Benutzer aus der Zwischenablage in die Auswahl von Transaktion SU10 kopieren
Nach Benutzer- und Passwortsperren suchen
Nach Definition der Rollen und Erzeugung der dazugehörigen Berechtigungsprofile werden anschließend die einzelnen Personen im Unternehmen den Rollen zugeordnet. Dabei findet der so genannte Benutzerabgleich statt und die rollenspezifischen Berechtigungen werden im Benutzerstammsatz gespeichert. Der Stammsatz enthält alle Informationen zu einem SAP-Benutzer, einschließlich der Berechtigungen.
SAP*: Der Benutzer SAP* ist Teil des SAP-Kernels, und da er im SAP-System hart kodiert ist, benötigt er keinen Benutzerstammsatz. Wenn kein Benutzerstammsatz für SAP* existiert, kann sich jedermann nach einem Neustart mit diesem Benutzer am SAP-System anmelden, da dann das Standardpasswort gilt. Der Benutzer hat somit Zugang zu allen Funktionen, da Authority Checks in diesem Fall nicht greifen. Dieses Verhalten können Sie mit der Einstellung des Profilparameters login/no_automatic_user_sapstar auf den Wert 1 unterbinden. Sollten Sie Mandanten kopieren wollen, müssen Sie diesen Parameter allerdings vorher wieder auf 0 setzen, da der Benutzer SAP* hierzu benötigt wird. Schutzmaßnahmen: Trotz der Parametereinstellung sollte bei Ihnen der Benutzer SAP* in allen Mandanten über einen Benutzerstammsatz verfügen. Allerdings sollten Sie ihm alle Profile entziehen und den Benutzer sperren. Ändern Sie außerdem das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Berechtigungsprüfungen in SAP HANA verstehen
Im ersten Schritt müssen Sie ein IMG-Projekt erstellen. Sie haben die Möglichkeit, ein neues Projekt anzulegen oder ein bereits existierendes Projekt zu bearbeiten, um eine entsprechende Customizing-Rolle zu erzeugen. Rufen Sie dazu die Einstiegstransaktion für die Projektverwaltung des Customizings SPRO_ADMI, auf. Sollte kein passendes Projekt zur Verfügung stehen, können Sie sich die Liste der SAP-Customizing-Aktivitäten anzeigen lassen. Klicken Sie dazu auf den Button SAP Referenz-IMG, oder legen Sie ein neues Projekt an. Wählen Sie dazu den Button Projekt anlegen ( ) oder die (F5)-Taste. Es öffnet sich nun ein neues Fenster, in das Sie den Namen des Projekts eintragen. Beachten Sie, dass Ihnen maximal zehn Zeichen für den Namen zur Verfügung stehen. Nachdem Sie Ihre Eingabe bestätigt haben, öffnet sich ein neuer Bildschirm. Über die Registerkarte Allgemeine Daten legen Sie u. a. Benutzer, Projektleiter, Projektzeiten und die Sprache für die Informationstexte fest.
TMSADM: Der Benutzer TMSADM dient der Kommunikation zwischen SAP-Systemen im Transportmanagementsystem und wird bei deren Konfiguration automatisch im Mandanten 000 angelegt. TMSADM hat nur die Berechtigungen für den Zugriff auf das gemeinsame Transportverzeichnis, für die Anzeige im Änderungs- und Transportmanagementsystem und die notwendigen RFC-Berechtigungen. Schutzmaßnahmen: Ändern Sie die Passwörter des Benutzers in den einzelnen Mandanten. Dazu gibt es den Report TMS_UPDATE_PWD_OF_TMSADM, den Sie im Mandanten 000 starten müssen. Dies ist nur möglich, wenn Sie über Administratorberechtigungen in allen Systemen der Landschaft verfügen und die Passwortregeln der Systeme kompatibel sind. Nachdem der Report erfolgreich durchlaufen worden ist, haben alle TMSADM-Benutzer der Landschaft im Mandanten 000 und deren Destinationen dasselbe neue Passwort.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Diese Informationen kann man dazu benutzen, den Benutzer mit seinem Rollenset einzuordnen, wohin er gehört etc. Letztlich haben wir in unserm Fall 1 nun die fehlende Berechtigung und müssen nun klären, ob der Benutzer diese Berechtigung erhalten soll oder nicht.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Soll ein Anwender z. B. nur die Daten einer Tabelle einsehen können, die das Land betreffen, in dem sich sein Arbeitsstandort befindet, müssen Sie dies entsprechend konfigurieren.