neben der klassischen Gestaltung von Berechtigungsrollen im SAP-Umfeld habe ich kürzlich von der Möglichkeit erfahren, die Einzelrollen in Menü- und Value/Modul-Rollen zu trennen.

Dabei werden in den Menürollen ausschließlich die Transaktionscodes mit dem Berechtigungsobjekt S_TCODE für einen Funktionsbereich (bspw. Buchhalter) gesammelt. Die weiteren notwendigen Berechtigungsobjekte sind in den sog. Value/Modul-Rollen gesammelt dargestellt.

Ich weiß, dass die Vorschlagswerte pro Transaktion (/nSU24) bei diesem Vorgehen deaktiviert sein müssen.

Hat jemand mit dieser Vorgehensweise Erfahrungen gesammelt?

Was sind die Vor- und Nachteile ggü. der "klassischen" Vorgehensweise?

Viele Grüße

Wumbada

eine vergleichbare Vorgehensweise kenne ich eigentlich nur beim Erstellen von Benutzermenüs und der funktionalen und operativen Trennung von Berechtigungen.

Hierbei gibt es Rollen in denen die Benutzermenüs die allgemeinen Berechtigungen bspw. S_TCODE etc. hinterlegt werden und in der operativen Rolle dann die Ausprägungen wie Kostenstelle, Buchungskreis, Konten etc..

Du solltest dann nur darauf achten, dass das Benutzermenü nicht mit den Berechtigungswerten abgeglichen wird sondern innerhalb der PFCG über den Expertenmodus ohne Abgleich die Rollen bearbeitet werden.

Für mich wären hier folgende Vor- und Nachteile einer solchen Vorgehenweise:

Vorteil

Für übergreifende Berechtigungsänderungen (bspw. neuer Bericht) muss nur noch eine Rolle bearbeitet werden, so dass diese dann für alle User verwendet werden kann.

Nachteil

Sobald sich organisatorisch etwas ändert muss hier sehr genauer gearbeitet werden bzw. kann nicht mit den Vorschlagswerten des Profilgenerators gearbeitet werden.

Vielleicht hilft diese, recht allgemein gehaltene, Antwort ja ein wenig weiter.

Viele Grüße