Mehrere Berechtigungsobjekte zu einer Tabelle
Die Frage ist als "gelöst" markiert. Den entsprechend Beitrag findest du hier.
4 Beiträge
•
Seite 1 von 1
4 Beiträge
Seite 1 von 1
Hallo liebe Gemeinde,
ich möchte euch zunächst die Situation schildern:
In unserem Unternehmen werden häufiger Berechtigungen für die Transaktion SQVI (Quickviewer) beantragt, meist aus dem Controlling oder einer Tochtergesellschaft.
Da es aber kritisch ist, diese Transaktion zu vergeben, da alle Tabellen damit ausgewertet werden könnten, suchen wir nach einer möglichen Lösung, dies einzuschränken.
Folgendes ist bekannt bzw. konnte herausgefunden werden:
- Das Berechtigungsobjekt S_TABU_DIS schränkt den Zugriff auf Tabellen ein.
-> leider können hier keine einzelnen Tabellen angegeben werden, sondern nur Tabellenberechtigungsgruppen (im folgenden TBG).
- Diese TBGs können mit Hilfe der SE16 ausgelesen werden, indem man die Tabelle TDDAT aufruft.
- Mit Hilfe der SE54 können sowohl TBGs angelegt, als auch Tabellen zu TBGs zugeordnet oder umgehangen werden.
Unser Problem:
Es nützt leider nichts, den Zugriff über das Berechtigungsobjekt S_TABU_DIS einzuschränken, da die in SAP hinterlegten TBGs viel zu umfassend sind.
Für einen Bereich müssten 46 Tabellen "freigeschaltet" werden, mehr sollen aber nicht ausgelesen werden können! Diese Tabellen befinden sich in mehreren TBGs. Alleine eine dieser Gruppen hat aber über 900 Tabellen im "Bauch".
Daher hatten wir die Überlegung, diese 46 Tabellen in eine neu erstellte TBG (ZCON) zu stecken, um dann einfach über S_TBAU_DIS die Aktivität 03 und die TBG ZCON zu vergeben.
Da die Tabellen zum größten Teil aber bereits in TBGs sind und wir nicht das Risiko eingehen wollen, bereits vorhandene Berechtigungen anderer Bereiche zu zerschießen, wollten wir diesen Tabellen einfach eine zusätzliche TBG zuweisen. Dies ist in anderen Bereichen eine gängige Methode (zum Beispiel beim Zusammenspiel von NTFS- Rechten und Benutzergruppen im Windowsdomänenumfeld) und wäre auch eine sehr flexibele Lösung, da bei Bedarf einfach zusätzliche Tabellen zugeordnet werden könnten und bestehende Berechtigungen anderer Bereiche nicht zunichte gemacht werden würden.
Wenn man nun also in der SE54 den Radiobutton ,,Zuordnung Berecht.gruppe´´ auswählt und auf den Button Anlegen/Ändern klickt, beide Häkchen setzt, die entsprechende Tabelle wählt und bestätigt kommt man in den entsprechenden Dialog. Hier kann man nun der Tabelle die entsprechende TBG hinterlegen bzw. ändern. Wenn man nun aber versucht über den Button Neue Einträge, der Tabelle eine zweite TBG zuzuweisen, bekommt man folgende Fehlermeldung:
Es ist schon ein Eintrag mit gleichem Schlüssel vorhanden
Nun endlich zur Frage:
Gibt es eine Möglichkeit, einer Tabelle mehrere TBGs zuzuordnen?
Oder habt Ihr vielleicht Alternativvorschläge, wie man dieses Problem lösen kann?
Ich hoffe ich habe nicht zu weit ausgeholt und alles verständlich dargelegt.
Für Eure Bemühungen bedanke ich mich bereits jetzt und verbleibe,
mit freundlichen Grüßen
Dennis
ich möchte euch zunächst die Situation schildern:
In unserem Unternehmen werden häufiger Berechtigungen für die Transaktion SQVI (Quickviewer) beantragt, meist aus dem Controlling oder einer Tochtergesellschaft.
Da es aber kritisch ist, diese Transaktion zu vergeben, da alle Tabellen damit ausgewertet werden könnten, suchen wir nach einer möglichen Lösung, dies einzuschränken.
Folgendes ist bekannt bzw. konnte herausgefunden werden:
- Das Berechtigungsobjekt S_TABU_DIS schränkt den Zugriff auf Tabellen ein.
-> leider können hier keine einzelnen Tabellen angegeben werden, sondern nur Tabellenberechtigungsgruppen (im folgenden TBG).
- Diese TBGs können mit Hilfe der SE16 ausgelesen werden, indem man die Tabelle TDDAT aufruft.
- Mit Hilfe der SE54 können sowohl TBGs angelegt, als auch Tabellen zu TBGs zugeordnet oder umgehangen werden.
