※限定能力
第十六章   系統保安
由系統提供的權限允許你剪裁系統上的用戶環境，有兩類系統權限：特種權限和專用權限。 
　　特種權限允許一個用戶執行諸如存儲系統、控制其他用戶的作業、使用系統服務工具、控制假機文件和生成用戶文檔等系統控制操作，特種權限在用戶文檔中是通過指定用戶等級來定義的，也可以通過修改用戶的特種權限來定義，也可以利用CRTUSRPRF和CHGUSRPRF命令來定義。 
　　專用權限允許用戶對一個目標執行諸如移動或換名、控制目標的存在、對目標的數據執行操作等。用GRTOBJAUT(Grant Object Authority)命令可以賦給用戶各種專用權限，排外權限可以阻止一個用戶使用某個目標，如果指定了排外權限，則其它的權限就不能指定了。
第十七章   用戶等級
當你在系統上標識一個用戶時，你能夠在用戶文檔中指定一個用戶的等級，你所指定的等級將決定他所能使用什么樣的系統控制操作和什么樣的菜單選項，用戶等級有： 
  ※Security Officer (*SECOFR) 
  ※Security Administrator (*SECADM) 
  ※Programmer (*PGMR) 
  ※System Oerator (*SYSOPR) 
  ※User (*USER) 
  不同等級的用戶在不同保安等級上的特種權限是不一樣的。詳見下表： 
  保安等級為10~20時 
  User Class *ALLOBJ *SECADM *SAVSYS *JOBCTL *SERVICE *SPLCTL 
  *SECOFR X X X X X X 
  *SECADM X X X X 　 　 
  *PGMR X X X X 　 　 
  *SYSOPR X X X X 　 　 
  *USER X X X 　 　 　 
  保安等級為30~40時 
  User Class *ALLOBJ *SECADM *SAVSYS *JOBCTL *SERVICE *SPLCTL 
  *SECOFR X X X X X X 
  *SECADM 　 X X X 　 　 
  *PGMR 　 　 X X 　 　 
  *SYSOPR 　 　 X X 　 　 
  *USER No Special Authority
第十八章   顯示站保安
顯示站保安允許你控制誰能登錄在某個顯示站上。當系統保安是30以上時，系統要檢查顯示站所有用戶的權限。如果一個用戶的文檔未被賦予使用某個顯示站的權限，則該　用戶文檔或者保安長官用戶文檔(QSECOFR)就必須賦予他使用該設備的權限，他才能用此顯示站登錄。如果系統保安等級是10或者20，則擁有全部目標的用戶可以在任何一個顯示站上登錄。
第十九章   登錄保安
登錄保安用來阻止系統中沒有建立用戶文檔的用戶登錄進入系統，當系統保安等級是20（口令保安）或者30以上（資源保安）時，用戶在指定用戶標識符外還必須指定口令。只有這兩者正確地結合起來，才能進入系統。
第二十章   初始程序保安
登錄保安用來阻止系統中沒有建立用戶文檔的用戶登錄進入系統，當系統保安等級是20（口令保安）或者30以上（資源保安）時，用戶在指定用戶標識符外還必須指定口令。只有這兩者正確地結合起來，才能進入系統。
第二十一章   菜單保安
菜單保安可以通過為用戶設定的菜單上所有選項來控制該用戶能夠做哪些工作，菜單保證能允許你阻止用戶在Sign On時顯示其他菜單，如果你將用戶限定在某個菜單上，則他就不能修改在他的用戶文檔中的初始菜單值。用戶文檔中的初始菜單的缺省值是AS/400 Main Menu，但是用戶保安等級將決定他從此菜單上能做哪些工作。 
  初始程序是在初始菜單之前運行的，如果你要限定用戶僅僅運行初始程序，則當你將初始菜單設定為（*SIGNOFF）時，則系統在運行完這個程序后就會使這個用戶退出系統。 
  限定能力 
  你能夠限定用戶指定初始程序、初始菜單、當前庫和Attention Key Handling,你能用下列幾種方法來限定用戶的能力。 
  ★能力未限制(LMTCPB (*NO)):用戶在SIGNON時能夠指定初始程序、初始菜單和當前庫的值。用戶能夠利用修改文檔命令來指定他自己的用戶文檔中的初始程序、初始菜單、當前庫或Attention Key Handling程序值，在菜單的命令行上能夠運行命令。 
  ★能力部分限制(LMTCPB (*PARTIAL))：用戶在Sign On進入系統時不能指定初始程序和當前庫，初始菜單值能夠被指定，在菜單的命令行上能夠運行命令。用戶能夠利用修改文檔命令來指定他自己的初始菜單值，但不能指定初始程序、當前庫和Attention Key Handling程序。 
  ★能力限制(LMTCPB (*YES))：用戶在Sign on 進入系統時不能指定初始程序、初始菜單和當前庫。在菜單的命令行上只能運行某些命令，如Sign-off(Signoff)，Send message(SNDMSG)，display Job(DSPJOB),Display job Log(DSPJOBLOG)。用戶不能利用修改文檔命令來指定自己的初始程序、初始菜單、當前庫或Attention Key Handling程序值。
