FAQ
FAQ Berechtigungswesen
Diese Seite soll Ihnen Probleme und deren Lösungen im SAP® Berechtigungswesen gegenüberstellen.
Diese Liste bürgt nicht für Vollständigkeit. So können auch durch neue Releases des Systems nicht berücksichtigte Änderungen ergeben oder Fehler einschleichen.
Diese Seite bitte ich Sie mitzugestalten, indem Sie mich auf Fehler, andere Lösungswege, Abweichungen bei Releaseänderungen benachrichtigen, oder mir neue Probleme mit Lösungen zusenden.
[Die jeweils rot geschriebenen Einträge sind neu seit der letzten Änderung]
Für wichtige Hinweise bzgl. Berechtigungen besuchen Sie bitte auch die Seite Wichtige Hinweise bzgl. Rollen.
Und weil auch ich es immer wieder vergesse:
Ein CALL_TRANSACTION im Programm prüft S_TCODE nicht! wenn kein Zusatz WITHOUT-AUTHORITY-CHECK gegeben ist
aber im ST01-Trace erfolgt eine Eintragung S_TCODE RC=0 reason=C; tcode=<vorprogramm>; TCD=<mit call Transaction gerufene TA>
Ein LEAVE TO TRANSACTION prüft den S_TCODE!
Bitte auch Kommentar von Kevin unten beachten.
>>>>Am Ende der Seite sind nochmals die FBTCH-Aktivitäten für den Zahllauf und den Mahnlauf gelistet<<<<
Merke: Das System prüft beim Einschalten des Debugging nur folgende Berechtigungsfelder:
S_DEVELOP-ACTVT = 01 | 02 | 03 und
S_DEVELOP-OBJTYP=DEBUG
sonst keine Felder! Daraus folgt, um andere Dinge in S_DEVELOP zu regeln, muss immer OBJTYP=DEBUG ausgeschlossen werden.
Bewertungen für das Objekt S_ADMI_FCD (Systemadministrationsfunktion)
Link zum Download einer Word-Datei hier
Letzte Änderung 07.11.2019
| Problem | Lösung | Rel |
| Welche Berechtigungsgruppe ist welcher Tabelle zugeordnet? | TDDAT | alle |
| Tabelle der Favoriten für den Easy-Access des Benutzers Hinweis wurde scheinbar gelöscht |
SMEN_BUFFC Program für Favoritenkopien von User zu User:Im OSS nach ZCOPYFAVORITEN suchen! |
alle |
| Tabelle der Favoriten für den Easy-Access des Benutzers | SMEN_BUFFC für Transaktionen SMEN_BUFFI für Internetadressen |
alle |
| Alle Prüftabellen für Berechtigungsobjekte | AUTHX | alle |
| Wie sieht man das letzte Startup-Datum des Systems? | ST02 | alle |
| Welche Berechtigungsobjekt ist welcher Berechtigungsgruppe zugeordnet? | TBRG | alle |
| Pflege Berechtigungsobjekt <-> Berechtigungsgruppe? | V_TBRG über SM30 | alle |
| Berechtigungsgruppe für Programme | TRDIR Feld SECU : Pflege mit Report RSCSAUTH Nicht transportierbar! |
alle |
| Alle Transaktionen für SPRO finden | Tabelle TPR_XREF_D mit SE16 downloaden nach ACCESS exportieren Doppelte Einträge rausnehmen | alle |
| Rollen in Sammelrollen | AGR_AGRS | alle |
| Rolle in Masterrolle oder visa versa | AGR_DEFINE | alle |
| Berechtigungen FBTCH für Zahllauf und Mahnlauf? | Transaktion F110 bzw. F150 Menü Umfeld | Berechtigungen Siehe auch unten |
alle |
