Es gibt einen kleinen trick mit dem man etliche Transaktionen starten kann, auch wenn man keine Berechtigung hat!
Mit SE16 in der Tabelle TSTC nach dem Transaktionsnamen suchen und den Programmnamen herauskopieren.
Nun mit der SE38 (diese Berechtigung benötigt man!) oder SA38 diesen Report anstarten. Es funktioniert nicht mit allen, jedoch mit sehr vielen Transaktionen / Reports.
Bspw mit Transaktion SM66 -> Reportname SAPMSM66
Transaktionen ohne Berechtigung starten
42 posts
• Page 1 of 5 • 1, 2, 3, 4, 5
Transaktionen ohne Berechtigung starten
by Yagmur4551 » Thu Apr 15, 2004 11:46 am
- Yagmur4551
- ..
- Posts: 12
- Joined: Thu Apr 15, 2004 11:43 am
by Yagmur4551 » Fri Apr 16, 2004 9:03 am
nicht immer ist alles so einfach.
es kann durchaus in größeren firmen vorkommen, dass ein modulentwickler SE16 bzw. SE38 oder SA38 hat, jedoch nicht unbedingt z.B. SM66 oder was ähnliches.
es kann durchaus in größeren firmen vorkommen, dass ein modulentwickler SE16 bzw. SE38 oder SA38 hat, jedoch nicht unbedingt z.B. SM66 oder was ähnliches.
- Yagmur4551
- ..
- Posts: 12
- Joined: Thu Apr 15, 2004 11:43 am
by Erich410 » Fri Apr 16, 2004 1:08 pm
Das funktioniert nur dann, wenn der Transaktionscode "berechtigungsgeschützt" ist.
Viele Transaktionen/Programme haben interne Berechtigungsprüfungen oder fragen sogar den Transaktioncode ab, mit dem sie gestartet wurden.
Da kann ein Aufruf aus der SE38 ganz schön in die Hose gehen. Bei Modulpools geht es sowieso nicht.
(und im übrigen stellt sich immer wieder die Frage, warum man soetwas machen muß. Entweder ich brauch die Transaktion, dann bekomme ich die Berechtigung, oder ich kann die Aufgabe/den Job eben nicht machen. Ist doch nicht meine Entscheidung...)
mfg.
babap
Viele Transaktionen/Programme haben interne Berechtigungsprüfungen oder fragen sogar den Transaktioncode ab, mit dem sie gestartet wurden.
Da kann ein Aufruf aus der SE38 ganz schön in die Hose gehen. Bei Modulpools geht es sowieso nicht.
(und im übrigen stellt sich immer wieder die Frage, warum man soetwas machen muß. Entweder ich brauch die Transaktion, dann bekomme ich die Berechtigung, oder ich kann die Aufgabe/den Job eben nicht machen. Ist doch nicht meine Entscheidung...)
mfg.
babap
- Erich410
- ....
- Posts: 680
- Joined: Thu Feb 05, 2004 4:22 pm
by Joanna3727 » Fri Apr 16, 2004 1:39 pm
Chrisu hat geschrieben:Wieso sollte ich als Administrator jemandem ohne triftigen Grund die Berechtigung für die se16 und die se/sa38 geben?
==> ganz einfach chrisu.. weil es Führungskräfte gibt die der Meinung sind.. da kann nichts passieren bzw. die Wahrscheinlichkeit sei so gering dass der Aufwand der einzelnen Reportberechtigung nicht durch den Nutzen gerechtfertigt würde (na ja... bis der Supergau kommt und ein Enduser einen Report startet der keine Berechtigungsprüfung beinhaltet)
Tja ja,
da habe ich meine eigenen leidvollen Erfahrungen
Petra
- Joanna3727
- ..
- Posts: 23
- Joined: Tue Apr 13, 2004 12:15 am
by Willy1492 » Fri Apr 16, 2004 7:22 pm
Petra hat geschrieben:Chrisu hat geschrieben:Wieso sollte ich als Administrator jemandem ohne triftigen Grund die Berechtigung für die se16 und die se/sa38 geben?
==> ganz einfach chrisu.. weil es Führungskräfte gibt die der Meinung sind.. da kann nichts passieren bzw. die Wahrscheinlichkeit sei so gering dass der Aufwand der einzelnen Reportberechtigung nicht durch den Nutzen gerechtfertigt würde (na ja... bis der Supergau kommt und ein Enduser einen Report startet der keine Berechtigungsprüfung beinhaltet)
Tja ja,
da habe ich meine eigenen leidvollen Erfahrungen
:roll:
Petra
Verstehe ich das richtig:
Die Führungskräfte entscheiden das so, aber wenn was schiefgeht, ist der Admin schuld?
