Mit SRPM können Benutzerkennungen explizit durch Kommandos zu Benutzergruppen zusammengefasst werden. Alle Benutzerkennungen, die keiner definierten Gruppe zugeordnet sind, gehören der Standardgruppe *UNIVERSAL an.

Bei Zugriffen auf Objekte wird immer die Gruppenstruktur auf dem Home-Pubset zur Bestimmung der Gruppenzugehörigkeit herangezogen. Pubset-spezifische Gruppenstrukturen werden nur zu Verwaltungszwecken eingerichtet (siehe "Betriebsmittel der Benutzer begrenzen").

Definition von Benutzergruppen

Eine Benutzergruppe ist die Zusammenfassung einzelner Benutzerkennungen. Jede Benutzergruppe wird durch einen Gruppennamen, das ist die Gruppenkennung, repräsentiert. Sie wird im Benutzerkatalog eines Pubset eingetragen. Eine Benutzergruppe kann auf verschiedenen Pubsets mit unterschiedlichen Attributen eingetragen sein. Zugriffsberechtigungen werden jedoch immer gegen die Gruppenstruktur des Home-Pubset geprüft. Im Benutzerkatalog werden für eine Benutzergruppe folgende Daten hinterlegt:

• Gruppenbeschreibungsdaten (Name der Benutzergruppe, Einordnung in die Gruppenstruktur des Pubset, Gruppenverwalter). Für jede Gruppe kann ein Gruppen-Präfix festgelegt werden, der die Möglichkeit der Namenswahl insoweit beschränkt, dass nun alle Untergruppen dieser Gruppe mit dem festgelegten Präfix beginnen müssen. Auf diese Weise ist die Einordnung einer Gruppe in eine Hierarchie bereits über den Namen möglich.

• Gruppenmitglieder (Benutzerkennungen, die einer Benutzergruppe zugeordnet sind). Wie auch bei der Gruppe kann für die Gruppenmitglieder festgelegt werden, dass ihre Namen mit einem bestimmten Präfix beginnen müssen. Bei der Benennung des Gruppenverwalters wird festgelegt, welche Namens-Präfixe er vergeben darf.

• Gruppenpotential (Betriebsmittel und Rechte, die an eine Benutzergruppe gebunden sind und an die Gruppenmitglieder oder an hierarchisch untergeordnete Benutzergruppen vergeben werden können).

  Das Gruppenpotential kann gegliedert werden in:

  1. Gruppenpotential mit Verrechnung

     • maximale Anzahl der Untergruppen einer Benutzergruppe (MAX-SUB-GROUPS)

     • maximale Anzahl der Gruppenmitglieder einer Benutzergruppe und deren Untergruppen (MAX-GROUP-MEMBERS)

  2. Gruppenpotential ohne Verrechnung

     • Gruppenverwalterrecht (ADM-AUTHORITY) mit den Ausprägungen
       MANAGE-MEMBERS, MANAGE-RESOURCES, MANAGE-GROUPS

     • Festlegung von Abrechnungsnummern (ADD-ACCOUNT) mit möglichen Ressourcen für:

       CPU-LIMIT	(CPU-LIMIT, NO-CPU-LIMIT)
       SPOOLOUT-Klasse	(SPOOLOUT-CLASS)
       zulässige Ablaufpriorität	(MAX-ALLOWED-PRIORITY)
       zulässige Task-Kategorie	(MAX-ALLOWED-CATEGORY)
       Scheduling-Recht	(START-IMMEDIATE)
       Task-(De-)Aktivierung	(INHIBIT-DEACTIVATION)

     • Erzeugung von benutzerspezifischen Abrechnungssätzen (MAX-ACCOUNT-RECORDS)

     • Überschreitung des PUBLIC-SPACE-LIMIT (PUBLIC-SPACE-EXCESS)

     • Maximaler Speicherplatz (PUBLIC-SPACE-LIMIT)

     • Magnetbandzugriff (TAPE-ACCESS)

     • Überwachung von Dateien (FILE-AUDIT)

     • Nutzung des Memory-Pool-Schutzes (CSTMP-MACRO)

     • Test-Privilegierung (TEST-OPTIONS)

     • Nutzung von BS2000-Profilen (ADD-PROFILE-ID)

     • Verfügbarer Adressraum (ADDRESS-SPACE-LIMIT)