| Benutzermenü vs. SAP-Menü | USER_SSM hier kann pro Benutzer das entsprechende Menü angekreuzt werden. | alle |
| Benutzermenü vs. SAP-Menü II | SSM_CUST hier kann global für das ganze System das Benutzermenü ein- oder ausgeschaltet werden | ECC |
| Welche Rollen haben bestimmtes Objekt? | AGR_1251. | alle |
| Nicht erlaubte Zeichenketten im Passwort | USR40 | alle |
| Tabelle der Org-Ebenen | USORG und USVART [Texte] View USORG_DB |
alle |
| Username zu Userid | USER_ADDR | alle |
| Tabelle „alte“ Profile <-> Benutzer | UST04 aber SAP*, T-* und ggf. manuelle Profilnamen der Rollen ausschließen | alle |
| Schnelle Suche nach zugeordneten SAP-Profilen | Tabelle UST04 mit Suchbegriff auf Profil SAP* | alle |
| Welche Rolle hat welche Profile | AGR_1016 | alle |
| Wieviele Profile hat ein Benutzer muss < 312 sein; sonst Fehler in BAPI |
UST04 auf Benutzer; Anzeige Anzahl | alle |
| Wieviele Berechtigungen hat ein Benutzer sollte < als 4.000 sein |
USRBF2 auf Benutzer; Anzeige Anzahl | >4.6 |
| Programm zum AUTH-CHECK finden in Transaktionen und Programmen | RSABAPSC mit ABAP-Sprachbefehl AUTHORITY-CHECKl | alle |
| Verkaufsorganisationen VKORG finden | Tabelle TVKO | alle |
| Einkaufssorganisationen EKORG finden | Tabelle T024E | alle |
| Einkaufsgruppen EKGRP finden | Tabelle T024 | alle |
| Einschalten Technische Namen für Easy Access | Tabelle AGR_DATEU: Nur Einträge mit ID=BROWSER_OPT müssen im Feld ATTRIBUTES an der 4. Stelle ein „X“ haben! Könnte man mit einem Programm setzen | alle |
| Alle Benutzer mit einem bestimmten Profil z.B. SAP_ALL | Tabelle UST04: mit PROFILE = SAP_ALL | alle |
| Zusammenfassen von Rollen, deren Gültigkeitsdaten sich überlappen + Löschen abgelaufener Zuordnungen | Programm: PRGN_COMPRESS_TIMES Hinweis: H865841 beachten |
<=700 |
| Tabellen für Berechtigungsobjekte, -objektklassen … | TOBC – Berechtigungsobjektklassen TOBCT – Texte dazu TOBJ – Berechtigungsobjekte mit zug. Feldern |
alle |
| Tabellen für Aktivitäten in Rollen | TACT | alle |
| Tabelle für Objekt TPLST | TTDS | alle |
| Prüftabellen für B-Werte | SU20 | alle |
| Tabelle für Kreditkontrollbereich $KKBER | T014 | alle |
| Tabelle für Kostenrechnungskreis $KOKRS | TKA01 | alle |
| Generisches Löschen von Rollen | Hinweis 313587: Programm Z_DEL_AGR. [siehe auch Artikel] | alle |
| Org-Level-Bewertung in Rollen | Tabelle AGR_1252 mit VARBL=$<OrgLevel> und ggf. Werte in LOW und HIGH | alle |
| Variantenschutz aufheben Fremduser | TabelleVARID Feld PROTECTED auf Space! Oder Report RSVARENT | alle |
| Finden aller gelben oder roten Rollen | PFCG Menü Hilfsmittel | Status Übersicht dauert aber sehr lange |
alle |
| Finden gelber Objekte in Rollen | SE16 auf AGR_1251 mit Ausschluß auf Feld LOW mit >$*, >0*, >A* |
alle |
