracle数据库所需的⼀部分计算机内存和辅助处理后台进程，是由进程和这些进程所使⽤的内存(SGA)所构成⼀个集合。

其实就是⽤来访问和使⽤数据库的⼀块进程，它只存在于内存中。

就像Java中new出来的实例对象⼀样。

我们访问Oracle都是访问⼀个实例，但这个实例如果关联了数据库⽂件，就是可以访问的，如果没有，就会得到实例不可⽤的错误。

一、权限分类：系统权限：系统规定用户使用数据库的权限。

（系统权限是对用户而言)。

实体权限：某种权限用户对其它用户的表或视图的存取权限。

（是针对表或视图而言的）。

二、系统权限管理：1、系统权限分类：DBA: 拥有全部特权，是系统最高权限，只有DBA才可以创建数据库结构。

RESOURCE:拥有Resource权限的用户只可以创建实体，不可以创建数据库结构。

CONNECT:拥有Connect权限的用户只可以登录Oracle，不可以创建实体，不可以创建数据库结构。

对于普通用户：授予connect, resource权限。

对于DBA管理用户：授予connect，resource, dba权限。

2、系统权限授权命令：[系统权限只能由DBA用户授出：sys, system(最开始只能是这两个用户)]授权命令：SQL> grant connect, resource, dba to 用户名1 [,用户名2]...;[普通用户通过授权可以具有与system相同的用户权限，但永远不能达到与sys用户相同的权限，system用户的权限也可以被回收。

]例：SQL> connect system/managerSQL> Create user user50 identified by user50;SQL> grant connect, resource to user50;查询用户拥有哪里权限：SQL> select * from dba_role_privs;SQL> select * from dba_sys_privs;SQL> select * from role_sys_privs;删除用户：SQL> drop user 用户名cascade; //加上cascade则将用户连同其创建的东西全部删除3、系统权限传递：增加WITH ADMIN OPTION选项，则得到的权限可以传递。

在数据库管理中，权限设置是一个重要的环节，它确保了数据的完整性和安全性。

以下是一个简化的数据库管理人员权限设置分配表的示例：| 权限级别| 描述|
针对上述权限级别，以下是相应的权限分配：
1. DBA
拥有所有权限，包括数据查询、修改、删除等。

能够创建、删除、重命名数据库、表和索引等。

能够进行备份和恢复数据库操作。

2. SYSADMIN
具有DBA的所有权限。

可以对整个系统进行配置和调整。

能够管理其他用户的权限和角色。

3. ADMIN
拥有除DBA之外的所有权限。

可以管理自己或指定的用户。

不能更改DBA的权限或对整个系统进行配置。

4. USER
只能进行数据查询操作。

不能进行数据修改、删除或创建新数据。

不能对数据库结构进行更改。

在实际应用中，根据组织的需求和安全策略，可以进一步细化权限设置，例如为特定功能或模块分配特定的权限级别。

此外，为了确保安全，还需要定期审查和调整权限设置，以确保它们仍然符合组织的需要和安全标准。

Oracle 10g管理及应用
2018年10月10日星期
8.4.4 将角色授予用户
1．在OEM中将角色授予用户（演示） 2．通过SQL命令将角色授予用户 GRANT角色 TO 用户;
Oracle 10g管理及应用
2018年10月10日星期
8.4.5 删除角色
1．在OEM中删除角色（演示） 2．通过SQL命令删除角色 DROP ROLE 角色名;

创建用户帐号 用户帐号状态 修改用户帐号 锁定和解锁用户帐号 删除用户
Oracle 10g管理及应用
2018年10月10日星期
8.2.1 创建用户帐号
1．通过SQL命令创建用户
创建用户的语法格式如下所示： CREATE USER 用户名 IDENTIFIED BY 口令 [DEFAULT TABLESPACE 默认表空间] [TEMPORARY TABLESPACE 临时表空间] [QUOTA[数值K| M] | [ UMLIMITED] ON 表空间名] [PROFILE 概要文件名] [ACCOUNT LOCK ] | [ACCOUNT UNLOCK] 以下代码创建了一个用户ORCLUSER_1 System> CREATE USER "ORCLUSER_1" PROFILE "DEFAULT" IDENTIFIED BY "AAA" ACCOUNT UNLOCK; GRANT "CONNECT" TO "ORCLUSER_1";
第八章 用户帐号管理和权限控制
8.1 Oracle安全机制 8.2 用户帐号管理 8.3 权限管理 8.4 角色管理 8.5 概要文件 实训6 创建概要文件、用户和授予权限

