FAQ
FAQ Berechtigungswesen
Diese Seite soll Ihnen Probleme und deren Lösungen bei SAP® Berechtigungen gegenüberstellen.
Diese Liste bürgt nicht für Vollständigkeit. So können auch durch neue Releases des Systems nicht berücksichtigte Änderungen ergeben oder Fehler einschleichen.
Diese Seite bitte ich Sie mitzugestalten, indem Sie mich auf Fehler, andere Lösungswege, Abweichungen bei Releaseänderungen benachrichtigen, oder mir neue Probleme mit Lösungen zusenden.
[Die jeweils rot geschriebenen Einträge sind neu seit letzter Änderung]
Für wichtige Hinweise bzgl. Berechtigungen besuchen Sie bitte auch die Seite Wichtige Hinweise bzgl. Rollen.
Und weil auch ich es immer wieder vergesse:
Ein CALL_TRANSACTION im Programm prüft S_TCODE nicht!
Ein LEAVE TO TRANSACTION prüft den S_TCODE!
Letzte Änderung 08.11.2011
| Problem | Lösung | Rel |
| Welche Berechtigungsgruppe ist welcher Tabelle zugeordnet? | TDDAT | alle |
| Welche Berechtigungsobjekt ist welcher Berechtigungsgruppe zugeordnet? | TBRG | alle |
| Pflege Berechtigungsobjekt <-> Berechtigungsgruppe? | V_TBRG über SM30 | alle |
| Berechtigungsgruppe für Programme | TRDIR Feld SECU : Pflege mit Report RSCSAUTH Nicht transportierbar! |
alle |
| Alle Transaktionen für SPRO finden | Tabelle TPR_XREF_D mit SE16 downloaden nach ACCESS exportieren Doppelte Einträge rausnehmen | alle |
| Rollen in Sammelrollen | AGR_AGRS | alle |
| Rolle in Masterrolle oder visa versa | AGR_DEFINE | alle |
| Berechtigungen FBTCH für Zahllauf und Mahnlauf? | Transaktion F110 bzw. F111 Menü Umfeld | Berechtigungen | alle |
| Benutzermenü vs. SAP-Menü | USERS_SSM hier kann pro Benutzer das entsprechende Menü angekreuzt werden. | alle |
| Benutzermenü vs. SAP-Menü II | SSM_CUST hier kann global für das ganze System das Benutzermenü ein- oder ausgeschaltet werden | ECC |
| Welche Rollen haben bestimmtes Objekt? | AGR_1251. | alle |
| Nicht erlaubte Zeichenketten im Passwort | USR40 | alle |
| Tabelle der Org-Ebenen | USORG und USVART [Texte] View USORG_DB |
alle |
| Username zu Userid | USER_ADDR | alle |
| Tabelle “alte” Profile <-> Benutzer | UST04 aber SAP*, T-* und ggf. manuelle Profilnamen der Rollen ausschließen | alle |
| Welche Rolle hat welche Profile | AGR_1016 | alle |
| Wieviele Profile hat ein Benutzer muss < 312 sein; sonst Fehler in BAPI |
UST04 auf Benutzer; Anzeige Anzahl | alle |
| Wieviele Berechtigungen hat ein Benutzer sollte < als 4.000 sein |
USRFB2 auf Benutzer; Anzeige Anzahl | >4.6 |
| Programm zum AUTH-CHECK finden in Transaktionen und Programmen | RSABAPSC mit ABAP-Sprachbefehl AUTHORITY-CHECKl | alle |
| Verkaufsorganisationen VKORG finden | Tabelle TVKO | alle |
| Einkaufssorganisationen EKORG finden | Tabelle T024E | alle |
| Einkaufsgruppen EKGRP finden | Tabelle T024 | alle |