Unser Problem:
Es nützt leider nichts, den Zugriff über das Berechtigungsobjekt S_TABU_DIS einzuschränken, da die in SAP hinterlegten TBGs viel zu umfassend sind.
Für einen Bereich müssten 46 Tabellen "freigeschaltet" werden, mehr sollen aber nicht ausgelesen werden können! Diese Tabellen befinden sich in mehreren TBGs. Alleine eine dieser Gruppen hat aber über 900 Tabellen im "Bauch".
Daher hatten wir die Überlegung, diese 46 Tabellen in eine neu erstellte TBG (ZCON) zu stecken, um dann einfach über S_TBAU_DIS die Aktivität 03 und die TBG ZCON zu vergeben.
Da die Tabellen zum größten Teil aber bereits in TBGs sind und wir nicht das Risiko eingehen wollen, bereits vorhandene Berechtigungen anderer Bereiche zu zerschießen, wollten wir diesen Tabellen einfach eine zusätzliche TBG zuweisen. Dies ist in anderen Bereichen eine gängige Methode (zum Beispiel beim Zusammenspiel von NTFS- Rechten und Benutzergruppen im Windowsdomänenumfeld) und wäre auch eine sehr flexibele Lösung, da bei Bedarf einfach zusätzliche Tabellen zugeordnet werden könnten und bestehende Berechtigungen anderer Bereiche nicht zunichte gemacht werden würden.
Wenn man nun also in der SE54 den Radiobutton ,,Zuordnung Berecht.gruppe´´ auswählt und auf den Button Anlegen/Ändern klickt, beide Häkchen setzt, die entsprechende Tabelle wählt und bestätigt kommt man in den entsprechenden Dialog. Hier kann man nun der Tabelle die entsprechende TBG hinterlegen bzw. ändern. Wenn man nun aber versucht über den Button Neue Einträge, der Tabelle eine zweite TBG zuzuweisen, bekommt man folgende Fehlermeldung:
Es ist schon ein Eintrag mit gleichem Schlüssel vorhanden
Nun endlich zur Frage:
Gibt es eine Möglichkeit, einer Tabelle mehrere TBGs zuzuordnen?
Oder habt Ihr vielleicht Alternativvorschläge, wie man dieses Problem lösen kann?
Ich hoffe ich habe nicht zu weit ausgeholt und alles verständlich dargelegt.
Für Eure Bemühungen bedanke ich mich bereits jetzt und verbleibe,
mit freundlichen Grüßen
Dennis
gesponsert ⓘ
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten
kostenfrei für Ausbildungsberufe und Werksstudenten
Schau dir mal Hinweis 1481950 an.
Hier wird das Objekt S_TABU_NAM eingeführt.
Bin mir aber nicht sicher, inwiefern dies in der SQVI verwendet wird. bzw. eingebaut werden kann.
/OT: Kann den Hinweis leider nicht als PDF-Datei anhängen:
Das Kontingent für Dateianhänge ist bereits vollständig ausgenutzt.
Vielleicht kann sich hier mal jemand drum kümmern??
Hier wird das Objekt S_TABU_NAM eingeführt.
Bin mir aber nicht sicher, inwiefern dies in der SQVI verwendet wird. bzw. eingebaut werden kann.
/OT: Kann den Hinweis leider nicht als PDF-Datei anhängen:
Das Kontingent für Dateianhänge ist bereits vollständig ausgenutzt.
Vielleicht kann sich hier mal jemand drum kümmern??
Beitrag
von Alexander D. (Expert / 682 / 30 /
84
)
»
bekomme die Meldung "Das Kontingent für Dateianhänge ist bereits vollständig ausgenutzt." ebenfalls. Scheint eher ein Forum-Problem zu sein...
den Hinweis findet man aber auch so im Netz: http://www.stechno.net/sap-notes.html?v ... id=1481950
den Hinweis findet man aber auch so im Netz: http://www.stechno.net/sap-notes.html?v ... id=1481950
Folgende Benutzer bedankten sich beim Autor Alexander D. für den Beitrag:
onSPEED
schöne Grüße
Alexander
ECC 6.0 EHP 7
Alexander
ECC 6.0 EHP 7
Hallo Ihr beiden,
vielen Dank für die schnellen und konstruktiven Antworten.
Der Hinweis klingt schon mal sehr vielversprechend!
Ich werde mal nachsehen, ob der bei uns schon eingespielt ist und falls nicht Ihn einspielen lassen.
Ich melde mich auf jeden fall noch einmal, sobald ich weitere Erkenntnisse gewonnen habe!
Edit:
So nun wie versprochen meine neu erlangten Erkenntnisse.
