SAP Jobsuche bei DV-Treff
blausieben
vor 17 Jahre

Hallo,

ein User soll über die Transaktion SM30 berechtigt werden, Tabellen zu pflegen. Dabei soll er aber nur bestimmte Z-Tabellen pflegen dürfen, zB Z123.
In den Berechtigungsobjekten, die mir zur SM30 vorgeschlagen werden, ist das folgende "S_TABU_DIS" mit den Berechtigungsfeldern ACTVT und DICBERCLS (Berechtigungsgruppe).

Meine Frage ist nun: wo hinterlege ich diese Berechtigungsgruppe? Und kann das so gesteuert werden, dass ich hier nun nicht allen anderen Tabellen eine Berechtigungsgruppe zuordnen muss, damit der User nur auf die zugreifen darf, die er bearbeiten können soll (so zB bei Materialart, wo auf alle Materialarten zugegriffen werden kann, die keine Berechtigungsgruppe enthalten)?

Und: gibt es eine andere Möglichkeit, dem User über eine Transaktion nur die Pflege bestimmter (in der Rolle festgelegter) Tabellen zu ermöglichen? Für die SA38 gibt es ja die Möglichkeit, das über sog. Reports (Berichtstypen) m Profilgenerator zu steuern. Geht das mit der SM30 auch irgendwie?

Grüsse
blausieben


Release: SAP 4.6C - ECC 6.0 ||| Module: BC (bisschen MM/PP) ||| Betriebssysteme: Unix, Windows ||| Datenbanken: MaxDB ||| Basis Allgemein, Solutionmanager, Berechtigungen
Förderer

waltersen
vor 17 Jahre
Hallo,

also für Tabellen kann man Berechtigungsgruppen zuweisen. Die finden sich nachher in der Tabelle TDDAT wieder.

Die Eingabe einer Berechtigungsgruppe erfolgt bei der Anlage des Pflegeviews.

Die Berechtigungsgruppe ist dann bei dem Berechtigungsobjekt S_TABU_DIS einzuarbeiten.

Gruß
gberndt
vor 17 Jahre

Du kannst einer Tabelle auch eine eigene Pflegetransaktion zuweisen. Das machen wir mit allen Z-Tabellen, die ansonsten direkt über die SM30 geplfegt würden, so.

Dann müssen nur noch Berechtigungen für die Pflegetransaktionen vergeben werden.

gberndt

Matthias_L.
vor 17 Jahre

Hallo zusammen,

wir legen für sowas in Transaktion SE93 Parametertransaktionen an.

Vorschlagswerte für :
Transaktion: SM30
Flag "Einstiegsbild überspringen" setzen

Im TableControl "Vorschlagswerte" steht dann:

Name des DynprofeldesWert
VIEWNAMEZTABELLE
VIMDYNFLDS-LTD_DTA_NOX
UPDATEX

Funktioniert wunderbar !

Grüße
Matthias

blausieben
vor 17 Jahre
gberndt schrieb:


Du kannst einer Tabelle auch eine eigene Pflegetransaktion zuweisen. Das machen wir mit allen Z-Tabellen, die ansonsten direkt über die SM30 geplfegt würden, so.
Dann müssen nur noch Berechtigungen für die Pflegetransaktionen vergeben werden.

Wie macht man das?! Wo werden die Pflegetransaktionen zugewiesen?

Die Idee mit der Parametertransaktion hört sich auch gut an, nur kann ich nirgends in der SE93 den nächsten Punkt "Vorschlagswerte für" entdecken...

Grüsse
blausieben


Release: SAP 4.6C - ECC 6.0 ||| Module: BC (bisschen MM/PP) ||| Betriebssysteme: Unix, Windows ||| Datenbanken: MaxDB ||| Basis Allgemein, Solutionmanager, Berechtigungen
blausieben
vor 17 Jahre
Zitat:


Die Idee mit der Parametertransaktion hört sich auch gut an, nur kann ich nirgends in der SE93 den nächsten Punkt "Vorschlagswerte für" entdecken...


