如何设置用户默认角色_ALTER USER DEFAULT ROLE ALL

ORA-01955错误详解：误用ALL关键字导致“默认角色不存在”的解决方案

执行 ALTER USER DEFAULT ROLE ALL 报错 “ORA-01955: default role ‘ALL’ does not exist” 的原因与修复

许多数据库管理员在配置Oracle用户默认角色时，都曾遇到ORA-01955错误。其根本原因在于误解了ALL关键字的功能——它并非一个预定义的角色名称，而是Oracle SQL语法中的特定关键字。当您执行ALTER USER ... DEFAULT ROLE ALL时，数据库会尝试在数据字典中查找名为“ALL”的角色对象，由于该角色不存在，系统便会抛出此错误。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

要正确设置用户的默认角色，您必须采用以下两种方法之一：要么显式列出所有已授予该用户的角色名称，要么在Oracle 12c Release 2及以上版本中使用ALL PRIVILEGES语法：

• ALTER USER scott DEFAULT ROLE CONNECT, RESOURCE; —— 这是最可靠且兼容所有版本的方法，明确指定已授予用户的真实角色。
• ALTER USER scott DEFAULT ROLE ALL; ❌ 错误用法：ALL不是有效角色名，此命令必然失败。
• ALTER USER scott DEFAULT ROLE ALL PRIVILEGES; ✅ 适用于12.2+版本的正确语法。此命令的含义是：“将当前通过GRANT语句直接授予该用户的所有角色设置为默认角色。”请注意关键限制：通过ADMIN OPTION获得的角色以及非显式授予的角色不会被包含在内。

DEFAULT ROLE 生效机制与重要限制说明

修改默认角色的设置并不会立即影响当前已连接的会话。该配置仅对此后新建立的数据库会话生效，用户需要重新登录才能使新的默认角色生效。

此外，关于Oracle默认角色功能，还有以下几个必须了解的限制条件：

• 前提条件：角色必须已通过GRANT role_name TO user_name语句授予目标用户，否则无法被设置为默认角色。
• 功能范围：DEFAULT ROLE子句仅控制用户登录时哪些角色被自动激活，不影响角色间的嵌套权限继承，也与WITH ADMIN OPTION管理权限无关。
• 认证影响：如果用户配置了OS_AUTHENT_PREFIX参数或使用外部身份认证（如操作系统认证），默认角色机制可能被绕过或失效。

另一个常见误区是：即使用户已配置默认角色，若之前执行过SET ROLE NONE或ALTER USER ... DEFAULT ROLE NONE清除了默认设置，下次登录时仍不会有角色自动激活。

深入解析 ALTER USER ... DEFAULT ROLE ALL 的常见误用场景

这一错误在运维脚本和文档中频繁出现，主要源于对Oracle官方文档的片面理解。许多开发者看到“ALL — specifies that all roles granted to the user are enabled”的描述，便误以为ALL是通用的通配符。

实际上，ALL关键字仅在特定的SQL上下文中合法，例如SET ROLE ALL语句，或前述的ALTER USER ... DEFAULT ROLE ALL PRIVILEGES。不同Oracle版本对此语法的支持也存在差异：

• Oracle 11g 及更早版本：完全不支持ALL PRIVILEGES语法。若需将所有授予的角色设为默认，必须手动枚举所有角色名称。
• Oracle 12c Release 1 (12.1)：开始引入ALL PRIVILEGES支持，但初期实现可能存在行为不一致的问题，生产环境不建议依赖此功能。
• Oracle 12c Release 2+ (12.2及更高)：ALL PRIVILEGES语法行为已稳定。但规则不变：不包含通过ADMIN OPTION获得的角色，也不包含未激活的外部认证角色。

如何准确查询与验证用户的默认角色配置

要确认默认角色的设置状态，最可靠的方法是查询Oracle系统数据字典视图：

SELECT granted_role, default_role FROM dba_role_privs WHERE grantee = 'SCOTT';

查询结果解读：DEFAULT_ROLE列显示为YES，表示该角色已设为默认，用户登录时将自动启用；若显示NO，则表示该角色虽已授予用户，但不会在登录时自动激活，需后续手动执行SET ROLE命令启用。

• 注意：查询dba_role_privs视图通常需要DBA权限。普通用户可查询user_role_privs视图来查看自身角色信息。
• 若发现某角色的DEFAULT_ROLE状态为NO，但希望其默认启用，需重新执行ALTER USER ... DEFAULT ROLE ...命令，并在列表中明确包含该角色名。
• 重要：角色名称区分大小写！对于使用双引号创建的区分大小写的角色（如"MyRole"），在DEFAULT ROLE子句中必须使用完全相同的引号和大小写格式。

总结而言，ORA-01955错误的典型诱因是将ALL关键字误用作角色名占位符。尤其在Oracle 11g环境或遗漏PRIVILEGES关键字时，反复尝试错误命令只会导致操作失败。理解版本差异、掌握正确语法并善用系统视图查询，是高效管理和排查默认角色问题的关键。