Überprüfung SAP-Berechtigungen durch Wirtschaftsprüfer
8 Beiträge
•
Seite 1 von 1
8 Beiträge
Seite 1 von 1
Beitrag
von Matthias_L. (Specialist / 226 / 0 /
0
)
»
Hallo Forum,
bei uns hat sich ein Wirtschaftsprüfer angekündigt und will das Berechtigungskonzept und kritische Berechtigungen überprüfen.
Was ist denn aus Eurer Sicht wichtig zu prüfen, bevor der Prüfer kommt ?
1. SAP_ALL - wer hat dieses Profil mit evtl. Erläuterung
2. Prüfung, wer Entwicklungsberechtigungen hat
3. Prüfung, wer Benutzerpflegeberechtigungen hat
4. S_TABU_DIS - wer hat dieses Objekt mit Anlegen/Ändern Aktivität für welche Berechtigungsgruppen ?
Danke + Gruß
Matthias
bei uns hat sich ein Wirtschaftsprüfer angekündigt und will das Berechtigungskonzept und kritische Berechtigungen überprüfen.
Was ist denn aus Eurer Sicht wichtig zu prüfen, bevor der Prüfer kommt ?
1. SAP_ALL - wer hat dieses Profil mit evtl. Erläuterung
2. Prüfung, wer Entwicklungsberechtigungen hat
3. Prüfung, wer Benutzerpflegeberechtigungen hat
4. S_TABU_DIS - wer hat dieses Objekt mit Anlegen/Ändern Aktivität für welche Berechtigungsgruppen ?
Danke + Gruß
Matthias
gesponsert ⓘ
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten
kostenfrei für Ausbildungsberufe und Werksstudenten
Hallo,
es gibt noch weitere zum Beispiel: wer kann Lieferant anlegen/ändern
Bestellung anlegen/ändern und auch nochRE-buchen und und .
Eine besondere Gruppe sind auch Azubis die beim durchgang durch den
Betrieb evtl. mehr Berechtigungen haben als viele ander MA.
Gruß Wolfgang
es gibt noch weitere zum Beispiel: wer kann Lieferant anlegen/ändern
Bestellung anlegen/ändern und auch nochRE-buchen und und .
Eine besondere Gruppe sind auch Azubis die beim durchgang durch den
Betrieb evtl. mehr Berechtigungen haben als viele ander MA.
Gruß Wolfgang
Beitrag
von Arno Simon (ForumUser / 84 / 0 /
1
)
»
Es gilt aber auch den WP daran zu hindern pauschal allen Benutzern SAP_ALL & SAP_NEW zu entziehen! Es gibt gewisse Systembenutzer wie z.B. WF-BATCH (oder wie der Benutzer für die Batchbearbeitung von Workflows bei Euch heißt), die in der Regel WF-BATCH benötigen! Auch wenn nur einige Bereiche über Workflows beackert werden, benötigt dieser Benutzer z.B. weitreichendere Berechtigungen.
Ein Kollege hat mal einer anderen Mitarbeiterin und mir 2 Monate Arbeit beschert... Er hatte WF-BATCH eben jene Berechtigungen entzogen und somit den gesamten Unternehmensverkehr per WF lahmgelegt - innerhalb von 5 Minuten für rd. 1 Woche!
vG
Arno
Ein Kollege hat mal einer anderen Mitarbeiterin und mir 2 Monate Arbeit beschert... Er hatte WF-BATCH eben jene Berechtigungen entzogen und somit den gesamten Unternehmensverkehr per WF lahmgelegt - innerhalb von 5 Minuten für rd. 1 Woche!
vG
Arno
Hallo Matthias!
Bei uns war auch mal 1998 so ein netter Herr (der noch mehr geprüft hat).
Hier so einige Punkte (eventuell jetzt veraltet): SAP* wird mit unbegrenzten Rechten neu erstellt, wenn er gelöscht wird (login/no:automatic_user_sapstar=0)
Standardpasswörter für SAPCPIC, EARLY-WATCH,DDIC nicht geändert
USER-IDs für Trainees haben keine eindeutig zuordenbare Bezeichnung
USER-IDs für externe Berater sind keiner User-Group zugeordnet
Antragsformulare für Änderungen von User-IDs sind nicht nach Benutzername oder User-ID geordnet
keine Trennung von Benutzer- und Profil/AGR-Pflege
User haben uneingeschränkten Zugriff
User für externen Berater nicht gelöscht, obwohl die Arbeit beendet wurde
gemeinsame Nutzung einer User-ID
viele User, welche Änderungsbelege pflegen können
wer kann SCCO,SCC",SCC5
Nutzer haben Berechtigung für XXL-Listviewer und können damit Daten herunterladen (PAR1, PAR2 bei HR)
Nutzung von Standardprofilen (SAP_ALL, S_A.SYSTEM, P_BAS_ALL)
Benutzer sind in der Lage, den Report RPUDELN (den gibt es nicht mehr) zu starten und können dadurch Personalnummern löschen
Berechtigungen BATCH-INPUT-Mappen
Zugriff auf fremde SPOOL-Aufträge
Viele Grüße und viel Glück
Wilfried
Bei uns war auch mal 1998 so ein netter Herr (der noch mehr geprüft hat).
