Hallo,

kennt jemand einen einfachen und schnellen Weg, um Usern Anzeigeberechtigung für das Customizing einzuräumen?

---

Hi,

der einfachste und schnellste Weg wäre den Usern ein SAPAll im Profil zugeben, dann haben sie aber für alles berechtigung. ansonsten muß du über SU01 dem entsprechenden User ein entsprechendes Profil beifügen.
rufe den User auf ---> Profile ---> F4 und bei der Auswahl dann unter 'Text' *customizing* als suchbegriff eingeben----> entsprechendes Profil auswählen und User speichern. ;)



Gruß
TigerKatziTatzi

---

SAP_ALL???

leg ma ne rolle mit der TX SPRO an übers rollenmenü.
die objekte die dann hochpoppen sieweit wie möglich auf "anzeige" einrichten.

dann kommen die leute schon recht weit...

Greetz
SiLe

naja, die frage war nach der schnellsten und einfachsten methode ;D

mit sap_all gibst keine berechtigungsprobleme mehr,
dafür dann aber andere:)



Greetz
TigerKatziTatzi

---

Die Frage bezog sich aber auch nur auf Anzeigeberechtigung.

Und da gibts wohl nichts schnelles und einfaches ...  :(

---

warum willst du jemandem anzeigezugriff aufs customizing geben.  ???

wer was im customizing zu suchen hat sollte dann auch dort arbeiten, ansonsten hat er da nichts verloren :)



whatever....

geetz

---

Hi,

es gibt die von bereits gefundene (theoretische) Möglichkeit über den Profilgenerator.  In der Praxis läuft es auf die manuelle Pflege einer SAP_ALL Berechtigung hinaus, da fast sämtliche Berechtigungen irgendwo in der TA SPRO geprüft werden. Und für einiges gibt es dann ggf. keine Anzeigerechte.

Und wer will die ca. 20.000 Funktionalitäten im Customizing testen, ob damit wirklich nur gucken geht ???

Gruss
Dirk

mir graut wenn ich diese Antworten lese  :-/... Daten- und Systemsicherheit ist hier wohl nicht das was ausschlaggebend ist?

Wie auch immer, der einfachste Weg ist (aber nicht 100% sicher!!) über den Profilgenerator (pfcg) eine Rolle mit allen Objekten anzulegen die im Benutzermenü lediglich die SPRO enthält. Damit werden in der Regel (abhängig von Deinen Systemeinstellungen in der SU24)alle notwendigen Berechtigungsobjekte gezogen. In dem Berechtigungsobjekt S_TABU_DIS gibst Du alle Transaktionen frei (*), oder, wenn Dir besonders kritische TA's bekannt sind, schließt Du diese aus (von-bis). Wichtig ist, dass auf jeden Fall die SM30 (Tabellenpflegetransaktion) enthalten ist, da ein Großteil der Customizingaufrufe eine Tabellenpflege darstellt.
Falls die Objekte S_IMG_ACTV, S_IMG_GENE,  S_RFC, S_DOKU_AUT gezogen werden können diese deaktiviert werden.
Das Objekt S_TABU_CLI auf "nicht mandantenübergreifend = ' ' " setzen.

Das Objekt S_TABU_DIS (Tabellenberechtigungen) auf Aktivität 03 (= Anzeige) und die freigegebenen Tabellen auf alle (=*) oder, wie bei den Transaktionen ebenfalls, die als kritisch bekannten Berechtigungsgruppen ausschließen.

Die Objekte S_PROJECT, _PRO_AUTH, S_TABU_DIS, S_TRANSPRT, S_NUMBER auf Aktivität 03 (= Anzeige) setzten. Der Rest dieser Objekte kann ausgesternt werden (also alles).

Sollte eines der zuletzt genannten Objekte nicht gezogen worden sein, so empfehle ich diese manuell einzufügen.

Diese Rolle ist sicher so lange keine Änderungsberechtigungen (anlegen, löschen, ändern usw) durch eine andere Rolle (Aktivitätsgruppe) dem user zugeordnet wurden. Sollte dies der Fall sein, so kann es aufgrund von Kombinationen von Transaktionen und Berechtigungsobjekten zu ungewollten Freigaben kommen. Ich halte dennoch diesen Weg für vertretbar wenn man die bekannten kritischen Transaktionen (wie z.B. Zahllauf F110) aus der Customizingrolle ausschließt.

Eine schnellere Lösung ist mir nicht bekannt. Zumal es ziemlich schwierig (bis nicht unmöglich) ist alle Customizingtransaktionen zu identifizieren.

Viel Erfolg
falls die Info überhaupt noch benötigt wird

Petra

Hallo Petra,

vielen Dank für die ausführliche Antwort. Wie hoch schätzt Du den Arbeitsaufwand für Deine Lösung ein?

Kann leider selbst damit nicht viel anfangen, da ich ja selbst der User bin, der die Anzeigeberechtigung gefordert hat und nur grosses Stöhnen geerntet hat. Aber ich wollte doch hier mal nachfragen, was sich andere darunter vorstellen.

