FAQ BerechtigungswesenDiese Seite soll Ihnen Probleme und deren Lösungen im SAP® Berechtigungswesen gegenüberstellen.

Diese Liste bürgt nicht für Vollständigkeit. So können auch durch neue Releases des Systems nicht berücksichtigte Änderungen ergeben oder Fehler einschleichen.Diese Seite bitte ich Sie mitzugestalten, indem Sie mich auf Fehler, andere Lösungswege, Abweichungen bei Releaseänderungen benachrichtigen, oder mir neue Probleme mit Lösungen zusenden.[Die jeweils rot geschriebenen Einträge sind neu seit der letzten Änderung]Für wichtige Hinweise bzgl. Berechtigungen besuchen Sie bitte auch die Seite Wichtige Hinweise bzgl. Rollen.

Ein CALL_TRANSACTION im Programm prüft S_TCODE nicht!aber im ST01-Trace erfolgt eine Eintragung S_TCODE RC=0 reason=C; tcode=<vorprogramm>; TCD=<mit call Transaction gerufene TA>

Ein LEAVE TO TRANSACTION prüft den S_TCODE!

Merke: Das System prüft beim Einschalten des Debugging nur folgende Berechtigungsfelder: S_DEVELOP-ACTVT = 01 | 02 | 03 und S_DEVELOP-OBJTYP=DEBUG sonst keine Felder!

Problem Lösung RelWelche Berechtigungsgruppe ist welcherTabelle zugeordnet?

TDDAT alle

Tabelle der Favoriten für den Easy-Accessdes BenutzersHinweis wurde scheinbar gelöscht

SMEN_BUFFCProgram für Favoritenkopien von User zu User:Im OSS nach ZCOPYFAVORITEN suchen!

alle

Tabelle der Favoriten für den Easy-Accessdes Benutzers

SMEN_BUFFC für TransaktionenSMEN_BUFFI für Internetadressen

alle

Alle Prüftabellen für Berechtigungsobjekte AUTHX alleWie sieht man das letzte Startup-Datum des Systems?

ST02 alle

Welche Berechtigungsobjekt ist welcher Berechtigungsgruppe zugeordnet?

TBRG alle

Pflege Berechtigungsobjekt <-> Berechtigungsgruppe?

V_TBRG über SM30 alle

Berechtigungsgruppe für ProgrammeTRDIR Feld SECU :Pflege mit Report RSCSAUTH Nicht transportierbar!

alle

Alle Transaktionen für SPRO findenTabelle TPR_XREF_D mit SE16 downloaden nach ACCESS exportieren Doppelte Einträge rausnehmen

alle

Rollen in Sammelrollen AGR_AGRS alleRolle in Masterrolle oder visa versa AGR_DEFINE alle

Berechtigungen FBTCH für Zahllauf und Mahnlauf?

Transaktion F110 bzw. F150 Menü Umfeld | Berechtigungen Siehe auch unten

alle

Benutzermenü vs. SAP-MenüUSERS_SSM hier kann pro Benutzer das entsprechende Menü angekreuzt werden.

alle

Benutzermenü vs. SAP-Menü IISSM_CUST hier kann global für das ganze System das Benutzermenü ein- oder ausgeschaltet werden

ECC

Welche Rollen haben bestimmtes Objekt?

AGR_1251 alle

Nicht erlaubte Zeichenketten im Passwort

USR40 alle

Tabelle der Org-EbenenUSORG und USVART [Texte]View USORG_DB

alle

Username zu Userid USER_ADDR alle

Tabelle “alte” Profile <-> BenutzerUST04 aber SAP*, T-* und ggf. manuelle Profilnamen der Rollen ausschließen

alle

Schnelle Suche nach zugeordneten SAP-Profilen

Tabelle UST04 mit Suchbegriff auf Profil SAP* alle

Welche Rolle hat welche Profile AGR_1016 alleWieviele Profile hat ein Benutzermuss < 312 sein; sonst Fehler in BAPI

UST04 auf Benutzer; Anzeige Anzahl alle

Wieviele Berechtigungen hat ein Benutzersollte < als 4.000 sein

USRBF2 auf Benutzer; Anzeige Anzahl >4.6

Programm zum AUTH-CHECK finden in Transaktionen und Programmen

RSABAPSC mit ABAP-Sprachbefehl AUTHORITY-CHECKl

alle

Verkaufsorganisationen VKORG finden Tabelle TVKO alleEinkaufssorganisationen EKORG finden Tabelle T024E alleEinkaufsgruppen EKGRP finden Tabelle T024 alle

Einschalten Technische Namen für Easy Access

Tabelle AGR_DATEU: Nur Einträge mit ID=BROWSER_OPT müssen im Feld ATTRIBUTES an der 4. Stelle ein “X” haben! Könnte man mit einem Programm setzen

alle

Alle Benutzer mit einem bestimmten Profil z.B. SAP_ALL

Tabelle UST04: mit PROFILE = SAP_ALL alle

Zusammenfassen von Rollen, deren Gültigkeitsdaten sich überlappen + Löschen abgelaufener Zuordnungen

