可以访问SE38和SE80的用户可以更改程序或对象吗?

2020-09-24 02:43发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我的审核要求我删除有权访问SE38和SE80的用户(在DEV环境中的开发人员)。 客户端已关闭(不允许更改),并且它们没有开发人员密钥或DEVACCESS。

他们是否可以根据上述情况使用这些t代码创建,修改或删除程序,对象等?

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我的审核要求我删除有权访问SE38和SE80的用户(在DEV环境中的开发人员)。 客户端已关闭(不允许更改),并且它们没有开发人员密钥或DEVACCESS。

他们是否可以根据上述情况使用这些t代码创建,修改或删除程序,对象等?

付费偷看设置
发送
9条回答
槿木_熙
1楼 · 2020-09-24 03:13.采纳回答

如果要更改任何程序或对象,则需要满足以下条件。

1。 用户应有权访问S_Develop活动01和02以及其他要求的字段和字段值

2。 这些用户(主要是abap开发人员)应具有开发人员密钥

3。 应该打开客户端以进行跨客户端更改,因为这些程序和对象是跨客户端对象。

SAP浪
2楼-- · 2020-09-24 03:18

Google"生产站点中的SE38: sap.com "找到了6600个匹配,而顶部匹配几乎是完全相同的问题,那么为什么我们又要进行这种对话? 我很困惑...

小熊yu生菜
3楼-- · 2020-09-24 03:07

为了支持产品,开发人员必须拥有这些交易。 但是,审核员通常认为将它们卸下是安全的-一种安全带和撑杆方法。 他们认为,如果删除了这些TX,则应该打开系统,没有人能够直接在产品中进行更改。 您应该做的是确保支持开发人员的角色不允许在S_DEVELOP中进行 change 或 create 访问。 阻止交易是错误的。

我以前曾与审计师见过。 他们锁定了SE80和SE38。 但是SE24仍然可用,可以为您提供所需的所有访问权限...;-)

Alawn_Xu
4楼-- · 2020-09-24 03:02

甚至可以通过ST22来获取源代码!

浮生未央
5楼-- · 2020-09-24 02:58

我看到一些关于DEVACCESS和/或开发人员密钥的提及。 在S/4HANA中不再需要此功能。

如Matthew在前面的评论中所述,

S_DEVELOP授权是确保此安全的唯一正确方法。

南山jay
6楼-- · 2020-09-24 03:07

您好,Aftab,

基本上,这是一个检查数据库一致性的过程,我是EWM项目的一部分,他们使用该过程对仓库进行审核,并检查所有细节,从仓库中存在的物料到补给区中的物料数量以及数量 已处理。

让我们说,在检查数据库时,有人创建了外向交货,因此将修改物料的全部数据,这与审核员的期望大不相同。

这就是为什么我们尝试在审核过程中删除所有开发人员访问授权的原因,并且正如Vinita所说,我们遵循她上面提到的相同过程。

谢谢

Madhur。

callcenter油条
7楼-- · 2020-09-24 02:56

Jurjen似乎是正确的回复:在S/4HANA中维护开发对象不再需要开发人员密钥,就像在ECC之类的SAP Business Suite系统中一样 ,SRM,CRM等。我在沙盒系统中证实了这一点,并发现了支持SAP的注释:

  • SAP Note 2309060-SAP S/4 HANA不支持SSCR许可证密钥过程

这似乎同样适用于S/4HANA中的对象密钥,这些对象密钥是为在SAP Business Suite系统(如ECC)中交付的标准SAP开发的存储库对象而发行的,作为维护此类对象所需的附加先决条件。/p>

Aftab-如上所述,为了允许像您原始问题中提到的那些更改一样,仍然必须同时满足几个条件(尽管我前面没有提到一些注意事项, 包括在下面的详细信息中)。 但是,您最初的问题专门提到了"程序和对象"。 尽管我们知道程序是存储库对象,因此本质上是跨客户端的,但是在讨论"对象"的可变性时,区分客户端无关的定制对象和客户端依赖的定制对象很重要:

