SAP Berechtigungen Strukturelle Berechtigungen

Strukturelle Berechtigungen

Fehleranalyse bei Berechtigungen (Teil 1)

Sollten Sie den Haken zur Tabellenprotokollierung für mehrere Tabellen setzen wollen, müssen Sie beachten, dass die Grundsätze zur Änderung von Dictionary-Objekten gelten, d. h., dass Sie in laufenden Systemen eine erhöhte Systembelastung erzeugen. Deshalb sollten Sie sowohl die Änderung als auch den Transport der Änderungen außerhalb der Geschäftszeiten durchführen. Im SAP-System sind standardmäßig nur Customizing-Tabellen zur Tabellenprotokollierung vorgesehen; daher brauchen Sie keine Bedenken wegen der Performance zu haben. Tabellen, die dem Customizing dienen, enthalten in der Regel nur relativ wenige Daten, die eher selten geändert werden. Sie sollten aber die Tabellenprotokollierung nicht für Tabellen einschalten, die Massenänderungen unterliegen, da es ansonsten zu Problemen mit der Performance und dem Speicherplatz kommen kann. Dies gilt für Tabellen mit Stamm- oder Bewegungsdaten. Denn wenn die Tabellenprotokollierung eingeschaltet ist, wird für jede Änderung am Inhalt einer protokollierten Tabelle ein Protokolleintrag in der Tabelle DBTABLOG erzeugt.

Sie sollten alle Belegarten in denselben Zeitintervallen archivieren; dies gilt besonders für die Archivobjekte US_USER und US_PASS. Üblich ist es, die Änderungsbelege zwischen zwölf und achtzehn Monate aufzubewahren, da dies den Aufbewahrungsfristen für die Revision entspricht. Wollen Sie aus Performancegründen in kürzeren Intervallen archivieren, sollten Sie immer alle Archivobjekte zeitgleich archivieren und die Archivobjektklassen PFCG und IDENTITY in separaten Archiven ablegen. In diesem Fall ist es unter Umständen sinnvoll, die archivierten Änderungsbelege in eine Schattendatenbank zurückzuladen, um sie zur schnelleren Auswertung durch die Revision zur Verfügung zu stellen. Dazu können Sie die folgenden Reports nutzen: RSUSR_LOAD_FROM_ARCH_PROF_AUTH / RSUSR_LOAD_FROM_ARCHIVE. Mit dem Archivobjekt BC_DBLOGS können Sie zusätzlich die Tabellenänderungsprotokolle archivieren.

In der Transaktion SU10 nach Anmeldedaten von Benutzern selektieren

Bei fehlenden Berechtigungen hilft neben der bekannten SU53 zur näheren Analyse von Berechtigungsobjekten auch die SAP Basis mit einen Berechtigungstrace weiter. Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" ist darauf näher eingegangen worden.

Sollen Ihre Benutzer ihre eigenen Hintergrundjobs freigeben dürfen, benötigen Sie dafür die Berechtigung JOBACTION = RELE zum Objekt S_BTCH_JOB. In diesem Fall dürfen sie alle Jobs zu einem gewünschten Zeitpunkt starten lassen. In vielen Fällen dienen Hintergrundjobs dem fachlichen oder technischen Betrieb der Anwendungen; daher empfehlen wir, diese Hintergrundjobs unter einem technischen Benutzer vom Typ System einzuplanen (sehen Sie auch Tipp 6, »Die Auswirkungen der Benutzertypen auf die Passwortregeln beachten«). Der Vorteil dabei ist, dass die Berechtigungen genauer gesteuert werden können und Sie nicht das Risiko eingehen, dass ein Job nicht mehr läuft, sollte der Benutzer, unter dem er eingeplant war, einmal Ihr Unternehmen verlassen. Die Zuordnung zu einem Systembenutzer können Sie realisieren, indem Sie dem Benutzer, der den Job einplant, eine Berechtigung für das Objekt S_BTCH_NAM erteilen. Im Feld BTCUNAME wird der Name des Step- Benutzers eingetragen, d. h. des Benutzers, unter dem der Job laufen soll, z. B. MUSTERMANN.

Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.

Darüber hinaus müssen Sie beachten, dass Sie diesen Report nicht auf Systemen ausführen dürfen, die als Benutzerquelle für ein Java-System eingesetzt werden.

Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.

Die Transaktionen SE38 und SA38 sollten im produktiven System nicht vergeben werden, und kundeneigene Programme sollten in eigene Transaktionscodes eingebunden werden.