Berechtigungen mit dem Pflegestatus Gepflegt
SAP_NEW nicht zuweisen
Die Berechtigungsprüfung für das Objekt S_PATH erfolgt, wie beschrieben, nur für Dateien, die einem Pfad mit Berechtigungsgruppe in der Tabelle SPTH entsprechen. In unserem Beispiel müssten Sie daher für den Zugriff auf Dateien mit dem Pfad /tmp/myfiles* eine Berechtigung für das Objekt S_PATH mit dem Wert FILE im Feld FS_BRGRU erteilen. Beachten Sie dabei, dass das Berechtigungsobjekt nur zwei Zugriffsarten unterscheidet. In diesen beiden Werten werden die Zugriffsarten des Berechtigungsobjekt S_DATASET zusammengefasst. Der Wert Ändern entspricht den Werten Löschen, Schreiben und Schreiben mit Filter; der Wert Anzeigen entspricht den Werten Lesen und Lesen mit Filter.
Alle Berechtigungsprüfungen werden in Tabellenform als ALV-Liste ausgegeben. Diese Liste können Sie nach Spalten sortieren oder filtern. Des Weiteren sind sämtliche Neuerungen aus der Transaktion ST01, die wir zu Beginn dieses Tipps aufgeführt haben, für die Auswertung übernommen worden. Durch einen Doppelklick auf ein Berechtigungsobjekt gelangen Sie direkt zur Berechtigungsobjektdefinition, und mit einem Doppelklick auf die Transaktion werden Sie direkt zur Programmstelle geleitet, in der die Berechtigungsprüfung erfolgt. Weitere Verwendungstipps für diesen Trace geben wir Ihnen in Tipp 32, »Berechtigungswerte mithilfe von Traceauswertungen pflegen«, und in Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«.
Berechtigungen
Beim Abmischen von Rollen – sei es nach Upgradenacharbeiten oder bei Rollenmenüänderungen – werden Änderungen an den Berechtigungswerten vorgenommen. Diese Änderungen können Sie sich im Vorfeld als Simulation anzeigen lassen. Wie in Tipp 43, »Berechtigungen nach einem Upgrade anpassen«, beschrieben, erscheinen Administratoren so manche Upgradenacharbeiten wie eine Black Box. Sie klicken auf irgendwelche Buttons, und irgendetwas passiert mit den Berechtigungen in ihren Rollen. Wenn Sie z. B. Schritt 2c (Zu überprüfende Rollen) in der Transaktion SU25 aufrufen, werden alle Rollen mit einer roten Ampel markiert, bei denen ein Abmischen aufgrund der geänderten Daten aus der Transaktion SU24 notwendig ist. Sobald Sie eine dieser Rolle aufrufen und in die Berechtigungspflege einsteigen, ändern sich die Berechtigungswerte sofort. Anhand des Aktualisierungsstatus Alt, Neu oder Verändert erkennen Sie zwar, an welchen Stellen etwas geändert wurde, geänderte oder gelöschte Werte können hier jedoch nicht angezeigt werden. Ein einfaches Beispiel, um dieses Verhalten auch ohne Upgradeszenario nachzuspielen, ist das Ändern des Rollenmenüs. Löschen Sie aus einer Testrolle eine Transaktion, und mischen Sie diese Rolle neu ab. Sie wissen genau, dass nun bestimmte Berechtigungsobjekte verändert und andere sogar komplett entfernt worden sind, können aber nicht alle Änderungen auf der Werteebene nachvollziehen? Dank neuer Funktionen ist nun mit dieser Ungewissheit Schluss.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Auf "www.sap-corner.de" finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Für einen automatischen Abgleich des Sicherheitsstands Ihrer Systeme sollten Sie diese Berechnung ebenfalls als Hintergrundjob einplanen.