leider hat sich bei uns das folgende problem kristallisiert:
es müssen änderungen an einem sap-system (4.5B) auf dem mandanten 000 durchgeführt werden.
doch leider weiss keiner mehr die notwendigen passwörter für den sap* oder dem ddic, zu dem wurde für meine person niemals ein user auf dem mandanten 000 eingerichtet.

nun stellt sich die frage, wie komme ich auf den mandanten 000? gibt es eine möglichkeit die passwörter der beiden "hauptuser" zurückzusetzen, wenn ja, wie??

---

Gehe auf der Datenbank per SAPR3 bei:

SQL>update usr02 set bcode = 'E5DF8AB7E279CC9E' where mandt = 000 and bname = 'SAP*';

und melde Dich an mit SAP* / Kw: *****

Hier wirst du nun zur Kw-Änderung aufgefordert.
Da ich nicht möchte, dass ich hier zu kriminellen Taten aufrufe, sende ich Dir das Kw per Kurznachricht.

---

Hier wirst du nun zur Kw-Änderung aufgefordert.
Da ich nicht möchte, dass ich hier zu kriminellen Taten aufrufe, sende ich Dir das Kw per Kurznachricht.

Was ist denn daran kriminell? Wer ansatzweise etwas mit dem System gearbeitet hat, kennt doch wohl die - auch seitens SAP ziemlich detailliert - beschriebene Einfallstür per SAP* auf ein System zu kommen...oder?
Jeder Systemadmin hat schließlich dafür zu sorgen, daß eben der Zugriff per SQL direkt auf die DB nicht möglich ist und somit diese Lücke nicht exploitierbar ist!

😎 Ciao, OldSAPGuru

---

Mag ja sein. Trotzdem scheue ich mich davor, Zugangskennungen irgendwelcher Art im Internet zu veröffentlichen.

---

Es ist doch eine Sache, von einer Workstation aus per SQL auf eine DB zugreifen zu können, eine andere ist es auch noch einen Account mit PW zu haben (SAPR3, SYSTEM,..).

LOKAL darf/kann das normalerweise eh nur der Admin :-)

Guido

Ganz gleich, wer darf und wer kann. Ich glaube dass wir nicht darüber diskutieren müssen, ob es korrekt war, das Kennwort nicht im Forum zu erwähnen. Gelegenheit macht bekanntlich Diebe, und ich erlebte es mehrfach, dass ein bekanntes Kennwort die Kreativität eines manchen Admins in die falsche Richtung lenkt. Ein OS Admin ist nicht unbedingt ein SAP Admin, und das ist auch gut so. Mit einem solchen KW kann sich jedoch die Situation ändern.

---

Ein OS Admin ist nicht unbedingt ein SAP Admin, und das ist auch gut so. Mit einem solchen KW kann sich jedoch die Situation ändern.

Das sehe ich etwas anders. Von SAP wird DEUTLICH darauf hingewiesen, dass die hinreichend bekannten Passwörter nach der Installation unbedingt zu ändern sind. Es sollte also kein SAP System geben, in dem Benutzer mit den Bekannten Passwörtern vorhanden sind. Der Benutzer SAP* ist sogar nach der Empfehlung von SAP zu löschen.

Ein Admin, der solche Hinweise nicht ernst nimmt, hat noch ganz andere Sicherheitslücken in seinem System. Dem ist dann leider auch nicht mehr zu helfen.

Diese Passwörter und Benutzer gibt es übrigens auf den verschiedensten Seiten im Web und in allen möglichen SAP Administrationsbüchern nachzulesen.

Es ist also wirklich etwas übertriebene Sicherheitsliebe, die Benutzer und Passwörter hier nicht veröffentlichen zu wollen, da sie sowieso öffentlich für jedermann  zugänglich  sind.  Nichts für ungut
;)

---

ok, das Kennwort lautet AYNRS120. Dies ist unter Garantie nicht in irgendeinem Buch abgedruckt. Ich hoffe, hiermit ist die Diskussion nun beendet.

