Aber aus der PTF-Beschreibung werde ich halt nicht schlau, was denn genau verhindert werden soll.
Dass jeder User mit Sonderberechtigung *ALLOBJ eingerichtet ist, ist leider zu häufig die Regel.
Solange jedoch die User via ERP über Menü o.ä. keine Kommandozeile bekommen, und zumindest limmited User im Profil eingestellt ist, kann ich eben auch WRKSPLF aufrufen und mit der kurzen CMD-Line kann man keine Kommandos aufrufen.

Und was die SEPT angeht, so ist das eine Liste von fest eingestellten Programmadressen, die nicht geändert werden können. In Release 2.1 hatte ich das mal probiert und eine Adresse ausgetauscht. In der Folge mussten wir das System komplett neu installieren, da die SEPT nicht reparabel ist.

Wenn ich also QCMDEXC ersetzen will (wenn ich es könnte), also das Programm lösche und austausche, verbleibt in der SEPT entweder ein Pointer auf das Ursprungsobjekt oder auf einen verwaisten Pointer, was zum MCH-Fehler führt.

Was den CHGSYSLIBL angeht, so wird dieser auch gerne mit höherer Berechtigung aufgerufen um z.B. die entsprechende System-Sprachbibliothek je User individuell vorzuschalten.

Wenn ich das PTF lese, heißt dies nun, dass ich den SQL-CALL unqualifiziert nicht auf höher privelegierte Programme ausführen kann?