Benutzer- und Berechtigungsadministratoren
einrichten
Verwendung
Bei einer dezentralen Organisation Ihrer Benutzerverwaltung, bei der Sie die Aufgaben der Benutzerverwaltung auf mehrere Administratoren verteilen, müssen Sie diese Administratoren als normale SAP-Benutzer anlegen oder vorhandenen Benutzern diese Aufgaben zuweisen.
Die Tabelle unten zeigt die Aufgaben, die Sie den einzelnen Administratoren zuordnen sollten, Aufgaben, die Sie nicht zuordnen sollten, sowie die für diese Aufgaben von uns vordefinierten Vorlagen und Rollen. Nur für den Benutzeradministrator steht eine Rolle zur Verfügung. Sie bietet gegenüber der Vorlage den Vorteil, dass der Administrator ein Menü erhält, das alle für seine Arbeit wesentlichen Funktionen enthält.
Organisation der Benutzeradministratoren bei Verwendung des Rollenverwaltungswerkzeugs
Administrator |
Zulässige Aufgaben |
Unzulässige Aufgaben |
Vorlagen und Rollen |
Benutzeradministrator |
Benutzerstammsätze anlegen und ändern |
Daten für Rollen ändern |
Vorlage SAP_ADM_US Rolle SAP_BC_USER_ADMI |
|
Benutzern Rollen zuordnen |
Profile ändern oder generieren |
|
|
Benutzern Profile zuordnen, die mit „T“ beginnen |
|
|
|
Berechtigungen und Profile anzeigen |
|
|
|
Benutzerinformationssystem verwenden |
|
|
Berechtigungsdatenadministrator |
Rollen anlegen und ändern |
Benutzer ändern |
SAP_ADM_AU |
|
Berechtigungsdaten und Transaktionsauswahl in Rollen ändern |
Profile generieren |
|
|
Benutzerinformationssystem verwenden |
|
|
Berechtigungsprofiladministrator |
Rollen mit dazugehörigen Daten anzeigen |
Benutzer ändern |
SAP_ADM_PR |
|
Zu Berechtigungsdaten vorhandener Rollen mit Transaktion PFCG oder SUPC die Berechtigungen und Profile generieren, die mit „T“ beginnen |
Daten zu Rollen ändern |
|
|
Rollen auf das Vorhandensein von Berechtigungsdaten überprüfen (Transaktion SUPC) |
Berechtigungsprofile mit Berechtigungsobjekten generieren, die mit S_USER beginnen |
|
|
|
Benutzerstammabgleich durchführen (Transaktion PFUD, Profilabgleich des Benutzerstammabgleichs durchführen) |
|
|
Benutzerinformationssystem verwenden |
|
|
Voraussetzungen
Sie sind Administrator mit dem vordefinierten Profil S_A.SYSTEM, mit dem Sie Benutzer der Gruppe SUPER berabeiten können.
Vorgehensweise
...
1. Legen Sie für jeden Administrator eine Rolle an.
a. Geben Sie in der Rollenverwaltung (Transaktion PFCG) einen Rollennamen ein, und wählen Sie Rolle anlegen.
b. Ordnen Sie keine Transaktionen zu, sondern wählen Sie auf der Registerkarte Berechtigungen die Drucktaste Berechtigungsdaten ändern.
Sie gelangen auf ein Dialogfenster mit der Aufforderung, eine Vorlage auszuwählen.
c. Wählen Sie eine der folgenden Vorlagen:
Vorlage |
Administrator |
SAP_ADM_PR |
Berechtigungsprofilverwalter |
SAP_ADM_AU |
Berechtigungsdatenverwalter |
SAP_ADM_US |
Benutzerverwalter |
d. Generieren Sie jeweils das Berechtigungsprofil.
Verwenden Sie einen Profilnamen, der nicht mit „T“ beginnt, damit der Berechtigungsdatenverwalter nicht seine eigenen Berechtigungen ändern kann.
2. Weisen Sie auf der Registerkarte Benutzer die Rolle dem jeweiligen Benutzer, d. h. Administrator, zu.
3. Sichern Sie Ihre Eingaben.
4. Damit die Benutzeradministratoren nicht ihre eigenen Benutzerstammsätze oder die anderer Administratoren ändern können, weisen Sie sie der Gruppe SUPER zu. Dies gilt, wenn Sie die vordefinierten Benutzerverwaltungsberechtigungen verwenden.
...
a. Wählen Sie dazu in der Benutzerverwaltung (Transaktion SU01) die Registerkarte Logondaten.
b. Geben Sie im Feld Benutzergruppe für Berechtigungsprüfung den Wert SUPERan.
c. Sichern Sie Ihre Eingaben.
5. Schränken Sie die Berechtigungen der Administratoren ggf. noch weiter ein:
○ Mit den Berechtigungsobjekten S_USER_AGR, S_USER_TCD und S_USER_VAL können Sie die Rollen der Administratoren weiter differenzieren.
○ Beim Benutzeradministrator können Sie die Berechtigung noch auf bestimmte Benutzergruppen einschränken.
○ Beim Profiladministrator können Sie weitere Berechtigungsobjekte herausnehmen, z. B. für HR-Daten. Wollen Sie Ihre generierten Berechtigungsprofile mit anderen Buchstaben als „T“ beginnen lassen, so müssen Sie das beim Profiladministrator berücksichtigen.