| Wann ist das End-Datum einer Rolle abgelaufen? | Es gilt das Datum der Datenbank für alle. Normalerweise hat die Datenbank GMT-Zeit. Genau bis 23:59:59 GMT gilt die Rolle noch | alle |
| Finden von SU24-Werten | Für Z-Programme USOBT_C; Auch interessant: USOBX_C, USOBX_CD | alle |
| Transaktion Menü-Pflege | SE43N | alle |
| ZBV: Systemtabelle ZBV | TBDLS | alle |
| ZBV: Tabelle der Benutzer zu Rollen und Systemen | USLA04 | alle |
| ZBV: Tabelle der Benutzer zu Profilen und Systeme | USL04 | alle |
| Tabelle der Favoriten eines Benutzers | SMEN_BUFFC | alle |
| Ein-/ ausschalten SAP-/ User Menü | USER_SSM | alle |
| Globales Ein-/ ausschalten SAP-/ User Menü | SSM_CUST | alle |
| Tabelle der Länderschlüssel | T005T | alle |
| Texte zu I_VORG_ORD(BETRVORG) finden | Tabelle Werte in T354B Texte in TJ01T | alle |
| Tabelle von mandantenABHÄNGIGEN Tabellen finden | Tabelle DD02L auf Feld CLIDEP <> „X“ abfragen | alle |
| Tabelle der Benutzergruppen (weil ich es immer vergesse) | Tabelle USGRP | alle |
| Tabelle Referenzuser bei Rollen | Tabelle USREFUS | alle | Tabelle Kostenstellen Stamm | Tabelle CSKS Tabelle CSKT für Texte | alle | Wer hat welches Menü eingestellt? | Tabelle ARG_DATEU ID = MEN_FLG_START, wenn T Benutzermenü wenn S SAP-Menü |
alle | Welche Objekte sind Manuell in Rolle? | Tabelle ARG_1250 Objekt auswählen, Modified=U => Manuell | alle | Bei S_RFC notwendige RFC-Namen wg. SM59 | S_RFC-NAME= SYST und RFCPING | alle | Transportobjekt SU03 für Berechtigungsobjekt | SE03 auf R3TR SUSO Name | alle | Berechtigungsobjekt in SE93 (Transaktionsdefinition) finden | TSTCA (S_TCODE ist unkritisch andere sollen nach SU24 eingestellt werden). | alle |
Welche Berechtigungen bei welcher Einschränkung vergeben
| Problem | Lösung | Rel |
| Beschränkung Systemänderbarkeit SE06 | S_TCODE = SE06 S_CTS_ADMI: CTS_ADMFCT = INIT,SYSC S_TRANSPRT:ACTVT = 03 S_TRANSPRT:TTYPE = * Nur Lesen Gleiche wie oben nur S_CTS_ADMI: CTS_ADMFCT = INIT |
alle |
| Debugging einschalten | Objekt S_DEVELOPACTVT: 03 OBJTYP: enthält DEBUG |
alle |
| Debugging mit Replace einschalten | Objekt S_DEVELOPACTVT: 01,02,03 OBJTYP: enthält DEBUG |
alle |
| SP01 auf nur eigene Listenanzeige beschränken | S_ADM_FCD: CTS_ADMFCT= SPo1 und SPOR rein S_SPO_ACT: SPOAUTH= __USER___ weglassen |
alle |
| SCC4 beschränken auf lesen | S_CTS_ADMI CTS_ADMFCT = INIT+TABL S_TABU_DIS: ACTVT=03 S_TABU_DIS: DICBERCLS = SS S_TRANSPRT: ACTVT = 03 S_TABU_CLI : CLIIDMAINT = * S_ADMI_FCD: S_ADMI_FCD = T000 |
alle |
| Suche nach Kontengruppen und B-Gruppen im B-Segment Debitoren+Kreditoren | VIEW: VF_DEBI Selections-Feldauswahl: KTOKD und BGRRU_B Zur Beschränkung müssen diese Felder dann in das B-Obj F_KNA1_BED Entsprechendes gilt für Kreditor über VIEW VF_KRED |
alle |
| Verhindern von SE37-Ausführen (wichtig für Prod-Systeme) | Objekt S_DEVELOP mit DEVCLASS=*;OBJNAME=*;OBJTYPE=FUGR; P_GROUP=*; aber ACTVT nicht auf 16 setzen! | alle |
