Wir haben in den letzten Tagen an einem Problem gearbeitet was zu dieser Frage geführt hat auf die wir noch keine Antwort haben finden können.
Die Frage bezieht sich auf eine tiefergreifende Definition der Usertypen Dialog (a) und Service (b)
Hintergrund: Ein Dialoguser konnte Dienste zum Objekt NICHT über eine RFC Verbindung verwenden.
Die Systeme in Frage sind unser Financial and Controlling System und unsere Warenwirtschaft.
Bei dem Versuch eine Möglichkeit zu finden dem RFC User eine Parameter mitzugeben (womit der RFC User in der Lage wäre Dienste zum Objekt auszuführen) haben wir von einem Berater bei uns erfahren das Serviceuser nicht in der Lage sind Dienste zum Objekt auszuführen.
Ein Test konnte diese Theorie bestätigen. Mit einem Dialoguser auf dem Zielsystem waren wir in der Lage die fragliche Aktion auszuführen.
Fragestellung:
Neben den Passwortregeln (weswegen wir unserem RFC-User überhaupt dem Usertyp Service zugewiesen haben) gibt es noch andere bekannte oder unbekannte Eigenschaften? Wir konnten keine genauere Definition von Usertypen finden die über die Passwortregelung hinausläuft. (Also Dialog haben ablaufende Passwörter, Service nicht ... usw).
Ich hoffe das mir diese Frage jemand beantworten kann. Ansonsten sollte unser SAP-Berater wieder Anwesend sein und ich habe eine Antwort bekommen werde ich die hier festhalten.
eigentlich sollte auch ein Dialoguser über RFC zugriffsrechte haben. Ihm muss eigentlich nur in einer Rolle das Berechtigungsobjekt S_RFC zugewiesen werden. Dieses Rolle " SAP_IBSS_BASIS_DEV " müsste eigentlich eine Standard-Rolle sein, die das Berechtigungsobjekt enthält. Einfach in der SU01 dem User zuweisen.
(Unsere Revision hätte allerdings etwas dagegen)
Am besten last Ihr einmal einen Berechtigungstrace über die Transaktion stauthtrace mit laufen, dann seht Ihr an welchen Berechtigungen der User scheitert.
Hier die Benutzertypen und deren Eigenschaften:
Dialog; GUI Anmeldung, RFC Anmeldung, Erzwingung der Kennwortänderung, Kennwortablauf, Anmeldeticket
Kommunikation: RFC Anmeldung, Erzwingung der Kennwortänderung, Kennwortablauf, Anmeldeticket
System: RFC Anmeldung
Service: GUI Anmeldung, RFC Anmeldung,
Danke schon einmal für die Antwort. Wir werden da noch einmal über einen Trace reinschauen.
Interessant ist die Tatsache, das User sobald sie über RFC auf das andere System zugreifen mit dem RFC-User unterwegs sind (dementsprechend wohl auch auf alle Einschränkungen zurückgreifen die durch das nutzen eine Service Users mitkommen).
Wenn die direkte Anmeldung am System mit dem eigenen User erfolgt gibt es tatsächlich auch kein Problem.
Daher auch das Interesse an den Unterschieden die ein Serviceuser zu einem Dialoguser hat. Eine einfache Recherche hat tatsächlich auch bestätigt, dass Serviceuser nicht berechtigt sind (ohne weiteres) Dienste zum Objekt auszuführen.
Evtl könnte es aber Sinnig sein den RFC User zu tracen und herauszufinden was auf der Ebene passiert.