SAP Berechtigungen Prüfung auf Berechtigungen für die alte Benutzergruppe bei der Zuweisung einer neuen Benutzergruppe zu einem Benutzer - SAP Basis

Direkt zum Seiteninhalt
Prüfung auf Berechtigungen für die alte Benutzergruppe bei der Zuweisung einer neuen Benutzergruppe zu einem Benutzer
Benutzerverwaltung
In erster Linie sind rechtliche Grundlagen zu nennen und auf gesetzeskritische Berechtigungen konkret hinzuweisen, die nicht (bzw. allenfalls an den Notfallbenutzer) vergeben werden dürfen. Ein Beispiel ist die Berechtigung “Debugging mit Replace“, zu der das Objekt S_DEVELOP mit den Werten ACTVT = 02 und OBJTYPE = DEBUG legitimiert und worüber sich Daten per Hauptspeicheränderung manipulieren lassen. Das verstieße jedoch gegen § 239 HGB, das sogenannte „Radierverbot“.

Eine neue Transaktion zur Auswertung des Systemtrace ausschließlich für Berechtigungsprüfungen ist hinzufügt worden, die Sie mithilfe der Transaktion STAUTHTRACE aufrufen und über das jeweilige Support Package, das im SAP-Hinweis 1603756 benannt ist, einspielen können. Dies ist ein Kurzzeittrace, der nur auf dem aktuellen Anwendungsserver und Mandanten als Berechtigungstrace verwendet werden kann. In den grundlegenden Funktionen ist er identisch mit dem Systemtrace in Transaktion ST01; im Unterschied zum Systemtrace können hier jedoch nur Berechtigungsprüfungen aufgezeichnet und ausgewertet werden. Sie können die Aufzeichnung auf einen bestimmten Benutzer einschränken. Auch können Sie den Trace so verwenden, dass nur nach Berechtigungsfehlern gesucht wird. Die Auswertung erfolgt ähnlich der Auswertung des Systemtrace in der Transaktion ST01. In Transaktion STAUTHTRACE können Sie jedoch auch nach bestimmten Berechtigungsobjekten oder bestimmten Return-Codes für die Berechtigungsprüfung (d. h. nach positiv oder negativ bewerteten Berechtigungsprüfungen) auswerten. Außerdem können Sie mehrfache Einträge filtern.
Transaktionsstartberechtigungen beim Aufruf CALL TRANSACTION pflegen
Nach dem Klick auf diesen Button sehen Sie den aktuellen ZBV-Status im gleichnamigen Bereich und können das ausgewählte System über den Button Ausführen aus der ZBV herauslösen. Für dieses Tochtersystem ist die ZBV nun nicht mehr aktiv. Um Inkonsistenzen in den Benutzerstammsätzen zu vermeiden, müssen Sie die Benutzer nach der Aktivierung der ZBV im Tochtersystem abgleichen. Dies können Sie in der Transaktion SCUG durchführen und dort Benutzerdaten aus dem Tochtersystem in das Zentralsystem übernehmen. Informationen zu den technischen Voraussetzungen finden Sie im SAP-Hinweis 962457. Um die ZBV komplett auszuschalten, nutzen Sie den Report RSDELCUA bzw. den Button Löschen in der Transaktion SCUA. Über diese Funktion haben Sie die Möglichkeit, entweder nur bestimmte Tochtersysteme aus der ZBV oder die komplette ZBV zu löschen.

Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.

Der Berechtigungstrace ist aber nicht standardmäßig aktiv, sondern muss explizit über den Profilparameter “auth/authorization_trace” aktiviert werden. In der Transaktion RZ11 kann man einfach und schnell überprüfen, ob der Parameter bereits gesetzt ist. In der Transaktion RZ10 setzt man den Profilparameter. Standardmäßig ist der Profilparameter in SAP-Systemen (Profilparameter transport/systemtype = SAP) aktiv und in Kundensystemen (Profilparameter transport/systemtype = CUSTOMER) inaktiv.

Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.

Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.

Nun kann es mit den Upgradenacharbeiten losgehen.

D.h. falls es zu einem sog. Doppelschlag kommt, also mehrere Berechtigungsfehler auftreten, immer nur der letzte Fehler in diesem Bereich steht.
SAP BASIS
Zurück zum Seiteninhalt