| SBWP– Items weiterleiten können: | Objekt S_WF_WI mit WFACTVT=25 (=Bearbeiter ändern) und WFACTVT=35 (=Weiterleiten) |
alle |
| Keine Transaktions-Berechtigung trotz SAP_ALL | Mit SU21 SAP-ALL nachgenerieren. | alle |
| Kopieren von Rollen; Transaktionszurodnung in PFCG | Um alle Transaktionen zuordnen zu dürfen, braucht der Rollenadmin das Objekt S_USER_TCD mit Bewertung * | alle |
| Berechtigung nur (Ent/)Sperren und Password rücksetzen für Benutzer | S_USER_AGR mit ACTVT=03,05 auf ggf. unterschiedliche Benutzergruppen | alle |
Letzte Änderung 07.11.2019
FBTCH-Angaben für Zahllauf F110 & F111
Quelle: SAP®
FBTCH-Angaben für Mahnlauf F150
Quelle: SAP®
Tabellen der „verstreuten“ Userdaten,
Man vergisst die ja immer so schnell
| Tabelle | Inhalt |
| USER_ADDR | View mit allen nützlichen Userangaben |
| USER_ADDRS | View mit noch mehr nützlichen Userangaben |
| ADCP | Tabelle mit Department über USR21 |
| ADR6 | Tabelle mit Email über USR21 |
| ADRP | Tabelle mit Name Vorname über USR21 |
| ADR10 | Tabelle mit Drucker über USR21 |
| ADR13 | Tabelle mit Pager über USR21 |
| USR02 | Tabelle mit Accountnummer |
| USR05 | User’s Parameterwerte |
| TPARA | Tabelle Parameter ID |
| USR21 | Verknüpfungstabelle aber auch Kostenstelle |
Tabellen der Benutzertypen (UTYP),
Man vergisst die ja immer so schnell
 |
Wenn Sie Fehler entdecken oder bessere Lösungsansätze haben, lassen Sie mich das bitte wissen. Schicken Sie mir dann bitte eine Mail an .
Ich bemühe mich zwar, diese Tabellen mit richitgen Informationen zu füllen, eine Verantwortung dafür kann ich aber nicht übernehmen.
Hallo Bernd,
ist der Programmfehler in
PRGN_COMPRESS_TIMES
jetzt behoben? Für aktuellen Release Basis 702 ist der Hinweis: H865841 nicht mehr vorgesehen.
Heisst das, dass es jetzt funzt?
Viele Grüße
B.Meier
Hallo Brigitta,
ich nehme mal an, denn der Hinweis ist nur bis Release 700.
Viele Grüße
Bernd
Hallo Bernd,
Systemänderbarkeit nur auf lesen im PRO einschränken zieht nicht ein: SCC4. Gibt es da noch einen Trick was ich noch ändern muss?
S_CTS_ADMI CTS_ADMFCT = INIT+TABL
S_TABU_DIS: ACTVT=03
S_TABU_DIS: DICBERCLS = SS
S_TRANSPRT: ACTVT = 03
S_TABU_CLI : CLIIDMAINT = *
S_ADMI_FCD: S_ADMI_FCD = T000
SE06 habe ich auch auf nur lesen eingeschränkt!!
Alle Transaktionen sind im Menürolle gepflegt u.a. sind auch SE03, se06, se09, se10,…
Gibt es noch was ich noch beachten muss?
Danke im Voraus.
Kadi
Hallo Kadi,
SCC4 verändert nur den Mandantenschutz. Hier kommt es auf die SE06 an. Hier müsste bei Angabe der Objekte nur lesen eingeschaltet werden.
Bei SCC4 gelten hier die
S_TABU_NAM ACTVT=03, TABLE=T000
S_CTS_ADMI CTS_ADMFCT=TABL
S_ADMI_FCD S_ADMIFCD=T000
Gruß
Bernd
Hallo Bernd,
vielen Dank für die schnelle Antwort.