- Willy1492
- ....
- Posts: 581
- Joined: Tue Dec 03, 2002 4:44 pm
by Joanna3727 » Fri Apr 16, 2004 7:50 pm
Die Führungskräfte entscheiden das so, aber wenn was schiefgeht, ist der Admin schuld?[/quote]
tja, DAS wird sich erst herausstellen wenn der Fall der Fälle eintritt. Nur hat man als Admin bzw. als die Person die für die Konzepte zuständig ist hier keinen Einfluss. Wenn die Empfehlungen nicht angenommen werden weil sie Kosten generieren und die Hinweise auf potentielle Gefahren mit dem Hinweis abtut die Wahrscheinlichkeit wäre zu gering als dass man bereit wäre für die Umsetzung in Personal zu investieren... was kann man da noch tun?
Bei 5 Systemen (mit ca. zwischen 1000 + 600 Usern) + den dazugehörenden Systemlandschaften macht es sich nämlich durchaus im Tagesgeschäft wenn man anfängt Reports über Transaktionen zu berechtigen und Tabellenansichten (se16 ist bei uns im Prod.-System keine Pflegeberechtigung .. d.h. systemseitig deaktiviert) restriktiv zu berechtigen. Wobei letzteres eine ewige Gradwanderung darstellt.
Du siehst...
du liest ne frustrierte
Petra
tja, DAS wird sich erst herausstellen wenn der Fall der Fälle eintritt. Nur hat man als Admin bzw. als die Person die für die Konzepte zuständig ist hier keinen Einfluss. Wenn die Empfehlungen nicht angenommen werden weil sie Kosten generieren und die Hinweise auf potentielle Gefahren mit dem Hinweis abtut die Wahrscheinlichkeit wäre zu gering als dass man bereit wäre für die Umsetzung in Personal zu investieren... was kann man da noch tun?
Bei 5 Systemen (mit ca. zwischen 1000 + 600 Usern) + den dazugehörenden Systemlandschaften macht es sich nämlich durchaus im Tagesgeschäft wenn man anfängt Reports über Transaktionen zu berechtigen und Tabellenansichten (se16 ist bei uns im Prod.-System keine Pflegeberechtigung .. d.h. systemseitig deaktiviert) restriktiv zu berechtigen. Wobei letzteres eine ewige Gradwanderung darstellt.
Du siehst...
du liest ne frustrierte
Petra
- Joanna3727
- ..
- Posts: 23
- Joined: Tue Apr 13, 2004 12:15 am
by Erich410 » Mon Apr 19, 2004 3:09 pm
Hallo,
ein sauber aufgesetztes Berechtigungskonzept (Rollen!!!) auch für Entwickler und Power-User macht sich sehr schnell bezahlt. Der Aufwand für die Pflege hängt nicht von der absoluten Anzahl der Benutzer, sondern von der Anzahl der Benutzergruppen ab.
Die Pflege über SE16 beurteile ich per se als ziemlich unsauber, unsicher, und dazu noch fürchterlich unbequem.
Der Start von Programmen über SE38 sollte eigentlich der Vergangenheit angehören. Jeder produktiv genutzte Report sollte eine Transaktion besitzen.
Ich habe jetzt gerade eine relativ große Schnittstellen-Anwendung geschrieben, die über ca. 40 "eigene" Tabellen verfügt. Dabei sind viele Customizing-Tabellen, aber auch ca. 15 Datentabellen, die man sich ab und zu mal ansehen muß.
Keine Tabelle wird über SE16 gepflegt!
Alle diese Tabellen haben, wenn nötig, eine Pflegeview (SM30) und eine Transaktion. Alle Programme und Modulpools haben ihre Transaktion und alle Transaktionen sind in das zugehörige Bereichsmenü eingebunden.
Die Berechtigungen sind auch dazu da, versehentliche Änderungen zu verhindern. Wenn erst mal der Worst-Case von unzureichenden Berechtigungen eintritt, ist die Katastrophe da, denn i.d.R. werden bestimmte Datenfehler (oder Änderung) so spät bemerkt, daß sie schon x-mal gesichert wurden.
