Berechtigungen eines Users herausfinden

[dschroeder]

Hallo,

ich möchte für ein Userprofil alle Berechtigungen ermitteln. Kennt jemand eine entsprechende Möglichkeit?

Hintergrund: Wir stellen unsere User auf Kerberos um. Dabei erzeugen wir für jeden User ein neues Userprofil und löschen das alte Profil. Wir würden natürlich gerne herausfinden, ob das alte Profil über irgendwelche Spezialeinstellungen bzw. Spezialberechtigungen verfügt. Falls ja, müssten diese Werte bei dem neuen Profil ja wieder eingestellt werden.

Weiß jemand, wie man das herausfindet? Es kommt bei uns immer mal wieder vor, dass z.B. vergessen wird, eine Sonderberechtigung auf einem bestimmten IFS-Verzeichnis einzutragen.

Dieter

[DKSPROFI]

Moin,

RTVUSRPRF und dann die variable SPCAUT auswerten.

mfg


DSKPROFI

[camouflage]

Reicht das auch?

Code:

DSPUSRPRF USRPRF(*ALL) TYPE(*BASIC) OUTPUT(*OUTFILE) OUTFILE(QGPL/USRPRF)

Auswertung mit SQL/Query

[Robi]

go sectools
49 Benutzerprofilinformationen


(V7R1)

Robi

[dschroeder]

Vielen Dank an alle. Ich werde alle Ratschläge ausprobieren.

Schönes Wochenende.

Dieter

[dschroeder]

Gibt es eine Möglichkeit, alle Berechtigungen auf dem IFS für einen User zu ermitteln? Sonderberechtigungen im Benutzerprofil gibt es bei uns eigentlich nicht für "normale" User. Aber es kommt vor, dass ein User mal eine Sonderberechtigung in einem bestimmten IFS-Verzeichnis benötigt. Z.B. um eine DTAUS Datei zu erzeugen oder weiterzuverarbeiten. (Diese Berechtigungen hat ein Admin vielleicht irgendwann mal für den User per Navigator eingetragen.)

Die Möglichkeit, diese Berechtigungen zu finden, habe ich mit den von euch angegebenen Tipps leider nicht gefunden.

(Kann aber auch an mir liegen).

Dieter

[BenderD]

(Diese Berechtigungen hat ein Admin vielleicht irgendwann mal für den User per Navigator eingetragen.)

...meine Rede, dass dieses Spielzeug mit professioneller Administration nix zu tun hat.
Wenn man es denn ordentlich macht, gehört das per command gemacht und in ein script eingetragen, das man dann abrattern lassen kann. (Revisionssicher ist das Mausgefummel ohnehin nicht, es sei denn, man nimmt das dann auf Video auf)!

Vielleicht hilft Dir ja GRTUSRAUT weiter, wäre aber auch eine Bastellösung. Normalerweise gehört der Status quo bei solch einer Aktion aufgeräumt und dokumentiert.

D*B

[Fuerchau]

Ob es irgendwelche API's dafür gibt weiß ich nicht, IFS-Berechtigungen lassen sich mit DSPAUT in ein Spool ausgeben.
Allerdings geht man hier vom Objekt und nicht vom User aus.
Dies gilt natürlich auch für andere Objektberechtigungen DSPOBJAUT.

Vom Grundsatz her sollte man das IFS sowie alle anderen Objekte eigentlich auch über Berechtigunslisten verwalten.
Dann gestaltet sich das etwas einfacher.

[Fuerchau]

Nachtrag:
Auch der Objekteigner (gerade bei IFS) ist nicht zu vernachlässigen.
Also beim DLTUSRPRF den neuen Eigner gleich mit angeben.

[dschroeder]

Vielen Dank für alle Antworten. Der neue Eigner wird bei DLTUSRPRF bereits mitgegeben. Das wirkt aber anscheinend nicht auf das IFS. Ich nehme, an dass das GRTUSRAUT ebenfalls nicht aus das IFS wirkt. Wahrscheinlich muss man tatsächlich das ganze IFS per Programm abklappern und die Berechtigungen auslesen.
Den anderen Anmerkungen (Berechtigungslisten, Scripten der Berechtigungen) stimme ich zu. Aber die Situation ist im Moment leider anders. Ich spreche aber nochmal mit den Admins, ob man das auf Dauer dann nicht auf Berechtigungslisten umstellen kann.

Danke an alle.
Dieter

[Fuerchau]

Für das IFS ist QSHELL (QSH) ganz hilfreich:

find /home -user OLDUSER -exec chown NEWUSER {};

[dschroeder]

Vielen Dank.

Wir probieren das mal aus.

Eine Möglichkeit, die Infos zu drucken, scheint auch PRTPVTAUT zu sein. Ist aber leider etwas unübersichtlich.

Danke,
Dieter