第10章 DM数据库用户、权限与角色管理

第10章DM数据库用户、权限与角色管理主讲教师：时间：202x.xx.xx01用户管理02权限管理03角色管理04DM数据库的物理存储结构目录CONTNETS05DM数据库的安装与启动01PARTONE10.1.1创建用户10.1.2修改用户10.1.3删除用户创建用户时要指定相关的要素，通常包括用户登录数据库时的身份验证模式与口令、用户拥有对象存储的默认表空间、对用户访问数据库资源的各项限制等。我们可以通过SQL命令和DM管理工具来创建用户。为保证数据库系统的安全性，达梦数据库采用“三权分立”或“四权分立”的安全机制（安全版本）。“三权分立”时系统内置三种系统管理员，包括数据库管理员、数据库安全员和数据库审计员。用户管理创建用户的SQL命令格式如下：CREATEUSER<用户名>IDENTIFIED<身份验证模式>[PASSWORD_POLICY<口令策略>][<锁定子句>][<存储加密密钥>][<空间限制子句>][<只读标志>][<资源限制子句>][<允许IP子句>][<禁止IP子句>][<允许时间子句>][<禁止时间子句>][<TABLESPACE子句>]1.用SQL命令创建用户（1）语法格式用户管理语法（2）应用举例【例10-1】创建USER0用户，口令为dameng123。SQL>CREATEUSERuser0IDENTIFIEDBYdameng123;【例10-2】创建USER1用户，口令为DAMENG123，会话超时为3分钟，默认表空间为MAIN。SQL>CREATEUSERuser1IDENTIFIEDBYdameng123LIMITCONNECT_TIME3DEFAULTTABLESPACEmain;注意：如果密码需要使用特殊字符密码，则密码要加西文双引号。用户管理（3）附加说明（1）用户名在服务器中必须唯一；（2）用户口令以密文形式存储；（3）系统预先设置了三个用户，分别为SYSDBA、SYSAUDITOR和SYSSSO，其中SYSDBA是系统管理员，具备DBA角色；SYSAUDITOR是审计管理员，而SYSSSO为安全管理员；（4）DM提供三种身份验证模式来保护对服务器访问的安全，即数据库身份验证模式、外部身份验证模式和混合身份验证模式。数据库身份验证模式需要利用数据库口令；外部身份验证模式既支持基于操作系统(OS)的身份验证又提供口令管理策略；混合身份验证模式是同时支持数字证书和数据库身份的双重验证；用户管理2.用管理工具创建用户【例10-3】创建USER3用户，采用密码验证方式，口令为DMUSER123，使用表空间为TS1，会话持续期（会话超时）为3分钟。操作步骤如下：（1）在图10-1中，右键点击管理用户，在弹出菜单中选择“新建用户(N)…”菜单项，打开新建用户对话框，如图10-2所示。用户管理（2）在图10-2中，用户名设置为USER3，连接验证方式选择为密码验证，密码为DMUSER123，表空间为TS1。（3）选择“资源限制”页面，如图10-3所示，勾选会话持续期限制，限制为3分钟。其它参数忽略，不勾选。用户管理01PARTONE10.1.1创建用户10.1.2修改用户10.1.3删除用户（1）语法格式修改用户的的SQL命令格式如下：ALTERUSER<用户名>[IDENTIFIED<身份验证模式>][PASSWORD_POLICY<口令策略>][<锁定子句>][<存储加密密钥>][<空间限制子句>][<只读标志>][<资源限制子句>][<允许IP子句>][<禁止IP子句>][<允许时间子句>][<禁止时间子句>][<TABLESPACE子句>]1.用SQL命令修改用户用户管理在数据库使用过程中，我们可能需要修改用户的登录密码，修改用户默认表空间等。