Hier so einige Punkte (eventuell jetzt veraltet): SAP* wird mit unbegrenzten Rechten neu erstellt, wenn er gelöscht wird (login/no:automatic_user_sapstar=0)
Standardpasswörter für SAPCPIC, EARLY-WATCH,DDIC nicht geändert
USER-IDs für Trainees haben keine eindeutig zuordenbare Bezeichnung
USER-IDs für externe Berater sind keiner User-Group zugeordnet
Antragsformulare für Änderungen von User-IDs sind nicht nach Benutzername oder User-ID geordnet
keine Trennung von Benutzer- und Profil/AGR-Pflege
User haben uneingeschränkten Zugriff
User für externen Berater nicht gelöscht, obwohl die Arbeit beendet wurde
gemeinsame Nutzung einer User-ID
viele User, welche Änderungsbelege pflegen können
wer kann SCCO,SCC",SCC5
Nutzer haben Berechtigung für XXL-Listviewer und können damit Daten herunterladen (PAR1, PAR2 bei HR)
Nutzung von Standardprofilen (SAP_ALL, S_A.SYSTEM, P_BAS_ALL)
Benutzer sind in der Lage, den Report RPUDELN (den gibt es nicht mehr) zu starten und können dadurch Personalnummern löschen
Berechtigungen BATCH-INPUT-Mappen
Zugriff auf fremde SPOOL-Aufträge
Viele Grüße und viel Glück
Wilfried
Wir sind lustig und haben es gar nicht nötig!
Hallo,
wie diko schon erwähnte, der Report RSUSR005 bzw. die TA SUIM, dazu würde ich aber noch den RSUSR003 (Standardpasswörter) nehmen.
Die Systemänderbarkeit sollte natürlich auf Produktion nicht gegeben sein.
Auch werden gerne die Profilparameter des Systems geprüft, z.B.
login/fails_to_user_lock nach wieviel Fehlversuchen wird User gesperrt
login/min_password_lng Mindestlänge des Passwortes
login/password_expiration_time muss nach best. Zeit ein neues gesetzt werden
login/failed_user_auto_unlock wenn auf 1, wird der User nachts wieder entsperrt
Und dann war da noch der Parameter rec/client, um Änderungen an steuerungsrelevanten Tabellen zu protokollieren.
Gruß,
Frank
wie diko schon erwähnte, der Report RSUSR005 bzw. die TA SUIM, dazu würde ich aber noch den RSUSR003 (Standardpasswörter) nehmen.
Die Systemänderbarkeit sollte natürlich auf Produktion nicht gegeben sein.
Auch werden gerne die Profilparameter des Systems geprüft, z.B.
login/fails_to_user_lock nach wieviel Fehlversuchen wird User gesperrt
login/min_password_lng Mindestlänge des Passwortes
login/password_expiration_time muss nach best. Zeit ein neues gesetzt werden
login/failed_user_auto_unlock wenn auf 1, wird der User nachts wieder entsperrt
Und dann war da noch der Parameter rec/client, um Änderungen an steuerungsrelevanten Tabellen zu protokollieren.
Gruß,
Frank
Seite 1 von 1
Vergleichbare Themen
4
Antw.
Antw.
2438
Views
Views
Revisionssicherheit mit Transporten und Wirtschaftsprüfer
von andy-meyer » 04.04.2018 16:51 • Verfasst in SAP - Allgemeines
von andy-meyer » 04.04.2018 16:51 • Verfasst in SAP - Allgemeines
0
Antw.
Antw.
1150
Views
Views
Überprüfung der Materialverfügbarkeit
von Igi » 04.07.2006 13:12 • Verfasst in Material Management & Produktionsplanung
von Igi » 04.07.2006 13:12 • Verfasst in Material Management & Produktionsplanung
36
Antw.
Antw.
9162
Views
Views
0
Antw.
Antw.
929
Views
Views
Frage die ABAP Experten
Über diesen Beitrag
Unterstütze die Community und teile den Beitrag für mehr Leser und Austausch
Aktuelle Forenbeiträge
Newsletter Anmeldung
Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.Die letzte Ausgabe findest du hier.