与客户端无关的自定义和存储库对象的可更改性要求

用户特定要求

  • 已授权用户对跨客户端定制或存储库对象进行更改,具体取决于进行的更改(即,授权要求会根据更改的发起方式和确切更改内容而略有不同,但通常需要S_TABU_DIS/客户端独立的定制对象的S_TABU_NAM/S_TABU_CLI授权至少,存储库对象的S_DEVELOP/S_TRANSPRT授权至少)
  • 对于某些自定义存储库对象维护活动(例如,自定义ABAP程序的创建/更改),用户必须具有由SAP为其特定用户主记录(即表DEVACCESS)颁发的注册开发者密钥,适用于各自 符合安装编号的系统(注意:如上所述,此要求仅适用于ECC之类的SAP Business Suite系统,而S/4HANA则不需要)*

客户端和系统特定要求

  • 针对跨客户端定制对象(即表T000,字段CCNOCLIIND)的客户端保护设置为" 1"(对跨客户端定制对象无更改,但允许对存储库对象进行更改)," 2"(无更改) 到存储库对象,但允许对跨客户端定制对象进行更改)或空白(允许对跨客户端定制和存储库对象进行更改),具体取决于所做的更改
  • 通过SE03/SE06设置的系统更改选项(即表TADIR,字段PGMID = HEAD,字段OBJECT = SYST)设置为``可修改的''(TADIR-EDTFLAG ='X')**
  • 对于某些标准存储库对象维护活动(例如,对标准ABAP程序的更改),要更改的对象必须具有SAP为特定存储库对象(即表ADIRACCESS)发布的注册对象密钥。 (注意:如上所述,此要求仅适用于像ECC这样的SAP Business Suite系统,而对于S/4HANA则不是必需)*

*对于适用于SSCR密钥的SAP Business Suite系统,请注意,某些存储库对象维护活动(例如ABAP程序的创建/更改)要求用户进行更改以拥有开发者密钥(如果可能,则具有对象密钥)。 程序是标准的),而其他存储库对象维护活动(例如,对表的技术设置进行数据字典更改)(例如,SE13中的表记录标志)不需要开发人员/对象密钥。

**请注意,系统更改选项还包括按软件组件和名称空间进行的可修改性设置。 与要更改的对象相关的这些维度中的每一个都需要设置为"可修改",以便满足"系统更改选项"的可更改性条件(即,即使将全局系统更改选项设置为"可修改" ,如果与要更改的对象相对应的软件组件和/或命名空间设置为"不可修改",则SAP将不允许更改-有关其他详细信息,请参见以下链接: https://help.sap.com/viewer/4a368c163b08418890a406d413933ba7/7.5.5/en- US/5738de9b4eb711d182bf0000e829fbfe.html

依赖于客户端的自定义对象的可更改性要求

用户特定要求

  • 已授权用户更改与客户端有关的自定义对象(即,授权要求会根据更改的发起方式和确切更改内容而略有不同,但通常至少需要S_TABU_DIS/S_TABU_NAM授权,以及S_TRANSPRT授权 如果同时创建运输请求作为变更记录,则不一定要这样做,具体取决于下面表T000中的相应设置)

客户特定要求

  • 与客户端有关的定制对象(即表T000,字段CCCORACTIV)的保护设置为" 1"(自动记录传输请求中的更改)," 3"(允许更改,无法生成传输请求)或空白 (允许更改,可以提出运输要求,但不是必需的)

*请注意,上述"系统更改选项"不适用于与客户端相关的自定义对象。 此外,请记住,可以在具有生产角色的客户端(即表T000,字段CCCATEGORY中设置)中更改属于"当前设置"(即表OBJH,字段CURSETTING设置为" X")的依赖于客户端的定制对象。 不管上面提到的CCCORACTIV保护设置如何(即,即使T000-CCCORACTIVE =" 2"表示"不允许更改",也可以由授权用户更改)。

希望这会有所帮助!

乔什

一周热门 更多>