許可權設定操作手冊許可權維護1.注意1.1.使用者、角色、事務代碼、授權物件的關係用戶:由幾個角色組成角色:由一系列事務代碼搭建事務代碼:需要系統規定的必要授權物件才能運行授權對象:由它的參數來定義1.2.許可權設定須謹慎許可權設定非常重要,並且許可權的排錯查詢非常繁瑣、耗時,因此在做許可權設定時一定要謹慎,每次更改都要記錄。1.3.測試環境下修改除非特殊情況,許可權設定不允許在正式環境直接更改。一般都是在測試環境修改、測試成功後,再傳到正式環境。1.4.拒絕不合理許可權要求Basis不是決定用戶許可權範圍的人,而是實際管理中大大小小業務流的管理者。所以,變更許可權設定,務必要求用戶提供經過領導簽核的申請表。對於用戶不合理的許可權要求,顧問有責任拒絕。2.角色維護2.1.作業說明基本由許可權的大架構有UserID(用戶),Role(角色),Profile(許可權參數檔)三層,可知許可權的設定也會有相應的三層。目的SAP中的許可權管理可以通過建立若干角色的方式進行,角色的定義為SAP中單個或者多個事務代碼(T-Code)組成的一個角色定位。角色是指在業務中事先定義的執行特殊職能的工作。可以為單個的用戶的需求去創建角色,也可以通過事務代碼創建角色,然後分配給各個需要這些角色的使用者。創建角色主要有三種方式:手工創建。適合所有新建角色的需求,主要對應許可權追加;繼承。主要對應設定派生角色;複製。主要對應設定基本的角色。繼承與複製創建角色的區別:用繼承的方式建立新角色,繼承後,只需要填寫Org.level,Object就全部標識為綠燈。用複製的方式建立新角色,需要在Object裡填入值,Object才能全部標識為綠燈。以上是兩者操作上最大的區別。2.2.創建單一角色事務代碼與功能表路徑PFCG–工具-管理-用戶維護-角色管理-角色菜單後續作業工具列圖示/其它說明備註輸入事務代碼可於命令列輸入[事務代碼]並按ENTER鍵,執行程式滑鼠按兩下(或)將滑鼠游標停在欲執行物件,並按兩下滑鼠左鍵。(或)將滑鼠點擊按鈕此为事务代码输入栏欄位說明欄位名稱必要輸入備註Role√角色的名稱顯示顯示該角色的內容更改更改該角色的內容創建創建角色創建組件角色創建帶有其他角色的角色後續作業工具列圖示/其它說明備註點擊,進入下一個畫面欄位說明欄位名稱必要輸入備註角色√角色的名稱說明角色的描述空白處角色的詳細備註等後續作業工具列圖示/其它說明備註點擊,選擇“保存”後,保存該角色名稱。進入菜單標籤欄位說明欄位名稱必要輸入備註點擊可進行事務代碼的手動添加點擊可進行報表程式碼的添加點擊可進行其他方式的添加點擊可從SAPMenu中選擇事務代碼添加從其他角色中CopyMenu後續作業工具列圖示/其它說明備註點擊可建立功能表新目錄結構欄位說明欄位名稱必要輸入備註點擊可建立功能表新目錄結構後續作業工具列圖示/其它說明備註點擊進入單個事務代碼的順序手動添加備註由於SAP的角色內容可以用多種方法進行選擇,如根據SAP的功能表、SAP的報表程式、以及其他角色等等。此處以單個事務代碼為例。欄位說明欄位名稱必要輸入備註此處填入選擇的SAP事務代碼後續作業工具列圖示/其它說明備註點擊分配事務代碼欄位說明欄位名稱必要輸入備註此欄位元處,顯示已經分配給該角色的事務代碼清單後續作業工具列圖示/其它說明備註點擊進入“許可權”標籤欄位說明欄位名稱必要輸入備註此欄位為建立角色必須產生的參數檔案名稱此欄位為建立角色產生的參數檔的描述後續作業工具列圖示/其它說明備註點擊生成角色參數檔,也可手動按自訂規則填寫欄位說明欄位名稱必要輸入備註刪除已授權的參數檔資訊更改功能表以後,必須點擊此處重新啟動角色的參數檔。系統重新讀取角色的功能表,按功能表的變化變更Object物件,具有一定的智慧,但會把已經Merge(合併)的Item彈開,造成設定者的混亂。不反對使用包含“更改授權資料”的功能,但保留原有的可用設定,可以看到變化前的參數檔。