可以采用SQL命令或DM管理工具来修改用户。（2）应用举例【例10-4】将DMHR用户的密码修改为DMHR12345。如果不知道DMHR用户的密码，可以以SYSDBA用户登录来修改DMHR用户的密码。SQL>CONNSYSDBA/SYSDBASQL>ALTERUSERDMHRIDENTIFIEDBYDMHR12345;这个例子的前提条件数据库中已经存在DMHR用户。用户管理（3）附加说明（1）每个用户均可修改自身的口令，SYSDBA用户可强制修改非系统预设用户的口令(在数据库验证方式下)；（2）只有具备ALTERUSER权限的用户才能修改其身份验证模式、系统角色及资源限制项；（3）不论dm.ini的DDL_AUTO_COMMIT设置为自动提交还是非自动提交，ALTERUSER操作都会被自动提交。（4）系统预设用户不能修改其系统角色和资源限制项；用户管理2.用管理工具修改用户【例10-5】修改用户USER3，口令为USER33333，口令登录错误5次就锁定账户。操作步骤如下：（1）在图10-4中，右键点击用户USER3，在弹出菜单中选择“修改(M)…”菜单项，打开修改用户对方框，如图10-5所示。用户管理图10-4修改用户图10-5修改用户密码用户管理（2）在图10-5中，将密码和密码确认修改为USER33333。（3）选择“资源限制”页面，如图10-6所示，勾选登录失败次数，并将失败次数修改为5。（4）点击“确定”按钮，完成修改用户过程。图10-6修改登录失败次数用户管理01PARTONE10.1.1创建用户10.1.2修改用户10.1.3删除用户数据库的对象都是组织在用户的模式下面，如果删除用户，该用户模式下的数据对象都要删除，并且对该用户模式下的数据对象的依赖也都会被删除。删除用户应当慎重，可以使用SQL命令或DM管理工具来删除用户。SQL命令删除用户语法格式DROPUSER<用户名>[RESTRICT|CASCADE];【例10-6】以用户SYSDBA登录，删除用户USER0。SQL>DROPUSERuser0;如果用户存在数据对象，则不能删除该用户。用户管理（3）附加说明（1）系统自动创建的三个系统用户SYSDBA、SYSAUDITOR和SYSSSO不能被删除；（2）具有相应的DROPUSER权限的用户即可进行删除用户操作；（3）删除用户会删除该用户建立的所有对象，且不可恢复。如果要保存这些实体，请参考REVOKE语句；（4）如果未使用CASCADE选项，若该用户建立了数据库对象(如表、视图、过程或函数)，或其他用户对象引用了该用户的对象，或在该用户的表上存在其它用户建立的视图，DM将返回错误信息，而不删除此用户；（5）如果使用了CASCADE选项，除数据库中该用户及其创建的所有对象被删除外，如果其他用户创建的表引用了该用户表上的主关键字或唯一关键字，或者在该表上创建了视图，DM还将自动删除相应的参照完整性约束及视图依赖关系；（6）正在使用中的用户可以被删除，删除后重登录或者做操作会报错。用户管理2.用管理工具删除用户【例10-7】删除用户USER3。右键点击USER3用户，在弹出菜单中选择“删除(D)”菜单项，打开删除对象对话框。点击“确定”按钮，删除USER3用户。用户管理01用户管理02权限管理03角色管理04DM数据库的物理存储结构目录CONTNETS05DM数据库的安装与启动达梦数据库对用户的权限有着严格的规定，如果没有权限，用户将无法完成任何操作。用户权限有两类，即数据库权限和对象权限。数据库权限主要是指针对数据库对象的创建、删除、修改数据库对象的权限，以及对数据库备份等权限。而对象权限主要是指对数据库对象中的数据的访问权限。权限管理02PARTTWO10.2.1权限分类10.2.2授予权限10.2.3回收权限1.数据库权限