Ok, das habe ich herausgefunden. Sieht gut und einfach aus ;-)
Dankeschön,
Grüsse
blausieben


Release: SAP 4.6C - ECC 6.0 ||| Module: BC (bisschen MM/PP) ||| Betriebssysteme: Unix, Windows ||| Datenbanken: MaxDB ||| Basis Allgemein, Solutionmanager, Berechtigungen
blausieben
vor 17 Jahre
Matthias_L. schrieb:


Im TableControl "Vorschlagswerte" steht dann:

Name des DynprofeldesWert
VIEWNAMEZTABELLE
VIMDYNFLDS-LTD_DTA_NOX
UPDATEX

Gibt es irgendwo eine Erklärung für die Namen des Dynprofeldes, also was zB VIMDYNFLDS-LTD_DTA_NO heisst?

Grüsse
blausieben


Release: SAP 4.6C - ECC 6.0 ||| Module: BC (bisschen MM/PP) ||| Betriebssysteme: Unix, Windows ||| Datenbanken: MaxDB ||| Basis Allgemein, Solutionmanager, Berechtigungen
blausieben
vor 17 Jahre

Ich würde gerne folgendes Problem noch lösen:

Ich habe 3 Tabellen a, b und c.
Ein User soll nun die Tabellen a und b editieren können und c soll er nur ansehen können.
Nun habe ich für die Pflege der Tabellen über die SM30 drei Z-Transaktionen angelegt: Z_SM30_A, Z_SM30_B, Z_SM30_C.

Die Rolle, die die Tabelle c nur ansehen können soll, hat im Berechtigungsobjekt S_TABU_DIS bei Aktvität 03. Die Rolle, die die Pflegeberechtigung für die anderen beiden Tabellen a und b hat, hat im Berechtigungsobjekt S_TABU_DIS als Aktivität 02 und 03 stehen.

Soweit, so gut. Hat nun aber der User beide Rollen, kann er alle drei Tabellen editieren, weil immer das S_TABU_DIS mit den weitesten Berechtigungen gezogen wird.

Nun habe ich hier irgendwo gelesen, dass man für das Lesen der Tabelle dann statt der SM30 die SE16 vergeben soll. Nun wird aber in dieser Sicht die Tabelle für den User komplizierter angezeigt, als das bei der SM30 der Fall ist.

In der Anlage der Parametertransaktion kann ich wohl nur steuern, ob die Pflege über die SM30 zuerst mit der Option SHOW (Anzeigen) oder mit der Option UPDATe (ändern) aufgerufen wird. Ich kann aber nicht verhindern, dass der User die Tabelle c auch ändern kann, weil er ja beide Rollen hat.

Über die Steuerung von Berechtigungsgruppen kann man das ja eigentlich auch nicht machen, denn wenn der User in der Berechtigungsgruppe für die Tabelle C ist, dann kann er sowohl anzeigen als auch pflegen.

Gibt es für diesen Fall, dass ein User zwar die Tabellen a und b pflegen darf, die Tabelle c aber nur ansehen können soll, eine andere Lösung?

Grüsse
blausieben


Release: SAP 4.6C - ECC 6.0 ||| Module: BC (bisschen MM/PP) ||| Betriebssysteme: Unix, Windows ||| Datenbanken: MaxDB ||| Basis Allgemein, Solutionmanager, Berechtigungen
Thalfa
vor 17 Jahre
Hallo blausieben,

m. E. solltest du wie folgt vorgehen:

Ändern und Anzeigen:

Z_SM30_A und Z_SM30_B 
Ausprägung  S_TABU_DIS:
ACTVT: 02, 03
Berechtigungsgruppe: Z_SM30_A und Z_SM30_B (d. h. die BerGrp der Tabellen)

Nur Anzeigen:

Z_SM30_C
Ausprägung S_TABU_DIS:
ACTVT: 03
Berechtigungsgruppe: Z_SM30_C

Die Kombination kannst du in einer Rolle verwirklichen, indem du die S_TABU_DIS kopierst. Das Zusammenspiel von ACTVT und BERGRP
funktionieren nur innerhalb der ausgeprägten Berechtigung, es gibt somit keine Kreuzberechtigung.

