View
157
Download
0
Category
Preview:
DESCRIPTION
FAQ Berechtigungswesen
Citation preview
FAQ BerechtigungswesenDiese Seite soll Ihnen Probleme und deren Lösungen im SAP® Berechtigungswesen gegenüberstellen.
Diese Liste bürgt nicht für Vollständigkeit. So können auch durch neue Releases des Systems nicht berücksichtigte Änderungen ergeben oder Fehler einschleichen.Diese Seite bitte ich Sie mitzugestalten, indem Sie mich auf Fehler, andere Lösungswege, Abweichungen bei Releaseänderungen benachrichtigen, oder mir neue Probleme mit Lösungen zusenden.[Die jeweils rot geschriebenen Einträge sind neu seit der letzten Änderung]Für wichtige Hinweise bzgl. Berechtigungen besuchen Sie bitte auch die Seite Wichtige Hinweise bzgl. Rollen.
Ein CALL_TRANSACTION im Programm prüft S_TCODE nicht!aber im ST01-Trace erfolgt eine Eintragung S_TCODE RC=0 reason=C; tcode=<vorprogramm>; TCD=<mit call Transaction gerufene TA>
Ein LEAVE TO TRANSACTION prüft den S_TCODE!
Merke: Das System prüft beim Einschalten des Debugging nur folgende Berechtigungsfelder: S_DEVELOP-ACTVT = 01 | 02 | 03 und S_DEVELOP-OBJTYP=DEBUG sonst keine Felder!
Problem Lösung RelWelche Berechtigungsgruppe ist welcherTabelle zugeordnet?
TDDAT alle
Tabelle der Favoriten für den Easy-Accessdes BenutzersHinweis wurde scheinbar gelöscht
SMEN_BUFFCProgram für Favoritenkopien von User zu User:Im OSS nach ZCOPYFAVORITEN suchen!
alle
Tabelle der Favoriten für den Easy-Accessdes Benutzers
SMEN_BUFFC für TransaktionenSMEN_BUFFI für Internetadressen
alle
Alle Prüftabellen für Berechtigungsobjekte AUTHX alleWie sieht man das letzte Startup-Datum des Systems?
ST02 alle
Welche Berechtigungsobjekt ist welcher Berechtigungsgruppe zugeordnet?
TBRG alle
Pflege Berechtigungsobjekt <-> Berechtigungsgruppe?
V_TBRG über SM30 alle
Berechtigungsgruppe für ProgrammeTRDIR Feld SECU :Pflege mit Report RSCSAUTH Nicht transportierbar!
alle
Alle Transaktionen für SPRO findenTabelle TPR_XREF_D mit SE16 downloaden nach ACCESS exportieren Doppelte Einträge rausnehmen
alle
Rollen in Sammelrollen AGR_AGRS alleRolle in Masterrolle oder visa versa AGR_DEFINE alleBerechtigungen FBTCH für Zahllauf und Transaktion F110 bzw. F150 Menü Umfeld | alle
Mahnlauf?Berechtigungen Siehe auch unten
Benutzermenü vs. SAP-MenüUSERS_SSM hier kann pro Benutzer das entsprechende Menü angekreuzt werden.
alle
Benutzermenü vs. SAP-Menü IISSM_CUST hier kann global für das ganze System das Benutzermenü ein- oder ausgeschaltet werden
ECC
Welche Rollen haben bestimmtes Objekt?