Etwas Organisation muß sein.
mfg.
babap
ein sauber aufgesetztes Berechtigungskonzept (Rollen!!!) auch für Entwickler und Power-User macht sich sehr schnell bezahlt. Der Aufwand für die Pflege hängt nicht von der absoluten Anzahl der Benutzer, sondern von der Anzahl der Benutzergruppen ab.
Die Pflege über SE16 beurteile ich per se als ziemlich unsauber, unsicher, und dazu noch fürchterlich unbequem.
Der Start von Programmen über SE38 sollte eigentlich der Vergangenheit angehören. Jeder produktiv genutzte Report sollte eine Transaktion besitzen.
Ich habe jetzt gerade eine relativ große Schnittstellen-Anwendung geschrieben, die über ca. 40 "eigene" Tabellen verfügt. Dabei sind viele Customizing-Tabellen, aber auch ca. 15 Datentabellen, die man sich ab und zu mal ansehen muß.
Keine Tabelle wird über SE16 gepflegt!
Alle diese Tabellen haben, wenn nötig, eine Pflegeview (SM30) und eine Transaktion. Alle Programme und Modulpools haben ihre Transaktion und alle Transaktionen sind in das zugehörige Bereichsmenü eingebunden.
Die Berechtigungen sind auch dazu da, versehentliche Änderungen zu verhindern. Wenn erst mal der Worst-Case von unzureichenden Berechtigungen eintritt, ist die Katastrophe da, denn i.d.R. werden bestimmte Datenfehler (oder Änderung) so spät bemerkt, daß sie schon x-mal gesichert wurden.
Etwas Organisation muß sein.
mfg.
babap
- Erich410
- ....
- Posts: 680
- Joined: Thu Feb 05, 2004 4:22 pm
by Alva1590 » Mon Apr 19, 2004 3:57 pm
ja bapab.. irgendwie frustriert mich Dein Posting mehr als dass es mir gut tut. Auch wenn Du mir aus der Seele sprichst.
Und wenn man "nur" für die Berechtigungen diverser Systeme zuständig ist, aber auf die Entwickler keinen Einfluss hat, dann hat man da schon ab und an ein Problem.
Und gerade das Berechtigen über Transaktionen (zum Glück kann man ja inzwischen auch über den Profilgenerator TA's generieren) wird bei uns im Haus als zu aufwendig beurteilt. Die Gründe: Die Fachbereiche beschweren sich, dass sie einzelne Reports anfordern müssen und nicht, wie das früher der Fall war, einfach mal schauen können was die ABAP-Welt so her gibt.
Aber auch Deine Vorgehensweise über die SM30 ist nicht ganz sauber da auch über diese unerwünschte Freigaben erfolgen können. Korrekter wäre es, wenn Du auch die Pflege über eine eigenen Transaktion vergeben würdest und die SM30 nicht in die Berechtigungen der Enduser fallen würde.
Was mich aber mal so am Rande interessieren würde.... von wieviel Systemen mit welcher Anzahl von Sammelrollen und Usern sprichst Du denn?
Petra
Und wenn man "nur" für die Berechtigungen diverser Systeme zuständig ist, aber auf die Entwickler keinen Einfluss hat, dann hat man da schon ab und an ein Problem.
Und gerade das Berechtigen über Transaktionen (zum Glück kann man ja inzwischen auch über den Profilgenerator TA's generieren) wird bei uns im Haus als zu aufwendig beurteilt. Die Gründe: Die Fachbereiche beschweren sich, dass sie einzelne Reports anfordern müssen und nicht, wie das früher der Fall war, einfach mal schauen können was die ABAP-Welt so her gibt.
Aber auch Deine Vorgehensweise über die SM30 ist nicht ganz sauber da auch über diese unerwünschte Freigaben erfolgen können. Korrekter wäre es, wenn Du auch die Pflege über eine eigenen Transaktion vergeben würdest und die SM30 nicht in die Berechtigungen der Enduser fallen würde.
Was mich aber mal so am Rande interessieren würde.... von wieviel Systemen mit welcher Anzahl von Sammelrollen und Usern sprichst Du denn?
Petra
- Alva1590
- .....
- Posts: 4387
- Joined: Mon Dec 02, 2002 3:01 pm
42 posts
• Page 1 of 5 • 1, 2, 3, 4, 5
Return to Tips + Tricks & FAQs
Who is online
Users browsing this forum: No registered users and 13 guests
-
- Latest Topics