oracle赋权方法Oracle是一种关系型数据库管理系统，它提供了一种灵活且安全的赋权机制，可以控制用户对数据库对象的访问权限。

本文将介绍Oracle中常用的赋权方法。

1. 创建用户和角色：在Oracle中，可以使用CREATE USER语句创建用户，并使用CREATE ROLE语句创建角色。

用户可以拥有角色，而角色可以拥有权限。

创建用户和角色的语法如下：```CREATE USER username IDENTIFIED BY password; CREATE ROLE role;```2. 授权角色权限：可以使用GRANT语句将权限授予角色。

例如，将SELECT权限授予角色read_role：```GRANT SELECT ON table_name TO read_role;```3. 授权用户角色：可以使用GRANT语句将角色授予用户。

例如，将read_role角色授予用户username：```GRANT read_role TO username;```4. 授予用户直接权限：可以使用GRANT语句将权限直接授予用户。

例如，将SELECT权限直接授予用户username：```GRANT SELECT ON table_name TO username;```5. 撤销角色权限：可以使用REVOKE语句撤销角色的权限。

例如，撤销read_role角色的SELECT权限：```REVOKE SELECT ON table_name FROM read_role;```6. 撤销用户角色：可以使用REVOKE语句撤销用户的角色。

例如，撤销用户username的read_role角色：```REVOKE read_role FROM username;```7. 撤销用户直接权限：可以使用REVOKE语句撤销用户的直接权限。

例如，撤销用户username的SELECT权限：```REVOKE SELECT ON table_name FROM username;```8. 查看用户权限：可以使用SELECT语句查询用户拥有的权限。

oracle分配用户权限语句嘿，你知道吗，在 Oracle 里要给用户分配权限，那可真是一门学问呢！就好像你要给一个小伙伴分配任务一样，得搞清楚该给啥权限，不能多也不能少。

比如说，你想让某个用户能查看一些特定的数据，那就得用合适的语句来给他这个权限。

“GRANT SELECT ON table_name TOuser_name;”，看，这就是一条简单的分配读权限的语句啦。

就好像你给朋友一把钥匙，让他能打开特定的那扇门去看看里面的东西。

但要是想让用户能修改数据呢，那就得用不同的语句啦，“GRANT INSERT, UPDATE ON table_name TO user_name;”。

这就好比你不仅给了朋友钥匙，还告诉他可以在里面动点小手脚，改改东西呢。

哎呀，这可真不是随随便便就能搞对的呀！要是不小心给错了权限，那不就乱套了嘛！就像你本想让朋友帮忙打扫下客厅，结果不小心让他能随便进卧室翻东西了，那可不行呀！而且，分配权限的时候还得考虑周全，不能只看眼前。

比如说，以后这个用户的职责会不会变呀，到时候权限是不是又得重新调整呢。

这就跟你给朋友安排任务一样，一开始可能只让他做一件事，后来发现他还能做更多，或者原来的任务不需要他做了，那权限不就得跟着变嘛。

在 Oracle 中分配用户权限语句真的是非常重要的呀！这可关系到整个数据库的安全和正常运行呢。

要是权限分配得不合理，那可能会带来很多麻烦，甚至会导致数据泄露或者错误。

所以呀，我们可得认真对待，就像对待我们最珍视的宝贝一样，小心翼翼地去设置好每一个权限。

总之，Oracle 分配用户权限语句这事儿，可真是既有趣又充满挑战呢！我们得好好研究，才能把它玩转，让数据库乖乖听话呀！。

alter user system account unlock;
alter user system identified by abc123;
12.2 权限
权限（Privilege）的最终作用对象是用户。即所有用 户在数据库内的操作对象和可执行的动作都是受到限制的。 Oracle中共有两种权限：系统权限和对象权限。
select * from system.t_employees order by employee_id;
12.3.2 继承角色
角色继承是指一个角色可以继承其他角色的权限信息， 从而减少自身使用grant的机会。
create role role_hr;
grant role_employee to role_hr;
grant update, insert on t_employees to role_hr;
select table_name, grantee, grantor, privilege from dba_tab_privs where table_name = 'T_EMPLOYEES';
create user cat identified by abc;
grant create session to cat;
grant role_hr to cat;
update system.t_employees set status = 'CXL' where employee_id = 13;
12.3.3 禁用和启用角色
每个用户登录数据库时，都可以获得其默认角色。可以 通过查询视图session_roles来获得当前会话下该用户的默 认角色。管理员可以禁用用户的默认角色，一旦禁用，则用 户从该角色获得的权限将不再有效。

