FAQ

FAQ Berechtigungswesen

Diese Seite soll Ihnen Probleme und deren Lösungen im SAP® Berechtigungswesen gegenüberstellen.

Diese Liste bürgt nicht für Vollständigkeit. So können auch durch neue Releases des Systems nicht berücksichtigte Änderungen ergeben oder Fehler einschleichen.

Diese Seite bitte ich Sie mitzugestalten, indem Sie mich auf Fehler, andere Lösungswege, Abweichungen bei Releaseänderungen benachrichtigen, oder mir neue Probleme mit Lösungen zusenden.
[Die jeweils rot geschriebenen Einträge sind neu seit der letzten Änderung]

Für wichtige Hinweise bzgl. Berechtigungen besuchen Sie bitte auch die Seite Wichtige Hinweise bzgl. Rollen.

Und weil auch ich es immer wieder vergesse:

Ein CALL_TRANSACTION im Programm prüft S_TCODE nicht!
aber im ST01-Trace erfolgt eine Eintragung S_TCODE RC=0 reason=C; tcode=<vorprogramm>; TCD=<mit call Transaction gerufene TA>

Ein LEAVE TO TRANSACTION prüft den S_TCODE!

>>>>Am Ende der Seite sind nochmals die FBTCH-Aktivitäten für den Zahllauf und den Mahnlauf gelistet<<<<

Merke: Das System prüft beim Einschalten des Debugging nur folgende Berechtigungsfelder:
S_DEVELOP-ACTVT = 01 | 02 | 03 und
S_DEVELOP-OBJTYP=DEBUG

sonst keine Felder!


Letzte Änderung 14.03.2016

Problem Lösung Rel
Welche Berechtigungsgruppe ist welcher Tabelle zugeordnet? TDDAT alle
Tabelle der Favoriten für den Easy-Access des Benutzers
Hinweis wurde scheinbar gelöscht
SMEN_BUFFC
Program für Favoritenkopien von User zu User:Im OSS nach ZCOPYFAVORITEN suchen!
alle
Tabelle der Favoriten für den Easy-Access des Benutzers SMEN_BUFFC für Transaktionen
SMEN_BUFFI für Internetadressen
alle
Alle Prüftabellen für Berechtigungsobjekte AUTHX alle
Wie sieht man das letzte Startup-Datum des Systems? ST02 alle
Welche Berechtigungsobjekt ist welcher Berechtigungsgruppe zugeordnet? TBRG alle
Pflege Berechtigungsobjekt <-> Berechtigungsgruppe? V_TBRG über SM30 alle
Berechtigungsgruppe für Programme TRDIR Feld SECU :
Pflege mit Report RSCSAUTH
Nicht transportierbar!
alle
Alle Transaktionen für SPRO finden Tabelle TPR_XREF_D mit SE16 downloaden nach ACCESS exportieren Doppelte Einträge rausnehmen alle
Rollen in Sammelrollen AGR_AGRS alle
Rolle in Masterrolle oder visa versa AGR_DEFINE alle
Berechtigungen FBTCH für Zahllauf und Mahnlauf? Transaktion F110 bzw. F150 Menü Umfeld | Berechtigungen
Siehe auch unten
alle
Benutzermenü vs. SAP-Menü USERS_SSM hier kann pro Benutzer das entsprechende Menü angekreuzt werden. alle
Benutzermenü vs. SAP-Menü II SSM_CUST hier kann global für das ganze System das Benutzermenü ein- oder ausgeschaltet werden ECC
Welche Rollen haben bestimmtes Objekt? AGR_1251. alle
Nicht erlaubte Zeichenketten im Passwort USR40 alle
Tabelle der Org-Ebenen USORG und USVART [Texte]
View USORG_DB
alle
Username zu Userid USER_ADDR alle
Tabelle „alte“ Profile <-> Benutzer UST04 aber SAP*, T-* und ggf. manuelle Profilnamen der Rollen ausschließen alle
Schnelle Suche nach zugeordneten SAP-Profilen Tabelle UST04 mit Suchbegriff auf Profil SAP* alle
Welche Rolle hat welche Profile AGR_1016 alle
Wieviele Profile hat ein Benutzer
muss < 312 sein; sonst Fehler in BAPI
UST04 auf Benutzer; Anzeige Anzahl alle
Wieviele Berechtigungen hat ein Benutzer
sollte < als 4.000 sein
USRBF2 auf Benutzer; Anzeige Anzahl >4.6
Programm zum AUTH-CHECK finden in Transaktionen und Programmen RSABAPSC mit ABAP-Sprachbefehl AUTHORITY-CHECKl alle
Verkaufsorganisationen VKORG finden Tabelle TVKO alle
Einkaufssorganisationen EKORG finden Tabelle T024E alle
Einkaufsgruppen EKGRP finden Tabelle T024 alle
Einschalten Technische Namen für Easy Access Tabelle AGR_DATEU: Nur Einträge mit ID=BROWSER_OPT müssen im Feld ATTRIBUTES an der 4. Stelle ein „X“ haben! Könnte man mit einem Programm setzen alle
Alle Benutzer mit einem bestimmten Profil z.B. SAP_ALL Tabelle UST04: mit PROFILE = SAP_ALL alle
Zusammenfassen von Rollen, deren Gültigkeitsdaten sich überlappen + Löschen abgelaufener Zuordnungen Programm:
PRGN_COMPRESS_TIMES
Hinweis: H865841 beachten
<=700
Tabellen für Berechtigungsobjekte, -objektklassen … TOBC – Berechtigungsobjektklassen
TOBCT – Texte dazu
TOBJ – Berechtigungsobjekte mit zug. Feldern
alle
Tabellen für Aktivitäten in Rollen TACT alle
Tabelle für Objekt TPLST TTDS alle
Prüftabellen für B-Werte SU20 alle
Tabelle für Kreditkontrollbereich $KKBER T014 alle
Tabelle für Kostenrechnungskreis $KOKRS TKA01 alle
Generisches Löschen von Rollen Hinweis 313587: Programm Z_DEL_AGR. [siehe auch Artikel] alle
Org-Level-Bewertung in Rollen Tabelle AGR_1252 mit VARBL=$<OrgLevel> und ggf. Werte in LOW und HIGH alle
Variantenschutz aufheben Fremduser TabelleVARID Feld PROTECTED auf Space! Oder Report RSVARENT alle
Finden aller gelben oder roten Rollen PFCG Menü Hilfsmittel | Status Übersicht
dauert aber sehr lange
alle
Finden gelber Objekte in Rollen SE16 auf AGR_1251
mit Ausschluß auf Feld LOW mit >$*, >0*, >A*
alle
Wann ist das End-Datum einer Rolle abgelaufen? Es gilt das Datum der Datenbank für alle. Normalerweise hat die Datenbank GMT-Zeit. Genau bis 23:59:59 GMT gilt die Rolle noch alle
Transaktion Menü-Pflege SE43N alle
ZBV: Systemtabelle ZBV TBDLS alle
ZBV: Tabelle der Benutzer zu Rollen und Systemen USLA04 alle
ZBV: Tabelle der Benutzer zu Profilen und Systeme USL04 alle
Tabelle der Favoriten eines Benutzers SMEN_BUFFC alle
Ein-/ ausschalten SAP-/ User Menü USER_SSM alle
Globales Ein-/ ausschalten SAP-/ User Menü SSM_CUST alle
Tabelle der Länderschlüssel T005T alle

