Zitat Zitat von Fuerchau
Mit den Gruppenprofilen ist das so eine Sache.
Ein Benutzer ERBT sämtliche Rechte des Gruppenprofiles. Die eigenen Rechte sind ZUSÄTZLICH.
Hat also das Gruppenprofile *ALLOBJ hat auch der Benutzer *ALLOBJ.
Einspruch: Die Berechtigungen werden in drei Stufen geprüft:

Benutzer
Gruppenprofil
*PUBLIC

In jeder dieser Stufen wird in der Reihenfolge geprüft:
*ALLOBJ (natürlich nicht bei *PUBLIC)
Objektberechtigung
Berechtigungslisteneintrag

Sobald eine (nicht-) Berechtigung festgestellt wird, endet die Prüfung und die gefundene Berechtigung wird angewendet.
Wenn also dem Benutzer, der selbst kein *ALLOBJ hat, die Berechtigung explizit entzogen wird, kann er auf das Objekt nicht zugreifen.

Deine weiteren Anmerkungen kann ich allerdings voll unterstreichen. Allerdings habe ich in der Praxis oft festgestellt, dass gerne allen Benutzern einfach *ALLOBJ "verpasst" wird, weil man sich nicht die Mühe macht, ein vernünftiges Berechtigungskonzept auszuarbeiten.