Hallo *all,

habe ein Problem mit der Berechtigung einiger User, die per Query Ausgabe-Dateien erstellen. Wie kann ich verhindern, dass gewollt oder nicht Produktiondateien per Query überschrieben werden.

unsere Benutzer sehen i.d.R. wie folgt aus:
- Benutzer_normal:
-> SPCAUT(*none)
LMTCPB(*YES)
USRCLS(*USER)
GRPPRF(GRUPPE)
OWNER(*GRPPRF)
GRPAUT(*NONE)
GRPAUTTY(*PRIVATE)

- Benutzer "Gruppe":
SPCAUT(*none)
STATUS(*DISABLED)
LMTCPB(*NO)
USRCLS(*USER)
GRPPRF(*NONE)
OWNER(*USRPRF)
GRPAUT(*NONE)
GRPAUTTY(*PRIVATE)
--> Objekteigner der Dateien + PGM's ist
User(GRUPPE)
- Objektberechtigung:
nur das Gruppenprofil hat *ALL

Bin für jeden Tipp dankbar

Gruss kuetemaj

In meinem Berechtigungskonzept haben die Benutzer maximal Leserechte an den Produktionsdateien und Bibliotheken.
Die Programme gehören dem Gruppenprofil und können damit die Änderungen ausführen.
Für Queries gibt es eine eigene QUERYLIB in der USER Dateien erstellen dürfen.
Durch CRTxxxPGM USRPRF(*OWNER) oder CHGPGM USRPRF(*OWNER) wird die Umstellung erreicht.
Das ist natürlich eine grössere Umstellung die einen gewissen Testaufwand voraussetzt.
Es erspart aber erheblichen administrativen Aufwand.
Viel Erfolg

Die vorherige Antwort ist leider etwas unvollständig.

Der Benutzer einer Gruppe "erbt" automatisch alle Rechte der Gruppe. Wenn also die Gruppe Schreib-/Leseberechtigung (auf Grund der Programme) benötigt, hat dies automatisch auch der Benutzer.

Die Lösung ist hier einen sog. App-User (Status DISABLED) zu erstellen, der keiner Gruppe angehört und selbst keine Gruppe ist.
Die App-Bibliotheken (es reicht auch die Daten-Bibliothek) sind auf die Berechtigung PUBLIC(*EXCLUDE) zu stellen.
Das Startprogramm der Applikation muss dann dem App-User gehören und unter USRPRF(*OWNER) ablaufen. Für die Anwendung reicht dies vollkommen aus.

Der Aufruf von WRKQRY aus dem Menü darf allerdings nicht direkt erfolgen sondern muss über ein eigenes Startprogramm mit USRPRF(*USER) und ADOPTAUT(*NO) laufen.

Dies ist deshalb erforderlich, da ja dass App-Startprogramm bereits eine hohe Berechtigung hat und bei ADOPTAUT(*YES), dies ist die Standardeinstellung, die Berechtigung vom aufrufenden Programm übernommen wird und somit wieder Schreibberechtigung vorhanden ist !

Des weiteren benötigen Sie nun noch eine Datenbibliothek mit LF's auf die App-Daten und der Berechtigung *READ damit mittels Query die Daten nun von dort gelesen werden können !

Diese Form mittels App-User verhindert auch unberechtigten Zugriff mittels ODBC z.B. mittels MS/Access, MS/Query usw.

Das ist natürlich richtig.
Unser App.-User ist auch nur Gruppenprofil für die Programmierer nicht für die Benutzer.
Dadurch läuft jedes neu erstellte Programm automatisch unter den Rechten des App.-Users und erhält damit die Änderungsrechte an den Dateien.
Tony

Hallo *all,

vielen Dank für die ausführlichen Tipps.
Werde diese Möglichkeiten so schnell wie möglich testen.

Gruss kuetemaj