Welche Berechtigungen bei welcher Einschränkung vergeben

Problem Lösung Rel
Beschränkung Systemänderbarkeit SE06 S_TCODE = SE06
S_CTS_ADMI: CTS_ADMFCT = INIT,SYSC
S_TRANSPRT:ACTVT = 03
S_TRANSPRT:TTYPE = *
Nur Lesen
Gleiche wie oben nur
S_CTS_ADMI: CTS_ADMFCT = INIT
alle
Debugging  einschalten Objekt S_DEVELOPACTVT: 03
OBJTYP: enthält DEBUG
alle
Debugging  mit Replace einschalten Objekt S_DEVELOPACTVT: 01,02,03
OBJTYP: enthält DEBUG
alle
SP01 auf nur eigene Listenanzeige beschränken S_ADM_FCD:  CTS_ADMFCT= SPo1 und SPOR rein
S_SPO_ACT: SPOAUTH= __USER___ weglassen
alle
SCC4 beschränken auf lesen S_CTS_ADMI  CTS_ADMFCT = INIT+TABL
S_TABU_DIS: ACTVT=03
S_TABU_DIS: DICBERCLS = SS
S_TRANSPRT: ACTVT = 03
S_TABU_CLI : CLIIDMAINT = *
S_ADMI_FCD: S_ADMI_FCD = T000
alle
Suche nach Kontengruppen und B-Gruppen im B-Segment Debitoren+Kreditoren VIEW: VF_DEBI
Selections-Feldauswahl:
KTOKD und BGRRU_B
Zur Beschränkung müssen diese Felder dann in das B-Obj F_KNA1_BED
Entsprechendes gilt für Kreditor über VIEW VF_KRED
alle
Verhindern von SE37-Ausführen (wichtig für Prod-Systeme) Objekt S_DEVELOP mit DEVCLASS=*;OBJNAME=*;OBJTYPE=FUGR; P_GROUP=*; aber ACTVT nicht auf 16 setzen! alle
SBWP– Items weiterleiten können: Objekt S_WF_WI mit
WFACTVT=25 (=Bearbeiter ändern) und
WFACTVT=35 (=Weiterleiten)
alle
Keine Transaktions-Berechtigung trotz SAP_ALL Mit SU21 SAP-ALL nachgenerieren. alle
Kopieren von Rollen; Transaktionszurodnung in PFCG Um alle Transaktionen zuordnen zu dürfen, braucht der Rollenadmin das Objekt S_USER_TCD mit Bewertung * alle
Berechtigung nur (Ent/)Sperren und Password rücksetzen für Benutzer S_USER_AGR mit ACTVT=03,05 auf ggf. unterschiedliche Benutzergruppen alle

