SAP Jobsuche bei DV-Treff
tomhh
  • tomhh
  • SAP Forum - Experte
vor 11 Jahre
Hallo Claus,

deine Benutzerverwaltung hat recht. Leider ist die Berechtigungsprüfung bei der SE16n und bei Queries sehr lückenhaft. Bei einer Freigabe dieser Transaktionen kann der Datenzugriff nicht mehr kontrolliert werden. Zusätzlich bieten die Transaktionen weitgehende Möglichkeiten zum Download. Die Benutzerverwaltung macht sich deshalb, bei einer Freigabe der Transaktionen, fast der Beihilfe zum Datendiebstahl strafbar.

Ein Beispiel: Mit diesen Transaktionen könnte jeder in einer Bank eine CD mit Kundendaten bzw. Kundenkonditionen für die Finanzbehörde oder der Konkurrenz erstellen.

Aus diesem Grund haben bei uns die IT-Wirtschaftprüfer die Begrenzung der Rechte auf Administratoren gefordert und durchgesetzt. Ich musste diese Entscheidung gegen sehr viele Widerstände im Unternehmen als verantwortlicher Manager durchsetzen.

Vorallem bei der SE16n war von SAP immer nur die nutzung durch Admins vorgesehen. Dies zeigt bereits das S (Basis) beim Transaktionsnamen.


Viele Grüße

TomHH

Förderer

mas
  • mas
  • SAP Forum - Guru
vor 11 Jahre
Hallo Claus,

viele Punkte, die Tomhh bereits genannt hat,sind auch bei uns zutreffend.

Aus diesem Grund vergeben wir die Query und SE16 Berechtigungen nur sehr restriktiv.

Erschwerend kommt hinzu, das bei den Auswertungen die Berechtigungsprüfungen nicht mehr greifen. Man sieht also auch die Zahlen von anderen VKORGs, Werken etc.

Um wenigstens den Keyusern einen einigermassen vernünftigen Zugriff auf bestimmte Tabellen zu gewähren nutzen wir hier das addon SE16XXL von topflow. Du musst nur beim Suchen im www die unerwünschten Seiten wegfiltern 🙂

Damit können Tabellenzugriffe sehr einfach berechtigt werden. Bei der Selektion greift die volle Berechtigungsprüfung und man kann sogar einzelne Spalten mit Berechtigungen versehen.

mas

newgui
vor 11 Jahre
Hallo zusammen,

leider kann ich mich Claus nicht ganz anschließen. Ich habe sicherlich schon jenseits der 100 queries für alle möglichen Fachbereiche erstellt, von einfachen joins mit 2 Tabellen bis hin zu joins über 10 Tabellen und über lokale Felder definierte Berechnungsvorschriften. Dazu noch Statistiken in allen möglichen Varianten.

Das ist aus meiner Sicht auch die einzig vernünftige Art wie man schnell und relativ unkompliziert (wenn man sich auskennt 😁 ) zu Ergebnissen kommt. Wenn ich das nicht mehr machen könnte müsste ich mich wahrscheinlich 10-fach Klonen, damit alles was wir an Auswertungen benötigen auch weiterhin gemacht werden könnte.

Es ist auch nicht möglich für jede gewünschte Auswertung oder benötigte Dateninformation (oft auch einmalige Sachen) einen Programmierer zu bemühen. Dabei möchte ich noch gar nicht betonen wie lange zzt. schon Programmierungen benötigen (tw. > 1/2 Jahr 🤬 ).

mfg newgui

P.S.: muss noch erwähnen, dass bei uns sehr viele Auswertungen abseits einen Standards benötigt werden

Eins noch:

Versuchen Sie mal ohne se16 eine Liste mit allen Materialien + Materialbez. je Werk und zB dem Ursprungsland zu bekommen. Ich kenne dazu keine Transaktion, was nicht heißt das es eine solche nicht gibt.

tomhh
  • tomhh
  • SAP Forum - Experte
vor 11 Jahre
Hallo Claus,

nur noch eine kurze Anmerkung. Leider müssen wieder mal die Ehrlichen unter den Unehrlichen leidern.

