besteht die Möglichkeit die SE38 nur für den Anzeigemodus zu berechtigen, so dass man sich z.B. nur den Quelltext anzeigen lassen kann, jedoch keine Änderungen durchführen kann, keine Aktivierung, usw.

Vielen Dank für eure Hilfe!

Grüße

erstmal vorweg:

In jedem Standardszenario sind der Produktivmandant und alle nicht-Entwicklungsmandanten sowieso schon mal gegen Entwicklung gesperrt. Und User haben auf dem Entwicklungsmandanten nix zu suchen, insofern könnte man die SE38 schlicht freigeben weil eh nur gucken erlaubt sein sollte. Faktisch würd ich das in der Praxis natürlich nicht tun, da es leider Gründe gibt den Produktivmandanten mal kurzfristig aufzumachen, da mögen einige Admins die Hände überm Kopf zusammenschlagen, ist aber leider so. Und es wird auch hin und wieder vergessen ihn hinterher wieder abzuschliessen, was natürlich auf keinen Fall passieren darf, aber selbst das Mini-Zeitfenster der Öffnung kann ausreichen, da selbst nach dem schließen jede offene SE38 im Prinzip auf ewig weiter betrieben werden könnte.

Gut, zum Wesentlichen:

Das Berechtigungsobjekt ist BC_C/S_DEVELOP, wenn ACT dort auf 03 beschränkt wird kann ich gucken aber nicht anfassen, mit DEVCLASS kann ich das ganze auf Pakete einschränken, mit OBJNAME und _TYP sogar auf einzelne Reports bzw. FuBaus etc, Objekttypen halt..

Grüße,

Olli

"Über die Transaktion SE38 oder SE80 kann im Standard ein ausführbares Programm (Report) ausgeführt werden, wenn man die Anzeige- oder Änderungsberechtigung hat und der Report keiner Berechtigungsgruppe zugeordnet ist."

Vielleicht hilft dieser Hinweis weiter:

Hinweis 1012066 - Sicherheitshinweis:Berechtigungsprüfung bei Reportausführung

Grüsse

blausieben

Hallo pikachu,

erstmal vorweg:

In jedem Standardszenario sind der Produktivmandant und alle nicht-Entwicklungsmandanten sowieso schon mal gegen Entwicklung gesperrt. Und User haben auf dem Entwicklungsmandanten nix zu suchen, insofern könnte man die SE38 schlicht freigeben weil eh nur gucken erlaubt sein sollte. Faktisch würd ich das in der Praxis natürlich nicht tun, da es leider Gründe gibt den Produktivmandanten mal kurzfristig aufzumachen, da mögen einige Admins die Hände überm Kopf zusammenschlagen, ist aber leider so. Und es wird auch hin und wieder vergessen ihn hinterher wieder abzuschliessen, was natürlich auf keinen Fall passieren darf, aber selbst das Mini-Zeitfenster der Öffnung kann ausreichen, da selbst nach dem schließen jede offene SE38 im Prinzip auf ewig weiter betrieben werden könnte.

Gut, zum Wesentlichen:

Das Berechtigungsobjekt ist BC_C/S_DEVELOP, wenn ACT dort auf 03 beschränkt wird kann ich gucken aber nicht anfassen, mit DEVCLASS kann ich das ganze auf Pakete einschränken, mit OBJNAME und _TYP sogar auf einzelne Reports bzw. FuBaus etc, Objekttypen halt..

Grüße,

Olli

Hallo Olli,

vielen Dank für deine Erklärung.

Jedoch habe ich bemerkt, dass wenn ich alles auf Anzeige beschränke, immer noch z.Bsp. den Button "Aktivieren" nutzen kann. Nach dem Betätigen dieses Buttons erscheint eine Uhr im linken unteren Bereich mit dem Wort "Compiling" und danach folgt die Meldung "Aktives Objekt wurde generiert"! Ich kann wohl den Quelltext nicht ändern, aber ich dachte auch, dass die diversen Buttons in der oberen Leiste ausgegraut sind, also inaktiv.

Grüße Pikachu

Die Transaktion SE38 ist auch im Produktivsystem als kritisch zu betrachten, da mit ihr unter Umgehung sämtlicher Berechtigungsregeln beliebige Reports aufgerufen und ausgeführt werden können.

"Über die Transaktion SE38 oder SE80 kann im Standard ein ausführbares Programm (Report) ausgeführt werden, wenn man die Anzeige- oder Änderungsberechtigung hat und der Report keiner Berechtigungsgruppe zugeordnet ist."

Vielleicht hilft dieser Hinweis weiter:

Hinweis 1012066 - Sicherheitshinweis:Berechtigungsprüfung bei Reportausführung

Grüsse

blausieben

Hallo blausieben,

vielen Dank für deinen Hinweis. Werde ihn mal prüfen!

Grüße

Pikachu