     • Anzahl der residenten Hauptspeicherseiten (RESIDENT-PAGES)

     • Anzahl der anlegbaren Dateien (FILE-NUMER-LIMIT)

     • Anzahl der zugelassenen Jobvariablen (JV-NUMBER-LIMIT)

     • Maximaler temporärer Speicherplatz (TEMP-SPACE-LIMIT)

Beispiel: Ausgabe der Attribute einer Benutzergruppe

Die Wurzel der Gruppenstruktur: *UNIVERSAL

Mit First-Start wird auf dem Home-Pubset die Benutzergruppe *UNIVERSAL eingerichtet. Sie bildet die Wurzel der Gruppenstruktur auf diesem Pubset. Nach dem First-Start sind in der Benutzergruppe *UNIVERSAL alle vom Betriebssystem vergebenen Benutzerkennungen enthalten. Für die Benutzergruppe *UNIVERSAL gibt es keine Beschränkung – abgesehen von den physikalisch geltenden Grenzwerten – des Gruppenverwalterrechts und des Gruppenpotentials.

Die Benutzergruppe *UNIVERSAL hat implizit keinen Gruppenverwalter; dieser ist explizit festzulegen. Das Gruppenverwalterrecht der Benutzergruppe *UNIVERSAL ist stets MANAGE-GROUPS, so dass ein Gruppenverwalter von *UNIVERSAL auf dem jeweiligen Pubset alle Benutzerkennungen und Benutzergruppen verwalten kann.

Beispiel: Attribute der Benutzergruppe *UNIVERSAL mit Gruppenverwalter und einer Untergruppe

Mit dem Einrichten eines neuen Pubset und dessen erstmaliger Zuschaltung zum System wird auch auf diesem die Benutzergruppe *UNIVERSAL eingerichtet. Die zuvor genannten Benutzerkennungen werden dort in gleicher Weise zugeordnet.

Untergruppen

Jede weitere Benutzergruppe muss eingerichtet werden. Sie ist immer die Untergruppe einer bereits bestehenden Benutzergruppe (z.B. *UNIVERSAL) und kann weitere Untergruppen besitzen, das heißt eine Gruppenstruktur kann hierarchisch aufgebaut werden.

Gruppenstruktur

Die Gruppenstruktur ist pubset-spezifisch im jeweiligen Benutzerkatalog hinterlegt. Die Gruppenstruktur des Home-Pubset wird zur Bestimmung der Gruppenzugehörigkeit bei Zugriffen auf systemspezifische Objekte (z.B. Memory Pools) sowie auf pubset-spezifische Objekte (Dateien, Jobvariablen) herangezogen.

Gruppenmitglieder

Jede Benutzerkennung ist Gruppenmitglied genau einer Benutzergruppe. Jede Benutzergruppe hat keine, eine oder mehrere Benutzerkennungen als Gruppenmitglieder. Mitglieder von Untergruppen gelten nicht als Mitglieder der übergeordneten Gruppe.

Gruppenverwalter

Die gruppenspezifische Benutzerverwaltung wird von Gruppenverwaltern wahrgenommen, das heißt von Benutzerkennungen, denen durch einen Eintrag im Gruppenpotential einer Benutzergruppe das Gruppenverwalterrecht zugeteilt wurde. Ein Gruppenverwalter kann nur von einem systemglobalen Benutzerverwalter oder von dem Gruppenverwalter einer in der Benutzergruppenstruktur hierarchisch übergeordneten Benutzergruppe ernannt oder abgesetzt werden.

Das Gruppenverwalterrecht gehört zum Gruppenpotential einer Benutzergruppe und kann im Rahmen des Gruppenpotentials nur einer Benutzerkennung der Benutzergruppe zugeteilt werden. Im Gegensatz zu systemglobalen Privilegien oder allgemeinen Benutzerrechten ist das Gruppenverwalterrecht also nicht an eine Benutzerkennung, sondern an eine Benutzergruppe geknüpft.

Eine Benutzergruppe kann (muss aber nicht) von einem Gruppenverwalter verwaltet werden. Eine Benutzerkennung mit dem systemglobalen Privileg der Benutzerverwaltung ist ebenfalls zur Gruppenverwaltung berechtigt. Sie darf jedoch nicht als Gruppenverwalter eingetragen sein, weil sie gegenüber dem Gruppenverwalter mit wesentlich mehr Rechten ausgestattet ist. Jede Benutzergruppe hat nur einen direkt zugeordneten Gruppenverwalter.