@sandrin: bitte lese doch den Sachverhalt deutlicher, es geht hier darum, dass das Kennwort bereits geändert wurde, aber verloren ging. Die Kennwörter 'pass', '19920706', 'SUPPOPT' waren hier nicht gemeint.

---

Sorry mein Fehler.

---

Der Benutzer SAP* ist sogar nach der Empfehlung von SAP zu löschen.

Oops! 😮 So bitte auch nicht! Denn genau dann entsteht ja die Lücke, daß man sich mit SAP* (der hat dann ja keinen User-Stammsatz und - als hart im Code eingebrannter user - kann dann beliebig schalten und walten...eine Prüfung auf etwaige Profile findet nicht statt!!!)

-> NIE LÖSCHEN...immer nur deaktivieren und ne andere Kennung als Super-User verwenden...

Steht alles ein wenig ausführlicher u.a. auch im "SAP Web Application Server Security Guide, Version 1.00, Walldorf  29.4.2004" drin...ab Seite 27


😎 Ciao, OldSAPGuru

---

Gehe auf der Datenbank per SAPR3 bei:

SQL>update usr02 set bcode = 'E5DF8AB7E279CC9E' where mandt = 000 and bname = 'SAP*';

Ich hab noch nicht genau verstanden wie das jetzt funktionieren soll!?

Auf die Datenbank per SAPR3 gehen? Und wo und wie werden SQL-Befehle eingegeben?

Auf die Datenbank per SAPR3 gehen? Und wo und wie werden SQL-Befehle eingegeben?

Du mußt dich als datenbank-User an der entsprechenden Datenbank anmelden, also zB. bei Oracle als ora<sid> und dann per SQLPLUS...dann den SAP* löschen:

> delete from sapr3.usr02 where bname = 'SAP'' and mandt = '<der relevante Mandant>';

Dann ist der User SAP* in dem gewählten Mandanten gelöscht...

Ciao, OldSAPGuru

---

Auf die Datenbank per SAPR3 gehen? Und wo und wie werden SQL-Befehle eingegeben?

Du mußt dich als datenbank-User an der entsprechenden Datenbank anmelden, also zB. bei Oracle als ora<sid> und dann per SQLPLUS...dann den SAP* löschen:

> delete from sapr3.usr02 where bname = 'SAP'' and mandt = '<der relevante Mandant>';

Dann ist der User SAP* in dem gewählten Mandanten gelöscht...

Ciao, OldSAPGuru

Danke für die schnelle Rückmeldung. Ich habe jedoch nahezu keine Basis-Kenntnisse und weiß auch nicht wie und wo man sich an der Oracle-Datenbank anmelden kann. Alles was ich habe ist ein Sap-Gui, eine Übersicht der Mandanten, Zugang zu einzelen Mandanten mit SAP_ALL und die allgemeinen Server-Daten. Einen speziellen Datenbank-User habe ich nicht.

Hallo famacon,

ich schätze, hier wirst Du Pech haben. Auf die Datenbank meldet man sich beispielsweise folgendermaßen an:

- Anmeldung mit dem Betriebssystembenutzer <sid>adm oder ora<sid> am Betriebsystem
- starten des SQLplus mittels $> sqlplus "/ as sysdba"
- Aktion wie beschrieben durchführen.

Vom SAPGui hast Du hier überhaupt keine Chance.

---

Ich habe jedoch nahezu keine Basis-Kenntnisse und weiß auch nicht wie und wo man sich an der Oracle-Datenbank anmelden kann. Alles was ich habe ist ein Sap-Gui, eine Übersicht der Mandanten, Zugang zu einzelen Mandanten mit SAP_ALL und die allgemeinen Server-Daten. Einen speziellen Datenbank-User habe ich nicht.

Das wird dann wohl auch seine Gründe haben, weshalb du da nicht ran darfst! Mit sowas sollte man auch nicht spielen...überlaß dies den SAP-Basis/Oracle-Leuten...

Ciao, OldSAPGuru

---