数据库权限是与数据库安全有关的最重要的权限，这类权限一般是针对数据库管理员的。数据库权限的管理主要包括权限的分配、回收和查询等操作。数据库权限说明CREATETABLE在自己的模式中创建表的权限CREATEVIEW在自己的模式中创建视图的权限CREATEUSER创建用户的权限CREATETRIGGER在自己的模式中创建触发器的权限ALTERUSER修改用户的权限ALTERDATABASE修改数据库的权限CREATEPROCEDURE在自己模式中创建存储过程的权限常用的数据库权限

对于表、视图、用户、触发器这些数据库对象，有关的数据库权限包括创建、删除和修改他们的权限，相关的命令分别是CREATE、DROP和ALTER。表、视图、触发器、存储程序等对象是与用户有关的，在默认情况下对这些对象的操作都是在当前用户自己的模式下进行的。权限管理2.对象权限对象权限主要是对数据库对象中的数据的访问权限，这类权限主要是针对普通用户的。数据库对象类型对象权限表视图存储程序包类类型序列目录域SELECT

INSERT

DELETE

UPDATE

REFERENCES

DUMP

EXECUTE

READ

WRITE

USAGE

常用对象权限权限管理对于表和视图来说，删除操作是整行进行的，而查询、插入和修改却可以在一行的某个列上进行，所以在指定权限时，DELETE权限只要指定所要访问的表就可以了，而SELECT、INSERT和UPDATE权限还可以进一步指定是对哪个列的权限。REFERENCES权限是指可以与一个表建立关联关系的权限，关联关系是通过主键和外键进行的，所以在授予这个权限时，可以指定表中的列，也可以不指定。EXECUTE权限是指可以执行存储函数、存储过程的权限。有了这个权限，一个用户就可以执行另一个用户的存储程序。权限管理02PARTTWO10.2.1权限分类10.2.2授予权限10.2.3回收权限1.授予数据库权限（1）语法格式授予数据库权限的SQL命令格式如下：GRANT<权限1>{,<权限2>}TO<用户1>{,<用户2>}[WITHADMINOPTION];数据库权限通常是针对表、视图、用户、触发器等类型的对象具有CREATE、ALTER、DROP等操作能力。如果使用ANY修饰词，表示对所有用户模式下的这些类型对象具有相应操作权限。如果使用WITHADMINOPTION选项，表示用户1(用户2…)获得权限后，还可以把这个权限再次授予其他用户。权限管理（2）应用举例【例10-8】将创建表的权限授予一个用户。以SYSDBA用户，将CREATETABLE权限授予用户USER1。1）给USER1授予创建表权限SQL>CONNSYSDBA/SYSDBA;SQL>GRANTCREATETABLETOUSER1;2）USER1创建U1T1表SQL>CONNUSER1/DAMENG123;CREATETABLEu1t1(idINT,textVARCHAR(30));执行这些语句后，USER1成功创建U1T1表。权限管理【例10-9】将创建表的权限授予一个用户并使用WITHADMINOPTION选项。以SYSDBA用户，将CREATETABLE权限授予用户USER1，USER1又将创建表的权限授予USER2。1）使用WITHADMINOPTION选项给USER1授予CREATETABLE权限SQL>CONNSYSDBA/SYSDBA;SQL>GRANTCREATETABLETOUSER1WITHADMINOPTION;2）USER1将CREATETABLE权限授予USER2SQL>CONNUSER1/DAMENG123;SQL>GRANTCREATETABLETOUSER2;权限管理3）USER2创建U2T1表SQL>CONNUSER2/DAMENG123;CREATETABLEu2t1(idINT,textVARCHAR(30));USER2成功创建U2T1表，这个例子说明了WITHADMINOPTION选项的作用。权限管理2.授予对象权限（1）语法格式授予对象权限的SQL命令格式如下：GRANT<对象权限1(列名)>{,<对象权限2(列名)>}ON<对象>TO<用户1>{,<用户2>}[WITHGRANTOPTION];对象权限通常是SELECT、INSERT、UPDATE、DELETE、EXECUTE、REFERENCES等。对象通常是表、存储过程等。WITHGRANTOPTION表示用户1(用户2…)获得权限后，还可以把这个权限再次授予其他用户。权限管理（2）应用举例【例10-10】将一个用户的表的SELECT权限授予另一个用户，并可再次授权。以用户SYSDBA，将DMHR模式下的CITY表的SELECT权限授予用户USER1。1）授权前用户USER1尝试查询CITY表SQL>CONNuser1/DAMENG123;SQL>SELECT*FROMdmhr.cityWHEREcity_id='BJ';查询结果如下：SELECT*FROMdmhr.cityWHEREcity_id='BJ';[-5504]:没有[CITY]对象的查询权限.