在PLSQL中创建Oracle数据库Users用户并设置权限
1、首先在PLQL Developer 中打开数据库。

使用"sys" 用户，输入数据库名称，输入该数
据库”sys”用户的密码sysdba，在”Connect as”组合框中选中“SYSDBA”。

单击OK 按钮打开数据库。

2、创建”User”型用户“DXXFLD”。

找到“Users”文件夹，右键弹出菜单中，选中”New”，
弹出用户创建界面：
在其中输入要添加的用户名”DXXFLD”，并作其他设置如下：
户名连接到数据库。

然后通过“Quotas”选项卡设置用户权限：将“Tablespace”中选中“User”, 勾选“Unlimited”复选项(这个一定要选中啊，不然创建表的时候会提示没有表空间的访问权限
的)。

最后单击”Apply”按钮使各项设置起作用。

2、使用新创建的用户创建表。

在”Tables”文件夹上右键单击，选中弹出菜单中“New”选
项
在之后弹出属性页下，做如下设置：
然后再设置字段名等其他属性就和直接用“System”或“Sys”等表空间创建表一样了。

要说明的是使用自定义”Users”创建的表，其在PLSQL 中“Users“->”Tables”目录下才
可见。

数据库管理员授权表模板1. 用户信息1.1 用户名•用户名：[用户名]•用户类型：[用户类型]•用户描述：[用户描述]1.2 用户权限•数据库权限：[数据库权限]•表权限：[表权限]•列权限：[列权限]•视图权限：[视图权限]•存储过程权限：[存储过程权限]•函数权限：[函数权限]•触发器权限：[触发器权限]2. 数据库权限2.1 数据库操作权限•创建数据库：[是否允许创建数据库]•删除数据库：[是否允许删除数据库]•修改数据库：[是否允许修改数据库配置]2.2 数据库对象权限•创建表：[是否允许创建表]•删除表：[是否允许删除表]•修改表：[是否允许修改表结构]•创建视图：[是否允许创建视图]•删除视图：[是否允许删除视图]•修改视图：[是否允许修改视图]•创建存储过程：[是否允许创建存储过程]•删除存储过程：[是否允许删除存储过程]•修改存储过程：[是否允许修改存储过程]•创建函数：[是否允许创建函数]•删除函数：[是否允许删除函数]•修改函数：[是否允许修改函数]•创建触发器：[是否允许创建触发器]•删除触发器：[是否允许删除触发器]•修改触发器：[是否允许修改触发器]3. 表权限3.1 表操作权限•插入数据：[是否允许插入数据]•更新数据：[是否允许更新数据]•删除数据：[是否允许删除数据]•查询数据：[是否允许查询数据]3.2 列权限•列名：[列名]•插入权限：[是否允许插入数据到该列]•更新权限：[是否允许更新该列数据]•查询权限：[是否允许查询该列数据] 4. 视图权限4.1 视图操作权限•插入数据：[是否允许插入数据]•更新数据：[是否允许更新数据]•删除数据：[是否允许删除数据]•查询数据：[是否允许查询数据]5. 存储过程权限5.1 存储过程操作权限•执行存储过程：[是否允许执行存储过程]6. 函数权限6.1 函数操作权限•执行函数：[是否允许执行函数]7. 触发器权限7.1 触发器操作权限•插入数据：[是否允许插入数据]•更新数据：[是否允许更新数据]•删除数据：[是否允许删除数据]8. 其他权限8.1 数据备份权限•备份数据：[是否允许备份数据]•恢复数据：[是否允许恢复数据]8.2 数据库配置权限•修改数据库配置：[是否允许修改数据库配置]9. 备注[备注信息]以上为数据库管理员授权表的模板，可以根据实际需求进行修改和补充。

