Gruppenrollen anlegen und verwalten

Eine Gruppenrolle wird mit dem bekannten Befehl CREATE ROLE angelegt, unter Auslassung des Loginattributs:

CREATE ROLE mitarbeiter;
CREATE ROLE admins;

Um die Rechte einer Rolle an eine andere Rolle weiterzugeben, verwendet man den Befehl GRANT:

GRANT admins TO joe;

Je nachdem, wie man dieses Konzept für sich selbst illustrieren mag, ist joe jetzt Administrator oder hat die Administratorenrolle oder ist in der Gruppe admins. (Der Gruppenname ist nur ein Beispiel; diese Gruppe hat keine besonderen Rechte, wenn man sie nicht damit ausstattet.)

Um jemanden aus einer Gruppe zu entfernen oder ihm – anders ausgedrückt – eine Rolle zu entziehen, verwendet man den Befehl REVOKE so:

REVOKE admins FROM joe;

Die Befehle GRANT und REVOKE sind etwas anderes als die weiter unten behandelten gleichnamigen Befehle zum Vergeben von Privilegien.