权限管理2）给用户USER1授予CITY表查询权限SQL>CONNSYSDBA/SYSDBA;SQL>GRANTSELECTONdmhr.cityTOuser1WITHGRANTOPTION;3）授权后用户USER1尝试查询CITY表SQL>CONNuser1/DAMENG123;SQL>SELECT*FROMdmhr.cityWHEREcity_id='BJ';查询结果为行号CITY_IDCITY_NAMEREGION_ID-----------------------------------1BJ中国北京1权限管理【例10-11】将一个用户的表的SELECT权限授予所有用户。以用户SYSDBA，将DMHR模式下的CITY表的SELECT权限授予所有用户。SQL>GRANTSELECTONdmhr.cityTOPUBLIC;【例10-12】将一个用户的表的某个字段的INSERT和UPDATE权限授予另一个用户。以用户SYSDBA，将DMHR模式下的CITY表的CITY_ID字段的INSERT权限和CITY_NAME字段的UPDATE权限授予用户USER1。（1）授权前用户USER1尝试查询修改CITY表数据SQL>CONNuser1/DAMENG123;SQL>UPDATEdmhr.citySETcity_name='北京'WHEREcity_id='BJ';修改结果为UPDATEdmhr.citySETcity_name='北京'WHEREcity_id='BJ';[-5503]:没有[CITY]对象的更新权限.权限管理（2）授予用户USER1修改CITY表数据权限SQL>CONNSYSDBA/SYSDBA;SQL>GRANTINSERT(city_id),UPDATE(city_name)ONdmhr.cityTOuser1;（3）授权后用户USER1尝试修改CITY表CITY_NAME字段值SQL>CONNuser1/DAMENG123;SQL>UPDATEdmhr.citySETcity_name='北京'WHEREcity_id='BJ';SQL>SELECT*FROMdmhr.cityWHEREcity_id='BJ';查询结果为行号CITY_IDCITY_NAMEREGION_ID-----------------------------------1BJ北京1权限管理【例10-13】将一个用户的存储过程的执行权限授予另一个用户。以用户SYSDBA，在DMHR模式下创建一个SETBJNULL存储过程并将其执行权限授予USER1。（1）创建SETBJNULL存储过程SQL>CONNSYSDBA/SYSDBA;SQL>CREATEORREPLACEPROCEDUREdmhr.setbjnullASBEGINUPDATEdmhr.citysetcity_name=NULLWHEREcity_id='BJ';COMMIT;END;该存储过程将CITY_ID为'BJ'的CITY_NAME置为空。权限管理（2）将SETBJNULL的执行权限授予USER1SQL>GRANTEXECUTEONdmhr.setbjnullTOuser1;（3）USER1执行SETBJNULL存储过程SQL>CONNuser1/DAMENG123;SQL>EXECUTEdmhr.setbjnull;SQL>SELECT*FROMdmhr.cityWHEREcity_id='BJ';查询结果如下行号CITY_IDCITY_NAMEREGION_ID-----------------------------------1BJNULL1权限管理【例10-14】将一张表的REFERENCES权限授予另一个用户。以用户SYSDBA，将DMHR模式下的CITY表的REFERENCES权限授予USER1。（1）将CITY表的REFERENCES权限授予USER1SQL>CONNSYSDBA/SYSDBA;SQL>GRANTREFERENCES(city_id)ONdmhr.cityTOuser1;由于city_id是CITY表的主键，所以授予权限时指定city_id字段。权限管理（2）测试授权效果，在USER1创建U1TAB1表，该表参照DMHR.CITY表SQL>CONNuser1/DAMENG123;SQL>CREATETABLEu1tab1(idINTPRIMARYKEY,cityidCHAR(2)FOREIGNKEYREFERENCESdmhr.city(city_id),noteVARCHAR(300));SQL>INSERTINTOu1tab1VALUES(1,'BJ','测试');SQL>SELECT*FROMu1tab1;查询结果为行号IDCITYIDNOTE-------------------------------11BJ测试权限管理【例10-15】一个用户将获得的权限再次授予另一个用户。用户USER1把获得的查询DMHR.CITY表权限再次授予用户USER2。