Das geht am sinnvollsten dann wirklich mit einem Überwachungstool wie PCSACC/400.
In diesem können User zu Gruppen geordnet werden und die benötigten ODBC-Berechtigungen erteilt werden.

Ob die Lib angegeben ist oder nicht spielt dabei keine Rolle, da ja bei fehlender Lib die Bibliotheksliste gesetzt sein muss.
PCSACC/400 berechtigt immer die richtige Datei und Lib.

Für Wartungsarbeiten entzieht man dann halt temporär die Berechtigungen in der Gruppe, so dass kein Zugriff mehr erfolgen kann.

Das Tool ist zugegeben etwas teuer, erlaubt aber eine sehr genaue Berechtigungsvergabe, vor allen Dingen auf jeden SQL-Befehl (SELECT, UPDATE, INSERT, DELETE), da ja meistens nur SELECT's per ODBC erlaubt sind.
(Neben vielen weiteren Zugriffsüberwachungen !!!)

Die Objekt-Berechtigung reicht da in vielen Fällen nicht aus.