Das Gruppenverwalterrecht existiert in drei Ausprägungen, die zueinander in aufsteigender hierarchischer Beziehung stehen:

• MANAGE-RESOURCES (niedrigstes Recht)

• MANAGE-MEMBERS

• MANAGE-GROUPS (höchstes Recht)

MANAGE-RESOURCES

Das Gruppenverwalterrecht MANAGE-RESOURCES berechtigt einen Gruppenverwalter dazu, die Gruppenmitglieder seiner eigenen Benutzergruppe und der ihr untergeordneten Gruppenstruktur im Rahmen des für diese Benutzergruppe festgelegten Gruppenpotentials an Betriebsmitteln und Benutzerrechten zu verwalten. Außerdem kann er Benutzerkennungen, die nicht Gruppenmitglieder sind, den Zugriff auf Dateien und Jobvariablen der Gruppe erlauben, wenn diese durch BACL geschützt sind. Die Berechtigung ist auf bereits eingerichtete Benutzerkennungen und Benutzergruppen beschränkt. Die bestehende Benutzergruppenstruktur und die Zugehörigkeit der Gruppenmitglieder kann also nicht verändert werden. Neue Benutzerkennungen und Benutzergruppen können nicht erzeugt werden.

Für die Verwaltung stehen folgende Kommandos zur Verfügung:

MANAGE-MEMBERS

Das Gruppenverwalterrecht MANAGE-MEMBERS schließt das Gruppenverwalterrecht MANAGE-RESOURCES ein. Es berechtigt einen Gruppenverwalter zusätzlich dazu, seine eigene Benutzergruppe und die ihr untergeordnete Gruppenstruktur durch Einrichten, Umhängen und Löschen von Gruppenmitgliedern zu verändern.

Für die Verwaltung stehen folgende Kommandos zur Verfügung:

MANAGE-GROUPS

Das Gruppenverwalterrecht MANAGE-GROUPS schließt das GruppenverwalterrechtMANAGE-MEMBERS ein. Es berechtigt einen Gruppenverwalter zusätzlich dazu, die seiner Benutzergruppe untergeordnete Gruppenstruktur durch Einrichten, Ändern, Löschen oder Umhängen von Untergruppen zu verändern.

Für die Verwaltung stehen folgende Kommandos zur Verfügung:

Die Berechtigung eines Gruppenverwalters gilt stets nur für das Pubset, auf dem die Benutzergruppe eingetragen ist.

Alle Tätigkeiten eines Gruppenverwalters beziehen sich nur auf die eigene Benutzergruppe (bei der Verwaltung der Gruppenmitglieder) oder auf hierarchisch untergeordnete Benutzergruppen eines Pubset (bei der Verwaltung von Untergruppen und deren Gruppenmitgliedern), jedoch nie auf hierarchisch übergeordnete Benutzergruppen oder auf Benutzergruppen in anderen Pubsets.

Das Gruppenpotential einer Benutzergruppe, also insbesondere auch das jeweilige Gruppenverwalterrecht, kann nur durch einen hierarchisch übergeordneten Gruppenverwalter oder einen systemglobalen Benutzerverwalter festgelegt oder geändert werden.

Für eine Benutzergruppe muss kein Gruppenverwalter ernannt werden. Ist für eine Benutzergruppe kein Gruppenverwalter ernannt, so wird sie von einem übergeordneten Gruppenverwalter oder einem systemglobalen Benutzerverwalter (mit-)verwaltet.

Wechsel des Home-Pubset

Im laufenden Betrieb des Betriebssystems ist auf eine sorgfältige Pflege von Home-Pubset und Stand-by-Pubsets zu achten. Da für die Zugriffskontrolle die Benutzergruppenstruktur des Home-Pubset relevant ist, sollten Benutzergruppenstrukturen auf Stand-by-Pubsets immer identisch gehalten werden mit der Benutzergruppenstruktur des Home-Pubset. Vorsicht ist insbesondere geboten beim Austausch eines Home-Pubset oder beim Einsatz des Home-Pubset auf einem anderen Rechner. Durch eine solche Veränderung der Umgebung können abweichende Ergebnisse bei der Zugriffskontrolle entstehen, wenn die Benutzergruppenstrukturen nicht identisch sind.