Benutzerpuffer analysieren SU56
AGS Security Services nutzen
Excel-basierte Werkzeuge kennen typischerweise die releasespezifischen Vorschlagswerte nicht (sie arbeiten oft ganz ohne die systeminterne Vorschlagswertemechanik, weil sie die Transaktion PFCG ja gar nicht verwenden). Damit ist ein Upgrade von Rollen mit SAP-Standardwerkzeugen, wie der Transaktion SU25, ebenfalls nicht möglich. Auch damit vergrößert sich die Abhängigkeit vom externen Werkzeug, und das Berechtigungswesen entfernt sich weiter vom SAP-Standard und den von SAP empfohlenen Best Practices bei der Rollenpflege.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Ermitteln Sie den Benutzerstammsatz im Active Directory, der der Benutzer-ID zugeordnet ist, die Sie gerade in der Transaktion SU01 anlegen. Suchen Sie dazu innerhalb des Active Directorys nach einem Benutzerstammsatz, für den die gesuchte Benutzer-ID als SAP-Benutzername eingetragen ist. Belegen Sie anschließend die Felder der Transaktion SU01 mit den Daten aus dem Benutzerstammsatz des Active Directorys.
Konzept für Eigenentwicklungen
Wir raten Ihnen von der Nutzung des selbst gesetzten Passworts bei einem Self-Service ab, da ein generiertes Passwort sicherer ist. Die Generierung des Passworts erfolgt in Abhängigkeit von den Passwortregeln; dabei werden zuerst die Vorgaben in der dem Benutzer zugewiesenen Sicherheitsrichtlinie ausgewertet. Falls dem Benutzer keine Sicherheitsrichtlinie zugewiesen wurde, berücksichtigt das System die Passwortregeln in den Profilparametern und in der Customizing-Tabelle PRNG_CUST. Damit die zugeordnete Sicherheitsrichtlinien berücksichtigt werden, müssen Sie gegebenenfalls die Korrektur einspielen, die mit dem SAP-Hinweis 1890833 ausgeliefert wird. Denken Sie daran, dass der Benutzer durch den Funktionsbaustein BAPI_USER_CHANGE nicht automatisch entsperrt wird. Sie müssen den Benutzer im Falle einer Sperre durch Falschanmeldungen noch mithilfe des BAPIs BAPI_USER_UNLOCK entsperren.
Setzen Sie in der Tabelle PRGN_CUST den Customizing-Schalter REF_USER_CHECK auf den Wert E. Damit verhindern Sie die Nutzung anderer Benutzertypen als Referenzbenutzer. Dieser Schalter wirkt sich nur auf neue Zuordnungen aus; eventuell bereits bestehende Zuordnungen anderer Benutzertypen sollten Sie manuell bereinigen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Dazu zeichnen Sie in einem ersten Schritt Anwendungen anhand ihrer Berechtigungsprüfungen auf und können diese anschließend in Ihr Rollenmenü übernehmen.
Dies kann verschiedene Gründe haben.