Effizienter SAP-Rollout durch zentrale, tool-gestützte Verwaltung
Unser Angebot
Beachten Sie, dass das Berechtigungsobjekt S_TCODE immer mit den aktuellen Transaktionen aus dem Rollenmenü gefüllt wird. Sind ferner Organisationsebenen enthalten, die nicht mehr benötigt werden, werden diese automatisch gelöscht. Werden hingegen Organisationsebenen abhängig von der Transaktion hinzugefügt, sollten diese als Erstes bei der Berechtigungspflege gepflegt werden.
Grundsätzlich sollte die Berechtigung SAP_NEW nicht im Produktivsystem vergeben werden. Auf der Registerkarte Profile werden im Benutzerstammsatz die generieten Profile angezeigt, die einem konkreten Benutzer zugeordnet sind. Hier können Sie auch manuell angelegte Berechtigungsprofile aus der Transaktion SU02 zuordnen – auch ohne direkte Rollenzuordnung. Prinzipiell gilt die Empfehlung, den Profilgenerator (Transaktion PFCG) anzuwenden, um Berechtigungsprofile automatisch zu generieren. Besondere Vorsicht gilt, wenn Sie generierte Berechtigungsprofile direkt auf der Registerkarte Profile eintragen, da diese Zuweisungen durch den Abgleich von Benutzerzuordnungen mittels der Transaktion PFUD gelöscht werden, wenn für die Zuweisung kein Eintrag auf der Registerkarte Rollen vorhanden ist. Sie haben bisher wahrscheinlich Benutzern, für die es keine Beschränkungen im SAP-System geben soll, SAP_ALL und SAP_NEW zugewiesen. Worin aber unterscheiden sich diese beiden Profile und wozu sind sie eigentlich notwendig?
Upgradenacharbeiten für Berechtigungsvorschlagswerte in Y-Landschaften durchführen
Versionen sind die Änderungsbelege innerhalb der Entwicklungsumgebung, beispielsweise für Änderungen an ABAP-Quelltexten oder den technischen Eigenschaften von Tabellen. Diese Berechtigung sollte nur an einen Notfallbenutzer vergeben werden.
Änderungen im Customizing und verschiedene sicherheitsrelevante Änderungen, wie etwa die Pflege von RFC-Schnittstellen sind über Tabellenänderungsprotokolle einsehbar. Diese Berechtigung sollte nur an einen Notfallbenutzer vergeben werden.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Bei der Einplanung eines Jobs kann ein anderer Benutzer als ausführender Benutzer hinterlegt werden.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Mit dem Profilgenerator ist garantiert, dass die Benutzer nur die durch ihre Rolle zugeordneten Berechtigungen erhalten.