第二十二章   資源保安
資源保安用來給用戶使用特定電影票進行授權，權限可以用兩種方式來指定： 
  專用的或者公用的。 
  專用的權限，是專門為一個用戶使用某一資源進行授權，而公用的權限則用于下列情況： 
  ●用戶未被專門授權使用某一資源 
  ●用戶不在權限表中 
  ●用戶組文檔未援用對某資源的權限 
  ●用戶組文檔不在權限表中 
  資源保安由目標權限的數據權限組成，這些權限可以使用Edit Object Authority(EDTOBJAUT)或者Grant Object Authority(GRTOBJAUT)命令來給某個用戶授予對某個目標的權限。 
  ★權限表(Authorization List) 
  具有相同保安需要的目標用戶可以組成一個表，權限可以授予一個權限表。建立權限表可以用命令CRTAUTL，編輯權限表可以用EDTAUTL。 
  ★目標擁有者(Object Ownership) 
  系統中每個目標有一個擁有者，適當的目標擁有者有利于幫助管理目標。　　 
  ★庫權限（Library Authority） 
  用戶可以將具有相同保安需要的文件程序放到一個庫中，并且限制庫的　　存取，這樣比限制每個目標的存取要來得容易。 
  ★目標權限(Object Authority) 
  限制目標存取的權限。 
  ★公共權限(Public Authority) 
  對每個目標可以定義一個有效的存取權限，這權限供任何系統用戶使用并且稱為公共權限，公共權限是信息保安和提供好的性能的有效方法。 
  ★專用權限(Private Authority) 
  對目標使用特定權限，可以把目標授權給某用戶或用戶組。專用權限又分為用戶權限和用戶組權限，用戶權限是指個別用戶使用系統中的目標，用戶組權限是指用戶組中的用戶使用系統中的目標。 
  ★接受權限(Adopt Authority) 
  接受權限是對程序擁有者的權限賦給用戶運行程序的權限，接受權限是用戶對某目標需要有不同權限的有效工具，它依賴于不同情況。如：在建立程序時在CRTXXXPGM命令中的指定USRPRF參數。
第二十三章   保安系統值
●允許用戶Domain目標（QALWUSRDMN） 
  用戶Domain目標類型有*USRSPC,*USRIDX和USRQ或*ALL　　 
  ●新目標的權限(QCRTOUT) 
  用于確定在建立新目標時的公共權限。 
  ●顯示Sign-on信息(QDSPSGNINF) 
  顯示最后一次Sign-on日期和時間，無效的Sign-on次數，以及再過幾天需要進發口令。 
  ●作業不活動時間的溢出間隔(QINACTITV) 
  主要是預防沒有Sign-off而敲開工作站，建議值為30－60分鐘。 
  ●作業不活動時間溢出的信息隊列（QINACTMSGQ） 
  作業不活動時間溢出時處理的功能，建議值為＊DSCJOB，即不連接作業。 
  ●限制設備對話區(QLMTDEVSSN) 
  限制用戶同時在多臺終端設備上Sign-on。 
  ●限制保安官員(QLMTSECOFR) 
  限制具有*ALLOBJ或*SERVICE特殊權限的用戶在工作站上Sign-On。 
  1表示對工作站具有*ALL權限才能Sign-On工作站 
  0表示對工作站具有*CHANGE權限才能Sign-On工作站。 
  建議值為1 
  ●最大Sign-On次數(QMAXSIGN) 
  限制密碼錯誤時允許重試登錄的最大次數，可選值為1到25，建議選3。 
  ●最大Sign-On次數到達時的處理 
  ◆1表示不能使用設備 
  ◆2表示不能使用用戶文檔 
  ◆3表示不能使用設備和用戶文檔 
  建議選用3。
第二十四章   常用的保安命令
CRTUSRPRF 創建用戶文檔，將一個新的用戶文檔增加到系統中 
  DLTUSRPRF 刪除用戶文檔，從用戶文檔列表中刪除一個用戶文檔 
  DSPUSRPRF 顯示用戶文檔，查看用戶文檔的詳細信息 
  WRKUSRPRF 處理用戶文檔，通過不同選項你可以對用戶文檔進行創建、修改、顯示、刪除、拷貝等操作 
  CHGUSRPRF 修改用戶文檔，可以修改指定的用戶文檔的某些屬性，如用戶的特種權限、初始程序、當前庫和優先權等 
  CHGPRF 修改用戶文檔，可以修改用戶自己的用戶文檔 
  CHGPWD 修改密碼，用戶可以修改自己的密碼 
  CHKPWD 檢查口令，允許用戶檢查他自己的口令 
  ADDAUTLE 增加權限表項，可以將用戶增加到權限表中 
  CHGAUTE 修改權限表項，你可以修改在權限表中的用戶的用戶權限 
  CRTAUTL 生成權限表，你可以生成一個權限表 
  DSPAUTLOBJ 顯示權限表目標，顯示權限表的一組目標 
  EDTAUTL 編輯權限表，在權限表上增加、修改和撤消用戶及他們的權限 
  EDTOBJAUT 編輯目標權限，可以增加、修改或者撤消一個用戶對某個目標的權限 
  GRTOBJAUT 目標授權，給一個命名用戶或者全部用戶（*PUBLIC）對此命令中命名的目標進行授權。