Oracle数据库管理员日常操作手册===================一、用户管理------### 1.1 创建用户1. 打开Oracle数据库管理工具(如SQL*Plus或SQL Developer)。

2. 使用管理员账户(如sys)登录。

3. 执行以下SQL语句创建用户：```sqlCREATE USER username IDENTIFIED BY password;```其中，`username`为用户名，`password`为密码。

4. 可选：为新用户分配表空间。

例如，执行以下语句将用户分配到默认的表空间：```sqlALTER USER username DEFAULT TABLESPACE tablespace_name;```其中，`tablespace_name`为要分配给用户的表空间的名称。

### 1.2 修改用户密码1. 打开Oracle数据库管理工具。

2. 使用管理员账户登录。

3. 执行以下SQL语句修改用户密码：```sqlALTER USER username IDENTIFIED BY new_password;```其中，`username`为要修改密码的用户名，`new_password`为用户的新密码。

### 1.3 删除用户1. 打开Oracle数据库管理工具。

2. 使用管理员账户登录。

3. 执行以下SQL语句删除用户：```sqlDROP USER username;```其中，`username`为要删除的用户名。

二、数据库备份与恢复----------### 2.1 执行完整备份1. 打开Oracle数据库管理工具(如Enterprise Manager)。

2. 选择要进行备份的数据库。

3. 执行备份命令。

通常使用类似以下的命令：```bashRMAN> RUN {2> ALLOCATE CHANNEL c1 DEVICE TYPE DISK;3> BACKUP DATABASE FORMAT '/path/to/backup/location/backup_date' PLUS ARCHIVELOG;4> }```其中，`/path/to/backup/location/`为备份文件的存储路径，`backup_date`为备份日期和时间。

下面数据库所用的版本为ORACLE 9I (9.2.0)，安装数据库时，数据库系统会创建一个数据库实例，其中：安装目录选为：\oracle，数据库名与数据库SID号都输入：ora9i数据库安装完成后，有两个系统级的用户：1、system 默认密码为：manager2、sys 默认密码为：change_on_install在安装的数据库目录中找到\oracle\product\9.2\bin 中的sqlplus程序，运行：./sqlplus system/manager@ora9i用system用户创建自己的用户、权限；sql语句如下：1、创建用户：create user username identified by pwd default tablespace users Temporary TABLESPACE Temp;2、用户授权grant connect,resource,dba to business;3、提交:commit;如上面所述利用sqlplus以username 用户登陆，专输入：@创建数据库的脚本名称.sql回车，即可创建数据库中的表、视图、存储过程等。

如上面所述利用sqlplus以username 用户登陆，假设有两个数据库 9.0.1 与 9.0.21.导出数据exp system用户/system的密码@服务器名 owner用户名=“oradial ” fi le="oradial.dmp"说明：(1) 如果该命令是在本地执行，则不用指定服务器名(2) owner用户名，通过sys用户的登录所创建的用户名。

同时授予的权限包括connect , dba , resource ,还要创建表空间。

(3) system用户名,owner用户名是9.0.1数据库中的用户2.导入数据imp system用户/system的密码@服务器名 file=oradial.dmp fromuser(用户名)=oradial touser(用户名)=abc说明：(1) 如果该命令是在本地执行，则不用指定服务器名(2) touser用户名，通过sys用户的登录所创建的用户名。

