Nach fehlenden Berechtigungen tracen
Berechtigungen für Spoolaufträge vergeben
Bei den Einträgen in der Tabelle SPTH sollten Sie beachten, dass die Anwendung definiert, ob auf eine Datei mit oder ohne Angabe des Pfads zugegriffen wird. So verhalten sich die verwandten Transaktionen ST11 (Fehlerprotokolldateien) und AL11 (SAP-Verzeichnisse) unterschiedlich. Während ST11 fast alle Dateien ohne Pfad öffnet (sie befinden sich ohnehin im Verzeichnis DIR_HOME), benutzt AL11 grundsätzlich voll spezifizierte Dateinamen mit Pfad. Ein Eintrag in der Tabelle SPTH mit PATH = / ist daher irreführend. Er legt fest, dass die definierten Zugriffbeschränkungen für alle mit Pfad angegebenen Dateien gelten. Dies greift aber nur bei Anwendungen, die mit spezifiziertem Pfad auf Dateien zugreifen. Für Anwendungen, die ohne Pfadangabe auf Dateien zugreifen, gilt diese Zugriffsbeschränkung hingegen nicht; Dateien im Verzeichnis DIR_HOME sind also möglicherweise ausgenommen.
Nehmen wir an, eine Benutzerin – wir nennen sie Claudia – soll die Spoolaufträge eines anderen Benutzers – in unserem Beispiel Dieter – in der Transaktion SP01 bearbeiten können. Was müssen Sie als Administrator dafür tun? Jeder Spoolauftrag besitzt ein Feld Berechtigung; standardmäßig ist dieses Feld leer. Wenn sich Claudia einen Spoolauftrag von Dieter ansehen möchte, überprüft das System, ob Claudia über eine bestimmte Berechtigung für Spoolaufträge mit dem Wert DIETER verfügt. Für ihre eigenen Spoolaufträge, die nicht mit einem speziellen Berechtigungswert geschützt sind, benötigt Claudia keine zusätzlichen Berechtigungen.
SAP_NEW nicht zuweisen
Stellen Sie sicher, dass bei der Zuordnung von Referenzbenutzern Berechtigungsprüfungen durchgeführt werden. Die Prüfungen erfolgen auf die Berechtigungen zur Zuordnung der dem Referenzbenutzer zugeordneten Rollen und Profile. Diese Berechtigungsprüfungen sind ebenfalls eine Neuerung, die mit dem SAP-Hinweis 513694 ergänzt wird.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
Diese neue Verhaltensweise für das Profil SAP_ALL können Sie durch die Einstellung des Customizing-Schalters ADD_S_RFCACL auf den Wert YES in der Tabelle PRGN_CUST wieder abschalten. Hat der Eintrag ADD_S_RFCACL den Wert YES, enthält SAP_ALL also weiterhin die Gesamtberechtigung für das Berechtigungsobjekt S_RFCACL.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Im Rahmen der Erstellung müssen somit die Strukturen des Unternehmens und die relevanten Prozesse genau analysiert werden.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Je nach der Menge der externen Services aus dem Rollenmenü erscheinen nun die Berechtigungsobjekte.