| Einschalten Technische Namen für Easy Access | Tabelle AGR_DATEU: Nur Einträge mit ID=BROWSER_OPT müssen im Feld ATTRIBUTES an der 4. Stelle ein “X” haben! Könnte man mit einem Programm setzen | alle |
| Alle Benutzer mit einem bestimmten Profil z.B. SAP_ALL | Tabelle UST04: mit PROFILE = SAP_ALL | alle |
| Zusammenfassen von Rollen, deren Gültigkeitsdaten sich überlappen + Löschen abgelaufener Zuordnungen | Programm: PRGN_COMPRESS_TIMES Hinweis: H865841 beachten |
6.10 |
| Tabellen für Berechtigungsobjekte, -objektklassen … | TOBC – Berechtigungsobjektklassen TOBCT – Texte dazu TOBJ – Berechtigungsobjekte mit zug. Feldern |
alle |
| Tabellen für Aktivitäten in Rollen | TACT | alle |
| Tabelle für Objekt TPLST | TTDS | alle |
| Prüftabellen für B-Werte | SU20 | alle |
| Tabelle für Kreditkontrollbereich $KKBER | T014 | alle |
| Tabelle für Kostenrechnungskreis $KOKRS | TKA01 | alle |
| Generisches Löschen von Rollen | Hinweis 313587: Programm Z_DEL_AGR. [siehe auch Artikel] | alle |
| Org-Level-Bewertung in Rollen | Tabelle AGR_1252 mit VARBL=$<OrgLevel> und ggf. Werte in LOW und HIGH | alle |
Welche Berechtigungen bei welcher Einschränkung vergeben
| Problem | Lösung | Rel |
| Beschränkung Systemänderbarkeit SE06 | S_TCODE = SE06 S_CTS_ADMI: CTS_ADMFCT = INIT,SYSC S_TRANSPRT:ACTVT = 03 S_TRANSPRT:TTYPE = * Nur Lesen Gleiche wie oben nur S_CTS_ADMI: CTS_ADMFCT = INIT |
alle |
| Debugging einschalten | Objekt S_DEVELOPACTVT: 03 OBJTYP: enthält DEBUG |
alle |
| Debugging mit Replace einschalten | Objekt S_DEVELOPACTVT: 01,02,03 OBJTYP: enthält DEBUG |
alle |
| SP01 auf nur eigene Listenanzeige beschränken | S_ADM_FCD: CTS_ADMFCT= SPo1 und SPOR rein S_SPO_ACT: SPOAUTH= __USER___ weglassen |
alle |
| SCC4 beschränken auf lesen | S_CTS_ADMI CTS_ADMFCT = INIT+TABL S_TABU_DIS: ACTVT=03 S_TABU_DIS: DICBERCLS = SS S_TRANSPRT: ACTVT = 03 S_TABU_CLI : CLIIDMAINT = * S_ADMI_FCD: S_ADMI_FCD = T000 |
alle |
| Suche nach Kontengruppen und B-Gruppen im B-Segment Debitoren+Kreditoren | VIEW: VF_DEBI Selections-Feldauswahl: KTOKD und BGRRU_B Zur Beschränkung müssen diese Felder dann in das B-Obj F_KNA1_BED Entsprechendes gilt für Kreditor über VIEW VF_KRED |
alle |
| Verhindern von SE37-Ausführen (wichtig für Prod-Systeme) | Objekt S_DEVELOP mit DEVCLASS=*;OBJNAME=*;OBJTYPE=FUGR; P_GROUP=*; aber ACTVT nicht auf 16 setzen! | alle |
| SBWP- Items weiterleiten können: | Objekt S_WF_WI mit WFACTVT=25 (=Bearbeiter ändern) und WFACTVT=35 (=Weiterleiten) |
alle |
| Keine Transaktions-Berechtigung trotz SAP_ALL | Mit SU21 SAP-ALL nachgenerieren. | alle |
Letzte Änderung 08.11.2011
Wenn Sie Fehler oder bessere Lösungsansätze haben, lassen Sie mich das bitte wissen. Schicken Sie mir dann bitte eine Mail an bk@sybeklue.de
Ich bemühe mich zwar, diese Tabellen mit richitgen Informationen zu füllen, eine Verantwortung dafür kann ich aber nicht übernehmen
