RSUSR008_009_NEW
Security Audit Log konfigurieren
Man muß aber beachten, dass das System alle Berechtigungsfehler des Benutzers in den Speicherbereich der SU53 schreibt. D.h. falls es zu einem sog. Doppelschlag kommt, also mehrere Berechtigungsfehler auftreten, immer nur der letzte Fehler in diesem Bereich steht. Ich bevorzuge es, dem Benutzer zu veranlassen, die Transaktion bis zu der Fehlermeldung „Keine Berechtigung…“ laufen zu lassen, dann über das Menü den Fehler sich anzeigen zulassen, und mir ein Bildschirmbild der ersten Seite der Ausgabe zu schicken. Damit vermeide ich es, dass der Benutzer bei Aufruf der Transaktion SU53 ggf. nochmals einen Berechtigungsfehler erzeugt, der den ursprünglichen überdeckt. Man kann als Benutzeradministrator oder Rollenadministrator auch selbst die SU53 aufrufen und sich über Menü den Fehlereintrag eines andern Benutzers anzeigen lassen. Dies klappt aber nicht unbedingt immer.
Der Zugriff auf diese Daten, ist kritisch, da über Tools die Hashwerte evtl. entschlüsselt werden können und somit eine unautorisierte Anmeldung an das SAP-System möglich ist. Da oftmals identische Kennwörter für verschiedene Systeme verwendet werden, ist das ermittelte Kennwort somit evtl. auch für nachgelagerte Systeme nutzbar. Die aktuellen bzw. ehemaligen Hashwerte der Kennwörter werden in den Tabellen USR02, USH02, USRPWDHISTORY, USH02_ARC_TMP, VUSER001 und VUSR02_PWD vorgehalten. Auf diese Tabellen kann entweder über klassische Tabellenzugriffs-Transaktionen wie z.B. SE16 oder aber über Datenbankadministrartions-Transaktionen wie DBACOCKPIT zugegriffen werden. Die benötigten Berechtigungen für Tabellenzugriffe über Datenbankwerkzeuge sind abhängig von der jeweiligen Systemkonfiguration und sollten ggf. über einen Berechtigungs-Trace (Transaktion STAUTHTRACE) verifiziert werden.
Upgradenacharbeiten für Berechtigungsvorschlagswerte in Y-Landschaften durchführen
Unternehmen bekämpfen historisch gewachsenen Wildwuchs bei den Berechtigungen am besten dadurch, dass dieser verhindert wird. Hier hilft eine Analyse, ob das aktuelle Berechtigungskonzept für das Unternehmen ausreichend ist.
Zum Freigeben von Jobs – eigenen Jobs oder Jobs anderer Benutzer – wird zusätzlich weiterhin immer eine Berechtigung für das Objekt S_BTCH_JOB mit der Ausprägung JOBACTION = RELE benötigt. Im laufenden Betrieb kommt es immer wieder vor, dass eingeplante Batch- Jobs abbrechen, weil ein Step-Benutzer gelöscht oder gesperrt ist. Mithilfe des Programms BTCAUX09 können Sie als Administrator Jobs überprüfen, um festzustellen, ob es künftig zu Jobabbrüchen kommen kann. Wenn Sie die betreffenden Jobs unter einem anderen Step-Benutzer laufen lassen wollen, können Sie diese entweder mit der Transaktion SM37 oder mit dem Report BTC_MASS_JOB_CHANGE ändern.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Dadurch kann angezeigt werden, wie welche Positionen miteinander verbunden sind.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Mit dem SAP NetWeaver Application Server ABAP 7.31 hat sich die Funktionsweise der Transaktion SU25 geändert, insbesondere von Schritt 2a zum automatischen Vorschlagswerteabgleich mit SAP-Werten.