了解用户和组账户与DB2 UDB的交互

核心提示： 可以为某些用户组分配特定的实例和数据库权限，DB2 UDB 定义了超级用户授权的层次结构（SYSADM、SYSCTRL、SYSMAINT、SYSMON），了解用户和组账户与DB2 UDB的交互(5)，每一种都具有执行管理操作子集的能力，比如创建数据库、迫使用户离开系统和对数据库进行备份，这

可以为某些用户组分配特定的实例和数据库权限。DB2 UDB 定义了超级用户授权的层次结构（SYSADM、SYSCTRL、SYSMAINT、SYSMON），每一种都具有执行管理操作子集的能力，比如创建数据库、迫使用户离开系统和对数据库进行备份。关于授权级别的详细讨论请参阅 DB2 UDB 文当（参见 参考资料）。

可以使用相关的实例级参数配置实例的授权（SYSADM_GRP、SYSCTRL_GRP、SYSMAIN_GRP、SYSMON_GRP）。每个参数可以设置为具有该授权的用户组名（在 DB2 UDB 外部定义）。

比如，如果定义组 snrdba 包含所有高级 DBA 用户帐户，就可使用下面的命令将 SYSADM_GRP 实例参数值设为 snrdba，从而使所有这些用户成为 SYSADM 超级用户:

清单 4. 更新 SYSADM_GRP 实例参数

UPDATE DBM CFG USING SYSADM_GRP snrdba
　　db2stop
　　db2start

snrdba 组中的所有用户都将拥有和 SYSADM 授权级别关联的全部特权，从而能够执行授权级别所需要的全部管理任务。

以这种方式定义授权就可以区分 DB2 UDB 管理员和系统/网络管理员。比如，DBA 可能要求拥有 DB2 UDB 实例的全部管理授权，但不需要本地机器或网络的管理授权。在这种情况下，可以将该 DBA 的用户帐户添加到对系统/网络没有完全访问权限、但是对 DB2 UDB 实例有完全访问权限的组，只要在 SYSADM_GRP 实例参数中指定该组名即可。

在 Windows 上的 DB2 UDB 默认安装中，这些实例级超级用户授权参数（SYSADM_GRP、SYSCTRL_GRP、SYSMAIN_GRP、SYSMON_GRP)）的值默认设为 NULL。这意味着超级用户权限被授予属于本地 Administrators 组的所有合法帐户。我们强烈建议明确将这些参数值改为合法的组名，以便防止未授权的访问。在 Linux 和 UNIX 安装中，这不是一个大问题，因为 NULL 值默认为实例所有者的基本组，而基本组在安装后只包含实例所有者的用户 ID。