Vor sowas, adopted Authority, hatte ich früher schon gewarnt, dass dies zu vielen Problemen führen kann.
Der Witz ist auch, sollte in einer Gruppe ein Benutzer *ALLOBJ ausweisen, so kann ich mir alle Zugriffe nehmen, wenn ich eine Kommandozeile habe.
Durch dieselbe Gruppe kann ich einen SBMJOB mit der Berichtigung des anderen Users ausführen lassen.
Somit habe ich in diesem Job *ALLOBJ.
Erst mal noch kein Problem.
Allerdings kann ich dadurch einen 2. SBMJOB mit User QSECOFR durchführen.
Da dies allerdings tatsächlich vom Berechtigungssystem geprüft und abgewiesen wird, gibts eine andere Lösung.
Mittels ADDJOBSCDE kann ich mit *ALLOBJ einen Planungseintrag für jeden beliebigen User, also auch QSECOFER, erstellen. Das ist mit der Berechtigung dann erlaubt.
Nun kann ich als Startzeit *IMMED (o.ä.) und als Frequenz *ONCE angeben, m.a.W. der Job rennt durch und ist wieder weg.
Was hinder mich also daran mittels:

sbmjob ..... cmd(addjobscde ..... cmd(chgusrprf me *ALLOBJ, *SECADM) *IMMED *ONNCE USRPRF(AllObjUser))

Der Witz daran?
Das kann ich auch per SQL, da ein "CALL QCMDEXC ...." auch mit SQL erlaubt ist, obiges Kommndo durchführen.