（1）USER1把获得的查询DMHR.CITY表权限再次授予用户USER2SQL>CONNuser1/DAMENG123;SQL>GRANTSELECTONdmhr.cityTOuser2;（2）USER2尝试查询DMHR.CITY表的数据SQL>CONNuser2/DAMENG123;SQL>SELECT*FROMdmhr.cityWHEREcity_id='BJ';查询结果为行号CITY_IDCITY_NAMEREGION_ID-----------------------------------1BJNULL1权限管理02PARTTWO10.2.1权限分类10.2.2授予权限10.2.3回收权限1.回收数据库权限（1）语法格式回收数据库权限的SQL命令格式如下：REVOKE<数据库权限1>{,<数据库权限2>}FROM<用户1>{,<用户2>}这条命令一般由SYSDBA执行。如果一个用户在接受某个数据库权限时是以"WITHADMINOPTION"方式接受的，他随后又将这个数据库权限授予了其他用户，那么他也可以将这个数据库权限从其他用户回收。权限管理（2）应用举例【例10-16】从用户收回用WITHADMINOPTION方式授予的权限。以用户SYSDBA从用户USER1回收CREATETABLE权限。1）从USER1回收CREATETABLE权限SQL>CONNSYSDBA/SYSDBA;REVOKECREATETABLEFROMuser1;2)USER1尝试创建U1T2表SQL>CONNUser1/DAMENG123;CREATETABLEu1t2(idINT,textVARCHAR(30));USER1创建U1T2表失败，因为没有创建表权限。权限管理3）USER2尝试创建U2T2表SQL>CONNUSER2/DAMENG123;CREATETABLEu2t2(idINT,textVARCHAR(30));USER2创建U2T2表成功，这个例子说明，数据库权限可以转授，但是回收时不能间接回收。也就是说，SYSDBA将权限某授予USER1，USER1又将该权限授予USER2，当SYSDBA从用户USER1中收回该权限时，USER2仍然拥有这个权限。权限管理2.回收对象权限（1）语法格式回收对象权限的SQL命令格式如下：REVOKE<对象权限1>{,<对象权限2>}ON<对象>FROM<用户1>{,<用户2>}[RESTRICT|CASCADE]回收对象权限的操作由一般权限的授予者完成。如果某个对象权限是以“WITHGRANTOPTION”方式授予用户甲，用户甲可将这个权限再授予用户乙。从用户甲回收对象权限时，需要指定为CASCADE，进行级联回收，如果不指定，默认为RESTRICT，则无法进行回收。权限管理（2）应用举例【例10-17】从一个用户回收以WITHGRANTOPTION方式授予的权限。从USER1回收对DMHR模式CITY表的查询权限。1）采用默认RESTRICT模式从USER1回收权限查询CITY表权限SQL>REVOKESELECTONDMHR.CITYFROMUSER1;结果为REVOKESELECTONDMHR.CITYFROMUSER1;第1行附近出现错误[-5582]:回收权限无效.由于先前采用WITHGRANDOPTION模式授予权限，所以不能以默认的RESTRICT模式回收权限。权限管理3）测试USER1的CITY表更新操作SQL>CONNuser1/DAMENG123;SQL>UPDATEdmhr.citySETcity_name='北京'WHEREcity_id='BJ';执行结果为UPDATEdmhr.citySETcity_name='北京'WHEREcity_id='BJ';[-5508]:没有[CITY]对象的[CITY_ID]列的查询权限.权限管理2）采用CASCADE模式回收权限SQL>REVOKESELECTONDMHR.CITYFROMUSER1CASCADE;USER2用户尝试查询DMHR.CITY表的数据SQL>CONNuser2/DAMENG123;SELECT*FROMdmhr.cityWHEREcity_id='BJ';查询结果为SELECT*FROMdmhr.cityWHEREcity_id='BJ';[-5504]:没有[CITY]对象的查询权限.这个例子说明采用级联（CASCADE）模式从USER1回收查询权限后，USER2也没有查询CITY表的权限。权限管理由于USER1没有CITY_ID字段的查询权限，所以不能进行条件更新，只能全表更新，操作如下所示SQL>UPDATEdmhr.citySETcity_name=NULL;SQL>COMMIT;SQL>CONNDMHR/DMHR12345;SQL>SELECTCOUNT(*)FROMdmhr.cityWHEREcity_nameISNULL;查询结果为行号COUNT(*)------------------------------111结果表明USER1对CITY表的更新是有效的，这个例子说明，虽然回收了USER1对CITY表的查询权限，但是由于没有回收修改数据权限，因此USER1还是能够对USER1表的数据进行修改。权限管理01用户管理02权限管理03角色管理04DM数据库的物理存储结构目录CONTNETS05DM数据库的安装与启动