Programm:PRGN_COMPRESS_TIMESHinweis: H865841 beachten

6.10

Tabellen für Berechtigungsobjekte, -objektklassen …

TOBC – BerechtigungsobjektklassenTOBCT – Texte dazuTOBJ – Berechtigungsobjekte mit zug. Feldern

alle

Tabellen für Aktivitäten in Rollen TACT alleTabelle für Objekt TPLST TTDS allePrüftabellen für B-Werte SU20 alleTabelle für Kreditkontrollbereich $KKBER T014 alleTabelle für Kostenrechnungskreis $KOKRS

TKA01 alle

Generisches Löschen von RollenHinweis 313587: Programm Z_DEL_AGR. [siehe auch Artikel]

alle

Org-Level-Bewertung in Rollen Tabelle AGR_1252 mit VARBL=$<OrgLevel> alle

und ggf. Werte in LOW und HIGH

Variantenschutz aufheben FremduserTabelleVARID Feld PROTECTED auf Space! Oder Report RSVARENT

alle

Finden aller gelben oder roten RollenPFCG Menü Hilfsmittel | Status Übersichtdauert aber sehr lange

alle

Finden gelber Objekte in RollenSE16 auf AGR_1251mit Ausschluß auf Feld LOW mit >$*, >0*, >A*

alle

Wann ist das End-Datum einer Rolle abgelaufen?

Es gilt das Datum der Datenbank für alle. Normalerweise hat die Datenbank GMT-Zeit. Genau bis 23:59:59 GMT gilt die Rolle noch

alle

Transaktion Menü-Pflege SE43N alleZBV: Systemtabelle ZBV TBDLS alleZBV: Tabelle der Benutzer zu Rollen und Systemen

USLA04 alle

ZBV: Tabelle der Benutzer zu Profilen und Systeme

USL04 alle

Tabelle der Favoriten eines Benutzers SMEN_BUFFC alleEin-/ ausschalten SAP-/ User Menü USER_SSM alleGlobales Ein-/ ausschalten SAP-/ User Menü

SSM_CUST alle

Welche Berechtigungen bei welcher Einschränkung vergebenProblem Lösung Rel

Beschränkung Systemänderbarkeit SE06

S_TCODE = SE06S_CTS_ADMI: CTS_ADMFCT = INIT,SYSCS_TRANSPRT:ACTVT = 03S_TRANSPRT:TTYPE = *Nur LesenGleiche wie oben nurS_CTS_ADMI: CTS_ADMFCT = INIT

alle

Debugging einschaltenObjekt S_DEVELOPACTVT: 03OBJTYP: enthält DEBUG

alle

Debugging mit Replace einschaltenObjekt S_DEVELOPACTVT: 01,02,03OBJTYP: enthält DEBUG

alle

SP01 auf nur eigene Listenanzeige beschränken

S_ADM_FCD: CTS_ADMFCT= SPo1 und SPOR reinS_SPO_ACT: SPOAUTH= __USER___ weglassen

alle

SCC4 beschränken auf lesen

S_CTS_ADMI CTS_ADMFCT = INIT+TABLS_TABU_DIS: ACTVT=03S_TABU_DIS: DICBERCLS = SSS_TRANSPRT: ACTVT = 03S_TABU_CLI : CLIIDMAINT = *S_ADMI_FCD: S_ADMI_FCD = T000

alle

Suche nach Kontengruppen und B-Gruppen im B-Segment Debitoren+Kreditoren

VIEW: VF_DEBI Selections-Feldauswahl:KTOKD und BGRRU_BZur Beschränkung müssen diese Felder dann in das B-Obj F_KNA1_BEDEntsprechendes gilt für Kreditor über VIEW VF_KRED

alle

Verhindern von SE37-Ausführen (wichtig Objekt S_DEVELOP mit alle

für Prod-Systeme)DEVCLASS=*;OBJNAME=*;OBJTYPE=FUGR;P_GROUP=*; aber ACTVT nicht auf 16 setzen!

SBWP- Items weiterleiten können:Objekt S_WF_WI mit WFACTVT=25 (=Bearbeiter ändern) und WFACTVT=35 (=Weiterleiten)

alle

Keine Transaktions-Berechtigung trotz SAP_ALL

Mit SU21 SAP-ALL nachgenerieren. alle

Kopieren von Rollen; Transaktionszurodnung in PFCG

Um alle Transaktionen zuordnen zu dürfen, braucht der Rollenadmin das Objekt S_USER_TCD mit Bewertung *

alle

Berechtigung nur (Ent/)Sperren und Password rücksetzen für Benutzer

S_USER_AGR mit ACTVT=03,05 auf ggf. unterschiedliche Benutzergruppen

alle

FBTCH-Angaben für Zahllauf F110 & F111

FBTCH-Angaben für Mahnlauf F150