即使新的許可權沒設定好,還有原有的許可權可用。推薦使用後續作業工具列圖示/其它說明備註點擊,進入角色參數檔的啟動介面欄位說明欄位名稱必要輸入備註後續作業工具列圖示/其它說明備註點擊保存之前的資料,進入啟動介面系統中設置的標準事務代碼所需要的Object,系統會自動帶出來欄位說明欄位名稱必要輸入備註後續作業工具列圖示/其它說明備註因為,這裡是根角色的設置,所以不分配組織級別的value值,點擊退出,進入啟動介面系統中設置的標準事務代碼所需要的Object,系統會自動帶出來欄位說明欄位名稱必要輸入備註Object已經全部給值注意:只代表全部給值而已,但不一定是許可權需要的符合系統邏輯關係的值Object只有部分給值Object完全沒有給值後續作業工具列圖示/其它說明備註點擊和,查看並啟動所有需要被啟動的相關其他連接的功能,組織級別相關給值設置為未啟動,使其變成綠燈通過上一步操作,可以看到設置行專案的左端有此按鈕。點擊,將和組織級別給值相關的設置轉為未啟動,盡可能使其變成綠燈適當考慮後,有些授權,可通過點擊此按鈕,給全值。注意:手動賦值過的設置,是不能再通過此操作給全值的。類似於下圖:如果,需要維護組織級別value,可以在分配組織級別value時不退出,直接如下圖定義:欄位說明欄位名稱必要輸入備註組織級別√選擇該角色範圍在組織架構中的職權範圍維護計畫工廠√選擇該角色適用的維護計畫工廠範圍維護工廠√選擇該角色適用的維護工廠範圍工廠√選擇該角色適用的工廠範圍德文,英譯“Org.level”許可權設定中許多地方的控制點是一致的,SAP為了方便許可權的設定,把這些地方設計為與全域變數關聯。當改變全域變數時,這些地方就可以全部關聯更改。這個全域變數就是:Org.level當給Org.level賦值後,其對應的ObjectValue的值也會改變對Org.Level賦值之後,會發現相當一部分的Objectvalue都已經被聯動賦值,但還有一些Object依舊標識為紅燈或者黃燈。這些Object是要單獨被賦值的。後續作業工具列圖示/其它說明備註點擊,保存輸入的資料,進入啟動介面。欄位說明欄位名稱必要輸入備註Object已經全部給值注意:只代表全部給值而已,但不一定是許可權需要的符合系統邏輯關係的值Object只有部分給值Object完全沒有給值後續作業工具列圖示/其它說明備註點擊和,查看並啟動所有需要被啟動的相關其他連接的功能,組織級別相關給值設置為未啟動,使其變成綠燈通過上一步操作,可以看到設置行專案的左端有此按鈕。點擊,將和組織級別給值相關的設置轉為未啟動,盡可能使其變成綠燈適當考慮後,有些授權,可通過點擊此按鈕,給全值。注意:手動賦值過的設置,是不能再通過此操作給全值的。欄位說明欄位名稱必要輸入備註點擊,啟動需要被啟動的相關其他連接的功能,給對應的Object賦值點擊,相當於給這個Object一個“*”(star);“*”表示AllAuthorization的含義,不卡任何許可權;Object給值後,就變成綠色,不能再被點擊紅框中標注的行對象,是每個許可權參數檔中都應該有的。如果添加的事務代碼沒有出現在這個行物件清單中,那麼使用者可能不能進入事務代碼控制的視圖。後續作業工具列圖示/其它說明備註欄位說明欄位名稱必要輸入備註後續作業工具列圖示/其它說明備註點擊生成啟動程式,保存該角色參數檔。啟動該角色的參數檔,完成創建表示該角色的參數檔已被創建欄位說明欄位名稱必要輸入備註表示該角色的參數檔已經被創建後續作業工具列圖示/其它說明備註點擊,退出角色參數檔維護介面欄位說明欄位名稱必要輸入備註綠燈,表示該角色的參數檔已經被啟動後續作業工具列圖示/其它說明備註點擊進入“用戶”標籤,進行許可權授權備註授權就是給個人(或組)一個方式或權力來行使一些特殊的職責。它允許或禁止使用者在系統中進行操作和處理事務。