Hallo,

nachdem wir als IT mehrere Jahre nicht nur beratend sondern teilweise auch 'Enduser' Funktionen wahrgenommen haben, sollen jetzt die Berechtigungen für die IT-Meute eingeschränkt werden.

Wir wollen es erstmal mit kompletten Display Berechtigungen versuchen. Hat jemand eine Idee wie man das auf die schnelle hinbekommt. Gibt es vielleicht eine 'Sammelrolle' Display_ALL  . Ich habe sowas mal vor Jahren gebaut (Für Prüfer) habe leider nie aktuallisiert und neubastedln wäre wahrsscheinlich schneller als überarbeiten.

Falls jemand weiterhelfen kann oder eine bessere Idee hat ... her damit

Gruß

Die gibt es tatsächlich, sie heisst:

SAP_ALL_DISPLAY ANZEIGE-BERECHTIGUNGEN FÜR ALLE MODULE (AUßER BC, CA, HR)

Hallo,

was soll sap_all_display sein. Profil ?  Name zu lang. Welches Release ?

Gruß

Basis-Sklave

Hallo,

ich suche eine Standardrolle oder ein Standardprofil.. wie sap_all , nur für display.. basteln kann ich das auch. Da ich aber keine Lust habe  Hunderte von Berechtigungsobjekten auf 'anzeigen' zusetzen, hatte ich gehofft einer von euch kennt eine einfachere Lösung.

Gruß

Da muss ich dich enttäuschen. Eine andere Möglichkeit kenn ich auch nicht. Dauert ca. 30-45min. Mit Musik kann man das aushalten. Wenn du mir sagen kannst, wie ich meine rollen spezifikation downloaden kann, dann sende ich dir meine rolle.

gruß

deutie

Hallo,

ich suche eine Standardrolle oder ein Standardprofil.. wie sap_all , nur für display.. basteln kann ich das auch. Da ich aber keine Lust habe  Hunderte von Berechtigungsobjekten auf 'anzeigen' zusetzen, hatte ich gehofft einer von euch kennt eine einfachere Lösung.

Gruß

Diese erwähnte Display-Rolle gibt es in neueren Releases (ich glaube ab 4.7) nicht mehr. Das hat auch einen guten Grund, da diese, kombiniert mit weiteren Rollen welche Änderungsberechtigungen enthalten, zu unerwünschten Berechtigungsfreigaben führen können.

Du kannst Sie aber selbst erstellen in dem Du über die PFCG, ohne Menüeinträge, aber mit Hilfe der Vorlage "SAP_ALL" eine Rolle erstellst. Damit hast Du erst einmal alle vorhandenen Objekte mit Vollausprägung in der Rolle. Im zweiten Schritt musst Du alle Objekte auf der Aktivitätenebene nachbearbeiten. Zugelassen darf nur Anzeige und Ausführen sein. Ggfls. modifizierst Du noch das Objekt S_TCODE. Empfehlen würde ich noch die Basis-Objekte so weit wie möglich einzuschränken. Wichtig ist auf jeden Fall, dass keine Debug-Berechtigungen freigeschaltet werden!

Aber Achtung: Aufgrund der Tatsache, dass Du in dieser Rolle alle Transaktionscodes frei gibst kann es in Kombination mit Rollen welche Änderungsberechtigungen enthalten, zu unerwünschten Änderungsberechtigungen kommen!! Sicher ist diese Rolle nur dann, wenn sie alleine vergeben wird. Max. die unkritischen Berechtigungen für alle User, wie z.B. Drucken können noch hinzugefügt werden.

Ja, das macht etwas Arbeit. Aber da in jedem Unternehmen andere Sicherheitsrichtlinien vorgegeben sind, empfehle ich Dir, Dir selbst diese Arbeit zu machen und die Einstellungen der Objekte welche Du nicht auf Anzeige einschränken kannst ganz genau zu hinterfragen.

Gruß

Petra

Hallo,

ich suche eine Standardrolle oder ein Standardprofil.. wie sap_all , nur für display.. basteln kann ich das auch. Da ich aber keine Lust habe  Hunderte von Berechtigungsobjekten auf 'anzeigen' zusetzen, hatte ich gehofft einer von euch kennt eine einfachere Lösung.

Gruß

Noch ein Nachtrag... um, nachdem Du Rolle über die Vorlage SAP_ALL erstellt hast, die Änderungen der Aktiviäten zügiger abarbeiten zu können, besteht auch die Möglichkeit im Entwicklungssystem über die SE16N die Tabelle zu editieren (ich denke, Du kennst das Vorgehen). Vorher aus Selektionskritieren den technischen Namen Deiner Rolle + das Feld ACTVT eingeben. Allerdings besteht in diesem Fall das Risiko, dass Aktivitäten nicht korrekt gepflegt werden, da SAP sich leider nicht immer an den eigenen Standard hält 😞 und nicht immer Aktiviät 03 = Anzeigen bedeutet.

Gruß

Petra