Habe einen IFS-Ordner in "\home\" angelegt, mit Operations Navigator nur einem bestimmten User alle Berechtigungen erteilt und Public ausgeschlossen. Trotzdem kann i c h diesen Ordner lesen und beschreiben, weil ich "Eigner" bin. Dies soll aber ausgeschlossen sein. Auch nach Entfernen meines Eintrages mit "wrkaut" habe ich Zugriff.

Hallo,
so grundsätzlich kann man ja mit CHGOBJOWN den Eigner ändern.
Wie das allerdings bei Ordnern geht, ist mir aktuell nicht klar.

Eine Workaround dazu wäre vermutlich:
- Ordner löschen
- Neuen User erstellen welcher die Berechtigung hat den Ordner anzulegen. Dann Ordner anlegen
- Wenn man diesen User nun wieder löscht, kommt doch m.E. eine Nachfrage, wer der neue Eigner für die letzten Objekte sein soll? Da dann bewussten User angeben.. fertig?

Geht aber bestimmt auch einfacher, ich komme nur gerade nicht drauf.

k.

moin, moin,

versuch's mal mit

chgown newown(NeuerEigner) rvkoldaut(*yes)

Danke, "chgown" hat schonmal den Eigner geändert. Trotzdem kann ich nach wir vor den Order per Explorer verbinden und beschreiben, obwohl, wie gesagt, "public *exclude" und "user *rwx" eingestellt ist bei wrkaut. Klappt das deshalb, weil ich der Qsecofr bin?

QSECOFR hat die Sonderberechtigung *ALLOBJ.
Zumindest auf alle Objekte des QSYS.LIB-Systems hast Du damit unbeschränkten Zugriff. Dies kann auch nicht eingeschränkt werden.
Ob das auch für das IFS gilt
weiss ich leider nicht, scheint aber so zu sein.

gruss
ulli

Hallo,

ein Auszug aus dem Hilfetext für SPCAUT(*ALLOBJ) liefert:

Dem Benutzer wird die Berechtigung für alle Objekte erteilt. Er kann auf alle Systemressourcen zugreifen, unabhängig davon, ob er über persönliche Berechtigungen verfügt oder nicht.

USRCLS(*SECOFR) hat unabhängig QSECURITY immer SPCAUT(*ALLOBJ)

Somit dürfte Deine Frage beantwortet dsein.

Gruss

Alexander

Also, wenn das so ist: Wie kann unsere Geschäftsleitung sicher sein, daß niemand, auch nicht der QSECOFR, Zugriff auf sensible, schützungsgedürftige, geheime Objekte im IFS hat?
Welche Möglichkeit gibt es dann, einen Ordner nur vom Eigner bearbeiten zu lassen?

Warum nehmen die dann nicht truecrypt?

Einfach eine Container ins IFS stellen, und die Geschäftsführung kann den Container als Laufwerk mounten und gesichert wird das ganze auch noch.

GG

User mit *ALLOBJ müssen eben als absolut vertrauenswürdig eingestuft werden oder eben die Objekte nicht ins IFS legen.

Auf einem Windowsserver kommt ein Admin auch an alles dran und wenn ihm die Berechtigung fehlt, kann er sie sich auch einfach vergeben.

Da sind schon verschlüsselte Verzeichnisse die einzige Möglichkeit.

Danke für die Info's. Da ich ja dichter halte wir Fort Knox, überlasse ich die Entscheidung der GL. Ansonsten sollen die doch weiter ihre "Eigenen Dateien" ohne Sicherung beschreiben...