Berechtigungen für das Customizing erstellen
Berechtigungsobjekte der PFCG-Rolle
Um fehlgeschlagene Berechtigungsprüfungen zentral einzusehen, können Sie ebenfalls die Transaktion SU53 verwenden. Öffnen Sie die Transaktion, und rufen Sie im Menü über den Pfad Berechtigungswerte > Anderer Benutzer oder mit der Taste (F5) die Benutzerauswahl auf. Tragen Sie hier nun den Benutzer, dessen Berechtigungen fehlgeschlagen sind, im gleichnamigen Feld ein. In der Ergebnisliste können Sie für jeden Anwender fehlgeschlagene Berechtigungen einsehen, wie in unserem Beispiel die fehlende Berechtigung zum Anzeigen der Tabelle AGR_1251. Sie sehen, dass in dieser Auswertung mehr als nur ein Berechtigungsobjekt angezeigt wird.
Bitte beachten Sie in diesem Fall, dass Sie die Tabellenberechtigungsgruppe SS gegebenenfalls durch andere Tabellenberechtigungsgruppen ersetzen müssen. Dies ist erforderlich, wenn Sie bei der Pflege der Tabellenberechtigungsgruppen z. B. für die Tabelle T000 eine andere Tabellenberechtigungsgruppe eingetragen haben.
Standardberechtigung
Der Vorteil dieser Funktion ist, dass Administratoren, unabhängig von den Endanwendern, fehlgeschlagene Berechtigungsprüfungen analysieren können. Endanwender können ihre nicht erfolgreich verlaufenen Prüfungen über den Button Sichern ( ) in der Datenbank speichern. Als Administrator können Sie auch fehlgeschlagene Berechtigungsprüfungen von anderen Benutzern sichern. Über den Button Gespeicherte Prüfungen erhalten Sie auch im Nachhinein Zugriff auf diese Informationen. Die beim Aufruf der alten Transaktion SU53 durchgeführte automatische Speicherung entfällt, da sie die letzte Aufzeichnung überschrieben hat. Auch können Sie die Ergebnisse in eine Excel-Datei laden, um eine komfortablere Auswertung zu ermöglichen.
Systembenutzer sind ebenfalls für den anonymen Zugriff gedacht. Sie werden in technischen Abläufen verwendet, die einen Benutzer erfordern, wie z. B. in Batch-Läufen oder RFC-Verbindungen. Mit ihnen ist daher keine Dialoganmeldung am SAP-System möglich, sondern nur die Anmeldung per RFC-Aufruf. Für einen Systembenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern (siehe auch die Erläuterung unter »Servicebenutzer«) greifen nicht. Das Passwort eines Systembenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Eine grundlegende Entscheidung ist die Festlegung der Sprache, in der die PFCG-Rollen gepflegt werden müssen.
Da vielen Standardtabellen keine Tabellenberechtigungsgruppe zugeordnet ist und diese damit automatisch in der Tabellenberechtigungsgruppe &NC& landen, sollten Sie den Zugriff auf diese Tabellenberechtigungsgruppe einschränken.