Sonderbenutzer schützen
SAP NetWeaver AS for ABAP legt die Standardbenutzer SAP*, DDIC, EARLYWATCH, TMSADM und SAPCPIC während des Installationsprozesses in den Mandanten an, wie in der nachfolgenden Tabelle beschrieben.
| Benutzer | Beschreibung | Mandant | Standardkennwort |
|---|---|---|---|
| SAP* | System-Super-User des SAP NetWeaver AS | 000, 001, alle neuen Mandanten | Master-Kennwort wird während der Installation gesetzt. Hardcodiertes Kennwort, wenn SAP* nicht im Mandanten existiert: PASS. |
| DDIC | Super-User des ABAP Dictionary und der Softwarelogistik | 000, 001 | Master-Kennwort wird während der Installation gesetzt. |
| EARLYWATCH | Dialogbenutzer für den Early-Watch-Service in Mandant 066 | 066 | Master-Kennwort wird während der Installation gesetzt. |
| SAPCPIC | Benutzer für entfernte Verbindungen zu SAP-Legacy-Systemen (4.5) | 000, 001, alle neuen Mandanten | ADMIN |
| TMSADM | Benutzer für Transport Management System (TMS) | 000 | Master-Kennwort wird während der Installation gesetzt. |
SAP empfiehlt Ihnen, die folgenden Kriterien zum Schutz der Standardbenutzer regelmäßig zu überprüfen.
Pflegen Sie die Übersicht Ihrer Mandanten und stellen Sie sicher, dass keine unbekannten Mandanten existieren.
Stellen Sie sicher, dass SAP* vorhanden ist und in allen Mandanten deaktiviert wurde.
Stellen Sie sicher, dass die Standardkennwörter für SAP*, DDIC und EARLYWATCH geändert wurden.
Stellen Sie sicher, dass diese Benutzer in allen Mandanten zu der Gruppe SUPER gehören.
Sperren Sie die Benutzer SAP*, DDIC und EARLYWATCH. Entsperren Sie sie nur, wenn es unbedingt erforderlich ist.
Standardmäßig wird der Benutzer DDIC für den Transport des Hintergrundjobs (RDDIMPDP) eingerichtet. SAP empfiehlt Ihnen, einen anderen Benutzer für diesen Job einzurichten, damit Sie DDIC sperren können.
Der Benutzer benötigt die Berechtigungen SAP_ALL und S_A.SYSTEM, weil der Job Funktionsbausteine für mehrere Anwendungen aufruft, die zuvor nicht für alle Falle bestimmt werden können.
Legen Sie den Benutzer als Systembenutzer an, damit ihn niemand als Dialogbenutzer verwenden kann.
Legen Sie den Benutzer in allen Mandanten an, die für den Import verwendet werden.
Passen Sie den Job RDDIMPDP so an, dass der neue Benutzer der Eigentümer ist (in Transaktion SM37).
Löschen Sie SAPCPIC, wenn Sie es nicht benötigen. Stellen Sie zumindest sicher, dass Sie das Standardkennwort für SAPCPIC geändert haben.
Weitere Informationen finden Sie unter Berechtigungen in der Versionsverwaltung.
Ändern Sie das Standardkennwort von TMSADM.
Weitere Informationen finden Sie unter Kennwort des Benutzers TMSADM ändern.
Um herauszufinden, welche Mandanten in Ihrem System vorhanden sind, verwenden Sie in der Transaktion SA38 den Report RSAUDIT_SYSTEM_STATUS oder starten Sie Sicht "Mandanten" anzeigen: Übersicht (Transaktion SCC4).
Sie stellen sicher, dass der Benutzer SAP* in allen Mandanten angelegt wurde und die Standardkennwörter für SAP*, DDIC, SAPCPIC, TMSADM und EARLYWATCH geändert wurden, indem Sie den Report RSUSR003 ausführen.