Kritische Berechtigungen
Favoriten der Benutzer zentral einsehen
Repariere defekte Feldliste in SU24-Vorschlagswerten: Diese Funktion überprüft, ob alle in den Berechtigungsvorschlägen verwendeten Berechtigungsobjekte konsistent sind, d. h. zu den Berechtigungsobjektdefinitionen aus Transaktion SU21 passen. Fehlen Berechtigungsfelder oder gibt es zu viele Einträge, werden diese Daten in den Vorschlagswerten korrigiert.
Des Weiteren können Sie sich im Bereich Ausgabe die Änderungsbelege eines entfernten Tochtersystems einblenden lassen oder im Bereich Selektionskriterien eine Einschränkung der Änderungsbelege für das Zentralsystem (Sendesystem) bzw. nur für bestimmte Tochtersysteme vornehmen. Im unteren Teil können Sie die Verteilungsparameter auswählen, an deren Änderung Sie interessiert sind. Die Auswertung beinhaltet Informationen zu allen Änderungen in der ZBV-Konfiguration und in den angeschlossenen Tochtersystemen, ab dem Zeitpunkt, ab dem das entsprechende Release bzw. Support Package in den Systemen eingespielt wurde. In der Auswertung sind neben Datum, Uhrzeit und Änderer auch Informationen zur jeweiligen Modellsicht, zum Status des konfigurierten Systems und zur vorgenommenen Aktion (alter Wert und neuer Wert) enthalten. In unserem Beispiel erkennen Sie Änderungen, die in der Transaktion SCUA erfolgt sind, wie z. B. das Erstellen einer Modellsicht und das Hinzufügen von Tochtersystemen, Änderungen, die in der Transaktion SCUG vorgenommen wurden, wie die Übernahme von Benutzern, sowie Änderungen an den Verteilungsparametern in der Transaktion SCUM.
Einführung & Best Practices
Damit Sie nachfolgende Reports nutzen können, müssen Sie nicht nur die entsprechenden Berechtigungen dafür haben, sondern auch darauf achten, dass je nach Ihrem SAP Release bzw. Notes manche Reports noch nicht oder nicht mehr zur Verfügung stehen. Die nachfolgenden Darstellungen wurden mit dem Releaselevel 7.50 ausgeführt.
Die konkreten Berechtigungsobjektausprägungen für SAP_NEW werden über die SAP-Komponente SAP_BASIS zur Verfügung gestellt. Deshalb ist ein SAP_NEW-Profil immer an ein konkretes Basisrelease gebunden. Verfahren Sie wie folgt: Mit der Transaktion SU02 entfernen Sie alle alten, einzelnen Profile aus dem zusammengesetzten Profil SAP_NEW, einschließlich des Profils, das zu dem Startrelease Ihres Upgrades gehört. Weisen Sie nun das reduzierte Berechtigungsprofil SAP_NEW allen Benutzern im Upgradevorbereitungssystem zu, sodass gewährleistet ist, dass alle Benutzer wie gewohnt arbeiten können. Dieser Schritt kann ausgelassen werden, wenn Sie eine andere Methode zur Identifizierung von fehlenden Berechtigungen verfolgen. Überprüfen Sie nun alle Berechtigungen in allen restlichen Profilen innerhalb des Sammelprofils SAP_NEW, die einen höheren Releasestand haben als das Upgradestartrelease der Softwarekomponente SAP_BASIS. Ordnen Sie alle benötigten Berechtigungen allen produktiv genutzten Rollen in Ihrem Berechtigungskonzept zu. Sie können dies für jedes Zwischenrelease einzeln durchführen. Im nächsten Schritt passen Sie die Berechtigungen in Ihren produktiv genutzten Rollen in der Transaktion PFCG an und entfernen anschließend die korrespondierenden Berechtigungen aus dem Profil SAP_NEW mithilfe der Transaktion SU02. Wiederholen Sie die Schritte 3 bis 4, bis das Berechtigungsprofil SAP_NEW leer ist. Arbeiten Sie während der Rollenanpassungsphase in einem Entwicklungssystem und transportieren Sie die getätigten Anpassungen Ihrer Berechtigungsrollen in Ihr Qualitätssicherungssystem. Nach erfolgreichem Abnahmetest transportieren Sie diese noch ins Produktivsystem. Nun können Sie das Profil SAP_NEW allen Benutzern entziehen. Anschließend können Sie mit der Rollennachbereitung im Rahmen des Releasewechsels in der Transaktion SU25 fortfahren (siehe auch Tipp 43, »Berechtigungen nach einem Upgrade anpassen«).
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Hierfür wird der sogenannte AUTHORITY-CHECK genutzt, der die erforderlichen Berechtigungsobjekt-Ausprägungen abfragt und somit nur befugte Benutzer den Code ausführen lässt.
Noch kritischer ist die Vergabe des umfassenden SAP®-Standardprofil SAP_ALL, welches nahezu alle Rechte im System beinhaltet.