使用PL/SQL脚本批量执行GRANT语句是最直接高效的方案。创建一个过程，循环遍历用户列表和权限列表，自动赋权。例如：

BEGIN FOR i IN (SELECT username FROM dba_users WHERE account_status='OPEN') LOOP EXECUTE IMMEDIATE 'GRANT SELECT ON sys.dba_objects TO ' || i.username; END LOOP; END; / 这可以一次性为所有活跃用户赋权，避免手动敲击。

方案一：PL/SQL批量赋权脚本

我们编写一个存储过程来实现批量赋权。首先创建一个用户权限映射表，然后通过游标循环执行GRANT。 CREATE TABLE user_privs (username VARCHAR2(30), privilege VARCHAR2(100)); INSERT INTO user_privs VALUES ('SCOTT', 'GRANT SELECT ON emp TO PUBLIC'); 然后过程： CREATE OR REPLACE PROCEDURE batch_grant AS BEGIN FOR rec IN (SELECT * FROM user_privs) LOOP EXECUTE IMMEDIATE rec.privilege; END LOOP; END; / 调用EXEC batch_grant; 即可批量完成。

方案二：使用DBMS_SQL动态SQL

对于复杂权限，DBMS_SQL更灵活。 DECLARE curid INTEGER; rows NUMBER; sqlstr VARCHAR2(4000); BEGIN curid := DBMS_SQL.OPEN_CURSOR; FOR u IN (SELECT username FROM all_users) LOOP sqlstr := 'GRANT CREATE SESSION, CREATE TABLE TO ' || u.username; DBMS_SQL.PARSE(curid, sqlstr, DBMS_SQL.NATIVE); rows := DBMS_SQL.EXECUTE(curid); END LOOP; DBMS_SQL.CLOSE_CURSOR(curid); END; / 这样处理动态权限列表非常高效。

方案三：角色-based批量赋权

最佳实践是创建角色，然后批量赋予角色给用户。 CREATE ROLE read_only_role; GRANT SELECT ANY TABLE TO read_only_role; 然后批量： DECLARE TYPE t_users IS TABLE OF VARCHAR2(30); users t_users := t_users('USER1','USER2','USER3'); BEGIN FORALL i IN users.FIRST..users.LAST EXECUTE IMMEDIATE 'GRANT read_only_role TO ' || users(i); END; / 角色管理简化权限审核和回收。

权限回收与审计

赋权后，用脚本审计： SELECT grantee, privilege FROM dba_sys_privs WHERE grantee IN (SELECT username FROM dba_users); 批量回收类似：EXECUTE IMMEDIATE 'REVOKE ALL PRIVILEGES ON emp FROM SCOTT';

FAQ

Q: 批量赋权会影响性能吗？
A: 对于几百用户影响小，大规模用事务和批量COMMIT控制。

Q: 如何处理嵌套权限？
A: 先赋角色，再赋角色给用户，支持级联。

Q: 脚本出错怎么回滚？
A: 用BEGIN...EXCEPTION WHEN OTHERS THEN ROLLBACK; 包装过程。

Q: 适用于RAC环境吗？
A: 是，脚本在任何一个节点执行，全集群生效。