Gibt es die Möglichkeit, wenn man sich anmeldet, dass der eigene Job so geändert wird, als hätte man mehr Rechte, z.B. ich melde mich als Benutzer ohne *ALLOBJ Recht an und arbeite aber als Benutzer mit *ALLOBJ Recht ohne das im Benutzerprofil das Recht eingetragen wird.

Im Prinzip ja.

Das Startprogramm des Benutzers läuft unter *OWNER des Users mit der höheren Berechtigung.
Dieses darf allerdings nicht verlassen werden sondern muss z.B. GO MAIN aufrufen.

Hallo,
können da nicht auch Gruppenprofile mit *ALLOBJ-Rechten eine Rolle spielen? Falls ein Benutzer bei einem Objekt nicht explizit keine Rechte hat, müsste dann doch das Gruppenprofil greifen?
Gruß prs

Das stimmt zwar, allerdings ist dies ja ersichtlich. Aber die Mehrberechtigung soll ja "verborgen" werden.

Hallo,

ganz verdeckt ist auch das Berechtigen per Programm nicht, zumindest im Nachhinein nicht, da dies im Audit-Log mitgeschrieben werden kann.
Je nach Anwendung wird diese Technik allerdings so exzessiv genutzt, dass das Aufspüren nicht unbedingt leicht ist.

Gruß,
Christian

Je nach Anwendung wird diese Technik allerdings so exzessiv genutzt, dass das Aufspüren nicht unbedingt leicht ist.


Dafür gibt es ja das mehr oder weniger automatische Auswerten der Journale mit externen Programmen oder Eigenprogrammierungen. Per Hand via DSPJRN was zu suchen ist nur was für Leute, die Vattern und Muttern erschlagen haben.

-h

das hast Du schön gesagt :D