Das hat damit nichts zu tun. In dieser Stufe wird die Objektsicherheit erhöht.
Am Berechtigungskonzept ins besonders von *ALLOBJ ändert das nichts.
Es sei denn, das weiß ich nicht, dass *ALLOBJ dann nicht mehr erlaubt wird.

Übrigens: Wer das Produkt Infor XPPS im Einsatz hat, sollte wissen dass ein
CALL XXUSER 'NAME'
ohne Kennwort einen Contextswitch erlaubt. QSECOFR ist da natürlich ebenso möglich.
Da bedarf es noch nicht mal eines SBMJOB's.
Bedient werden damit die API's QSYGETPH / QWTSETP.
https://www.ibm.com/docs/en/i/7.6.0?.../QSYGETPH.html
https://www.ibm.com/docs/en/i/7.6.0?...s/QWTSETP.html

Wenn man also neben der Kommandozeile also auch noch Programme schreiben kann, der kann sich damit durchaus als andere Person ausgeben.

Ich hatte mal einen Kunden, bei dem der Logistikleiter sein Kennwort vergessen hatte und sich selber disabled hatte. Der IT-Leiter befand sich allerdings in Urlaub und sonst war niemand mit Berechtigung vorhanden. Somit konnte keine Lieferung mehr erfolgen.
Der Notruf erreicht mich und ich kam remote mit einem anderen noch funktionierenden Profil auf die Maschine. Durch die normale Analyse, welches Profil nun da *ALLOBJ hatte und das ich auf grund der Berechtigung verwenden durfte, konnte ich mir SECADM geben und das Kennwort zurückstzen.
Ohne ein *ALLOBJ hätte man wohl den IT-Leiter schnellstens aus dem Urlaub holen müssen.