DB2 安全性模型概述

核心提示： UPGRADE DATABASE 命令和 RESTORE DATABASE 命令（对于下级数据库）授予 SYSADM 组 DBADM 权限，为确保 SYSADM 组的成员保留版本 9.5 中的相同特权，DB2 安全性模型概述(8)，这些成员必须被直接授予具有 DATAACCESS 和 ACCES

UPGRADE DATABASE 命令和 RESTORE DATABASE 命令（对于下级数据库）授予 SYSADM 组 DBADM 权限。为确保 SYSADM 组的成员保留版本 9.5 中的相同特权，这些成员必须被直接授予具有 DATAACCESS 和 ACCESSCTRL 权限的 DBADM 权限，或者必须通过角色的成员资格来拥有这些权限。

要让具有 SYSADM 权限的用户获取的能力与版本 9.5 中相同（授予 SECADM 权限的能力除外），安全性管理员必须显式授予用户 DBADM 权限。注意，安全性管理员授予 DBADM 权限时，缺省情况下会包括新的 DATAACCESS 和 ACCESSCTRL 权限。此操作给予用户的能力与版本 9.5 提供的能力相同。 要让此用户还能授予 SECADM 权限，那么还必须对其授予 SECADM 权限。具有 SECADM 权限时允许此用户执行的操作比作为版本 9.5 系统管理员时能够执行的操作多。例如，他们能够创建角色、可信上下文和审计策略之类的对象。

如果具有 SYSADM 权限的用户创建数据库，那么将自动授予用户对该数据库的 DATAACCESS、ACCESSCTRL、SECADM 和 DBADM 权限，这使得用户可使用的功能与版本 9.5 中一样。

对用户 john 赋予 SYSADM 权限的基本语法如下：

假设用户　john　的组为　admin;　
执行下述命令　,　对用户　john　赋予　SYSADM　权限　:　
　db2　update　dbm　cfg　using　sysadm_group　admin　

对安全性管理员（具有 SECADM 权限）的更改

DB2 9.7 中，SECADM 的权限比 DB2 9.5 的权限增大了

具有 SECADM 权限的用户现在可授予和取消所有权限与特权，包括 DBADM 和 SECADM。

安全性管理员现在可授予角色和组 SECADM 权限。在版本 9.5 中，SECADM 只能授予用户。

安全性管理员可通过授予另一用户对审计存储过程和表函数（AUDIT_ARCHIVE、AUDIT_LIST_LOGS 和 AUDIT_DELIM_EXTRACT）的 EXECUTE 特权来将运行它们的责任委托给该用户。