1、YOLANDAV李 偉Modify By Olivia內部教材CONFIDENTIAL 綜述 權限維護的內部規定 權限設定的常規方法 權限檢查 權限的設定非常重要，其調試也非常繁瑣，需要異常謹慎 原則上權限的設定是不允許在生產機上直接做的，需要在開發機上測試成功之后傳到生產機上 權限的變更必須要申請，審批完成之后方可維護 權限維護人員是最終在系統中維護權限的，如果對user的權限設定的不合理，有權退回 權限維護過程中必須對其進行記錄Role template -Description -Menu -Authorizations Authorization profile -Object cla

2、ss -Authorization object -Authorizations .Assign toBind withAssign toSAP User account -Address -Logon data -Group . . . . . . . . . . . . 名詞解釋英譯中） User account就是我們平常說的“帳號”也稱為“USER ID”。 Role同類的USER使用SAP的目的和常用的功能都是類似的例如業務一定需要用到開S/O的權限。當我們把某類USER需要的權限都歸到一個集合中這個集合就是“職能”(Role)。所謂的“角色或者“職能”是sap4.0才開始有的概念其

3、實就是對user的需求進行歸類使權限的設定更方便。(面向對象的權限!)分為single role 和 composite role兩種后者其實是前者的集合。 Profile: 真正記錄權限的設定的文件從sap4.0開始是與Role綁定在一起的。雖然在sap4.6c還可以單獨存在但按sap的行為推測以后將不能“一個人活著” Template Role:Role的模板一般是single role.但這個模板具有一個 強大的功能能通過更改模板而更改所有應用(sap稱為Derive“繼承”）此模板的Role(sap稱之為adjust) 以“Z+”開頭都是User Role,直接assign給user

4、id。 Z+module+英文描述 以“sap+”開頭都是system Role,特殊情況下可參考 系統中幾個特殊的角色： Z_COMMON_FOR_ALL_USERS Z_SAP_ALL Z_SAP_ALL_1 上面說過權限的大架構由User ID, Role, Profile 三層組成那么權限的設定自然也會有三層。但由于sap4.6是Profile與Role是捆綁在一起的所以在建立Role的時候Profile是會自動創建的具體見后文）。而User ID的建立比較簡單。所以我將主要說明Role的部分。 T CODE SU01 單擊建立圖標2輸入要創建的User ID1填好這些欄目在某些用戶用

5、SAP系統打印時，需要輸出這些信息，比如采購部門設定用戶組設定初始密碼有效期一般不設定別名一般當公司多了后，要把用戶分成不同的用戶組一般是自己公司設定好的標準菜單輸出設備是執行打印功能時，所用的打印機所有用戶共有接著按save就把USER ID創建好了USER ID創建好了下面我們看看如何建Role。 新創建建Role主要有三種方式。T CODE PFCG 1.由始至終新建; 2.繼承; 3.復制COPY）輸入Role name注意選第二項描述一般與Role name一致記錄此Role的創建者記錄此Role的最后修改者把描述填好后按save然后點擊menu頁簽建立新目錄修改TEXT項目下移項目

6、上移刪除項目手動增加T code從SAPMenu中增加T code從其他Role中Copy Menu這些是常用的功能Menu頁簽定義的是USER MENU個人化菜單的內容。請大家按圖所示建立目錄 第一層是職能這里是EXCEPTION下面分“標準”(Standark)和 “外掛” (Add On) 兩個目錄 。讓菜單保持清晰可以令User的個人菜單清楚不混亂。我們MIS檢查權限也比較方便。OBJECT完全沒有給值OBJECT只有部分給值OBJECT已經全部有值請注意綠燈只是表示全部有值而已但不一定就是我們所需要的值這時標準T code所需要的Object系統會自動帶出來。 這個Object是任何

7、權限設定文件中都應該有的這是給予啟動T code的權限如果T code沒有出現在這個列表中user連這個指令的畫面都無法進入對Org.Level都給值之后會發現相當一部分的Object value都已經給值了但還有一些Object是紅燈或者是黃燈這些Object是要單獨給值的。按一下 標志就可以輸入值按 保管在這里介紹一下 的作用點擊它就相當於給這個Object一個 “*”(star)“*”的意義是All Authorization不卡任何權限。Object給值后就變成綠色 不能點擊了。如果是外掛的T code就只能用“直接添加的方式加入到菜單中需要注意的是外掛的T code的Object不會

8、自動帶出來需要自己手工添加。按 點擊Y-AUTH-PRT前的 變為 后按屏幕上方的 插入Object. 注意外掛的T code除了前面所說的列表中要有外這里框住的地方要給T code否則user還是不會有權限 都給好值后按 保管按“勾”。 然后按 激活。退出。 Authorization已經變成綠燈這表示權限的設定已經可用了。 點擊USER,Assign USER ID 給這個Role點擊 USER COMPARE 再點擊Complete compare就完成了COMPARE。至此此權限已經Assign完畢FORTEST這個帳號已經具有VA01和YF30的權限大家注意這個地方建立“繼承關系就是