角色是一个强大的工具，使您得以将用户集中到一个单元中，然后对该单元应用权限。

对一个角色授予、拒绝或废除的权限也适用于该角色的任何成员。

可以建立一个角色来代表单位中一类工作人员所执行的工作，然后给这个角色授予适当的权限。

当工作人员开始工作时，只须将他们添加为该角色成员，当他们离开工作时，将他们从该角色中删除。

而不必在每个人接受或离开工作时，反复授予、拒绝和废除其权限。

权限在用户成为角色成员时自动生效。

Microsoft® Windows NT® 和Windows® 2000 组的使用方式与角色很相似。

有关更多信息，请参见组。

如果根据工作职能定义了一系列角色，并给每个角色指派了适合这项工作的权限，则很容易在数据库中管理这些权限。

之后，不用管理各个用户的权限，而只须在角色之间移动用户即可。

如果工作职能发生改变，则只须更改一次角色的权限，并使更改自动应用于角色的所有成员，操作比较容易。

在Microsoft® SQL Server™ 2000 和SQL Server 7.0 版中，用户可属于多个角色。

以下脚本说明登录、用户和角色的添加，并为角色授予权限。

USE masterGOsp_grantlogin 'NETDOMAIN\John'GOsp_defaultdb 'NETDOMAIN\John', 'courses'GOsp_grantlogin 'NETDOMAIN\Sarah'GOsp_defaultdb 'NETDOMAIN\Sarah', 'courses'GOsp_grantlogin 'NETDOMAIN\Betty'GOsp_defaultdb 'NETDOMAIN\Betty', 'courses' GOsp_grantlogin 'NETDOMAIN\Ralph'GOsp_defaultdb 'NETDOMAIN\Ralph', 'courses' GOsp_grantlogin 'NETDOMAIN\Diane'GOsp_defaultdb 'NETDOMAIN\Diane', 'courses' GOUSE coursesGOsp_grantdbaccess 'NETDOMAIN\John'GOsp_grantdbaccess 'NETDOMAIN\Sarah'GOsp_grantdbaccess 'NETDOMAIN\Betty'GOsp_grantdbaccess 'NETDOMAIN\Ralph'GOsp_grantdbaccess 'NETDOMAIN\Diane'GOsp_addrole 'Professor'GOsp_addrole 'Student'GOsp_addrolemember 'Professor', 'NETDOMAIN\John' GOsp_addrolemember 'Professor', 'NETDOMAIN\Sarah' GOsp_addrolemember 'Professor', 'NETDOMAIN\Diane' GOsp_addrolemember 'Student', 'NETDOMAIN\Betty' GOsp_addrolemember 'Student', 'NETDOMAIN\Ralph'GOsp_addrolemember 'Student', 'NETDOMAIN\Diane'GOGRANT SELECT ON StudentGradeView TO StudentGOGRANT SELECT, UPDATE ON ProfessorGradeView TO ProfessorGO该脚本给John 和Sarah 教授提供了更新学生成绩的权限，而学生Betty 和Ralph 只能选择他们自己的成绩。

Oracle数据库系统
如图
使用OEM管理数据库
第三步: 在这个步骤中，将把管理权限授予HR用户。输入下列值: Name（名称）: hr Passwd（口令）: hr 单击FAdministrator: Review（创建管理员: 复查）页面，如图 所示。单击Finish（完成）按钮。
使用OEM管理数据库
第五步: 再次出现Administrators页面，此时新的管理员包括在了管 理员列表中，如图所示。
至此, OEM的用户授权工作便完成。可以以新的用户名和口令登 录OEM界面, 进行数据库的相应管理。
使用OEM管理数据库
2）OEM对用户和权限的管理 Oracle数据库对用户权限进行了严格的区分。单击Database Home“管理”标签, 在出现的众多项目中, 可看到“方案”组中有“用户和权限”一栏, 如图所示。
创建数据库用户的步骤如下所述。
使用OEM管理数据库
第一步: 在如图所示的页面中单击“用户”，打开如图12-2-6所示的 “用户”页面。
使用OEM管理数据库
第二步: 在图的页面中单击“创建”，打开如图12-2-7所示的“创建 用户”页面。在页面中输入用户名、口令、默认表空间、临时表空间，选 择概要文件、状态等信息。本例中，用户名及口令为whx，默认表空间为 USERS，临时表空间为TEMP，帐户状态为未锁定。
Oracle数据库系统
使用OEM管理数据库
1）OEM的用户授权工作 第一步: 单击Database Home页面顶部的设置，显示Administrators（管理员） 列表，如图。
第二步: 单击Create（创建），通过将管理权限分配给一个现有的数据库用户来创建一 个新的OEM用户。显示Create Administrator: Properties（创建管理员: 属性）页面，