AGR_1251 alle
Nicht erlaubte Zeichenketten im Passwort
USR40 alle
Tabelle der Org-EbenenUSORG und USVART [Texte]View USORG_DB
alle
Username zu Userid USER_ADDR alle
Tabelle “alte” Profile <-> BenutzerUST04 aber SAP*, T-* und ggf. manuelle Profilnamen der Rollen ausschließen
alle
Schnelle Suche nach zugeordneten SAP-Profilen
Tabelle UST04 mit Suchbegriff auf Profil SAP* alle
Welche Rolle hat welche Profile AGR_1016 alleWieviele Profile hat ein Benutzermuss < 312 sein; sonst Fehler in BAPI
UST04 auf Benutzer; Anzeige Anzahl alle
Wieviele Berechtigungen hat ein Benutzersollte < als 4.000 sein
USRBF2 auf Benutzer; Anzeige Anzahl >4.6
Programm zum AUTH-CHECK finden in Transaktionen und Programmen
RSABAPSC mit ABAP-Sprachbefehl AUTHORITY-CHECKl
alle
Verkaufsorganisationen VKORG finden Tabelle TVKO alleEinkaufssorganisationen EKORG finden Tabelle T024E alleEinkaufsgruppen EKGRP finden Tabelle T024 alle
Einschalten Technische Namen für Easy Access
Tabelle AGR_DATEU: Nur Einträge mit ID=BROWSER_OPT müssen im Feld ATTRIBUTES an der 4. Stelle ein “X” haben! Könnte man mit einem Programm setzen
alle
Alle Benutzer mit einem bestimmten Profil z.B. SAP_ALL
Tabelle UST04: mit PROFILE = SAP_ALL alle
Zusammenfassen von Rollen, deren Gültigkeitsdaten sich überlappen + Löschen abgelaufener Zuordnungen
Programm:PRGN_COMPRESS_TIMESHinweis: H865841 beachten
6.10
Tabellen für Berechtigungsobjekte, -objektklassen …
TOBC – BerechtigungsobjektklassenTOBCT – Texte dazuTOBJ – Berechtigungsobjekte mit zug. Feldern
alle
Tabellen für Aktivitäten in Rollen TACT alleTabelle für Objekt TPLST TTDS allePrüftabellen für B-Werte SU20 alleTabelle für Kreditkontrollbereich $KKBER T014 alleTabelle für Kostenrechnungskreis $KOKRS
TKA01 alle
Generisches Löschen von RollenHinweis 313587: Programm Z_DEL_AGR. [siehe auch Artikel]
alle
Org-Level-Bewertung in RollenTabelle AGR_1252 mit VARBL=$<OrgLevel> und ggf. Werte in LOW und HIGH
alle
Variantenschutz aufheben FremduserTabelleVARID Feld PROTECTED auf Space! Oder Report RSVARENT
alle
Finden aller gelben oder roten RollenPFCG Menü Hilfsmittel | Status Übersichtdauert aber sehr lange
alle
Finden gelber Objekte in RollenSE16 auf AGR_1251mit Ausschluß auf Feld LOW mit >$*, >0*, >A*
alle
Wann ist das End-Datum einer Rolle abgelaufen?
Es gilt das Datum der Datenbank für alle. Normalerweise hat die Datenbank GMT-Zeit. Genau bis 23:59:59 GMT gilt die Rolle noch
alle
Transaktion Menü-Pflege SE43N alleZBV: Systemtabelle ZBV TBDLS alleZBV: Tabelle der Benutzer zu Rollen und Systemen
USLA04 alle
ZBV: Tabelle der Benutzer zu Profilen und Systeme
USL04 alle
Tabelle der Favoriten eines Benutzers SMEN_BUFFC alleEin-/ ausschalten SAP-/ User Menü USER_SSM alleGlobales Ein-/ ausschalten SAP-/ User Menü
SSM_CUST alle
Welche Berechtigungen bei welcher Einschränkung vergebenProblem Lösung Rel
Beschränkung Systemänderbarkeit SE06
S_TCODE = SE06S_CTS_ADMI: CTS_ADMFCT = INIT,SYSCS_TRANSPRT:ACTVT = 03S_TRANSPRT:TTYPE = *Nur LesenGleiche wie oben nurS_CTS_ADMI: CTS_ADMFCT = INIT
alle
Debugging einschaltenObjekt S_DEVELOPACTVT: 03OBJTYP: enthält DEBUG
alle
Debugging mit Replace einschaltenObjekt S_DEVELOPACTVT: 01,02,03OBJTYP: enthält DEBUG
alle
SP01 auf nur eigene Listenanzeige beschränken
S_ADM_FCD: CTS_ADMFCT= SPo1 und SPOR reinS_SPO_ACT: SPOAUTH= __USER___ weglassen
alle
SCC4 beschränken auf lesen
S_CTS_ADMI CTS_ADMFCT = INIT+TABLS_TABU_DIS: ACTVT=03S_TABU_DIS: DICBERCLS = SSS_TRANSPRT: ACTVT = 03S_TABU_CLI : CLIIDMAINT = *S_ADMI_FCD: S_ADMI_FCD = T000
alle
Suche nach Kontengruppen und B-Gruppen im B-Segment Debitoren+Kreditoren
VIEW: VF_DEBI Selections-Feldauswahl:KTOKD und BGRRU_BZur Beschränkung müssen diese Felder dann in das B-Obj F_KNA1_BEDEntsprechendes gilt für Kreditor über VIEW VF_KRED
alle
Verhindern von SE37-Ausführen (wichtig für Prod-Systeme)
Objekt S_DEVELOP mit DEVCLASS=*;OBJNAME=*;OBJTYPE=FUGR;
alle
P_GROUP=*; aber ACTVT nicht auf 16 setzen!
