SAP* vor unberechtigtem Zugriff schützen 

Im SAP-System wurde in den Mandanten 000 und 001 der Super-User SAP* vordefiniert. Bei der Installation wird zwar ein Benutzerstammsatz für SAP* erstellt; dieser Benutzerstammsatz ist jedoch nicht unbedingt erforderlich, da SAP* im Systemcode programmiert ist.

Wenn Sie den Benutzerstammsatz SAP* löschen und sich mit SAP* und Initialkennwort PASS neu anmelden, dann hat SAP* folgende Eigenschaften:

Möchten Sie die besonderen Eigenschaften von SAP* deaktivieren, müssen Sie den Systemprofilparameter login/no_automatic_user_sapstar auf einen Wert setzen, der höher als Null ist. Ist der Parameter gesetzt, hat SAP* keine besonderen Standardeigenschaften. Wenn der Benutzerstammsatz SAP* nicht vorhanden ist, kann SAP* nicht zur Anmeldung verwendet werden.

Sie sollten diesen Parameter im globalen Systemprofil DEFAULT.PFL setzen, damit er in allen Instanzen des SAP-Systems wirksam ist. Achten Sie auch darauf, daß selbst bei gesetztem Parameter ein Benutzerstammsatz für SAP* vorhanden ist, da sonst die Anmeldung mit SAP*, dem Kennwort PASS und uneingeschränkten Berechtigungen wieder möglich ist, sobald Sie den Parameter auf 0 zurücksetzen.

Einzelheiten zu Systemprofilparametern finden Sie im Abschnitt Profilpflege.

Wenn ein Benutzerstammsatz für SAP* vorhanden ist, werden wie auch bei normalen Benutzern Berechtigungsprüfungen durchgeführt, und das Kennwort kann geändert werden.

Benutzer SAP* deaktivieren

Da SAP* ein bekannter Super-User ist, sollten Sie ihn deaktivieren und durch einen eigenen Super-User ersetzen. Nehmen Sie dazu im Benutzerstammsatz SAP* folgende Änderungen vor:

Die Benutzergruppe SUPER verfügt in den vordefinierten Benutzerprofilen über einen Sonderstatus. Dies wird später in diesem Thema beschrieben.

Die Benutzer in der Gruppe SUPER können nur vom neu definierten Super-User gepflegt und gelöscht werden, sofern Sie:

Einen neuen Super-User definieren

Möchten Sie SAP* durch einen neuen Super-User ersetzen, müssen Sie nur einem anderen Benutzer das Profil SAP_ALL zuweisen. Dieses Profil enthält alle R/3-Berechtigungen, einschließlich der neuen Berechtigungen im Profil SAP_NEW.

Das Profil SAP_NEW garantiert Aufwärtskompatibilität der Berechtigungen, wenn ein neuer Releasestand oder eine Aktualisierung Berechtigungsprüfungen für bislang ungeschützte Funktionen vorsieht.