Einen Gruss in die Runde
Ein User der Benutzerklasse *USER ohne weitere Sonderberechtigung kann aus der Anwendung menügesteuert die Spooldateien anschauen. Es wird hier ganz banal der Cmd WRKSPLF aufgerufen.
Hab ich eine Möglichkeit zu verhindern, dass der User irgendeinen weiteren Befehl auf Systemebene ausführen kann?

Ja, durch Setzen des Parameters "Möglichkeiten einschränken" (LMTCPB) *auf YES im Benutzerprofil dieses Benutzers.

Super, vielen Dank.
Ich wusste es gibt einen, aber da hätte ich noch ein Weilchen gebraucht diesen zu finden.

Wobei - um genau zu sein - werden damit nur die Cmds gesperrt, die für eingeschränkte User nicht erlaubt sind, also nicht pau schal alle.
Es gibt aber einige Befehle, die auch für eingeschränkte U. erlaubt sind.
Und schlussendlich kann man diese Einschränkung auch noch bei jedem Cmd beliebig angeben (also "für eingeschränkte Uswr erlaubt" ja/nein)

Man kann das per CHGCMD durchaus machen, muss nur darauf achten, dass dies bei jedem Servicepack/Patch/Update u.U. zu wiederholen ist.

Man kann sich auch in die REGINF's einklinken (WRKREGINF) um CMD-Aufrufe zu überwachen und ggf. abzulehnen. Wer die Zeit nicht hat und dem das zu kompliziert ist der kann auch auf z.B. PCSACC/400 o.ä. ausweichen.

Wobei - um genau zu sein - werden damit nur die Cmds gesperrt, die für eingeschränkte User nicht erlaubt sind, also nicht pau schal alle.

Bitte noch mal einen Blick in den Hilfstext zu CHGUSRPRF LMTCPB() werfen. Und bei der Gelegenheit prüfen, ob vielleicht zufällig im Menüsystem irgendwo QCMD als Auswahl möglich ist. Man sieht ja so einiges...

Das ist doch egal ob QCMD oder z.B. bei WRKSPLF im Expertenmodus.
Manche Programme öffnen auch (ich glaube mit QEZCMDLN o.ä.) ein Kommandozeilenfenster.
LMTCPB ist eine Eigenschaft jedes einzelnen CMD-Objektes (CRTCMD/CHGCMD).
Also selbst mit Kommandozeile können eingeschränkte CMD's nicht manuell aufgerufen werden sondern nur aus einem Menü/Programm.

Bitte noch mal einen Blick in den Hilfstext zu CHGUSRPRF LMTCPB() werfen. Und bei der Gelegenheit prüfen, ob vielleicht zufällig im Menüsystem irgendwo QCMD als Auswahl möglich ist. Man sieht ja so einiges...

??? Verstehe ich jetzt nicht - muss ja aber auch nicht alles verstehen :-)

??? Verstehe ich jetzt nicht - muss ja aber auch nicht alles verstehen :-)

Ich meinte damit, daß es schon einen Unterschied hat, ob man generell Befehle sperrt (*YES) oder nur teilweise (*PARTIAL) - und daß es "geschickt" gestaltete Programme gibt, wo in einem Menu oder per F-Taste in einem Programm doch ein QCMD aufploppt...

-h