Also nach eindeutiger Prüfung auf Kundensystemen ist es so, dass es auf RSTOBJ/RSTLIB/RST im Standard nur *PUBLIC auf *EXCLUDE steht.
Somit benötigt man eine *ALLOBJ-Berechtigung zur Verwendung des Kommandos.
Vielleicht habt ihr früher halt euren Usern/Gruppenprofilen *ALLOBJ verpasst bis ihr gemerkt habt, wie gefährlich das ist?
Sobald ich Zugriff auf ein *ALLOBJ-Profil habe (durch Gruppenprofil reicht schon) kann ich mir jederzeit auch persönlich *ALLOBJ/*SECADM usw. vergeben.
Das Beste Beispiel war halt ein Kunde von mir: Der QSECOFR hatte leider Urlaub und ein Kennwort für einen normalen User musste zurückgesetzt werden. Ein anderes SECADM-Profil gabe es aber nicht.
Allerdings war der Gruppe ein anderer User mit *ALLOBJ zugeordnet. Somit konnte ich mir *SECADM verpassen und das Kennwort zurücksetzen. Andernfalls hätte die Abteilung 3 Wochen zumachen können. Das hat also auch was gutes...