Objekt S_BTCH_NAM und S_BTCH_NA1 (Nutzung fremder Benutzer in Steps)
Welche Vorteile haben SAP Berechtigungen?
Das FI-Modul von SAP ist eines der häufigsten in der SAP-Welt und umfasst sämtliche Geschäftsprozesse im Bereich des Finanz- und Rechnungswesens. Die Prozesse, die über dieses Modul laufen, dienen der doppelten Buchführung und Erfassung von Belegen auf den erforderlichen Konten. Zudem wird dadurch die damit einhergehende Gewinnermittlung für externe und interne Zwecke festgestellt.
In der Transaktion AL08 werden alle angemeldeten Anwender und deren Anwendungsserver angezeigt. Hier sehen Sie in der Spalte Server Name, auf welchem Anwendungsserver der Benutzer angemeldet ist, bei dem das Berechtigungsproblem aufgetreten ist. Wechseln Sie auf diesen Anwendungsserver, indem Sie die Transaktion SM51 aufrufen und doppelt auf den herausgesuchten Anwendungsserver klicken. Führen Sie auf dem nun aktiven Anwendungsserver den Berechtigungstrace wie gewohnt durch, und prüfen Sie die Auswertung.
Ein kompliziertes Rollenkonstrukt
Das Herunterladen der Tabelle muss monatsweise erfolgen. Sie können sich das Herunterladen zusätzlich erleichtern; dazu stellt Frank Buchholz in seinem Blog Programme vor, die Sie nutzen können (siehe http://wiki.scn.sap.com/wiki/display/Snippets/Show+RFC+Workload+Statistic+to+build+authorizations+for+authorization+object+S_RFC). Optional ist der nächste Schritt, in dem Sie Funktionsgruppen zu den Funktionsbausteinen ermitteln. Diese finden Sie im Feld AREA der Tabelle ENLFDIR. Wir empfehlen Ihnen allerdings die Berechtigungsvergabe auf der Ebene der Funktionsbausteine, da Funktionsgruppen häufig sehr viele Funktionsbausteine enthalten und die Zugriffsmöglichkeiten so unnötig erweitert werden.
Der Pfad mit der zugeordneten Berechtigungsgruppe DEVL enthält die temporären lokalen Dateien des ABAP-Frontend-Editors der ABAP-Entwicklungsumgebung (Transaktionen SE38, SE80, SE24 usw.). Die beiden Pfade mit der Berechtigungsgruppe ADMN zeigen, wie logisch zusammengehörige Pfade zu einer Berechtigungsprüfung für S_PATH gruppiert werden können. Die beiden Einträge mit der Berechtigungsgruppe FILE zeigen, wie in Systemen mit Anwendungsservern unterschiedlicher Betriebssysteme Pfade für Windows ergänzt werden können. Die Einträge core.sem und coreinfo werden benötigt, um Laufzeitfehler in die Snapshot-Tabelle SNAP zu schreiben. Die Einträge dev_ und gw_ erlauben das Anzeigen von Dateien aus Entwicklertrace und Gateway Log in der Transaktion ST11. Ist Ihnen der Vorschlag im ersten Eintrag der Tabelle zu restriktiv, können Sie die Alternative in der folgenden Tabelle wählen. Dieser Eintrag erzwingt lediglich eine Berechtigungsprüfung auf S_PATH und die Berechtigungsgruppe ALLE; die entsprechende Berechtigung sollten Sie allerdings nur sehr restriktiv vergeben.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Für die Kommunikation zwischen SAP-Systemen, sollten Sie HTTPS verwenden, wenn Sie meinen, dass die Datenübertragung abgehört werden könnte.
Sowohl die Gültigkeit des Initialpassworts als auch der Maximalwert für Fehlversuche bei der Passwortanmeldung werden über Profilparameter gesetzt.