Show TOC Anfang des Inhaltsbereichs

 Vorgehensweisen SAP* vor unberechtigtem Zugriff schützen  Dokument im Navigationsbaum lokalisieren

Im SAP-System wurde in den Mandanten 000 und 001 der Super-User SAP* vordefiniert. Bei der Installation wird zwar ein Benutzerstammsatz für SAP* erstellt; dieser Benutzerstammsatz ist jedoch nicht unbedingt erforderlich, da SAP* im Systemcode programmiert ist.

Wenn Sie den Benutzerstammsatz SAP* löschen und sich mit SAP* und Initialkennwort PASS neu anmelden, dann hat SAP* folgende Eigenschaften:

·        der Benutzer verfügt über sämtliche Berechtigungen, da keine Berechtigungsprüfungen durchgeführt werden.

·        das Standardkennwort PASS kann nicht geändert werden.

Hinweis

Möchten Sie die besonderen Eigenschaften von SAP* deaktivieren, müssen Sie den Systemprofilparameter login/no_automatic_user_sapstar auf einen Wert setzen, der höher als Null ist. Ist der Parameter gesetzt, hat SAP* keine besonderen Standardeigenschaften. Wenn der Benutzerstammsatz SAP* nicht vorhanden ist, kann SAP* nicht zur Anmeldung verwendet werden.

Sie sollten diesen Parameter im globalen Systemprofil DEFAULT.PFL setzen, damit er in allen Instanzen des SAP-Systems wirksam ist. Achten Sie auch darauf, daß selbst bei gesetztem Parameter ein Benutzerstammsatz für SAP* vorhanden ist, da sonst die Anmeldung mit SAP*, dem Kennwort PASS und uneingeschränkten Berechtigungen wieder möglich ist, sobald Sie den Parameter auf 0 zurücksetzen.

Einzelheiten zu Systemprofilparametern finden Sie im Abschnitt Profilpflege.

Wenn ein Benutzerstammsatz für SAP* vorhanden ist, werden wie auch bei normalen Benutzern Berechtigungsprüfungen durchgeführt, und das Kennwort kann geändert werden.

Benutzer SAP* deaktivieren

Da SAP* ein bekannter Super-User ist, sollten Sie ihn deaktivieren und durch einen eigenen Super-User ersetzen. Nehmen Sie dazu im Benutzerstammsatz SAP* folgende Änderungen vor:

·        Legen Sie in allen neuen Mandanten und im Mandanten 066 einen Benutzerstammsatz für SAP* an.

·        Vergeben Sie ein neues Kennwort für SAP* in den Mandanten 000 und 001.

·        Löschen Sie alle Profile aus der SAP*-Profilliste, um sämtliche Berechtigungen zu deaktivieren.

·        Weisen Sie SAP* der Benutzergruppe SUPER zu, um zu verhindern, daß der Benutzerstammsatz versehentlich gelöscht oder geändert wird.

Die Benutzergruppe SUPER verfügt in den vordefinierten Benutzerprofilen über einen Sonderstatus. Die Benutzer in der Gruppe SUPER können nur vom neu definierten Super-User gepflegt und gelöscht werden, sofern Sie:

·        die vordefinierten Profile verwenden und

·        die SAP-Empfehlungen zur Benutzer- und Berechtigungspflege beachten.

Einen neuen Super-User definieren

Möchten Sie SAP* durch einen neuen Super-User ersetzen, müssen Sie nur einem anderen Benutzer das Profil SAP_ALL zuweisen. Dieses Profil enthält alle Berechtigungen, einschließlich der neuen Berechtigungen im Profil SAP_NEW.

Das Profil SAP_NEW garantiert Aufwärtskompatibilität der Berechtigungen, wenn ein neuer Releasestand oder eine Aktualisierung Berechtigungsprüfungen für bislang ungeschützte Funktionen vorsieht.

 

 

 

Ende des Inhaltsbereichs