鑒于很多朋友都還是剛接觸AS/400，我就從系統登陸開始簡單說說吧！
打開AS/400仿真終端（可以是PCOM、CA等軟件，如何配置就不說了），輸入用戶名和密碼，進入系統。

如果你的權限足夠的話，可以使用CRTLIB命令給自己建個庫，如：
CRTLIB LIB(MYLIB) TYPE(*TEST) TEXT('for test')
庫建好之后，你可以使用STRPDM->2，在Library處輸入庫名MYLIB，按確認鍵就進入該庫。

這時庫下面沒任何文件，你可以使用CRTSRCPF命令建立一個源物理文件，用來放置源碼，如：
CRTSRCPF FILE(MYLIB/MYSRCPF) IGCDTA(*YES) TEXT('源物理文件') 
【注：】參數IGCDTA(*YES)表示該源物理文件里頭的源碼文件都可以使用中文

到此為止，自己存放源碼的地方已經生成，你可以直接使用以下命令直接進入該源物理文件：
WRKMBRPDM FILE(MYLIB/MYSRCPF)

進入該文件之后，就可以建立任何源碼文件了，按F6，顯示“Start Source Entry Utility (STRSEU)”畫面，參數說明如下：
1. Source member：表示建立的成員名，我們把它理解成存放源碼的文件就可以，類似WINDOW平臺的TXT文件；
2. Source type：表示建立的成員名的類型，如果不確定，可按 F4 查看，常用類型有
  (1)PF：     物理文件；
  (2)LF：     邏輯文件；
  (3)RPG：   RPG程序源碼文件；
  (4)RPGLE： RPGLE程序源碼文件；
  (5)DSPF：   顯示文件；
  (6)CLP：   CLP程序源碼文件；
  (7)CMD：   命令文件
  ……
3. Text 'description'：表示對該文件的描述，可填可不填。
上面的參數填好之后，即進入源碼編輯環境，可以寫代碼了。

代碼寫完之后：
1. 如果要保存并且退出編輯器，按F3，出現“Exit”畫面，參數Change/create member置為Y即可。
2. 如果只想保存而不想退出的話，在編輯器的頂端的命令行輸入SAVE，按確認鍵即可。
3. 如果要放棄更改，那么在編輯器的頂端的命令行輸入CAN，按確認鍵即可。

以上整個過程，介紹了登陸系統、建立庫、建立源物理文件、建立成員（即源碼文件）的過程。
有欠妥之處，請不吝賜教！