SAP Jobsuche bei DV-Treff
Basis-Sklave
vor 18 Jahre

Hallo,

nachdem wir als IT mehrere Jahre nicht nur beratend sondern teilweise auch 'Enduser' Funktionen wahrgenommen haben, sollen jetzt die Berechtigungen für die IT-Meute eingeschränkt werden.

Wir wollen es erstmal mit kompletten Display Berechtigungen versuchen. Hat jemand eine Idee wie man das auf die schnelle hinbekommt. Gibt es vielleicht eine 'Sammelrolle' Display_ALL  . Ich habe sowas mal vor Jahren gebaut (Für Prüfer) habe leider nie aktuallisiert und neubastedln wäre wahrsscheinlich schneller als überarbeiten.

 

Falls jemand weiterhelfen kann oder eine bessere Idee hat ... her damit

 

Gruß

jmen
  • jmen
  • SAP Forum - Guru
vor 18 Jahre

Die gibt es tatsächlich, sie heisst:

SAP_ALL_DISPLAY ANZEIGE-BERECHTIGUNGEN FÜR ALLE MODULE (AUßER BC, CA, HR)


Gruß

jmen

Basis-Sklave
vor 18 Jahre

Hallo,

was soll sap_all_display sein. Profil ?  Name zu lang. Welches Release ?

 

Gruß

Basis-Sklave

unkelbach
vor 18 Jahre
"SAP_ALL_DISPLAY_AG" ist zumindest bei uns eine Aktivitätsgruppe der SAP zu  R/3 4.6b.

Die Frage ist, wie weit die Ansichtsrechte gehen sollen.

Sprich:

ausschliesslich BC (bspw. Benutzeradministration) oder auch innerhalb FI, CO, FM,. .... .

Beschreibung der Aktivitätsgruppe:
Diese Aktivitätsgruppe enthält Berechtigungen für alle Module  
außer HR, CA und BC . Die Berechtigungen sind in den einzelnen 
Modulen so ausgeprägt, daß nur eine Anzeige und keine Änderung m
ist.                                                           
Mit dieser Aktivitätsgruppe können alle Transaktionen aufgerufen
Ausgenommen hiervon sind folgende Transaktionen:               
- PFCG: Profilgenerator                                        
- PA*: HR Transaktionen                                        
                                                               
Basis-Sklave
vor 18 Jahre

Hallo,

ich suche eine Standardrolle oder ein Standardprofil.. wie sap_all , nur für display.. basteln kann ich das auch. Da ich aber keine Lust habe  Hunderte von Berechtigungsobjekten auf 'anzeigen' zusetzen, hatte ich gehofft einer von euch kennt eine einfachere Lösung.

Gruß

deutie
vor 18 Jahre

Da muss ich dich enttäuschen. Eine andere Möglichkeit kenn ich auch nicht. Dauert ca. 30-45min. Mit Musik kann man das aushalten. Wenn du mir sagen kannst, wie ich meine rollen spezifikation downloaden kann, dann sende ich dir meine rolle.

gruß

 

deutie

Petra
  • Petra
  • SAP Forum - Profi
vor 18 Jahre
Basis-Sklave schrieb:

Hallo,

ich suche eine Standardrolle oder ein Standardprofil.. wie sap_all , nur für display.. basteln kann ich das auch. Da ich aber keine Lust habe  Hunderte von Berechtigungsobjekten auf 'anzeigen' zusetzen, hatte ich gehofft einer von euch kennt eine einfachere Lösung.

Gruß

Diese erwähnte Display-Rolle gibt es in neueren Releases (ich glaube ab 4.7) nicht mehr. Das hat auch einen guten Grund, da diese, kombiniert mit weiteren Rollen welche Änderungsberechtigungen enthalten, zu unerwünschten Berechtigungsfreigaben führen können.

Du kannst Sie aber selbst erstellen in dem Du über die PFCG, ohne Menüeinträge, aber mit Hilfe der Vorlage "SAP_ALL" eine Rolle erstellst. Damit hast Du erst einmal alle vorhandenen Objekte mit Vollausprägung in der Rolle. Im zweiten Schritt musst Du alle Objekte auf der Aktivitätenebene nachbearbeiten. Zugelassen darf nur Anzeige und Ausführen sein. Ggfls. modifizierst Du noch das Objekt S_TCODE. Empfehlen würde ich noch die Basis-Objekte so weit wie möglich einzuschränken. Wichtig ist auf jeden Fall, dass keine Debug-Berechtigungen freigeschaltet werden!

Aber Achtung: Aufgrund der Tatsache, dass Du in dieser Rolle alle Transaktionscodes frei gibst kann es in Kombination mit Rollen welche Änderungsberechtigungen enthalten, zu unerwünschten Änderungsberechtigungen kommen!! Sicher ist diese Rolle nur dann, wenn sie alleine vergeben wird. Max. die unkritischen Berechtigungen für alle User, wie z.B. Drucken können noch hinzugefügt werden.

Ja, das macht etwas Arbeit. Aber da in jedem Unternehmen andere Sicherheitsrichtlinien vorgegeben sind, empfehle ich Dir, Dir selbst diese Arbeit zu machen und die Einstellungen der Objekte welche Du nicht auf Anzeige einschränken kannst ganz genau zu hinterfragen.

Gruß

Petra

Petra
  • Petra
  • SAP Forum - Profi
vor 18 Jahre
Petra schrieb:

Basis-Sklave schrieb:

Hallo,

ich suche eine Standardrolle oder ein Standardprofil.. wie sap_all , nur für display.. basteln kann ich das auch. Da ich aber keine Lust habe  Hunderte von Berechtigungsobjekten auf 'anzeigen' zusetzen, hatte ich gehofft einer von euch kennt eine einfachere Lösung.

Gruß

Noch ein Nachtrag... um, nachdem Du Rolle über die Vorlage SAP_ALL erstellt hast, die Änderungen der Aktiviäten zügiger abarbeiten zu können, besteht auch die Möglichkeit im Entwicklungssystem über die SE16N die Tabelle zu editieren (ich denke, Du kennst das Vorgehen). Vorher aus Selektionskritieren den technischen Namen Deiner Rolle + das Feld ACTVT eingeben. Allerdings besteht in diesem Fall das Risiko, dass Aktivitäten nicht korrekt gepflegt werden, da SAP sich leider nicht immer an den eigenen Standard hält 😞 und nicht immer Aktiviät 03 = Anzeigen bedeutet.

Gruß

Petra