在缺省狀態下,所有使用者最初是沒有執行任何事務的許可權的;通過各種授權賦予執行事務的許可權;一個使用者可以執行的事務數量反映出其授權的大小。欄位說明欄位名稱必要輸入備註表示該角色被分配的用戶名清單表示該角色對該用戶的有效時限後續作業工具列圖示/其它說明備註點擊進行用戶名和角色功能比較檢查欄位說明欄位名稱必要輸入備註後續作業工具列圖示/其它說明備註點擊,完全比較,顯示下一個頁面欄位說明欄位名稱必要輸入備註後續作業工具列圖示/其它說明備註點擊“是”,保存該角色的使用者分配資訊欄位說明欄位名稱必要輸入備註後續作業工具列圖示/其它說明備註此作業結束2.3.創建複合角色事務代碼與功能表路徑PFCG–工具-管理-用戶維護-角色管理-角色菜單後續作業工具列圖示/其它說明備註輸入事務代碼可於命令列輸入[事務代碼]並按ENTER鍵,執行程式滑鼠按兩下(或)將滑鼠游標停在欲執行物件,並按兩下滑鼠左鍵。(或)將滑鼠點擊按鈕此为事务代码输入栏欄位說明欄位名稱必要輸入備註Role√角色的名稱顯示顯示該角色的內容更改更改該角色的內容創建創建角色創建組件角色創建帶有其他角色的角色後續作業工具列圖示/其它說明備註點擊,進入下一個畫面欄位說明欄位名稱必要輸入備註角色√角色的名稱說明角色的描述空白處角色的詳細備註等後續作業工具列圖示/其它說明備註點擊,進入“角色”標籤欄位說明欄位名稱必要輸入備註如果之前未保存,會彈出判斷是否保存的對話方塊後續作業工具列圖示/其它說明備註點擊,保存欄位說明欄位名稱必要輸入備註√填寫組合角色中的單一角色名稱後續作業工具列圖示/其它說明備註點擊,保存點擊,進入“菜單”標籤頁欄位說明欄位名稱必要輸入備註點擊可建立功能表新目錄結構點擊可修改功能表新目錄結構點擊可顯示其組合的單一角色功能表後續作業工具列圖示/其它說明備註點擊可顯示其組合的單一角色功能表欄位說明欄位名稱必要輸入備註功能表已被標識為綠色組合角色的功能表已由其包含角色的菜單構建後續作業工具列圖示/其它說明備註點擊,保存如果,需要使用者分配,可繼續與單一角色進行用戶分配相同的操作如果,不需要現在使用者分配,點擊,退出2.4.更改角色交易代碼與功能表路徑PFCG–工具-管理-用戶維護-角色管理-角色菜單後續作業工具列圖示/其它說明備註輸入事務代碼可於命令列輸入[事務代碼]並按ENTER鍵,執行程式滑鼠按兩下(或)將滑鼠游標停在欲執行物件,並按兩下滑鼠左鍵。(或)將滑鼠點擊按鈕此为事务代码输入栏後續作業工具列圖示/其它說明備註點擊,進入修改角色介面欄位說明欄位名稱必要輸入備註點擊可進行事務代碼的手動添加點擊可進行報表程式碼的添加點擊可進行其他方式的添加點擊可從SAPMenu中選擇事務代碼添加從其他角色中CopyMenu後續作業工具列圖示/其它說明備註可在角色功能表中增添事務代碼可修改角色功能表中的目錄名稱可在角色功能表中刪除單個物件(事務代碼或目錄結構)可在角色功能表中刪除所有物件(事務代碼或目錄結構)後續作業工具列圖示/其它說明備註刪除已授權的參數檔資訊更改功能表以後,必須點擊此處重新啟動角色的參數檔。系統重新讀取角色的功能表,按功能表的變化變更Object物件,具有一定的智慧,但會把已經Merge(合併)的Item彈開,造成設定者的混亂。不反對使用包含“更改授權資料”的功能,但保留原有的可用設定,可以看到變化前的參數檔。即使新的許可權沒設定好,還有原有的許可權可用。推薦使用欄位說明欄位名稱必要輸入備註刪除並重建整個參數檔,並且會把已經被遮罩或刪除的Object物件重新顯示出來,極容易造成許可權設定錯誤。不建議使用完全保留原有的可用設定,可以看到變化前的參數檔。即使新的許可權沒設定好,還有原有的許可權可用。推薦使用系統重新讀取角色的功能表,按功能表的變化變更Object物件,具有一定的智慧,但會把已經Merge(合併)的Item彈開,造成設定者的混亂。不反對使用當角色