ich habe folgende, für einige vermutlich recht simple, Frage:

Wie ist der Zusammenhang zwischen Transaktionscode und Berechtigung?

Beispiel Beleganzeige mit der Transaktion FB03:

Ist es möglich, sich die Belege z.B. durch Programmaufrufe im Menübaum anzeigen zu lassen (also das Programm zu starten) ohne die Berechtigung der Transaktionsausführung (FB03) zu haben?

Mein Verständnis ist, dass man durchaus keine Berechtigung für die Transaktion haben und das Programm über andere Wege dennoch ausführen kann. Beim Aufruf des Programms über den Menübaum wird nicht geprüft, ob die Berechtigung für die Transaktion vorhanden ist. Ist das korrekt?

Im Voraus vielen Dank für die Rückmeldung.

Besten Gruß

CL

in Summe wird da nicht nur die Transaktion geprüft

z.B. über das Objekt S_TCODE wird geprüft, ob du die FB03 darfst

Dann wird z.B. geprüft, ob die Kontenberechtigungen für Debitoren / Kreditoren - in diesem Fall mit der Aktivität anzeigen

F_BKPF_BED // F_BKPF_BEK

U.a wird dann auch noch geprüft für welchen Buchungskreis zu dir die Daten anzeigen darfst

F_BKPF_BUK

In Summe kommen da locker an die 10 Objekte zusammen, die geprüft werden.

mas

also normalerweise darf man nur Transaktionen aufrufen für die man S_TCODE hat.

Für manche Transaktionen braucht man für den Transaktionsstart sogar noch zusätzliche Berechtigungen, siehe hierzu Tabelle TSTCA.

S_TCODE und ggf. Tabelle TSTCA sind sozusagen die Haustürschlösser. Das Programm, welches sich hinter der Transaktion verbirgt, kann natürlich noch diverse Berechtigungsobjekte nach dem Start abfragen (siehe Ausführungen von MAS).

Möglichkeiten, eine Transaktion ohne Berechtigung aufzurufen (z.B. den dahinterliegenden Report per SA38) sollten in der Regel nicht möglich sein (Berechtigungskonzept). Außerdem gibt's es Leute, die so etwas überprüfen (Revision, Wirtschaftsprüfer).

Gruß aus HH

besten Dank für die Antworten, meine Frage ist damit noch nicht ganz geklärt.

Um ein Programm/Funktion zu starten kann ich doch entweder die Transaktion eingeben oder mich in dem SAP-Menü durch die ganzen Punkte (Menü) klicken.

Die Frage ist, wie diese beiden Wege zusammen hängen oder auch nicht. Also könnte ich im Menü das Programm (z.B. Beleganzeige) starten, obwohl ich dies über die Transaktion nicht könnte weil keine Berechtigung für die FB03 vorhanden ist?

Ich hoffe, jetzt habe ich es etwas besser formuliert :-)

Im Voraus besten Dank für die Rückmeldung.

Besten Gruß

CL

nein, das macht keinen Unterscheid, ob Du

- die Transaktion über das Kommandofeld startest, indem Du "FB03" eingibst, oder ob Du

- die Transaktion übers SAP Menü doppelklickst, oder

- über die Favoriten doppelklickst.

In allen 3 Fällen brauchst Du die Berechtigung für FB03 über das Berechtigungsobjekt S_TCODE.

Wie waltersen und mas schon geschrieben haben.

zentraler Angelpunkt ist die Rolle. Zur Rolle gehören User (nämlich die, denen sie zugeordnet wurde), ein Profil (da sind die Berechtigungen drin) und ein Menü.

Bei der Erklärung mit S_TCODE etc. bleibt es. Ich glaube, Deine Frage ist, ob man für eine Transaktion berechtigt sein kann, die nicht im Menü vorhanden ist.

Das geht. Beispiel eigener Namensraum für Transaktionen z.B. /MEYER. Wenn Du in der Rolle bei S_TCODE stehen hast /MEYER* kannst Du alle Transaktionen aufrufen, die damit beginnen.

Es kann durchaus sein, dass es welche gibt, die nicht im Menü sind: Veraltete selbstgeschriebene Transaktionen oder solche die nur einmalig gebraucht wurden (Datenmigrationen, Updates von Tabellen). Bei uns haben die Last Level Supporter so ein Konstrukt. Sie haben für den eigenen Namensraum einen *, aber nicht alle alten Transaktionen im Menü.

Umgekehrt geht es auch: Transaktion im Menü, aber S_TCODE (oder mehr) fehlt. Dann bekommst Du die Meldung: Sie haben keine Berechtigung für Transaktion XYZ.

Daher sollte man bei auch immer schön alle Rollen testen, ob die so funktionieren wie sie sollen.