Die Rollenverwaltungsfunktionen (und der Profilgenerator) prüfen folgende Berechtigungsobjekte:
Berechtigungsobjekt |
Beschreibung |
S_USER_AUT |
Benutzerstammsatzpflege: Berechtigungen Dieses Berechtigungsobjekt legt fest, welche Berechtigungen ein Administrator bearbeiten darf. Anhand der Aktivitäten können Sie die Bearbeitungsarten festlegen (z. B. Anlegen, Löschen, Änderungsbelege anzeigen). |
S_USER_GRP |
Benutzerstammsatzpflege: Benutzergruppen In der Rollenverwaltung wird das Berechtigungsobjekt beim Zuordnen von Benutzern zu Rollen sowie beim Benutzerstammabgleich verwendet. Mit dem Berechtigungsobjekt können Sie die Benutzeradministration auf mehrere Administratoren aufteilen, indem Sie einem Administrator nur eine bestimmte Benutzergruppe zuordnen. Anhand der Aktivitäten können Sie die Bearbeitungsarten des Administrators für die Gruppe festlegen (z. B. Anlegen, Löschen, Archivieren). |
S_USER_PRO |
Benutzerstammsatzpflege: Berechtigungsprofil Mit dem Berechtigungsobjekt werden Profile geschützt. Anhand der Aktivitäten können Sie die Bearbeitungsarten des Administrators für das Profil festlegen (z. B. Anlegen, Ändern, Anzeigen). |
S_USER_AGR |
Berechtigungssystem: Auf Rollen prüfen Das Berechtigungsobjekt dient zum Schutz der Rolle. Die Rollen fassen Benutzer zu Gruppen zusammen, um ihnen verschiedene Eigenschaften zuzuordnen, insbesondere Transaktionen und Berechtigungsprofile. Zusammen mit den Berechtigungsobjekten S_USER_GRP, S_USER_AUT, S_USER_PRO, S_USER_TCD und S_USER_VAL können Sie mit diesem Berechtigungsobjekt eine verteilte Benutzeradministration einrichten. |
S_USER_TCD |
Berechtigungssystem: Transaktionen in Rollen Das Berechtigungsobjekt regelt, welche Transaktionen ein Administrator einer Rolle zuordnen darf und für welche Transaktionen er die Transaktionscode-Berechtigung (Objekt S_TCODE) vergeben darf. Beachten Sie, dass im Profilgenerator nur bei Gesamtberechtigung von S_USER_TCD beim Berechtigungsobjekt S_TCODE Intervalle von Transaktionen gepflegt werden dürfen. Andernfalls können nur einzelne Werte für das Objekt S_TCODE gepflegt werden. |
S_USER_VAL |
Berechtigungssystem: Feldwerte in Rollen Das Berechtigungsobjekt erlaubt die Einschränkung von Werten, die ein Administrator im Profilgenerator in eine Rolle aufnehmen oder ändern darf. Das Berechtigungsobjekt bezieht sich auf alle Feldwerte mit Ausnahe der Werte zum Objekt S_TCODE. Die Berechtigung, Transaktionen in eine Rolle aufzunehmen oder die Transaktionsstartberechtigung in einer Rolle zu ändern ist mit dem Berechtigungsobjekt S_USER_TCD verknüpft. |
S_USER_SYS |
Berechtigungsobjekt für die Systemzuordnung in der Zentralen Benutzerverwaltung (ZBV). Sie können Benutzer von einem Zentralsystem aus in verschiedene Tochtersysteme eines Systemverbunds verteilen. Mit dem Objekt S_USER_SYS wird geprüft, welche Tochtersysteme der Benutzeradministrator den Benutzern zuordnen kann. Außerdem wird das Berechtigungsobjekt bei der Einrichtung der ZBV geprüft. |
S_USER_SAS |
Benutzerstammpflege: Systemspezifische Zuordnungen Das Berechtigungsobjekt S_USER_SAS wird in den Transaktionen SU01, SU10, PFCG und PFUD bei der Zuordnung von Rollen, Profilen und Systemen zu Benutzern geprüft. Es stellt eine Weiterentwicklung der bisher bei Zuordnungen geprüften Berechtigungsobjekte S_USER_GRP, S_USER_AGR, S_USER_PRO und S_USER_SYS dar. Falls Sie das Berechtigungsobjekt S_USER_SAS nicht über den Customizing-Schalter aktivieren, werden die bisher verwendeten Berechtigungsobjekte geprüft. Um das Berechtigungsobjekt S_USER_SAS zu aktivieren, legen Sie mit Transaktion SM30 in Tabelle PRGN_CUST den Customizing-Schalter CHECK_S_USER_SAS mit dem Wert YES an. Alle Berechtigungsprüfungen gegen die Objekte S_USER_AGR, S_USER_PRO, S_USER_GRP und S_USER_SYS mit der Aktivität Zuordnen werden durch Berechtigungsprüfungen gegen das Objekt S_USER_SAS ersetzt. |
S_USER_ADM |
Administrationsfunktionen für Benutzer- und Berechtigungsverwaltung Das Berechtigungsobjekt S_USER_ADM schützt allgemeine Customizing- und Verwaltungsaufgaben für die Benutzer- und Berechtigungsverwaltung. Es besteht nur aus dem Berechtigungsfeld S_ADM_AREA. Bislang gibt es nur den Domänenfestwert CHKSTDPWD, mit dem Sonderbenutzer (z. B. SAP*) samt ihren Standardkennwörtern angezeigt werden können. SAP ergänzt nach Bedarf weitere Domänenfestwerte für andere allgemeine administrative Funktionen im Bereich der Benutzer- und Berechtigungsverwaltung, die in Hinweis 704307 aufgeführt werden. |
Details zu den Berechtigungsprüfungen finden Sie in der Systemdokumentation der Berechtigungsobjekte. Um diese Dokumentation anzuzeigen, wählen Sie in der Rollenverwaltung (Transaktion PFCG) Umfeld ® Berecht.Objekte ® Anzeigen. Expandieren Sie den entsprechenden Knoten, und wählen Sie hinter dem jeweiligen Berechtigungsobjekt die I-Taste.