Installation von SAP-Applikationen
Rollen basierend auf Katalogen und Gruppen
Mandantenübergreifende Tabellen können geändert werden. Das Kontrollsystem eines anderen, produktiven Mandanten kann damit ausgehebelt und unterlaufen werden. Ganz schön viel Macht! Wussten Sie zudem, dass das SAP-System eine Funktion bereitstellt, die Tabellenänderungsprotokolle (Tabelle DBTA BLOG) löscht und diese mandantenübergreifend wirksam ist? Wenn die Tabellenänderungsprotokolle nicht zusätzlich über das Archivierungsobjekt BC_DBLOGS archiviert worden sind, ist eine Nachvollziehbarkeit nicht mehr gegeben. Genau so lässt sich jede kriminelle Tat innerhalb Ihres Unternehmens wunderbar vertuschen. Ähnliches ermöglicht der Vollzugriff auf die Batch-Verwaltung mit der Berechtigung alle Hintergrundjobs in allen Mandanten zu verwalten. So können alte Hintergrundjobs gelöscht werden, die unbefugt gelaufen sind. Einige Punkte gibt es auch bei der Verwaltung von Druckaufträgen zu bedenken. In der Regel sind die folgenden beiden SAP Zugriffsberechtigungen zum Schutz von Druckaufträgen zu aktivieren: S_SPO_DEV (Spooler-Geräteberechtigungen) S_SPO_ACT (Spooler-Aktionen). Warum? Vertrauliche Informationen in Druckaufträgen sind nicht gegen unbefugte Kenntnisnahme geschützt. (Streng) vertrauliche Druckaufträge können unbefugt gelesen oder auf fremde Drucker umgeleitet und ausgedruckt werden. Druckaufträge sind ungeschützt, sofern keine zusätzlichen SAPZugriffsberechtigungen für den Schutz der Druckausgaben aktiviert sind. Die Druckaufträge sind mandantenübergreifend, das heißt, die Berechtigungsvergabe sollte an der Stelle ebenfalls gut durchgedacht werden.
Die SAP Basis sorgt für einen problemlosen Betrieb des SAP-Basis Systems. Das SAP-Basis System ist eine Art Betriebssystem des R/3-Systems bzw SAP ERP. Dabei umfasst es die drei Schichten Datenbank, Applikations und Präsentation. Zudem umfasst Basis viele SAP Middleware-Programme und Administrations-Tools. Mit Basis können SAP-Anwendungen kompatibel und unabhängig von Betriebssystem und Datenbank verwendet werden und mit den nötigen Daten angereichert werden.
SAP Solution-Manager
Wir können sagen, dass Basis das Betriebssystem für SAP-Anwendungen und ABAP ist. Die Basis stellt Dienste wie Kommunikation mit dem Betriebssystem, Datenbankkommunikation, Speicherverwaltung, Sammlung von Anwendungsdaten zur Laufzeit, Webanfragen, Austausch von Geschäftsdaten usw zur Verfügung.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Die Technik eines SAP-Systems beruht auf einer mehrstufigen Client-Server-Architektur, die in Abbildung 1.5 dargestellt ist. Dabei dient die Präsentationsebene (Frontend) der Datenein- und -ausgabe durch den Benutzer. In der Applikationsebene werden die eigentlichen Berechnungen ausgeführt, die den Geschäftsprozess repräsentieren. Die Datenbankebene dient der permanenten Speicherung und Bereitstellung der Daten. Präsentationsserver werden in der Regel als Ein-Personen-Rechner (PC) ein- Präsentationsebene gerichtet. Als GUI-Programm dient das klassische SAP GUI (SAP GUI für Windows oder SAP GUI für Java Environment), das auf dem Desktop-Computer installiert werden muss, oder ein Webbrowser. Alle Ein- und Ausgabemasken werden in einem Webbrowser im HTML-Format dargestellt. Die Kommunikation zwischen dem Webbrowser und der SAP-Applikationsebene wird über die Internetebene vermittelt.
Einige fehlende Funktionen in der Basisadministration werden durch "Shortcut for SAP Systems" ergänzt.
Kundeneigene Lösungen und Skripte sollten nach Möglichkeit nicht verwendet oder durch Standardwerkzeuge ersetzt werden, da sonst unterschiedliche Skriptsprachen und Skriptversionen verwaltet werden müssen, was einen hohen Pflegeaufwand mit sich bringt.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Da Johannes als Entwickler Zugriff auf die SE37 hat, ist es kein Problem sich mithilfe des Funktionsbausteins BAPI_USER_CHANGE den notwendigen Zugriff zu erschleichen - getarnt als RFC User.