为了使用角色，首先在数据库中创建一个角色，这时角色中没有任何权限。然后向角色中添加权限。最后将这个角色授予用户，这个用户就具有了角色中的所有权限。在使用角色的过程中，可以随时向角色中添加权限，也可以随时从角色中删除权限，用户的权限也随之改变。如果要回收所有权限，只需将角色从用户回收即可。

在数据库中有两类角色，一类是DM预设定的角色，一类是用户自定义的角色。DM预定义的角色在数据库被创建之后即存在，并且已经包含了一些权限，数据库管理员可以将这些角色直接授予用户。角色管理03PARTTHREE10.3.1创建角色10.3.2管理角色权限10.3.3分配与收回角色10.3.4启用与停用角色10.3.5删除角色

除了DM预设定的角色以外，用户还可以自己定义角色。一般情况下创建角色的操作只能由SYSDBA完成，如果普通用户要定义角色，必须具CREATEROLE数据库权限。1.语法格式创建角色的SQL命令格式如下：CREATEROLE角色名;2.应用举例【例10-18】创建名为ROLE1的角色SQL>CONNSYSDBA/SYSDBA;SQL>CREATEROLErole1;角色管理03PARTTHREE10.3.1创建角色10.3.2管理角色权限10.3.3分配与收回角色10.3.4启用与停用角色10.3.5删除角色

角色刚被创建时，没有包含任何权限。用户可以将权限授予该角色，使这个角色成为一个权限的集合。1.授予权限

如果向角色授予数据库权限，可以使用WITHADMINOPTION选项，但是向角色授予对象权限时，WITHGRANTOPTION将无意义。角色管理【例10-19】给角色授予数据库权限。给ROLE1角色授予ALTERUSER和CREATEVIEW权限。SQL>GRANTALTERUSER,CREATEVIEWTOrole1;【例10-20】给角色授予对象权限。给ROLE1角色授予查询和更新DMHR.CITY表权限。SQL>GRANTSELECT,UPDATEONdmhr.cityTOrole1;角色管理2.回收权限如果要从角色中删除权限，可以执行REVOKE命令。权限回收的方法与从用户回收权限的方法相同，只是用角色名代替用户名就可以了。【例10-21】从角色回收权限。从角色ROLE1回收更新DMHR.CITY表权限。SQL>REVOKEUPDATEONdmhr.cityFROMrole1;角色管理03PARTTHREE10.3.1创建角色10.3.2管理角色权限10.3.3分配与收回角色10.3.4启用与停用角色10.3.5删除角色1.分配角色

只有将角色授予用户，用户才会具有角色中的权限将角色授予用户的命令是GRANT，授予角色的方法与授予权限的方法相同，只是将权限名用角色名代替就可以了。在一般情况下，将角色授予用户的操作是由DBA用户完成，普通用户如果要完成这样的操作，必须具有ADMINANYROLE的数据库权限，或者具有相应的角色及其转授权。角色管理【例10-22】给用户分配角色。将ROLE1角色分配USER1和USER2用户。（1）分配角色前，USER2查询DMHR.CITY表数据SQL>CONNUSER2/DAMENG123;SQL>SELECT*FROMDMHR.CITY;查询结果为SELECT*FROMDMHR.CITY;[-5504]:没有[CITY]对象的查询权限.（2）给用户USER1和USER2分配ROLE1角色SQL>CONNSYSDBA/SYSDBA;SQL>GRANTROLE1TOUSER1,USER2;角色管理（3）USER2再次查询DMHR.CITY表数据SQL>CONNUSER2/DAMENG123;SQL>SELECT*FROMDMHR.CITYWHEREcity_id='BJ';查询结果为行号CITY_IDCITY_NAMEREGION_ID-----------------------------------1BJ中国北京1这个例子说明给用户分配角色与直接给用户授予权限具有相同的效果。角色管理2.回收角色

要将角色从用户回收，需要执行REVOKE命令。角色被回收后，用户所具有的属于这个角色的权限都将被回收。从用户回收角色与回收权限的方法是相同的。这样的操作一般也有DBA用户完成。【例10-23】从用户回收角色。从用户USER2中回收ROLE1角色。（1）从用户USER2中回收ROLE1角色SQL>CONNSYSDBA/SYSDBA;SQL>REVOKEROLE1FROMUSER2;角色管理（2）USER2再次查询DMHR.CITY表数据SQL>CONNUSER2/DAMENG123;SQL>SELECT*FROMDMHR.CITYWHEREcity_id='BJ';查询结果为SELECT*FROMDMHR.CITYWHEREcity_id='BJ';[-5504]:没有[CITY]对象的查询权限.这个例子说明从用户回收角色与直接从用户回收权限具有相同的效果。角色管理03PARTTHREE10.3.1创建角色10.3.2管理角色权限10.3.3分配与收回角色10.3.4启用与停用角色10.3.5删除角色1.停用角色

可以使用SP_SET_ROLE来设置这个角色为不可用，语法格式如下SP_SET_ROLE('角色名',0);

只有拥有ADMIN_ANY_ROLE权限的用户才能停用角色，并且设置后