5.2.2 创建角色
使用CREATE ROLE语句可以创建一个新的角色，执行该语 句的用户必须具有CREATE ROLE系统权限。
在角色刚刚创建时，它并不具有任何权限，这时的角色是 没有用处的。因此，在创建角色之后，通常会立即为它授予权 限。例如：利用下面的语句创建了一个名为OPT_ROLE的角色， 并且为它授予了一些对象权限和系统权限：
ORACEL利用角色更容易地进行权限管理。有下列优点： （1）减少权限管理，不要显式地将同一权限组授权给 几个用户，只需将这权限组授给角色，然后将角色授权给 每一用户。 （2）动态权限管理，如果一组权限需要改变，只需修 改角色的权限，所有授给该角色的全部用户的安全域将自 动地反映对角色所作的修改。 （3）权限的选择可用性，授权给用户的角色可选择地 使其可用或不可用。 （4）应用可知性，当用户经用户名执行应用时，该数 据库应用可查询字典，将自动地选择使角色可用或不可用。 （5）应用安全性，角色使用可由口令保护，应用可提 供正确的口令使用角色，如不知其口令，不能使用角色。
系统权限可授权给用户或角色，一般，系统权限只授 予管理人员和应用开发人员，终端用户不需要这些相关功 能。 2）对象权限：在指定的表、视图、序列、过程、函数或包 上执行特殊动作的权利。
2.角色 为相关权限的命名组，可授权给用户和角色。数据库角 色包含下列功能： （1）一个角色可授予系统权限或对象权限。 （2）一个角色可授权给其它角色，但不能循环授权。 （3）任何角色可授权给任何数据库用户。 （4）授权给用户的每一角色可以是可用的或者不可用 的。一个用户的安全域仅包含当前对该用户可用的全部角 色的权限。 （5）一个间接授权角色对用户可显式地使其可用或不 可用。 在一个数据库中，每一个角色名必须唯一。角色名与用 户不同，角色不包含在任何模式中，所以建立角色的用户 被删除时不影响该角色。

我们将从创建Oracle用户权限表开始谈起，然后学习登陆等一般性动作，使大家对Oracle用户权限分配控制有个深入的了解。

一、创建sys； //系统管理员，拥有最高权限system；//本地管理员，次高权限scott； //普通用户，密码默认为tiger,默认未解锁二、登陆sqlplus / as sysdba； //登陆sys帐户sqlplus sys as sysdba；//同上sqlplus scott/tiger； //登陆普通用户scott三、管理用户create user zhangsan;//在管理员帐户下，创建用户zhangsanalert user scott identified by tiger;//修改密码四，授予权限1、默认的普通用户scott默认未解锁，不能进行那个使用，新建的用户也没有任何权限，必须授予权限/*管理员授权*/grant create session to zhangsan； //授予zhangsan用户创建session 的权限，即登陆权限grant unlimited session to zhangsan；//授予zhangsan用户使用表空间的权限grant create table to zhangsan；//授予创建表的权限grante drop table to zhangsan； //授予删除表的权限grant insert table to zhangsan；//插入表的权限grant update table to zhangsan；//修改表的权限grant all to public； //这条比较重要，授予所有权限(all)给所有用户(public)2、oralce对权限管理比较严谨，普通用户之间也是默认不能互相访问的，需要互相授权/*oralce对权限管理比较严谨，普通用户之间也是默认不能互相访问的*/grant select on tablename to zhangsan；//授予zhangsan用户查看指定表的权限grant drop on tablename to zhangsan；//授予删除表的权限grant insert on tablename to zhangsan；//授予插入的权限grant update on tablename to zhangsan；//授予修改表的权限grant insert(id) on tablename to zhangsan；grant update(id) on tablename to zhangsan;//授予对指定表特定字段的插入和修改权限，注意，只能是insert和updategrant alert all table to zhangsan;//授予zhangsan用户alert任意表的权限五、撤销权限基本语法同grant,关键字为revoke六、查看权限select * from user_sys_privs；//查看当前用户所有权限select * from user_tab_privs；//查看所用用户对表的权限七、操作表的用户的表/*需要在表名前加上用户名，如下*/select * from zhangsan.tablename；八、权限传递即用户A将权限授予B，B可以将操作的权限再授予C，命令如下：grant alert table on tablename to zhangsan with admin option；//关键字 with admin optiongrant alert table on tablename to zhangsan with grant option；//关键字 with grant option效果和admin类似九、角色角色即权限的集合，可以把一个角色授予给用户create role myrole；//创建角色grant create session to myrole；//将创建session的权限授予myrole grant myrole to zhangsan；//授予zhangsan用户myrole的角色drop role myrole；删除角色/*但是有些权限是不能授予给角色的，比如unlimited tablespace和any 关键字*/。