你好Reza

了解某些请求所需的系统可能会有所帮助（例如，与SBWP ...或Fiori App for My Inbox相比，即使SO01的版本也很旧）...

这是我对这些对象的看法...如果我的请求是我的大部分请求，我会拒绝....这是帮助您的理由。

S_RFC和S_RFCACL-应适当限制。 S_RFC *类似于S_TCODE *，用于执行远程功能调用一旦被授予，撤消

请参阅SAP安全建议：保护远程功能调用（RFC） https://support.sap.com/content/dam/support/en_us/library/ssp/security-whitepapers/securing_remote-function-calls.pdf

S_BATCH_JOB-当用户在后台计划报告以自动释放报告时，需要使用RELE进行虚拟检查。 没有它，他们必须进入SMX或SM37并释放它。 除非没有允许某些用户在后台运行作业

S_DATASET-必须受到限制，因为它可以保护文件系统。 至少要限制程序名称，还要限制文件名（文件路径+文件名），以防止目录遍历攻击

有关目录遍历攻击的信息，请参阅保护SAP应用程序不受常见攻击部分 https://support.sap.com/content/dam/support/en_us/library/ssp/security-whitepapers/protecting-sap-apps.pdf

SAP注意：1497003-应用程序S_SPO_ACT中潜在的目录遍历-用户需要使用它来访问其他用户假脱机。 对于自己的线轴访问，他们不需要。 以及授予SP02和SP01之间的区别还可以通过SUIM>授权对象查看SAP文档-您可以阅读它的帮助文档并说明用例不要授予星号，因为您可以授予对敏感数据的未授权访问（例如 工资报告）

S_SPO_DEV-星号取决于您是否安装了敏感打印机（例如支票/支票打印）。 与我合作的大多数客户都有LOCL（本地网络打印机），这是默认设置。 我通常会限制这样做，以阻止某人向支票打印机打印100页的报告，迫使AP小组随后取消100张支票，依此类推。随着技术的变化，这种情况变得越来越不常见

S_DEVELOP-不授予。 最终用户不需要S_DEVELOP访问。 这是一个误导性授权检查，显示在跟踪文件中。

TRANS-交易代码

SUSO-授权对象（较旧的SAP系统可能由于SU53/SU56而已存在，但不是必需的）。

BMFR-应用程序组件

DEVC-DEVC：开发类（用于对开发项目进行分类的组织单位）

欢呼

Colleen

感谢Colleen，非常感谢您的详细回答