Standardberechtigung
Allgemeine Berechtigungen
Mit einem Klick auf den Button Anmeldedaten starten Sie den Report RSUSR200, und Sie gelangen in die Selektionsmaske. Mit diesem Report können Sie Benutzer nach Anmeldedaten selektieren. Außerdem können Sie ermitteln, ob ein Benutzer sein Initialkennwort geändert hat. Sie können mit dem Button (Variante holen) oder anhand der Tastenkombination (ª) + (F5) eine vordefinierte Variante aus dem Variantenkatalog auswählen.
Zum Daily Business eines Berechtigungsadministrators gehören die Prüfungen und Analysen von kritischen Berechtigungen und Kombinationen im System. Der Schwerpunkt liegt dabei bei den Benutzern und Rollen in dem jeweiligen Mandanten und Systemschienen. Dazu eignet sich der SAP Standardreport RSUSR008_009_NEW. Vorab müssen Sie entsprechenden Prüfvarianten und Berechtigungswerte für kritische Berechtigungen bzw. Kombinationen entweder über das Programm selber oder die Transaktion SU_VCUSRVARCOM_CHAN anlegen. Diese entsprechen dann Ihren internen und externen Sicherheitsrichtlinien. Daraufhin können Sie den Report mit ihrem jeweiligen Prüfumfang und der entsprechenden kritischen Berechtigungs- oder Kombinationsvariante ausführen und prüfen in welchen Rollen oder Benutzern solche Verstöße vorhanden sind. Dies dient zum Schutz Ihrer gesamten IT – Systemlandschaft und sollte periodisch durchgeführt werden.
Konzepte der SAP Security
Kein Benutzer kann mehr ohne die Zuordnung einer gültigen Benutzergruppe angelegt, gepflegt oder gelöscht werden. Wird bei der Anlage eines Benutzers keine Benutzergruppe zugeordnet, wird dem Benutzer automatisch die Standardbenutzergruppe zugewiesen. Bevor Sie den Schalter USER_GRP_REQUIRED setzen, muss zuvor jedem vorhandenen Benutzer eine Benutzergruppe zugeordnet worden sein, und die Administratoren müssen über die Berechtigungen für die Standardbenutzergruppe verfügen. Bei der Anlage eines neuen Benutzers wird die Standardbenutzergruppe als Vorbelegung herangezogen; diese Benutzergruppe kann durch die Einstellung einer anderen Benutzergruppe im Benutzerparameter S_USER_GRP_DEFAULT für jeden Benutzeradministrator überschrieben werden. Der Customizing-Schalter erfordert eine gültige Benutzergruppe, denn diese wird als Standardbenutzergruppe verwendet. Sollte keine gültige Benutzergruppe im Customizing-Schalter eingetragen worden sein, ist die Benutzergruppe trotzdem ein Pflichtfeld. Dies führt dann gegebenenfalls zu Fehlern bei der automatisierten Anlage von Benutzern.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Sind die Änderungen an Ihren SU24-Daten mit Schritt 2a nicht erkannt worden oder haben Sie Transporte aus anderen Systemlandschaften in Ihr System importiert, haben Sie die Möglichkeit, die Zeitstempeltabellen zurückzusetzen und somit noch einmal von vorn anzufangen. Lassen Sie dafür den Report SU24_AUTO_REPAIR in einem System, das noch auf dem Stand des Altrelease ist, laufen, sodass das Modifikationsflag korrekt gesetzt wird (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Anschließend legen Sie einen Transport an und transportieren Ihre SU24- Daten in das System, das auf dem Stand des neuen Release ist. Löschen Sie nun Ihre Zeitstempeltabellen. Dafür können Sie den Report SU25_INITIALIZE_TSTMP verwenden. Ab SAP NetWeaver 7.31 haben Sie die Auswahlmöglichkeiten, den Referenzzeitstempel aus den SU22-Daten zu setzen oder die Inhalte der Zeitstempeltabellen zu löschen. Anschließend können Sie Schritt 2a erneut ausführen.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Voraussetzung für diese Lösung ist, dass für Ihr SAP-System ein Signaturzertifikat existiert, in dessen Zertifikatsliste das Certificate-Authority-Zertifikat – bzw. die Zertifikate – Ihrer Anwender importiert worden sind.
Dies könnte an einer fehlerhaften Pufferung der Berechtigungsdaten liegen.