Wenn man sich nur ein wenig Mühe gibt, kann man sich über die Gruppenberechtigung *ALLOBJ selbst die Berechtigung *ALLOBJ und auch *SECADM, also alles was geht, vergeben.
Sobald man *ALLOBJ besitzt, hilft auch kein Ausschluss der Berechtigung mehr !!
*ALLOBJ erlaubt eben ALLES !

Wie es geht ?
Schon mehrfach diskutiert und immer wieder gerne verwendet:
CHGPGM ... USRPRF(*OWNER)

Und schon kann ich ein Programm schreiben, dass unter der Berechtigung des Eigners, nämlich mein Gruppenprofil, läuft.
Jetzt benötige ich nur noch ein kleines CLP:

PGM
ADDJOBSCDE JOB(TEST) CMD(CHGUSRPRF USRPRF(MYPROF) +
SPCAUT(*JOBCTL *ALLOBJ *SECADM)) FRQ(*ONCE) +
USER(QSECOFR)
ENDPGM

Umwandeln, als Eigner das Gruppenprofil eintragen und unter Gruppenprofilrechten laufen lassen (CRTCLPGM ... USRPRF(*OWNER) bzw. CHGPGM) und nur noch per CALL aufrufen.
Und siehe da: Ich habe *ALLOBJ und sogar *SECADM und habe das gesamte System zur Verfügung !!!

ALSO VORSICHT MIT *ALLOBJ !!!!