複数のグループ・プロファイルを調査する方法はないでしょうか
Question
現在、ユーザーが増える度にIBM i (AS/400)でユーザープロフィールを作成していますが、特殊権限については個々に設定するのではなく、グループ・プロファイルを使用して管理しています。
システム監査で指摘があり、適切な特殊権限の付与、またユーザーがグループ・プロファイルに正しく登録されているかを調査し、適切でない場合に修正しなければなりません。
適宜、登録してきてしまい、全体数などがきちんと把握できていません。
複数のグループ・プロファイルの情報を取得する方法は無いでしょうか。
Answer
DSPAUTUSR SEQ(*GRPPRF) コマンドにて確認する方法もありますが OUTPUT(*PRINT)しか指定できません。
確認しにくいと感じる場合には多少ステップを踏みますが、一旦全てのユーザー・プロファイルの情報を出力して、その中からグループ・プロファイルの情報をソートする方法もあります。
使用するのは DSPUSRPRF コマンドです。
- 全てのユーザー・プロファイルの情報を物理ファイルとして出力
DSPUSRPRF USRPRF(*ALL) OUTPUT(*OUTFILE) OUTFILE(LIB名/FILE名) - 上記1で作成された物理ファイルをQUERYで確認できます。また、データ転送にてエクセルファイルとして出力すると、加工もできて見やすくなるかと思います。(以下、EXCELでの参照例です)
「グループ プロファイル 標識(UPGRPI)」が *YES になっているものが、グループ・プロファイルです。
もし、グループ・プロファイルのメンバーになっているユーザー・プロファイルを確認したい場合には、上記と同じように全てのユーザー・プロファイルの情報を取得して、「グループプロファイル(UPGRPF)」が *NONE 以外になっているものを探してください。
※DSPAUTUSR SEQ(*GRPPRF) にはメンバーがいないグループ・プロファイルも表示されます。
但し、DSPUSRPRF で出力した情報では、メンバーがいないグループ・プロファイルの「グループ プロファイル 標識(UPGRPI)」は *NO になります。
両方を比較して現在使用されていないグループ・プロファイルを調査してもよいかもしれません。
また今回は特殊権限の見直しもされるという事ですので、ご存知かもしれませんが、以下のサイトも参考までにご確認ください。
特殊権限
https://www.ibm.com/docs/ja/i/7.5?topic=authority-special-authorities
特殊権限(CRTUSRPRFのパラメータとしての説明)
https://www.ibm.com/docs/ja/i/7.5?topic=fields-special-authority
by . 槻樹