SBWP- Items weiterleiten können:Objekt S_WF_WI mit WFACTVT=25 (=Bearbeiter ändern) und WFACTVT=35 (=Weiterleiten)
alle
Keine Transaktions-Berechtigung trotz SAP_ALL
Mit SU21 SAP-ALL nachgenerieren. alle
Kopieren von Rollen; Transaktionszurodnung in PFCG
Um alle Transaktionen zuordnen zu dürfen, braucht der Rollenadmin das Objekt S_USER_TCD mit Bewertung *
alle
Berechtigung nur (Ent/)Sperren und Password rücksetzen für Benutzer
S_USER_AGR mit ACTVT=03,05 auf ggf. unterschiedliche Benutzergruppen
alle
FBTCH-Angaben für Zahllauf F110 & F111
FBTCH-Angaben für Mahnlauf F150
How to display users with their assigned roles and transaction codes Create a query (SQVI) by using the following tables:1. TSTCT: Transaction Code Text2. TSTCA: Values for transaction code authorization3. UST10S: User Master: Single Profiles4. UST04: User Masters5. V_USERNAME: Generated Table for View V_USERNAME6. AGR_USERS: Assignment of roles to usersIf you follow this sequence the keys will join automatically.7. Go to Back Button8. In data Field Layout Choose the list Fields and Selection Fields in order to show in thequery USER-ROLE-TCODE-.9. Execute Query
--------------------------------------------------------------------------------
Following are the function modules which work in conjunction to generate a new role or change the fields/org levels of the existing roles.
PRGN_1016_READ_PROFILE_NAME - Read Profile Data - i.e. data from agr_1016.PRGN_1250_READ_AUTH_DATA - Read Authorization Data - i.e. data from agr_1250.PRGN_1251_READ_FIELD_VALUES - Read Field Values - i.e. data from agr_1251.PRGN_1252_READ_ORG_LEVELS - Read Org Levels - i.e. data from agr_1252.
Then you need to modify the field values of all the tables which you want to.PRGN_1250_SAVE_AUTH_DATA - Save Authorization Data - i.e. save data to internal table similar to agr_1250 after modification.
PRGN_1251_SAVE_FIELD_VALUES - Save field values - i.e. save data to the internal table similar to agr_1251after modification.
PRGN_1252_SAVE_ORG_LEVELS - Save org values - i.e. save data to the internal
table similar to agr_1251after modification.
PRGN_UPDATE_DATABASE - update database tables i.e. agr_1250, agr_1251, agr_1252, agr_1016.
PRGN_CLEAR_BUFFER - Release all the changes to the internal tables.
Please note that thefunction modules PRGN_UPDATE_DATABASE and PRGN_CLEAR_BUFFER will only update the database tables. This is like a commit-work statement. But it will not generate the role.
SUPRN_PROFILE_BATCH - This function module is used to generate the Authorization Profile.
For detailed analysis you can debug the code when you generate the role.
Recommended