Gruss
Thalfa
Petra
  • Petra
  • SAP Forum - Profi
vor 17 Jahre

Thalfa schrieb:

Hallo blausieben,

m. E. solltest du wie folgt vorgehen:

Ändern und Anzeigen:

Z_SM30_A und Z_SM30_B 
Ausprägung  S_TABU_DIS:
ACTVT: 02, 03
Berechtigungsgruppe: Z_SM30_A und Z_SM30_B (d. h. die BerGrp der Tabellen)

Nur Anzeigen:

Z_SM30_C
Ausprägung S_TABU_DIS:
ACTVT: 03
Berechtigungsgruppe: Z_SM30_C

Die Kombination kannst du in einer Rolle verwirklichen, indem du die S_TABU_DIS kopierst. Das Zusammenspiel von ACTVT und BERGRP
funktionieren nur innerhalb der ausgeprägten Berechtigung, es gibt somit keine Kreuzberechtigung.

Gruss
Thalfa

Hallo Thalfa,

das ist so nicht korrekt! Alle weiteren, bereits durch Standardtransaktionen freigegebenen Tabellenberechtigungsgruppen, können ebenfalls über die SM30 bzw. SE16 aufgerufen werden. D.h. diese Vorgehensweise ist mit Vorsicht zu genießen.

Gruß

Petra

Thalfa
vor 17 Jahre
Hallo Petra,

danke für den Hinweis!

Ich bin davon ausgegangen, dass die Rollen bzw. das dem User zugewiesen Rollenset nur die Parametertransaktionen der Z_SM30_A/B/C in ihrem genehmigten Umfang zulassen.

Gruß
Thalfa
Petra
  • Petra
  • SAP Forum - Profi
vor 17 Jahre

Thalfa schrieb:

Hallo Petra,

danke für den Hinweis!

Ich bin davon ausgegangen, dass die Rollen bzw. das dem User zugewiesen Rollenset nur die Parametertransaktionen der Z_SM30_A/B/C in ihrem genehmigten Umfang zulassen.

Gruß
Thalfa

Hallo Thalfa,

Asche über mein Haupt .. ich hatte schlampig gelesen. Natürlich schränkt die Parametertransaktion die Berechtigung ein. In dem Fall wäre es sogar nebensächlich wenn das Objekt S_TABU_DIS im Bereich der Berechtigungsgruppe weiter geöffnet werden würde.

Ledglich die Vergabe der SM30/SE16 erzeugt das von mir beschriebene Problem

Nochmal sorry für die Verwirrung

Gruß

Petra

blausieben
vor 17 Jahre

Hallo,

ich habe noch eine weitere Möglichkeit gefunden, wie ich einem User eine Tabelle nur zur Ansicht zur Verfügung stellen kann:
Man erstellt über die anzuzeigende Tabelle eine Query, die einer bestimmten Benutzergruppe und dem entsprechenden Infoset zugeordnet wird (SQ01).
Anschliessend kann diese Query über den Profilgenerator einer Rolle als Transaktion zugeordnet werden. Dazu die Query als "Bericht" einfügen und dort als Query unter Angabe der Benutzergruppe und des Reportnamens eingeben. Es wird dann eine Standardtransaktion generiert, die dem User zur Verfügung gestellt werden kann.
Der Vorteil an der Query ist ausserdem der, dass ich dem User schon im Vorfeld bestimmte Selektionskriterien zur Verfügung stellen kann, wie er sie unter Umständen in der SM30 auch nutzt.

Grüsse
blausieben


Release: SAP 4.6C - ECC 6.0 ||| Module: BC (bisschen MM/PP) ||| Betriebssysteme: Unix, Windows ||| Datenbanken: MaxDB ||| Basis Allgemein, Solutionmanager, Berechtigungen