Letzte Änderung 14.03.2016


FBTCH-Angaben für Zahllauf F110 & F111

F110-Actions
Quelle: SAP®

FBTCH-Angaben für Mahnlauf F150

F110-Actions
Quelle: SAP®

nach oben

Tabellen der „verstreuten“ Userdaten,
Man vergisst die ja immer so schnell

Tabelle Inhalt
USER_ADDR View mit allen nützlichen Userangaben
USER_ADDRS View mit noch mehr nützlichen Userangaben
ADCP Tabelle mit Department über USR21
ADR6 Tabelle mit Email über USR21
ADRP Tabelle mit Name Vorname über USR21
ADR10 Tabelle mit Drucker über USR21
ADR13 Tabelle mit Pager über USR21
USR02 Tabelle mit Accountnummer
USR05 User’s Parameterwerte
TPARA Tabelle Parameter ID
USR21 Verknüpfungstabelle aber auch Kostenstelle


Wenn Sie Fehler entdecken oder bessere Lösungsansätze haben, lassen Sie mich das bitte wissen. Schicken Sie mir dann bitte eine Mail an .

Ich bemühe mich zwar, diese Tabellen mit richitgen Informationen zu füllen, eine Verantwortung dafür kann ich aber nicht übernehmen.

5 Responses to “FAQ”

  1. Hallo Bernd,
    ist der Programmfehler in
    PRGN_COMPRESS_TIMES
    jetzt behoben? Für aktuellen Release Basis 702 ist der Hinweis: H865841 nicht mehr vorgesehen.
    Heisst das, dass es jetzt funzt?
    Viele Grüße
    B.Meier

  2. Hallo Brigitta,
    ich nehme mal an, denn der Hinweis ist nur bis Release 700.
    Viele Grüße
    Bernd

  3. Hallo Bernd,

    Systemänderbarkeit nur auf lesen im PRO einschränken zieht nicht ein: SCC4. Gibt es da noch einen Trick was ich noch ändern muss?

    S_CTS_ADMI CTS_ADMFCT = INIT+TABL
    S_TABU_DIS: ACTVT=03
    S_TABU_DIS: DICBERCLS = SS
    S_TRANSPRT: ACTVT = 03
    S_TABU_CLI : CLIIDMAINT = *
    S_ADMI_FCD: S_ADMI_FCD = T000

    SE06 habe ich auch auf nur lesen eingeschränkt!!
    Alle Transaktionen sind im Menürolle gepflegt u.a. sind auch SE03, se06, se09, se10,…

    Gibt es noch was ich noch beachten muss?
    Danke im Voraus.

    Kadi

  4. Hallo Kadi,
    SCC4 verändert nur den Mandantenschutz. Hier kommt es auf die SE06 an. Hier müsste bei Angabe der Objekte nur lesen eingeschaltet werden.
    Bei SCC4 gelten hier die
    S_TABU_NAM ACTVT=03, TABLE=T000
    S_CTS_ADMI CTS_ADMFCT=TABL
    S_ADMI_FCD S_ADMIFCD=T000

    Gruß
    Bernd

  5. Hallo Bernd,

    vielen Dank für die schnelle Antwort.
    Ich musste noch
    S_TABU_DIS: DICBERCLS = SS mit ACTVT=02 auf 03 umstellen.
    Und das funktioniert wunderbar. Danke nochmal.

    Viele Grüße

    Kadi.

Schreiben Sie bitte einen Kommentar





SAP Berechtigungen, -Konzepte, -Technik | System Beratung Bernd Klüppelberg