最大的挑战与业务挑战无异：团队结构，角色和责任。 您当前是否有专门的安全团队，或者安全管理员还是系统管理员？

如果您只是指SAP系统，那么您可以通过以下方式开始分隔管理功能：

1。 构建更精细的角色并划分安全性访问权限（划分为系统管理员显示，系统管理员维护（可能是较小的角色），用户管理员，角色管理员，安全显示）。 您甚至可以将用户管理员划分为最终用户维护和系统用户（超级用户组）

2。 确定允许哪些用户访问哪个

3。 考虑通过Firefighter进行维护访问，以便可以对其进行记录

所有这些的优点是您正在补救和减轻访问风险。 您可能还遵守合规性要求和政策，但仍需进行组织上的更改，培训，安全构建工作（如果访问权限未拆分等），还需要查看规则集以确保系统管理员/技术访问权限， 等为您的组织定义了足够的内容-再次像业务最终用户一样。

但要记住一点：系统管理员-有时我们只专注于限制其应用程序层访问权限，以便发现他们具有完全的管理员权限 OS/DB。

感谢Colleen的答复和解释

我们（安全团队）的目标是在SYBASE数据库上应用职责划分（系统管理员和安全管理员之间）。

我也有关于应用SoD的问题

1-是否值得使用粒度许可来应用SoD

2-是应用SoD的任何其他方式

3-应用SoD的最佳实践

感谢Adapnce

HI Mohamed

您的问题：

1。 这值得么？ 我不能为你回答。 这是一个基于风险的问题，将取决于组织的规模和合规性要求。 通过分工进行补救是一种选择，但是您的企业可以决定使用检测控件来查看用户日志，等等，这更易于管理

2。 我没有在SYBASE的技术方面发表评论

3。 再次不能对SYBASE进行评论，但是在SAP应用程序环境中，我通常会将安全管理从系统中分离出来。

要重申：它取决于风险定义以及您的定义。 公司愿意。

再次，谢谢您的评论