Ja OK, OK, OK.
Wenn der User dann explizit ausgeschlossen ist, probierst doch auch mal wenn *PUBLIC *EXCLUDE ist.

Wenn der Benutzer nicht selbst ausdrücklich *EXCLUDE hat, ist der Zugriff bei *PUBLIC *EXCLUDE möglich.



PGM
ADDJOBSCDE JOB(TEST) CMD(CHGUSRPRF USRPRF(MYPROF) +
SPCAUT(*JOBCTL *ALLOBJ *SECADM)) FRQ(*ONCE) +
USER(QSECOFR)
ENDPGM


Das submitten unter dem Benutzerprofil QSECOFR läßt das System nicht mehr zu; diese Hintertür ist also inzwischen versperrt.

Trotzdem hast du natürlich vollkommen recht mit deiner Warnung vor *ALLOBJ.

Denkste Hubert, SBMJOB ist zwar gesperrt, aber nicht der ADDJOBSCDE !!!!!
Mit *ALLOBJ kann ich lustig unter QSECOFR submitten bis V5R2, ob unter V5R3 muss ich noch probieren (oder auch jemand anderes).

Denkste Hubert, SBMJOB ist zwar gesperrt, aber nicht der ADDJOBSCDE !!!!!
Mit *ALLOBJ kann ich lustig unter QSECOFR submitten bis V5R2, ob unter V5R3 muss ich noch probieren (oder auch jemand anderes).

Danke Fuerchau,

da hab ich wieder etwas dazugelernt. (IBM hoffentlich auch)

Meine pragmatische Einstellung ist:

Es gibt nur einen User, der *ALLOBJ haben sollte (und vielleicht wirklich berechtigte Administratoren). Alle anderen sollten eingeschränkt sein. Bei brauchbarer Rechteverwaltung reicht für einen Programmierer ein lockeres *NIX

-h