因此，您已经将功能分为两种角色，对吧？ 您具有"事务代码"角色（在您的示例中，将有三个），而您具有"组织级别"角色（同样，在您的示例中，将有两个）。 顺便说一句，虽然我相信有关这种概念的想法在最近的日子里一直在发展，但这种事情曾经被认为是最佳实践。 仍然没有理由不起作用。

如果问题是在tcode角色的菜单中添加tcode会添加其他授权，那么就没有理由不能只取消激活tcode角色中的这些其他授权。 tcode角色，以便用户必须从组织级别的角色中获取它们。 只需确保S_TCODE对象只属于一种类型的角色，而组织级别的对象则属于另一种。

然后，使用tcode角色和组织级别的角色的所需组合创建复合角色，设计 菜单结构中的菜单结构，并在此级别添加用户。

我肯定会引起一些授权设计专家对我的建议而how之以鼻，但这是可行的（尽管 需要一些持续的维护），正如我所说的，有一段时间它被认为是最佳实践。

因此，在您的示例中，您具有三个tcode角色和两个组织角色，这可能导致 每种可能的组合最多包含六个复合角色。

这是一种较简单的思考方式，它适用于基于成本中心，工厂，公司代码等因素的组织级别。

p>

另一方面，如果您正在考虑HR/OM组织级别，即代表部门的组织单位等，那么还有另一种方法。 在这种情况下，您将需要研究创建结构轮廓和评估路径，然后根据需要在组织单位或职位级别分配这些结构轮廓。 例如，这在ESS和MSS场景中很常见，在这些场景中，部门经理都需要使用相同类型的访问权限来管理员工，但是他们只能管理自己的员工，而不能管理其他部门的员工。 无需为每个部门创建单独的MSS角色，而是创建一个MSS角色和一个相关的结构概要文件。 如果这是您要寻找的组织分离类型，那么在人力资源/组织管理级别上，这是一条不同的路径。

干杯，
马特

嗨，塞尔吉奥，

您会注意到，我已经更改了您的问题上的标签，因为它实际上不是关于基础技术，而是关于ABAP系统中的授权，因此是" NW"标签 ABAP用户管理和授权。"

最诚挚的问候，
Matt Fraser
SAP社区主持人