Wenn die SECOS-Zugangskontrolle ausschließlich benutzerkennungsspezifisch administriert wird, bietet dies maximale Flexibilität beim Feintuning im Einzelfall. Oft ist es aber auch wünschenswert, globale Einstellungen für alle Benutzerkennungen zentral vornehmen zu können.

Für globale Einstellungen bieten die Kommandos /SET-LOGON-PROTECTION und /MODIFY-LOGON-PROTECTION in geeigneten Operanden das Schlüsselwort *LOGON-DEFAULT an. Es bedeutet, dass bei den so gekennzeichneten Attributen der Zugangskontrolle immer die jeweils aktuellen globalen Einstellungen wirksam sind.

Die globalen Einstellungen werden mit den Kommandos /SET-LOGON-DEFAULTS und /MODIFY-LOGON-DEFAULTS vorgenommen und mit /SHOW-LOGON-DEFAULTS angezeigt. Diese Standard-Attribute werden wirksam, wenn keine entsprechenden Attribute direkt für die Benutzerkennungen eingestellt wurden.

Verfallsdaten

Neben den Attributen, die direkt den Standard-Attributen entnommen werden, enthält die Benutzerkennung auch Verfallsdaten, die von den Standard-Attributen abgeleitet sind. Diese Verfallsdaten genießen Vertrauensschutz und bleiben von einer Modifikation ihrer Standard-Attribute zunächst unberührt. Sie berücksichtigen diese erst dann, wenn sie neu berechnet werden. Das sind:

1. Das Verfallsdatum der Benutzerkennung
   wird bei Einrichtung der Benutzerkennung oder explizit durch den Benutzerverwalter gesetzt.

2. Das Verfallsdatum des Kennwortes
   wird bei der Vergabe eines neuen Kennwortes gesetzt.

3. Das Verfallsdatum bei Inaktivität
   wird beim nächsten Logon gesetzt.

Password-Management

Das Attribut PASSWORD-MANAGEMENT ist als Benutzer-Attribut bereits im
Grundausbau des BS2000 enthalten. Es wird dort über die Kommandos /ADD-USER und /MODIFY-USER-ATTRIBUTES verwaltet und im Kommando /MODIFY-USER-
PROTECTION ausgewertet. Voreingestellt ist der Wert PASSWORD-
MANAGEMENT=*BY-USER.

Die Zugangskontrolle erweitert den Grundausbau um die Möglichkeit, die Voreinstellung (LOGON-DEFAULT) frei zu wählen. Beim Zusammenspiel von Benutzerverwaltung und Zugangskontrolle gelten für das PASSWORD-MANAGEMENT folgende Regeln:

1. Beim Kommando /ADD-USER weist die Zugangskontrolle stets das Standard-Attribut *LOGON-DEFAULT zu.

2. Der Wert *LOGON-DEFAULT kann nur mit dem Kommando /MODIFY-LOGON-PROTECTION durch einen anderen Wert ersetzt werden. Änderungsversuche mit dem Kommando /MODIFY-USER-ATTRIBUTES werden kommentarlos ignoriert.

3. Nachdem einer Kennung mit /MODIFY-LOGON-PROTECTION ein von *LOGON-DEFAULT abweichender Wert zugewiesen wurde, kann dieser anschließend auch wieder mit /MODIFY-USER-ATTRIBUTES geändert werden – allerdings nicht zurück auf *LOGON-DEFAULT. Diesen Wert gibt es nur in der Zugangskontrolle, und er kann nur mit dem Kommando /MODIFY-LOGON-PROTECTION explizit zugewiesen werden.

4. Die aktuelle Bedeutung des Wertes *LOGON-DEFAULT kann mit /SHOW-LOGON-DEFAULT ermittelt und mit /MODIFY-LOGON-DEFAULT jederzeit geändert werden. Voreingestellt ist *USER-CHANGE-ONLY.

5. Um deutlich zu machen, dass die Zugangskontrolle aktiv ist, zeigt das Kommando /SHOW-USER-ATTRIBUTES für PASSWORD-MANAGEMENT konstant den Wert *BY-LOGON-PROTECT an. Der tatsächlich gültige Wert kann nur mit dem Kommando /SHOW-LOGON-PROTECTION ermittelt werden.

6. Das Kommando /SHOW-LOGON-PROTECTION gibt stets den effektiv gültigen Wert des PASSWORD-MANAGEMENT aus. Dadurch ist nicht immer erkennbar, ob dieser Wert der Kennung explizit zugewiesen ist, oder ob der Kennung *LOGON-DEFAULT zugewiesen und der ausgegebene Wert die aktuelle Bedeutung von *LOGON-DEFAULT ist.