對工作執行的動作:執行限制

在指定允許的目標之後,JES 排存指令安全的第二個階段,包含您執行操作員指令所需的許可權。這項執行權限由 z/OS® 與 JES 安全檢查來施行。
註: 與其他的「工作監視器」指令(保留、釋放、取消和清除)不同,顯示 JCL 並非操作員指令,因此以下的限制不適用於顯示 JCL,因為不會進行進一步的安全檢查。

「工作監視器」會發出所有 JES 操作員指令,這是您或另一位使用者透過延伸 MCS (EMCS) 主控台所要求的,且該主控台的名稱是以 CONSOLE_NAME 指引來控制,如 「工作監視器」配置檔 BLZJCNFG中所記載。

利用這項設定,您或安全管理者可以使用 OPERCMDSCONSOLE 類別,來定義精細的指令執行許可權。

您的安全軟體會從 TSO 階段作業建立一個 JMON 主控台,以防出現假冒「工作監視器」伺服器身分的情況。即使可以建立主控台,進入點並不一樣:「工作監視器」就與 TSO 不同。如果您按照本資訊中心的記載來設定安全,而且您或另一位使用者透過其他方法仍無權存取 JES 指令,則從這個主控台所發出的 JES 指令將無法通過安全檢查。

註: 如果主控台名稱已在使用中,當必須執行指令時,「工作監視器」就無法建立主控台。如果要避免此情況,您可以在「工作監視器」配置檔中設定 GEN_CONSOLE_NAME=ON 指引,或者可以定義安全設定檔,讓 TSO 使用者無法建立主控台。

以下的範例 RACF® 指令,會阻止所有未獲授權的使用者建立 TSO 或 SDSF 主控台:

註: 未獲授權發出這些操作員指令的使用者,如果有足夠權限來存取可能保護這些資源的設定檔,例如 JESINPUTJESJOBSJESSPOOL 類別中的那些設定檔,仍然可以透過「工作監視器」來提交工作和讀取工作輸出。

如需操作員指令保護的相關資訊,請參閱 Security Server RACF Security Administrator's Guide (SA22-7683)


意見

以上說明對您有幫助嗎?您可以在 Jazz.net 網站中提供意見(需要登錄):在討論區中提供意見提交錯誤