Show TOC Anfang des Inhaltsbereichs

Vorgehensweisen Rollenverwaltung: Tipps und Tricks  Dokument im Navigationsbaum lokalisieren

Aktivitäten zeitlich begrenzen

Auch wenn Sie das Organisationsmanagement nicht verwenden, können Sie von der Möglichkeit profitieren, Rollen Benutzern nur zeitlich begrenzt zuzuordnen. Sinnvoll ist dies zum Beispiel für das Geschäftsjahresende: Inventuraktivitäten sollen nur für eine begrenzte Zeit erlaubt sein.

Wählen Sie dazu Werkzeuge Administration Benutzerpflege Rollen.

Auf der Registerkarte Benutzer können Sie den Gültigkeitszeitraum für die Zuordnung festlegen.

Hinweis

Damit eine zeitlich begrenzte Zuordnung eines Rollenprofils zu einem Benutzerstammsatz wirksam wird, müssen Sie einen Abgleich durchführen.

Das Berechtigungsprofil wird nur dann automatisch aus dem Benutzerstammsatz entfernt oder dort eingetragen, wenn Sie für einen Abgleich den entsprechenden Report als Hintergrundjob periodisch eingeplant haben.

Die Einplanung des Jobs ist auch wichtig für die Konsistenz der Rollen nach einem Import.

Wir empfehlen Ihnen, für diese Fälle den Report PFCG_TIME_DEPENDENCY im Hintergrund einzuplanen.

Benutzerzuordnung

Tragen Sie generierte Profile nie direkt in den Benutzerstammsatz (SU01) ein. Ordnen Sie dem Benutzer in der Transaktion SU01 auf der Registerkarte Rollen die entsprechende Rolle zu oder wählen Sie in der Rollenverwaltung (PFCG) die Registerkarte Benutzer und tragen Sie dort die Benutzer ein, denen Sie die Rollen bzw. das entsprechende Profil zuordnen wollen.

Wenn Sie anschließend den Abgleich durchführen, wird das generierte Profil in den Benutzerstammsatz eingetragen.

Keine Berechtigungen für noch nicht eingeführte Module vergeben

Wollen Sie Module schrittweise einführen, vergeben Sie keinerlei Berechtigungen für die noch nicht eingeführten Module. Auf diese Weise verhindern Sie, dass unabsichtlich Daten in Ihrem Produktivsystem geändert werden, die Sie vielleicht erst später benötigen.

Lassen Sie die entsprechenden Berechtigungen oder Organisationsebenen offen. Setzen Sie in der Transaktion SU24 die Prüfkennzeichen nicht auf Nicht prüfen.

Initiale Berechtigungsvergabe

Im Testsystem wollen Sie einen Benutzer anlegen, der “fast alles” darf. Normalerweise dürfen solche Benutzer keine Benutzerstammsätze anlegen und keine Berechtigungsprofile ändern.

Dabei gehen Sie am schnellsten wie folgt vor:

...

       1.      Legen Sie eine Rolle an.

       2.      Auf der Registerkarte Berechtigungen wählen Sie Berechtigungsdaten ändern und anschließend Bearbeiten Einfügen Gesamtberechtigung

       3.      Expandieren Sie die Objektklasse Basis-Administration.
Dort finden Sie die Berechtigungsobjekte, die normalerweise als kritisch angesehen werden.

       4.      Deaktivieren Sie alle, die mit Benutzerstammpflege beginnen und weitere, die Sie als kritisch empfinden. Beachten Sie dabei die für Transaktion SU24 erforderlichen Berechtigungen (siehe Vorbereitende Maßnahmen).

       5.      Generieren Sie das Profil, und ordnen Sie die Berechtigungen einem Benutzer über die Registerkarte Benutzer zu.

       6.      In der Benutzerverwaltung ordnen Sie die so erstellte Rolle dem Benutzer zu, indem Sie diese auf der Registerkarte Rolle eintragen.

 

 

Ende des Inhaltsbereichs