Für einen bestimmten Software-Bereich (Lohn- und Gehalt) muss ich die Druckausgabe bei Anwendern schützen. Nun habe ich bei verschiedenen Anwendern (AS/400) immer wieder
das Problem, dass bei bestimten USERN bei
Sonderberechtigung *SPLCTL eingetragen ist - dieses wiederum übersteuert meinen Druckausgabe-Schutz. NUN DIE FRAGE - wann brauche ich eigentlich *SPLCTL - da ich auch ohne SPLCTL Drucker und Druckausgaben verwalten kann.

Hallo LGALF, Anwender ohne SPLCTL können nur Ihre eigenen SPOOL-Einträge + Drucker bearbeiten. Mit SPLCTL können auch die Einträge anderer User sowie alle Drucker bearbeitet werden.
Gruss Reinhold

Hallo LGALF,

ich hatte exakt das gleiche Problem und mir deshalb ein CL geschrieben.

Der Benutzer, der Spoolfiles verwalten soll, ruft dieses CL auf und muß dann den Benutzernamen eingeben, dessen Druckausgaben er anzeigen möchte.

Im CL werden dann bestimmte Benutzer (LOHN01 etc. beim IBM Lohn) abgefangen.

Das CL wandle ich als QSECOFR mit dem Parameter USRPRF *OWNER, somit ist es nicht mehr notwendig, dem Benutzer das Recht *SPLCTL zu geben.

Gruß
HS

Diese Lösungen taugen fast nichts, da mittels F21-Taste z.B. in den Basis-Modus ungeschaltet werden kann, und dort dann neue Selektionen durchgeführt werden können.

Jeder Spool steht jedoch in einer OUTQ. Diese Objekte können durch explizite Berechtigungsvergabe (PUBLIC *EXCLUDE, UserX *USE, usw) geschützt werden, so dass selbst *SPLCTL-User nicht an die Spools kommen.

vielen dank fuer die hilfe,
ich habe folgendes getestet - per edtobjaut
z.b. lgialib/ldrqdb99 *outq auf
*public und spezielle user auf *exlude
- zugiff von normal-user mit *splctl war per
wrksplf + F4 auf lohn99 mit anzeige druckjob war möglich - ohne *splctl war zwar ahnwahl moeglich, aber keine berechtigung fuer anzeige - ich habe auch per edtobjaut bei entsprechender prtf z.b. lprtdb99 getestet z.b. per *exlude fuer *public und spezielle user (und pgm-lauf mit neuem druck)
- ging auch nicht - m.e. liegt dies an dem
berechtigungseintrag in der outq fuer qspl -
qspl laesst sich weder beschraenken noch herausnehmen

waere eine anderer weg ueber berechtigungslisten ?

Mal wieder alles "Muckefuck".

In der OUTQ den Parameter
Berechtigung prüfen . . . AUTCHK *DTAAUT richtig setzen und dann per ETDOBJAUT OUTQ für die endsprechende Anwenderfreischalten

Dann ist *SPLCTL im USRPRF ziemlich wurscht!

PS: Hilfe lesen bei AUTCHK

Gruß Tornado

Hallo Tornado,

ich habs gerade wie von Dir beschrieben versucht - klappt leider nicht, der Benutzer mit *SPLCTL kann auch die Spoolfiles der geschützten OUTQ verwalten!

Oder bezieht sich der Schutz nur auf neu erstellte Spoolfiles?

Gruß
HolgiS

Stimmt!

Der User QSPL läßt sich nämlich bei EDTOBJAUT nicht ändern und ist derjenige welcher die Eigenschaft *Change oder *ALL an die Benutzerprofile mit *SPLCTL vererbt.

Meine Lösung funktioniert nur, wenn die Anwender keine *SPLCTL haben. Aber brauchen die einfachen User eigentlich doch auch gar nicht. Oder ?!?

Gruß Tornado

... leider eben doch.

der "normale User" nicht, aber der "normale Systemadministrator", der zwar die AS400 betreuen soll, aber eben im Lohn nichts zu suchen hat.

Irgendeine Lösung muss es doch geben, oder?

Gruß
HolgiS

hallo hs,
bei uns ist die jeweilige lohn/gehalt-outq (die objekte selbst!) mit dem lohn/gehalt-eigner versehen und nur diese und qsecofr dürfen dann damit arbeiten. die berechtigung ist für den rest der user auf *exclude.
in den profilen der lohn/gehalt-user ist ferner diese outq passend fest hinterlegt.
außerdem verwalten unsere lohn/gehalt-user die outq's selbst, d.h., sie sind der notwendigen befehle mächtig und können selbstständig ausgabeprogramme starten etc.
klappt vorzüglich!
gruß, karin