Ich musste noch
S_TABU_DIS: DICBERCLS = SS mit ACTVT=02 auf 03 umstellen.
Und das funktioniert wunderbar. Danke nochmal.
Viele Grüße
Kadi.
Hallo Bernd
meine Kollegin und ich fragen uns, ob es eine Möglichkeit gibt zu verhindern, dass wir beide gleichzeitig die selbe Rolle bearbeiten. So weit sind wir nicht fündig geworden.
Ebenso haben wir noch keine Möglichkeit gefunden, eine Customizing-Rolle nur auf einen Buchungskreis einzuschränken. Gibt es hier eventuell eine Lösung?
Vielen herzlichen Dank im Voraus.
Viele Grüsse
Eva
Hallo Eva,
das System sperrt bei der PFCG die Rolle nicht. Es wird zwar ein Sperreintrag in der SM12 erzeugt, der bezieht sich aber nur auf die Tabelle AGR_DEFINE. Nur wenn Ihr beide zum gleichen Zeitpunkt eine Generierung macht, würde die Sperre zuschlagen. Deshalb kann man das nicht verhindern.
Was versteht Du unter Customizing-Rolle? Nur die Transaktion SPRO? Das ist nicht genug. Innerhalb der SPRO werden viele Transaktionen aufgerufen und die wollen Berechtigung für S_TCODE und allen Berechtigungen innerhalb der Transaktion xxx. Dann kommen auch die Buchungskreise in die Rolle und können eingeschränkt werden. Siehe auch http://blog.technik.berechtigung.sybeklue.de/tipps-und-tricks/alle-transaktionen-der-spro-ermitteln/
Hoffe Euch geholfen zu haben.
Viele Grüße
Bernd
Hallo Bernd,
in deinem oberen Abschnitt der FAQs erwähnst du das CALL_TRANSACTION im Programm keinen S_TCODE authority check durchführt. Das stimmt meines Wissens nach nur bedingt, wenn nämlich in der SE97 die Absprungstransaktion gepflegt ist und der Systemparameter auth/check/calltransaction dementsprechend gesetzt ist wird eine Prüfung durchgeführt.
Vielleicht wäre es auch sinnvoll hier rein zu schreiben, dass CALL_TRANSACTION in seiner alleinigen Form inzwischen obsolet ist. Neuerdings wird immer mit WITH-AUTHORITY-CHECK oder WITHOUT-AUTHORITY-CHECK programmiert.
Viele Grüße
Kevin
Hallo Kevin,
Du hast recht, dass wenn in der SE97 (bzw. SE93) ein Eintrag steht, dann eine Prüfung stattfindet. Der Merksatz stammt noch aus der Zeit, wo es keinen WITH-AUTHORITY-CHECK-Zusatz gab.
Über SE97 oder SE93 einen Check zu schalten, ist das absolut schlecht. Denn dieser Eintrag wird nicht in die SU24-Vorschlagswerte übernommen. Somit wird bei der Rollenerstellung in der PFCG auf diese Objekte (SE93 kann ja jedes Objekt zur Prüfung kommen) keine Rücksicht genommen.
Nun ist das beim S_TCODE-Eintrag nicht ganz so schlimm, weil die weitere Transaktion meist bekannt ist und sowieso ins Menü übernommen wird. Aber alle anderen Objekteinträge sind eigentlich abzulehnen. Sie machen die Arbeit des Rollenerstellers nur unnötig kompliziert und langwierig. Falls ein Fehler hier auftritt wird in der SU53 für Objekte meist nur die Existenz und Dummy-Einträge ohne eine Angabe der Transaktion in der der Prozess gerade sein soll geprüft. Man kommt dann nicht unbedingt gleich auf die SE93 oder SE97. Ich glaube nicht, dass in allen Programmen der Berechtigungszusatz bei CALL_TRANSACTION realisiert ist, deshalb hat er eigentlich noch Gültigkeit, oder?
Aber Danke für den Hinweis. Gerade bei Source-Scans nicht unwichtig.
Viele Grüße
Bernd