Leider gibt es immer wieder Benutzer oder Softwarehäuser, die als Sonderberechtigung *ALLOBJ haben wollen.

Dies ist eine absolute Sicherheitslücke, da man damit alle Türen aufmacht !

Selbst wenn das Userprofil nur Klasse *PGMR ist, kann ich mein Profil problemlos auf *SECOFR anheben.

Probierts einfach aus:

ADDJOBSCDE JOB(TEST) CMD(CHGUSRPRF USRPRF(FUERCHAU) USRCLS(*SECOFR) SPCAUT(*USRCLS))FRQ(*ONCE) USER(QSECOFR)

Durch die Berechtigung *ALLOBJ kann ich Job's unter einem anderen Profil starten.
Im SBMJOB ist eine Bremse eingebaut, die höhere Profile nicht erlaubt, aber was ist denn ADDJOBSCDE anderes als ein verkappter SBMJOB ?
Und durch die Angabe FRQ(*ONCE) wird der Job nunmal auch sofort ausgeführt.

Auch das Sperren der Kommando-Zeile bringt nichts, wenn ich z.B. PDM ausführen darf.
Oder ich schreibe ein kleines Programm dass obigen Befehl durchführt.
Usw., usw., usw. ...