9、靠這里了執行菜單Edit中的Copy data,系統會提示這個操作不可反轉。按“勾繼續 ,執行完畢后我們會看到許多Object 已經變成綠燈了。當所有權限其實只是設定Org.level)都設定完畢后按 激活設定Assign給USER ID,就完成了。一開始當然是進入PFCG了先把Template Role名輸進去然后按COPY按鈕紅色框住的都是要填入值的地方最好先填完Org.level 與其它方式建立的Role一樣,當所有權限都設定完畢后按 激活設定Assign給USER ID一個Role就設定完成了 1.Merge 2.新增/刪除T Code 3.從其它Role導入 4.Adjust 紅框框

10、住的兩個Object,是同樣的Object,而且其Value又是第一個包含第二個。 上頁紅框里的兩項被合并了。選擇菜單Utilities里的Merge 當我們要處理的Role A與某個Role B的設定十分相似可以通過Insert功能把Role B的Object設定導入到Role A中。請留意實際上是導入Profile哦所以一般還要去看Role B的Profile Name不是很方便。 需要注意的是這樣導入進去的Object的設定都跟Role B的一樣一定要把其中對Role A不適用的部分更正過來。對Role B不熟悉不要亂用這功能哦。 還是那句老話欲速不達不熟的事沒有把握的事一定要謹慎。 A

11、djust是專門針對存在繼承關系的母子Role的一項功能。 在一章我們學習到從子Role可以通過Copy Data從母Role得到Object Value。 現在我們看看從母Role傳送Object Value到子Role的功能Adjust。 用Display模式進入Template Role的Profile選擇菜單上的Generate derived roles即可。從操作來看十分簡單。 注不要用Change進入Template Role否則Adjust會造成Template Role本身最后修改日期和最后修改人發生改變對查對權限產生誤會 簡單比較Copy Data 和 Adjust從子Ro

12、le發出Copy Data僅影響執行此功能的子Role其它繼承同一母Role的子Role不受影響同一Client下所有繼承此母Role的子Role均受影響從母Role發出Adjust 在PFCG的開始畫面可以看到。 由于單個Role的傳送比大批量的傳送從操作上來說要簡單而且類似所以我們重點說大批量傳送的操作。大批量的傳輸單個Role的傳輸如果這個Role第一次傳輸這里一定要打勾否則傳輸到其它client后會沒有Assign到User ID。但如果不是第一次傳輸請不要打勾因為只要打了勾就要到目標的Client端去做一次Compare的動作權限才能激活沒有起用 如果要新建一個Request按 其他

13、的傳輸操作同程序的傳輸如果現在已經有一個還沒有Release的可用的Request Num請在這里輸入然后打勾 單個Role的傳輸Request Num產生的過程與打批量的相似只是開始不一樣而已。 單個傳輸直接Key Role名字按 按鈕其它操作就一樣了 在PFCG中填好Role的名字按 按鈕確認即可把Role及其專屬Profile刪除。 請注意如果需要利用傳輸功能在多個環境中刪除Role一定要按以下順序進行 1.對Role產生傳輸的Request Num 2.刪除本環境的Role 3.Release;(此時本環境中已經沒有這個Role了） 4.傳輸帳號User ID的刪除操作也十分簡單在SU

14、01中輸入帳號名稱按 就可以了刪除一個帳號后為其專設的Role即Z或W開頭的也要刪除包括測試和正式環境）減少系統無用的資料也減少不必要的查對。或許有人會認為保留這些Role雖然占用一點硬盤但如果以后這個帳號再次起用不就可以不用重設權限嗎這個理由咋看起來很有道理。實際上USER一旦決定刪除某個帳號在相當長的時間內都不會再起用一個 帳號的費用不菲決定不會輕易下的）在經過長時間后即使需要再次起用其權限需求也要重新審視與其把其新需求與舊有設定一項一項對比修改還不如重新設定來得方便快捷而且更安全。 有一些工具對權限的問題處理很有幫助1.SU532.SUIM 雖然還有一些其它工具但一般很少用或者不實用這里

15、就不介紹了。 當一個帳號反映沒有某個應有的權限時我們可以在系統出現沒有權限的信息時馬上輸入“/NSU53” 上頁紅色框住的就是沒有權限的地方 而藍色框住的是跟這個帳號已經有的權限。 但是請注意SU53給出的信息并不詳細大部分情況只能作為一個大方向的參考有時還可能指示不出來問題所在。 但無論如何有一個 參考總比沒有好。 SUIM其實就是Information 系統的一個集合界面。 我們最常用的功能是 已知某個T Code查找含有這個T Code的Role。 輸入T Code后執行就可以得到含有這個T code的Role的列表。 請注意其判斷條件是Role的Menu而不是Profile Object的狀態Standard/Manually/Maintained/Changed 當我們用第三項進入一個Profile的