Oracle如何撤销用户的DBA权限_执行REVOKE DBA操作

Oracle如何撤销用户的DBA权限_执行REVOKE DBA操作

想收回一个用户的DBA权限，可不是简单地在图形界面上点掉勾选就万事大吉了。这里面有几个关键步骤和容易踩的坑，操作不当，用户可能依然拥有部分高危权限。核心操作是：必须用 SYS AS SYSDBA 或带 ADMIN OPTION 的 DBA 用户执行 REVOKE DBA FROM scott;，且需在对应容器（CDB/PDB）中操作，并验证是否残留 CREATE SESSION 等权限。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

具体来说，你必须使用具有 dba 权限的用户（比如 sys 或 system）来执行 revoke dba from user_name; 命令。否则，系统会毫不客气地抛出一个 ora-01031: insufficient privileges 错误，告诉你权限不足。

用哪个账号执行 REVOKE DBA 才有效

这里有个硬性规定：只有本身拥有 DBA 角色且附带 ADMIN OPTION 选项的用户，才有资格撤销其他用户的 DBA 权限。通常，SYS AS SYSDBA 或 SYSTEM 用户是可行的选择，但前提是后者的 ADMIN OPTION 没有被手动移除。稳妥起见，最可靠的方式还是用 SYS 登录：

sqlplus / as sysdba

登录成功后，直接运行撤销命令：

REVOKE DBA FROM scott;

注意两个细节：第一，用户名 scott 必须大写（除非创建时用了双引号指定小写）；第二，确保该用户当前确实拥有 DBA 角色。否则，你会收到 ORA-01952: system privilege not granted to 'SCOTT' 的提示。

REVOKE DBA 不能跨实例或跨容器生效

在Oracle的多租户（CDB/PDB）环境下，这一点尤其需要注意。DBA 是一个数据库级别的角色，而不是CDB级别的全局角色。这意味着，如果你在CDB$ROOT（根容器）中执行 REVOKE DBA FROM scott;，这个操作只对根容器生效。如果 scott 用户在某个特定的PDB（可插拔数据库）里也被授予了 DBA 角色，那么PDB中的权限并不会自动消失。

怎么处理？按这个步骤来：

• 先定位：查询 SELECT CON_ID, GRANTEE, GRANTED_ROLE FROM CDB_ROLE_PRIVS WHERE GRANTEE = 'SCOTT' AND GRANTED_ROLE = 'DBA';，确认用户在哪个容器拥有权限。
• 再切换：根据查询到的 CON_ID，切换到对应的容器连接（例如：ALTER SESSION SET CONTAINER = pdb1;）。
• 后执行：在正确的容器中再次执行 REVOKE 命令。

顺便提一句，别太依赖PL/SQL Developer这类图形化工具的“去掉勾选”操作。界面操作可能只针对你当前连接的容器，一不小心就会遗漏。

撤销后用户仍能连库？检查 CREATE SESSION 是否残留

这是一个常见的“后遗症”。DBA 角色确实包含 CREATE SESSION 权限，但撤销 DBA 角色并不会自动收回这个单独的权限。用户可能之前被单独授予过 CREATE SESSION，或者属于 CONNECT 角色（在旧版本中默认包含此权限）。

所以，执行完 REVOKE DBA FROM scott; 后，强烈建议顺手检查一下：

SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE = 'SCOTT' AND PRIVILEGE = 'CREATE SESSION';

如果查询结果非空，而你的目的是彻底禁止该用户登录，那么就需要额外执行：

REVOKE CREATE SESSION FROM scott;

否则，用户 scott 仍然可以连接到数据库，只是无法执行 DROP USER、ALTER SYSTEM 这类高危操作了。

图形化工具里点“删掉 DBA 角色”为什么有时不生效

PL/SQL Developer、SQL Developer 这些工具的图形界面，本质上也是在后台拼接SQL语句执行。但它们有时会漏掉几个关键点：

• 容器上下文不明确：尤其在PDB中操作时，工具可能默认连接到CDB$ROOT，而没有显式指定 CONTAINER = CURRENT。
• 事务未提交：点击“Apply”后，有些版本需要手动按Ctrl+Enter或在确认弹窗中提交，事务才算真正完成。
• 大小写敏感问题：更隐蔽的情况是，界面上显示的是小写的 dba，但数据库元数据中存储的是大写的 DBA。图形界面的删除逻辑可能因为大小写匹配失败而导致操作无效。

遇到图形界面操作无效的情况，最直接的办法就是回到命令行。用 sqlplus / as sysdba 直接执行语句，然后查询 DBA_ROLE_PRIVS 视图来确认操作结果。

说到底，撤销DBA权限的难点，并不在于执行那条 REVOKE 命令本身，而在于搞清楚用户位于哪个容器、是否还有残留的系统权限、以及图形化工具背后有没有“悄悄”绕过你的意图。记住，不要完全相信界面上的“已应用”提示，务必通过查询数据字典视图来进行最终验证。