用于保护 作业调度程序 的角色和特权
本主题描述了用于保护 作业调度程序 的 lradmin 和 lrsubmitter 角色及特权。
不同角色的权限
您可以通过启用全局安全性和应用程序安全性来保护 作业调度程序 应用程序。应用程序安全性可保护作业管理控制台。作业调度程序应用程序同时使用声明式安全性方法和基于实例的安全性方法的组合来保护作业和命令,其中只有分配有 lradmin 或 lrsubmitter 角色的用户才有权在已启用安全性的环境中执行网格操作。
如下表所述,无论作业所有权如何,分配有 lradmin 角色的用户都有权对所有作业执行所有 作业调度程序 应用程序操作,而分配有 lrsubmitter 角色的用户只能对提交者自己允许的那些作业执行操作。X 字符在下表中表示权限。
客户机命令 | lradmin 角色 | lrsubmitter 角色 |
---|---|---|
submit -xJCL=<file> | X | X |
submit -job=<job name> | X | X |
submit -job=<job name> -add or replace | X | 不适用,这是一个管理命令。 |
cancel -jobid=<jobid> | X | X(仅适用于所拥有的作业) |
purge -jobid=<jobid> | X | X(仅适用于所拥有的作业) |
output -jobid=<jobid> | X | X(仅适用于所拥有的作业) |
restart -jobid=<jobid> | X | X(仅适用于所拥有的作业) |
remove -job=<jobname> | X | 不适用,这是一个管理命令。 |
suspend -jobid=<jobid> | X | X(仅适用于所拥有的作业) |
resume -jobid=<jobid> | X | X(仅适用于所拥有的作业) |
status (showAll) | X | 不适用,这是一个管理命令。 |
status -jobid=<jobid> | X | X(仅适用于所拥有的作业) |
getBatchJobRC -jobid=<jobid> | X | X(仅适用于所拥有的作业) |
help | X | X |
如果使用 z/OS® 操作系统上的系统授权工具 (SAF) EJBROLE 概要文件来管理基于角色的安全性,请定义 lradmin 和 lrsubmitter 角色的 EJBROLE 概要文件。允许将这些角色分配给批处理作业管理员和提交者的相应 SAF 用户标识。