Опасные полномочия в SAP-системе

Posted on by

Для тех кто хочет вырезать из профиля sap_all опасные полномочия, необходимо сделать в pfcg новую роль, например z_sap_all,

войдя в правку полномочий выбрать шаблон sap_all и начать его редактирование, исключив оттуда :

Мой список опасных полномочий:

S_DEVELOP
ACTVT 41,42 - удаление, преобразование таблицы на уровне БД

S_DEVELOP
OBJTYPE DEBUG
ACTVT 02 - полномочие на правку переменных в режиме отладки

S_ADMI_FCD
ACTVT:

T000 - создание манданта
UBUF - сброс пользовательского буфера
SYNC - Сброс буферов (синхр. буферов через $sync, $tab...)
SLIC - транзакция SLICENCE
LC04 - liveCache администрирование (инициализация)
LC03 - liveCache администрирование (интеграция, конфигурация)
DBA - Полномочия для администратора БД
CONV - Преобразование таблиц после смены версии
UNIX - Запуск UNIX-команд
SMSS - Сервер MS SQL: командное окно
TOUC - Инициализция новой генерации для всех программ
UMON - Администрирование записей обновл. (без системы обновления)
UADM - Администрирование обновления (включение/отключение)
AUDA - Базис: аудит: администрирование SM19
ICFA - Полномочия на ICF-администрирование (Транзакция SICF)
ICFS - ICF-полномочия на сервисы PUBLIC (транз. SICF)
MEMO - Распределение SAP-управления памятью (RSMEMORY)

не такие важные:
STOR - Анализ трассировок (запуск транзакции dbacockpit) и анализ трассировок ST05
ST0M - включение/выключение трассировок
UDSP - Просмотр запросов обновления и их данных
PADM - Администрирование процессов через транзакции SM04 , SM50
POPU - TH_POPUP ФМ для отправки сообщений
RFCA - RFC администрирование

S_LOG_COM
запуск логических команд и эта штука отрубит в ST04 запуск SQL-команд. Учтите, отключать все нельзя - отключатся даже brbackup, brarchive и тому подобные.
COMMAND: *
HOST: *
OPSYSTEM: *

S_RFC_ADM
администрирование RFC (SM59)
ACTVT:
01 - добавить/создать
02 - изменить
03 - чтение

S_CTS_ADMI Функции администрирования в системе изменений и переносов. Это для всех систем сразу.
и
S_CTS_SADM Специфическое администрирование системы (перенос).  Это для отдельно выбранных систем.
Эти два полномочия запретят открытие системы на изменение (se06) и изменяемость мандантов (scc4) и опции транспортной системы.
CTS_ADMFCT:

SYSC  - Установка опций изменяемости системы
INIT - Инициализация Организатора изменений и переносов. Постобработка системы.
TABL - Изменение таблиц управления Организатора ИС. Транспортные маршруты.
S_TRANSPRT 
ACTVT:
*
TTYPE:
CLCP  - Переносы мандантов
PATC  - Предварительные корректуры и поставки
TRAN  - Перенос копий

А так же комбинации полномочий:

S_TCODE
TCD = SM30, SM31, SE16, SE16n
S_TABU_DIS
DICBERCLS = *,
ACTVT=02

Является критическим, меняйте S_TABU_DIS на S_TABU_NAM

This entry was posted in SAP.