Überleg Dir mal bitte selbst, wie hoch der Anteil der krimmellen Bevölkerung in Deutschland ist. Und dann lies mal die Seite 25 im folgenden Bericht:

http://www.security-finder.ch/fileadmin/dateien/pdf/studien-berichte/studie-industriespionage.pdf 

Leider kenne ich als verantwortlicher IT-Manager nicht den unehrlichen Teil der Mitarbeiter beim Namen. Fakt ist, die Unternehmensdaten müssen geschütz werden.

Eine schlechte IT-Organisation kann deshalb nicht als Grund für weitgehende Berechtigungen zählen. Die IT-Organisation muss natürlich jedem Fachbereich die richtigen Daten in vertretbarer Zeit liefern.

Wir führen deshalb gerade SAP BI ein. Dies mit einer kleine Mannschaft, ohne großes Budget udn in eigener Regie. Wir müssen als IT-Abteilung in Zukunft "nur noch" um die Bereitstellung der Datentöpfe kümmern. Dies erfordert natürlich eine Umstrukturierung der IT-Abteilung.


Viele Grüße

TomHH

h1as
  • h1as
  • SAP Forum - User
vor 11 Jahre
Zitat von: Key-User MM, PP, LES/WM 

Hallo zusammen!

Vielen Dank für den Hinweis mit der toplow Lösung. Muss ich mal anschauen. Das wäre eh die Lösung, wenn man im Bereich Query stringenter den Tabellenzugriff steuern könnte.

Das Problem ist doch leider folgendes: der Key-User bekommt keine Berechtigung, in der IT jedoch darf jeder Azubi (fast) alles.

Zur Zeit gehe ich wie folgt vor: ich definiere mein Infoset in Excel, schreibe Zusatzfelder und sende das ganze dann dem IT-Azubi zu. Der schreibt dann das Infoset mit Copy-und_Paste. Der Azubi baut dann noch ein paar Fehler ein, die dann schwer zu recherchieren sind. Irgendawann ist das Infoset fertig, alle Fehler beseitigt und der Query gebaut. Mit ein bisschen Glück gibt er dann noch das Ergebnis. Wenn das nicht konsistent ist, dann lasse ich mir Bildschirmkopies vom Tabellenjoin schicken, um zu sehen, was er gemacht hat.Dauer je nach Verfügbarkeit Azubi 2-5 Tage im Vergleich zu 30 Minuten wenn ich das selber machen würde.

Ergebnis: Ich habe meine Daten (juhu 😁), der Azubi hat was gelernt, der Unternehmer hat zuviel Geld ausgegeben da doppelte Bearbeitung, lange Bearbeitungszeit und Fehler, der Azubi trägt die Verantwortung (wenn er kann), obwohl er nicht weiß, was er da gebaut hat😕!!!

Meiner Meinung nach sollte, damit wir hier eine für alle Seiten verträgliche Lösung bekommen, ein ordentliches Berechtigungskonzept für die Key-User greifen. Alle unterschreiben die Datenschutzerklärung und die Infosets laufen durch eine regelmäßige Revision. Vielleicht läßt sich ja ein Report kreieren, der die Infosets bewertet nach "Gefahr". Dann wäre allen geholfen.

Meiner Meinung kann eine zentrale EDV/IT nicht den Key-User ersetzen, der sich in den Prozessen und Strukturen auskennt. Man sollte den Key-Usern somit mehr Rechte zutrauen.

Vielen Dank für die Beteiligung.

Claus

Hallo Claus, du bist halt einer 1 von 100 Keyuser die das draufhaben. Wobei ich mir bei über 100 Querys auch Frage wofür`?

Bei uns haben sich die Keyuser auch einige Zeit in der SQ01, SQVI austoben dürfen. Am Ende waren dann viele Querys aus einzelnen Tabellen und unheimlich viel Schrott vorhanden. Wenn man sich nicht 100% mit den SAP Tabellen auskennt, kommen sehr schnell falsche Auswertungen zustande. Wir hatten dann den Fall, dass einige Monate ein falscher Aufrtagsbestand reported wurde....

Ich find es super, wenn sich Keyuser mit dem Thema beschäftigen wollen, aber bitte immer nur in Zusammenarbeit mit der IT.

Ich möchte noch einen weiteren kritischen Punkt anfügen und zwar die Coding Möglichkeit in den Zusatzfeldern. Da geht ja praktisch alles! Wenn da ein Keyuser ein Tüftler ist und Google zu verwenden weiss, kann das ziemlich ins Auge gehen.