SAP Berechtigungen Berechtigungskonzept des AS ABAP

Direkt zum Seiteninhalt
Berechtigungskonzept des AS ABAP
PRGN_COMPRESS_TIMES
Kein Benutzer kann mehr ohne die Zuordnung einer gültigen Benutzergruppe angelegt, gepflegt oder gelöscht werden. Wird bei der Anlage eines Benutzers keine Benutzergruppe zugeordnet, wird dem Benutzer automatisch die Standardbenutzergruppe zugewiesen. Bevor Sie den Schalter USER_GRP_REQUIRED setzen, muss zuvor jedem vorhandenen Benutzer eine Benutzergruppe zugeordnet worden sein, und die Administratoren müssen über die Berechtigungen für die Standardbenutzergruppe verfügen. Bei der Anlage eines neuen Benutzers wird die Standardbenutzergruppe als Vorbelegung herangezogen; diese Benutzergruppe kann durch die Einstellung einer anderen Benutzergruppe im Benutzerparameter S_USER_GRP_DEFAULT für jeden Benutzeradministrator überschrieben werden. Der Customizing-Schalter erfordert eine gültige Benutzergruppe, denn diese wird als Standardbenutzergruppe verwendet. Sollte keine gültige Benutzergruppe im Customizing-Schalter eingetragen worden sein, ist die Benutzergruppe trotzdem ein Pflichtfeld. Dies führt dann gegebenenfalls zu Fehlern bei der automatisierten Anlage von Benutzern.

Den Benutzern sind zu viele Profile zugeordnet? Mithilfe von Referenzbenutzern können Sie dieses Problem umgehen. Im SAP-System wird die Anzahl der Zuordnungen von Profilen zu Benutzern durch eine technische Einschränkung begrenzt. Dies wird schon seit Längerem nicht mehr durch den Kernel verursacht, sondern liegt in der Struktur der verwendeten Datenbanktabellen begründet. Die Tabelle USR04 enthält die Profilzuordnungen zu den Benutzern. Dabei sind pro Benutzer 3.748 Zeichen im Feld PROFS für die Liste der Profilnamen vorgesehen. Profilnamen haben eine maximale Länge von 12 Zeichen; daher können im Feld PROFS maximal 312 Profile pro Benutzer eingetragen werden. Sollten Sie ein Rollenkonzept einsetzen, in dem die Berechtigungen für Teilprozesse jeweils in einer Rolle abgelegt werden, kann dies dazu führen, dass einige Ihrer Benutzer die maximale Anzahl der zugeordneten Profile überschreiten. Wir zeigen Ihnen daher im Folgenden, wie Sie dieses Problem durch den Einsatz von Referenzbenutzern umgehen.
Verwendung von Vorschlagswerten und Vorgehen beim Upgrade
TMSADM: Der Benutzer TMSADM dient der Kommunikation zwischen SAP-Systemen im Transportmanagementsystem und wird bei deren Konfiguration automatisch im Mandanten 000 angelegt. TMSADM hat nur die Berechtigungen für den Zugriff auf das gemeinsame Transportverzeichnis, für die Anzeige im Änderungs- und Transportmanagementsystem und die notwendigen RFC-Berechtigungen. Schutzmaßnahmen: Ändern Sie die Passwörter des Benutzers in den einzelnen Mandanten. Dazu gibt es den Report TMS_UPDATE_PWD_OF_TMSADM, den Sie im Mandanten 000 starten müssen. Dies ist nur möglich, wenn Sie über Administratorberechtigungen in allen Systemen der Landschaft verfügen und die Passwortregeln der Systeme kompatibel sind. Nachdem der Report erfolgreich durchlaufen worden ist, haben alle TMSADM-Benutzer der Landschaft im Mandanten 000 und deren Destinationen dasselbe neue Passwort.

Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja. Sie haben nun erfolgreich eine Aufzeichnung der Blaupause erstellt. Nun folgt der etwas kniffligere Teil: Die Identifikation der Werte, die jeweils bei der Massenausführung geändert werden sollen. Im Editor Ihrer Testkonfiguration steht unten in der Textbox die erstellte Aufzeichnung. Wir können nun das Testskript mit beliebigen Eingaben massenhaft ausführen. Hierzu benötigen wir eine Testkonfiguration. Geben Sie dieser ebenfalls einen sprechenden Namen, im Beispiel Z_ROLLOUT_STAMMDATEN, und klicken Sie auf den Button Objekt anlegen. Auf der Registerkarte Attribute geben Sie eine allgemeine Beschreibung sowie eine Komponente an. Gehen Sie dann auf die Registerkarte Konfiguration, und wählen Sie das zuvor erstellte Testskript im entsprechenden Feld aus. Wechseln Sie dann auf die Registerkarte Varianten. Die Varianten sind die Eingaben in unserem Skript. Da wir das Format, in dem eCATT die Eingabewerte benötigt, nicht kennen, ist es hilfreich, sich dieses zunächst herunterzuladen. Wählen Sie dazu Externe Varianten/Pfad aus, und klicken Sie auf Varianten herunterladen. Unter dem entsprechendem Pfad wird nun eine Textdatei angelegt, die das gewünschte Format mit den Inputparametern enthält. Öffnen Sie die Daten mit Microsoft Excel, und stellen Sie Ihre Zielwerteliste ein. Löschen Sie dazu die Zeile *ECATTDEFAULT. In der Spalte VARIANT können Sie einfach eine fortlaufende Nummerierung verwenden. Speichern Sie die Datei im Textformat, nicht etwa in einem der Excel-Formate ab.

Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.

Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.

Bei einem Releasewechsel kommen häufig nicht nur neue Anwendungen hinzu, sondern auch neue bzw. veränderte Berechtigungsobjekte, Berechtigungsprüfungen und, daraus resultierend, veränderte Vorschlagswerte.

Im SAP-System können Sie Kostenstellenhierarchien und Profit-Center-Hierarchien definieren.
SAP Corner
Zurück zum Seiteninhalt