Tabellen-Debugging in SAP R/3 – Eine unterschätzte ... - IT-Audit.de
Tabellen-Debugging in SAP R/3 – Eine unterschätzte ... - IT-Audit.de
Tabellen-Debugging in SAP R/3 – Eine unterschätzte ... - IT-Audit.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
- 2 -<br />
Beispiele<strong>in</strong>grenzung Classic-System ohne HR: Adm<strong>in</strong>istrator für alle Module - außer Basis und FI<br />
Anzeigeberechtigung auf alle <strong>Tabellen</strong>:<br />
Berechtigungsobjekt : S_TABU_DIS<br />
Aktivität : Anzeigen 03<br />
Berechtigungsgruppe : alle *<br />
zusätzlich:<br />
Än<strong>de</strong>rungsberechtigung auf ausgesuchte <strong>Tabellen</strong>:<br />
Berechtigungsobjekt : S_TABU_DIS<br />
Aktivität : alle *<br />
Berechtigungsgruppe : alle, außer Basis und FI A*, C*-E*, G*-R*, T*-Z*<br />
somit : ke<strong>in</strong> B*, F*, S*<br />
zusätzlich:<br />
Än<strong>de</strong>rung mandantenunabhängiger Tabelle:<br />
Berechtigungsobjekt : S_TABU_CLI<br />
mand.unabh. Pflege : ke<strong>in</strong> Zugriff ‘ ‘<br />
zusätzlich:<br />
ABAP-Workbench:<br />
Berechtigungsobjekt : S_DEVELOP<br />
Aktivität : alle (Anz., Änd., Aktiv....) *<br />
Entwicklungsklasse : alle *<br />
Objektname : alle *<br />
Objekttyp : alle, außer Programme A*-O*, Q*-Z*<br />
Ber.gruppe ABAP-Prog: alle *<br />
So ist gewährleistet, dass ke<strong>in</strong>e Entwicklung im Produktionssystem erfolgen kann, jedoch alle<br />
notwendigen Anpassungen möglich s<strong>in</strong>d, die im operativen Geschäft e<strong>in</strong>es Moduladm<strong>in</strong>istrators auftreten.<br />
Er hat e<strong>in</strong>e Anzeigeberechtigung auf alle <strong>Tabellen</strong>, kann jedoch nur die <strong>Tabellen</strong> direkt än<strong>de</strong>rn,<br />
die se<strong>in</strong>em Aufgabenspektrum entsprechen. Der Ausschluss <strong>de</strong>s Moduls FI und <strong>de</strong>r Basis bei<br />
zusätzlichem FI- und Basis-Transaktionsentzug be<strong>de</strong>utet e<strong>in</strong>e Erhöhung <strong>de</strong>r Sicherheit.<br />
Es ist jedoch e<strong>in</strong> Trugschluss anzunehmen, <strong>de</strong>r Adm<strong>in</strong>istrator darf mit dieser E<strong>in</strong>grenzung nicht auf<br />
alle <strong>Tabellen</strong> im <strong>SAP</strong>-System än<strong>de</strong>rnd zugreifen !<br />
Vorgehen<br />
Über <strong>de</strong>n Debug-Modus <strong>de</strong>s Systems ist er berechtigt, Inhalte <strong>in</strong> allen <strong>Tabellen</strong> zu än<strong>de</strong>rn, selbst wenn<br />
er über die Transaktion SE16 (<strong>Tabellen</strong> anzeigen) <strong>de</strong>n Zugriff realisiert – auch <strong>in</strong> <strong>Tabellen</strong>, die nicht <strong>in</strong><br />
se<strong>in</strong>er Berechtigungse<strong>in</strong>grenzung liegen.<br />
Hierzu muss er z.B. wie folgt vorgehen:<br />
1. Aufruf <strong>de</strong>r Transaktion SE16 – Data Browser - E<strong>in</strong>stieg<br />
2. Angabe <strong>de</strong>s <strong>Tabellen</strong>namens, z.B. TJ02 (Systemstatus); diese Tabelle gehört zur Berechtigungsgruppe<br />
BS = Steuerung <strong>SAP</strong>, auf die <strong>de</strong>r Adm<strong>in</strong>istrator lediglich lesen<strong>de</strong>n Zugriff hat<br />
3. Button <strong>Tabellen</strong><strong>in</strong>halt (F7) zur Auswahl und Anzeige <strong>de</strong>r <strong>Tabellen</strong>e<strong>in</strong>träge<br />
4. Das Ausführen (F8) stellt alle Inhalte <strong>in</strong> e<strong>in</strong>er Liste dar<br />
5. Auswahl e<strong>in</strong>es Datensatzes zur weiteren Ansicht per Doppelklick<br />
6. Der Datensatz wird angezeigt, ke<strong>in</strong>e Än<strong>de</strong>rungsmöglichkeit<br />
7. Im Kommandofeld wird das <strong>Debugg<strong>in</strong>g</strong> e<strong>in</strong>geschaltet ( /h + Return ) und danach noch das<br />
zusätzliche Betätigen <strong>de</strong>r Return-Taste<br />
8. Quellco<strong>de</strong> ersche<strong>in</strong>t