Oracle如何撤销用户的DBA权限_执行REVOKE DBA操作
想收回一个用户的DBA权限,可不是简单地在图形界面上点掉勾选就万事大吉了。这里面有几个关键步骤和容易踩的坑,操作不当,用户可能依然拥有部分高危权限。核心操作是:必须用 SYS AS SYSDBA 或带 ADMIN OPTION 的 DBA 用户执行 REVOKE DBA FROM scott;,且需在对应容器(CDB/PDB)中操作,并验证是否残留 CREATE SESSION 等权限。

具体来说,你必须使用具有 dba 权限的用户(比如 sys 或 system)来执行 revoke dba from user_name; 命令。否则,系统会毫不客气地抛出一个 ora-01031: insufficient privileges 错误,告诉你权限不足。
用哪个账号执行 REVOKE DBA 才有效
这里有个硬性规定:只有本身拥有 DBA 角色且附带 ADMIN OPTION 选项的用户,才有资格撤销其他用户的 DBA 权限。通常,SYS AS SYSDBA 或 SYSTEM 用户是可行的选择,但前提是后者的 ADMIN OPTION 没有被手动移除。稳妥起见,最可靠的方式还是用 SYS 登录:
sqlplus / as sysdba
登录成功后,直接运行撤销命令:
REVOKE DBA FROM scott;
注意两个细节:第一,用户名 scott 必须大写(除非创建时用了双引号指定小写);第二,确保该用户当前确实拥有 DBA 角色。否则,你会收到 ORA-01952: system privilege not granted to 'SCOTT' 的提示。
REVOKE DBA 不能跨实例或跨容器生效
在Oracle的多租户(CDB/PDB)环境下,这一点尤其需要注意。DBA 是一个数据库级别的角色,而不是CDB级别的全局角色。这意味着,如果你在CDB$ROOT(根容器)中执行 REVOKE DBA FROM scott;,这个操作只对根容器生效。如果 scott 用户在某个特定的PDB(可插拔数据库)里也被授予了 DBA 角色,那么PDB中的权限并不会自动消失。
怎么处理?按这个步骤来:
- 先定位:查询
SELECT CON_ID, GRANTEE, GRANTED_ROLE FROM CDB_ROLE_PRIVS WHERE GRANTEE = 'SCOTT' AND GRANTED_ROLE = 'DBA';,确认用户在哪个容器拥有权限。 - 再切换:根据查询到的
CON_ID,切换到对应的容器连接(例如:ALTER SESSION SET CONTAINER = pdb1;)。 - 后执行:在正确的容器中再次执行
REVOKE命令。
顺便提一句,别太依赖PL/SQL Developer这类图形化工具的“去掉勾选”操作。界面操作可能只针对你当前连接的容器,一不小心就会遗漏。
撤销后用户仍能连库?检查 CREATE SESSION 是否残留
这是一个常见的“后遗症”。DBA 角色确实包含 CREATE SESSION 权限,但撤销 DBA 角色并不会自动收回这个单独的权限。用户可能之前被单独授予过 CREATE SESSION,或者属于 CONNECT 角色(在旧版本中默认包含此权限)。
所以,执行完 REVOKE DBA FROM scott; 后,强烈建议顺手检查一下:
SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE = 'SCOTT' AND PRIVILEGE = 'CREATE SESSION';
如果查询结果非空,而你的目的是彻底禁止该用户登录,那么就需要额外执行:
REVOKE CREATE SESSION FROM scott;
否则,用户 scott 仍然可以连接到数据库,只是无法执行 DROP USER、ALTER SYSTEM 这类高危操作了。
图形化工具里点“删掉 DBA 角色”为什么有时不生效
PL/SQL Developer、SQL Developer 这些工具的图形界面,本质上也是在后台拼接SQL语句执行。但它们有时会漏掉几个关键点:
- 容器上下文不明确:尤其在PDB中操作时,工具可能默认连接到CDB$ROOT,而没有显式指定
CONTAINER = CURRENT。 - 事务未提交:点击“Apply”后,有些版本需要手动按Ctrl+Enter或在确认弹窗中提交,事务才算真正完成。
- 大小写敏感问题:更隐蔽的情况是,界面上显示的是小写的
dba,但数据库元数据中存储的是大写的DBA。图形界面的删除逻辑可能因为大小写匹配失败而导致操作无效。
遇到图形界面操作无效的情况,最直接的办法就是回到命令行。用 sqlplus / as sysdba 直接执行语句,然后查询 DBA_ROLE_PRIVS 视图来确认操作结果。
说到底,撤销DBA权限的难点,并不在于执行那条 REVOKE 命令本身,而在于搞清楚用户位于哪个容器、是否还有残留的系统权限、以及图形化工具背后有没有“悄悄”绕过你的意图。记住,不要完全相信界面上的“已应用”提示,务必通过查询数据字典视图来进行最终验证。
