Show TOC

Dokumentation zur VorgehensweiseBenutzer SAP* vor unberechtigtem Zugriff schützen Dieses Dokument in der Navigationsstruktur finden

 

Um sicherzustellen, dass sich niemand unberechtigten Zugriff mit dem Standardbenutzer SAP* verschafft, definieren Sie einen neuen Super-User und deaktivieren SAP* in allen Mandanten, die in Tabelle T000 aufgelistet sind.

Achtung Achtung

Löschen Sie den Benutzer SAP* nicht! SAP* liegt in AS-ABAP-Systemen hartcodiert vor und benötigt keinen Benutzerstammsatz! Wenn kein Benutzerstammsatz für SAP* in einem Mandanten existiert, kann sich jeder an den AS ABAP als Benutzer SAP* anmelden und das weithin bekannte Kennwort PASS verwenden. In diesem Fall wird SAP* keinen Berechtigungsprüfungen unterzogen und verfügt über alle Berechtigungen. Deswegen sollten Sie SAP* von keinem Mandanten löschen.

Die Gefahr des automatischen Anlegens von SAP* wird durch den Profilparameter login/no_automatic_user_sapstar verringert. Der Parameter ist standardmäßig aktiviert. Das Löschen des Benutzerstammsatzes SAP* aktiviert nicht automatisch den hartcodierten Benutzer SAP*, wenn dieser Profilparameter gesetzt ist. Das Zurücksetzen des Parameters auf den Wert 0 würde jedoch erneut die Anmeldung mit SAP* und dem Kennwort PASS ermöglichen und damit uneingeschränkte Systemberechtigungen gewähren.

Weitere Informationen finden Sie im SAP-Hinweis 68048.

Ende der Warnung.

Voraussetzungen

Sie kennen alle Mandanten in Ihrem System (Tabelle T000). Um festzustellen, welche Mandanten in Ihrem System vorhanden sind, verwenden Sie in der Transaktion SA38 den Report RSAUDIT_SYSTEM_STATUS oder starten Sie Sicht „Mandanten“ anzeigen: Übersicht (Transaktion SCC4).

Vorgehensweise

  1. Legen Sie für den neuen Super-User einen Stammsatz des Typs Service an.

  2. Weisen Sie diesem Super-User eine Notfallrolle mit Berechtigung für die Benutzerverwaltung zu.

    Beispielsweise ordnen Sie dem Benutzer die Berechtigungen für den Zugriff auf Benutzer pflegen (Transaktion SU01) und Rollenpflege (Transaktion PFCG) zu. Ihr Notfallbenutzer kann Benutzer entsperren oder neu anlegen und Berechtigungen zuweisen. Ein Beispiel für eine Notfallrolle wird Ihnen von SAP zur Verfügung gestellt.

    Weitere Informationen finden Sie im SAP-Hinweis 76829.

  3. Ändern Sie das initiale Kennwort des Benutzers.

    Empfehlung Empfehlung

    Stellen Sie sicher, dass nur eine begrenzte Anzahl von Personen Zugriff auf das Kennwort dieses Benutzers hat. Generieren Sie ein Kennwort mit 40 Zeichen, notieren Sie es, hinterlegen Sie es an einem sicheren Platz und verwenden Sie es ausschließlich in Notfällen! Falls Sie diesen Super-User verwenden müssen, geben Sie Ihren eigenen Benutzer als Referenzbenutzer auf dem Register Rollen ein und ändern Sie das Kennwort nach Verwendung erneut. Die Eingabe eines Referenzbenutzers hilft, einen Audit Trail für den Notfallbenutzer zu erstellen.

    Ende der Empfehlung.

    Hinweis Hinweis

    Um Probleme mit dem Berechtigungspuffer zu vermeiden, muss ein anderer Administrationsbenutzer den Funktionsbaustein SUSR_USER_BUFFER_AFTER_CHANGE in Transaktion SE37 nach jeder Verwendung des Notfallbenutzers ausführen. Geben Sie für Ihren Notfallbenutzer im Feld Profil die Zahl 3 ein.

    Ende des Hinweises

  4. Wenn kein Benutzerstammsatz für SAP* in einem Mandanten existiert, legen Sie einen Benutzerstammsatz SAP* an.

  5. Ordnen Sie die Benutzergruppe SUPER SAP* (in allen Mandanten) zu, um sicherzustellen, dass nur berechtigte Administratoren den Benutzerstammsatz ändern können.

  6. Deaktivieren Sie alle Berechtigungen für SAP* in allen Mandanten, mit Ausnahme von denen, die für die SAP Lizenzverwaltung (Transaktion SLICENSE erforderlich sind. Löschen Sie alle Profile in der Profilliste und legen Sie anschließend eine Rolle ausschließlich mit der SAP Lizenzverwaltung an und weisen Sie sie zu.

Hinweis Hinweis

Wenn Sie auch danach keinen Zugriff auf Ihr System erhalten, wenden Sie sich an den SAP Support.

Ende des Hinweises