Es ist vielleicht noch nicht die eleganteste Lösung, aber es scheint zu funktionieren:
1. den Programmnamen der Transaktion SQVI (SAPMS38R) notieren
2. in der SE93 zu SAPMS38R eine neue Transaktion (ZSQVI_S) anlegen
3. in der SU24 der Transaktion ZSQVI_S das Berechtigungsobjekt S_TABU_NAM zum prüfen hinterlegen
4. Berechtigungsrolle für diese Transaktion erstellen und S_TABU_NAM entsprechend ausprägen
So war mein vorgehen.
Zunächst sah es jedoch so aus als würden die Aktionen nichts bewirkt haben. Denn nach dem ich mit einem Testuser die ZSQVI_S öffnete, konnte ich im Tabellenjoin auch Tabellen auswählen, auf die ich gar keine Berechtigungen hatte. Anschließend konnte ich Felder aus den Tabellen zur Ausgabe, Sortierung und Selektion markieren und den Quickview speichern.
Allerdings war es beim ausführen des Quickviews dann nicht möglich, tatsächlich Daten anzuzeigen. Es wurde die Fehlermeldung ausgegeben: "Sie haben keine Berechtigung zum Lesen der Tabelle XYZ"
Das Heißt der Zugriff wurde verweigert
, wenn auch zu einem späteren Zeitpunkt als erwartet.
Also vielen Dank noch mal für eure Hilfe!!! 
vielen Dank für die schnellen und konstruktiven Antworten.
Der Hinweis klingt schon mal sehr vielversprechend!
Ich werde mal nachsehen, ob der bei uns schon eingespielt ist und falls nicht Ihn einspielen lassen.
Ich melde mich auf jeden fall noch einmal, sobald ich weitere Erkenntnisse gewonnen habe!
Edit:
So nun wie versprochen meine neu erlangten Erkenntnisse.
Es ist vielleicht noch nicht die eleganteste Lösung, aber es scheint zu funktionieren:
1. den Programmnamen der Transaktion SQVI (SAPMS38R) notieren
2. in der SE93 zu SAPMS38R eine neue Transaktion (ZSQVI_S) anlegen
3. in der SU24 der Transaktion ZSQVI_S das Berechtigungsobjekt S_TABU_NAM zum prüfen hinterlegen
4. Berechtigungsrolle für diese Transaktion erstellen und S_TABU_NAM entsprechend ausprägen
So war mein vorgehen.
Zunächst sah es jedoch so aus als würden die Aktionen nichts bewirkt haben. Denn nach dem ich mit einem Testuser die ZSQVI_S öffnete, konnte ich im Tabellenjoin auch Tabellen auswählen, auf die ich gar keine Berechtigungen hatte. Anschließend konnte ich Felder aus den Tabellen zur Ausgabe, Sortierung und Selektion markieren und den Quickview speichern.
Allerdings war es beim ausführen des Quickviews dann nicht möglich, tatsächlich Daten anzuzeigen. Es wurde die Fehlermeldung ausgegeben: "Sie haben keine Berechtigung zum Lesen der Tabelle XYZ"
Das Heißt der Zugriff wurde verweigert
, wenn auch zu einem späteren Zeitpunkt als erwartet.Also vielen Dank noch mal für eure Hilfe!!!
Seite 1 von 1
Vergleichbare Themen
3
Antw.
Antw.
6253
Views
Views
0
Antw.
Antw.
1534
Views
Views
Berechtigungsobjekte im eigenen Kundennamensraum
von Thomas R. » 31.10.2007 09:09 • Verfasst in Basis
von Thomas R. » 31.10.2007 09:09 • Verfasst in Basis
4
Antw.
Antw.
4020
Views
Views
Benutzer -> Berechtigungsobjekte Standardfunktionalitäten
von Circ » 14.05.2014 13:59 • Verfasst in ABAP® Core
von Circ » 14.05.2014 13:59 • Verfasst in ABAP® Core
0
Antw.
Antw.
1007
Views
Views
Berechtigungsobjekte S_IWB, S_IWB_ATTR und S_IWB_ADM
von HeRaider » 20.12.2007 08:50 • Verfasst in Basis
von HeRaider » 20.12.2007 08:50 • Verfasst in Basis
0
Antw.
Antw.
1773
Views
Views
Übersicht kritischer Berechtigungsobjekte in ECC 6.0 EHP7
von Alexander D. » 13.01.2015 14:47 • Verfasst in Basis
von Alexander D. » 13.01.2015 14:47 • Verfasst in Basis
Frage die ABAP Experten
Über diesen Beitrag
Die Frage ist als "gelöst" markiert. Den entsprechend Beitrag findest du hier.
Unterstütze die Community und teile den Beitrag für mehr Leser und Austausch
Aktuelle Forenbeiträge
Newsletter Anmeldung
Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.Die letzte Ausgabe findest du hier.