Hab es übrigens hinbekommen. Falls es jemanden interessiert:
Entscheidend ist der Hinweis 119147.
Ich hatte leider nur eine zusätzliche Rolle auf dem User (neben anderen 50 Rollen), die mir den Test torpediert haben.
1. S_TCODE mit SP01 ausstatten
2. S_ADMI_FCD mit SP01 und SP0R
3. S_SPO_ACT Action(Objekte wie gewünscht) ich hatte hier BASE, DISP, DOWN, PRNT, REDI, REPR und SEND
und hier wird es interessant:
4. S_SPO_ACT Wert: XXXXXX
XXXX muss der Wert im Spoolauftrag im Feld "Berechtigungen" sein.
D.h. wir haben unseren Backendjob so definiert, dass immer der Abteilungsname drinsteht. Die Rolle bekam dann die oben genannten Objekte mit dem Abteilungsnamen im Wert von S_SPO_ACT.
Damit kann die Abteilung zwar alle Spoolaufträge sehen, aber nur diese explizit genannten öffnen und aufrufen.
VG