Berechtigungen mit dem Pflegestatus Verändert oder Manuell
Berechtigungsprüfungen für Belege in FI erweitern
Den Systemtrace für Berechtigungen nach und nach für jeden Anwendungsserver auszuführen, ist mühselig. Wir zeigen Ihnen daher, wie Sie Berechtigungsprüfungen auf mehreren Servern gleichzeitig aufzeichnen können. Wenn Sie in einem System mit mehreren Anwendungsservern den Systemtrace für Berechtigungen verwenden möchten, müssen Sie beachten, dass der Trace immer nur Daten je Anwendungsserver protokollieren und auswerten kann. Berechtigungsadministratoren müssen daher bei einem Berechtigungsfehler erst prüfen, auf welchem Anwendungsserver der Anwender mit dem Berechtigungsproblem angemeldet ist, um dann den Trace auf diesem Anwendungsserver zu starten. Wir geben Ihnen hier eine Anleitung zum Aufzeichnen von Berechtigungsprüfungen auf bestimmten Anwendungsservern, zeigen Ihnen aber darüber hinaus auch eine Möglichkeit, um diese Funktion zentral zu nutzen.
Kommunikationsbenutzer sind ebenfalls für die Verwendung durch Personen gedacht, die sich von außerhalb per RFC-Aufruf am SAP-System anmelden. Daher ist keine Dialoganmeldung möglich. Wird das Passwort vom Administrator gesetzt, erhält es den Status Initial. Jedoch wird der Benutzer bei einem RFC-Aufruf nicht dazu aufgefordert, das Passwort zu ändern. Es behält daher häufig diesen Status, auch wenn der Benutzer durch den RFC-Aufruf eines Funktionsbausteins die Möglichkeit hat, das Passwort zu ändern (dann: Status Produktiv). Die Passwortregeln greifen für diesen Benutzertyp. Allerdings fällt dies in der Praxis häufig nicht auf, da Passwortregeln für Initialpasswörter weniger genutzt werden.
Change-Management
Sie finden den Report RSUSR010 im Benutzerinformationssystem unter dem Eintrag Transaktionen > ausführbare Transaktionen (alle Selektionsmöglichkeiten). Sie können den Report, wie bereits beschrieben, für Benutzer, Rollen, Profile und Berechtigungen ausführen. Wir werden im Folgenden die Auswertung für die Benutzer beschreiben (siehe Abbildung nächste Seite oben); für die anderen Selektionsmöglichkeiten verhält sich die Arbeitsweise des Reports analog. Der Report RSUSR010 ermittelt alle Transaktionen, die ein Benutzer starten darf. In der Übersicht der ausführbaren Transaktionen können Sie sich dann per Doppelklick auf die entsprechende Transaktion (in der Abbildung z. B. PFCG) die Liste der Berechtigungsobjekte und Werte zu dieser Transaktion anzeigen lassen.
In IT Systemen, auf die verschiedene Nutzer Zugriff haben, weichen die Berechtigungen in der Regel voneinander ab. Wie ein Berechtigungskonzept für SAP Systeme und das neue SAP S/4HANA for Group Reporting aussehen kann.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Der Report trägt das Feld in die Tabelle USORG ein, ändert die Berechtigungsvorschlagswerte zu diesem Feld und geht alle Rollen durch, die eine Ausprägung zu dem Feld enthalten.
Im Prüfungsergebnis werden die Sicherheitslücken nach Prioritäten sortiert aufgelistet, wobei eine hohe Priorität mit einer hohen Treffersicherheit einer Fundstelle und eine niedrige Priorität mit einer niedrigen Treffersicherheit einhergehen.