Mit den Gruppenprofilen ist das so eine Sache.
Ein Benutzer ERBT sämtliche Rechte des Gruppenprofiles. Die eigenen Rechte sind ZUSÄTZLICH.
Hat also das Gruppenprofile *ALLOBJ hat auch der Benutzer *ALLOBJ.

Welche Rechte braucht ein *PGMR ?
Ob *ALLOBJ und *SECADM wirklich erforderlich sind hängt tatsächlich von der Aufgabenstellung ab.
*ALLOBJ ist NIE erforderlich wenn ganz normale Nutzungsrechte an z.B. den Quellbibliotheken und/oder Datenbibliotheken vorhanden sind.
Soll eine zusätzliche Berechtigung erteilt werden gibt man diese an der Lib oder dem Objekt oder definiert das Ganze über Berechtigungslisten (AUTL).

*SECADM sollte WIRKLICH nur demjenigen zustehen, der auch für die Pflege von Sicherheit und Profilen verantwortlich ist.
Wird dies nur benötigt um z.B. ein Kennwort zurückzusetzen oder ein Profil freizuschalten legt man das in eigene CMD's die dann z.B. unter QSECOFR-Rechten laufen. Hier sollte allerdings darauf geachtet werden, dass dann nicht Profile mit *ALLOBJ oder *SECADM verändert werden können, sonst ist die Tür wieder sperrangelweit auf.