用户账户被锁定后，除了等待自动解锁，DBA可以通过什么命令手动解锁？这个操作需要什么权限？

当用户账户被锁定后，DBA可以通过 ALTER USER ... ACCOUNT UNLOCK 命令手动解锁。执行此操作需要较高的管理员权限，通常只有 root 或 gbase 用户才能执行。

一、手动解锁命令

语法：

ALTER USER <username> ACCOUNT UNLOCK;

操作示例（来自集群安全管理实验题）：

1. 用户 u1 因连续6次输入错误密码被永久锁定。

    

2. DBA使用管理员账户（如 gbase）登录，执行解锁命令：

    

   [gbase@peixun150 gbase] gccli -ugbase -p********
   gbase> ALTER USER u1 ACCOUNT UNLOCK;
   Query OK, 0 rows affected
   gbase> quit

3. 解锁后，用户 u1 即可使用正确密码重新登录。

二、执行操作所需的权限

执行 ALTER USER ... ACCOUNT UNLOCK 命令需要 CREATE USER 权限 或更高级别的权限（如 ALL PRIVILEGES）。

1. 默认具备此权限的用户：
   • root 和 gbase 用户是集群的超级管理员，默认拥有锁定和解锁任何用户账户的权限。
   1. 普通用户如何获得此权限：
      • 普通用户（如业务DBA）如果需要解锁权限，必须由 root 或 gbase 用户显式授予 CREATE USER 权限。

      • 授权命令示例：

         

        GRANT CREATE USER ON *.* TO 'dba_user'@'%';

      • 注意：仅拥有 CREATE USER 权限的用户可以解锁账户，但其自身账户仍受锁定策略控制（即 login_attempt_max 等参数对其生效）。

三、与自动解锁的区别

两种锁定/解锁机制，手动解锁是其中之一：

四、总结

1. 解锁命令：ALTER USER <username> ACCOUNT UNLOCK;
2. 执行权限：需要 CREATE USER 权限。集群的超级管理员 root 和 gbase 用户默认拥有此权限。
3. 使用场景：主要用于处理因密码连续错误达到 login_attempt_max 阈值而导致的永久性账户锁定，为业务提供即时恢复能力。

因此，当用户账户被锁定时，DBA应使用管理员账户登录，执行上述解锁命令。这是日常运维中一项关键的用户身份管理操作。