Fehleranalyse bei Berechtigungen (Teil 1)

Kommen wir heute mal zur Fehleranalyse bei Berechtigungen.

Das beste, was einem dabei passieren kann, ist der Fehler der Art:  „Ich habe keine Berechtigung das und das auszuführen!“ (FALL1) . Schlechter ist schon der Fall, dass jemand zuviele Berechtigungen hat, also der Art: „User xy soll diese Berechtigung nicht mehr haben“ (FALL2).

Wie geht man da vor?

Kommen wir zunächst mal zum Fall 1

Dieser Fall, dass also jemand keine Berechtigung für etwas hat, unterstützt das System vortrefflich! Das Codewort ist SU53 !

Falls eine Transaktion auf einen Berechtigungsfehler trifft, dann wird dieser Fehler in einen Speicherbereich geschrieben, den man sich anzeigen lassen kann. Dazu gibt es einmal

  1. die Transaktion SU53
  2. oder die Menüauswahl „System/Hilfsmittel/Anz. Berechtigungsprüfung“

Mit dieser Funktion wird vom System eine Information ausgeben, in der gezeigt wird, welche Berechtigungsobjekte dem Benutzer fehlen.

Man muß aber beachten, dass das System alle Berechtigungsfehler des Benutzers in den Speicherbereich der SU53 schreibt. D.h. falls es zu einem sog. Doppelschlag kommt, also mehrere Berechtigungsfehler auftreten, immer nur der letzte Fehler in diesem Bereich steht.

Ich bevorzuge es, dem Benutzer zu veranlassen, die Transaktion bis zu der Fehlermeldung „Keine Berechtigung…“ laufen zu lassen, dann über das Menü (also 2.) den Fehler sich anzeigen zulassen, und mir ein Bildschirmbild der 1. Seite der Ausgabe zu schicken. Damit vermeide ich es, dass der Benutzer bei Aufruf der Transaktion SU53 ggf. nochmals einen Berechtigungsfehler erzeugt, der den ursprünglichen überdeckt.

Man kann als Benutzeradministrator oder Rollenadministrator auch selbst die SU53 aufrufen und sich über Menü  den Fehlereintrag eines andern Benutzers anzeigen lassen. Dies klappt aber nicht unbedingt immer.

In der  SU53 erhalten Sie den Eintrag des Benutzers, der dort gepeichert ist, und dieser kann ggf. alt sein. Besser ist also den Benutzer selbst über das Menü den Berechtigungsfehler anzeigen zu lassen. (Vielleicht erstellen Sie allen Ihren Benutzern eine kleine Doku, wie er sich den Fehler anzeigen läßt, und wo er ihn hinschicken kann, also ein „Kochrezept: How To…“)

In dem Fehlerauszug der SU53 werden als erstes die dem Benutzer fehlende Berechtigung angezeigt. Dieses Objekt gilt es also zu analysieren. Im Weiteren der Fehlermeldung werden die dem Benutzer zugeordneten Berechtigungen angezeigt. Diese Informationen kann man dazu benutzen, den Benutzer mit seinem Rollenset einzuordnen, wohin er gehört etc.

Letztlich haben wir in unserm Fall 1 nun die fehlende Berechtigung und müssen nun klären, ob der Benutzer diese Berechtigung erhalten soll oder nicht.  Dazu muss  die Fachabteilung kontaktiert werden, die ja zu entscheiden hat, ob der Benutzer die Berechtigung erhält!

Es kann vorkommen, dass es sich bei dem vom Benutzer gemeldeten Problem gar nicht um ein Berechtigungsproblem handelt. Dann wird in dem SU53 – Bereich der letzte Berechtigungsfehler angezeigt, der gar nicht die Fehlerursache ist. Deshalb ist es immer gut, sich auch ein Bildschirmbild der eigentlichen Fehlermeldung schicken zu lassen. Es kommt gar nicht so selten vor, dass  Entwickler aus ihren Programmen einen Berechtigungsfehler der Art „Keine Berechtigung für…“ ausgeben, dieser aber gar nicht mit einer standardmäßigen Berechtigungsprüfung geprüft haben, so dass der Fehler kein eigentlicher Berechtigungsfehler ist.

Es wird in einem solchen Fall in der SU53 der letzte Fehler angezeigt oder Anzeige ist leer. Man kommt dann nicht umhin, die Fehlermeldung der Transaktion zu analysieren.

Noch einen Tipp zum Schluß:

Weisen Sie den Benutzer an, mit <Alt><Druck> den Screen-Shot machen, damit wird das ganze aktive Window in die Zwischenablage gestellt, und Sie können erkennen, um welche Transaktion, welches System und in welchem Kontext der Transaktion es sich handelt. Kleinere „SnagIt“s sind meist nicht zu gebrauchen und führen zu unnötigen Rückfragen.

Das war der Fall 1, der Leichtere! Morgen kommen wir zum Fall 2, dass ein Benutzer zu viele Rechte hat.

Gruß

Bernd Klüppelberg

Schreiben Sie bitte einen Kommentar





SAP Berechtigungen, -Konzepte, -Technik | System Beratung Bernd Klüppelberg