Hallo,
ich suche eine Standardrolle oder ein Standardprofil.. wie sap_all , nur für display.. basteln kann ich das auch. Da ich aber keine Lust habe Hunderte von Berechtigungsobjekten auf 'anzeigen' zusetzen, hatte ich gehofft einer von euch kennt eine einfachere Lösung.
Gruß
Diese erwähnte Display-Rolle gibt es in neueren Releases (ich glaube ab 4.7) nicht mehr. Das hat auch einen guten Grund, da diese, kombiniert mit weiteren Rollen welche Änderungsberechtigungen enthalten, zu unerwünschten Berechtigungsfreigaben führen können.
Du kannst Sie aber selbst erstellen in dem Du über die PFCG, ohne Menüeinträge, aber mit Hilfe der Vorlage "SAP_ALL" eine Rolle erstellst. Damit hast Du erst einmal alle vorhandenen Objekte mit Vollausprägung in der Rolle. Im zweiten Schritt musst Du alle Objekte auf der Aktivitätenebene nachbearbeiten. Zugelassen darf nur Anzeige und Ausführen sein. Ggfls. modifizierst Du noch das Objekt S_TCODE. Empfehlen würde ich noch die Basis-Objekte so weit wie möglich einzuschränken. Wichtig ist auf jeden Fall, dass keine Debug-Berechtigungen freigeschaltet werden!
Aber Achtung: Aufgrund der Tatsache, dass Du in dieser Rolle alle Transaktionscodes frei gibst kann es in Kombination mit Rollen welche Änderungsberechtigungen enthalten, zu unerwünschten Änderungsberechtigungen kommen!! Sicher ist diese Rolle nur dann, wenn sie alleine vergeben wird. Max. die unkritischen Berechtigungen für alle User, wie z.B. Drucken können noch hinzugefügt werden.
Ja, das macht etwas Arbeit. Aber da in jedem Unternehmen andere Sicherheitsrichtlinien vorgegeben sind, empfehle ich Dir, Dir selbst diese Arbeit zu machen und die Einstellungen der Objekte welche Du nicht auf Anzeige einschränken kannst ganz genau zu hinterfragen.
Gruß
Petra