Ibm midrange AS400上的只读权限

我想创建一个用户，该用户将查看所有用户配置文件和组配置文件，但不能访问AS400计算机上的更改或删除任何内容

为了实现这一点，我创建了具有以下权限的用户-

User class         - *SECADM
Special Authority  - *ALLOBJ, *SECADM.

通过创建这种类型的用户，我们可以实现对此的只读访问。 IBMi版本-V7R1和V7R2

我的主要要求是创建一个拥有最低权限的用户，这意味着他只能从IBMi机器读取数据，并且没有能力更改任何内容

---

如果有人对此有任何想法，请与我们分享。

*ALLOBJ

是IBM i上非常强大的特别权威，允许用户更改或删除IBM i上的几乎所有内容

来自IBM i（v7.3）：

风险：*ALLOBJ特殊权限授予用户对系统上所有资源的广泛权限。用户可以查看、更改或删除任何对象。用户还可以向其他用户授予使用对象的权限

*SECADM

是IBM i上一个非常特殊的权限，它允许用户创建、更改和删除用户配置文件。可能不是您希望普通用户能够做到的事情。应该严格控制

用户类基本上已经没有意义了，因为它只控制菜单访问。在AS400通常是一个独立系统或仅与其他AS400联网的时代，基于菜单的授权很有用

注意：我在这里使用AS400，因为它是当时整个系统（硬件和操作系统）的名称，当前新硬件的命名很复杂，但IBMi是以前称为OS/400的操作系统的名称

正如user2338816在其评论中指出的那样，解决问题的一种方法是创建一个CL程序

MYGETUSER

，该程序包含一个命令

dspusrpf

或

RTVUSRPRF

，具体取决于您对信息的处理方式。如果希望通过命令在屏幕上显示所有用户配置文件信息，请使用

dspusrpf

。如果要检索调用程序的特定用户配置文件属性，请使用

RTVUSRPRF

。您的CL程序

MYGETUSER

需要使用

USRPRF（*OWNER）

编译，并且它必须由具有

*读取

权限的用户配置文件所有，该用户配置文件可以显示所有用户配置文件。您可以在授权列表中收集这些用户配置文件，以避免为所有内容分配私人权限。现在，您可以为需要查看用户配置文件或CL程序显示的用户配置文件属性的任何用户分配CL程序的

*USE

权限

---

注意：确保只为CL程序的所有者分配最基本的权限，以获取所需信息，并且只允许需要该程序的用户访问该程序。

可能也取决于对象。如果他们没有该对象的对象权限，则无法访问该对象。您必须GRTOBJAUT。

否。具有*ALLOBJ的用户可以获得任何其他所需权限。只有极少数用户（在大型系统上少于10个）应该拥有*ALLOBJ（可能还有任何其他特殊权限）。使用采用的权限来查看*usrpf对象。您是否知道如何创建只读用户创建一个程序，该程序基本上只包含dspusrpf？？USRPRF（），并编译为USRPRF（*OWNER）。将所有权分配给您站点的一个用户配置文件，该用户配置文件具有您想要覆盖的所有*USRPRF对象的权限。（不属于QSECOFR或任何IBM提供的配置文件。）然后将*使用权限授予您的“只读用户”，并且不提供其他不必要的权限。@user2338816，也许这应该是一个答案而不是注释。我对as400系统不太熟悉。你能告诉我你想对那个项目说些什么吗？不需要适当的授权。