Anzeigeberechtigung habe ich aber jetzt. Und noch etliches mehr .. 🙂

---

Hallo Roland,

wie gesagt, 100% sicher ist die Lösung leider auch nicht da Du sicherlich noch irgendwelche Pflegeberechtigungen hast. Sie ist eben ein Kompromiss zwischen dem wirklich sehr hohen Arbeitsaufwand (den könnte ich noch nicht einmal schätzen da ich niemanden kenne .. auch keine Berater, nicht mal SAP.. die alle Customizingtransaktionen und Tabellen bekannt sind), und einer, na sagen wir mal 95%-Lösung.

Der Arbeitsaufwand zur Erstellung .. tja, ich denke mal ne halbe Stunde (kommt natürlich auf den Kenntnisstand des Mitarbeiter an). Dann wird Euer Admin sicherlich noch einige Negativ- und Positivtests machen wollen um sicherzustellen dass nicht versehentlich besonders kritische Berechtigungen durch die Kombination freigegeben wurden usw. Also alles in allem eine Stunde.
Was für einen Release habt Ihr denn im Einsatz? Ich könnte Euch evtl. (ist von Eurem Release abhängig) über download die Rolle zukommen lassen und Ihr müsstet sie nur noch uploaden.

Gruß
Petra

Hallo,

noch eine Möglichkeit. Man trenne die vorhandenen Customizing Berechtigungen von der Berechtigung Transporte anzulegen. Die Leute die ändern können sollen, haben beide Berechtigungen, die anderen können zwar auch ändern, diese Änderungen aber nicht speichern, da die Berechtigung zur Anlage eines Transportauftrages fehlt.

O.K. nicht perfekt.

Gruß

Hallo,

wir haben gerade durch einen Berater entsprechende Rollen anlegen lassen auf der Basis von Projekt IMG´s jedes im SPRO vorhandenen Knotens.

Der Aufwand belief sich auf ca. 50 Stunden inclusive eines grundlegenden Tests. Seiteneffekte sind noch nicht berücksichtigt, aber dafür ist das vollständige IMG erfasst, einschliesslich der dort genutzten Fachtransaktionen.

Nachteil ist , dass diese Rollen nicht in Kombination mit einer Pflegeberechtigung vergeben werden sollten. Aber das wurde ja bereits mehrfach erwähnt.

Viele Grüsse
Dirk

Hallo Dirk,

Ihr werdet immer Seiteneffekte haben, da diverse Customizingberechtigungen über die SM30 laufen müssen. Und somit ist denke ich alles gesagt.

Eine Frage habe ich: Haben Eure Berater jede einzelne mögliche Transaktion identifiziert oder sind sie den Weg gegangen im S_TCODE die Transaktionen mit * global freizugeben?

Gruß
Petra

Hallo Petra,

wie gesagt haben wir auf der Basis von Projekt IMG´s jedes im SPRO vorhandenen Knotens (1. Ebene) Projekte erstellt.

Das weitere ist dann über die PFCG simpel:
Rolle anlegen -> Reiter "Menü" -> Hilfsmittel -> Customizing Berechtigung.

PFCG sammelt anhand dieses IMG Projektes alle dort benötigten Transaktionen. Der Aufwand steckt dann  nur  ;D  noch darin, alle daraus resultierenden Berechtigungen auf "Ansicht" zu setzen und ggf. kritische zu deaktivieren.

Viele Grüsse
Dirk

Hallo Dirk,

klar kann man das nur anhand eines Projekts berechtigen. Nur ist meine Erfahrung dass zumindest unter Rel. 4.6B nicht ALLE Transaktionen automatisch im pfcg geladen werden. Mit welchem Rel. arbeitet denn Ihr?

Noch ein kleiner Hinweis (unter Rel.4.6) sind IMG einige wenige TA's vorhanden die sich nicht auf Anzeige einschränken lassen. Im Profilgenerator ist dies aber nicht zwingend ersichtlich.

Gruß
Petra

Hallo Petra,

wir haben das ganze unter 4.7x machen lassen.

Gegen die (sicherlich) noch vorhandenen Transaktionen, die nicht auf Anzeige beschränkt werden  können, hilft hoffentlich   😉 die allgemeine Systemeinstellung. Über "Laufende Einstellungen" möchte ich gar nicht weiter nachdenken.

Viele Grüsse
Dirk

Hallo Dirk,

ja ja, DIE Hoffnung habe ich auch immer  ;D  ;).
Aber auch wenn diese Lösung ebenfalls nicht 100% ist, so gefällt sie mir doch noch besser als meine, nämlich den S_TCODe zu *. Immerhin hat man dann tatsächlich die TA's auf Customizing eingeschränkt und kann sich doch noch gezielter vorarbeiten.

War also dennoch ein Super-Tipp!  :D

Gruß
Petra

Hallo,

ich muss diesen alten Thread mal aus der Versenkung holen, da ich gerade vor einem ähnlichen Problem stehe. Es sollen die Customizing-Berechtigungen in die einzelnen Module unterteilt werden, so dass zB ein Basismensch nur Basiscustomizing einstellen kann.
Man kann ja nun über spro_admin diese Projekte anlegen, die dann bestimmte Knoten enthalten. Diese lassen sich dann einfach über die PFCG in eine bestimmte Rolle einfügen, so dass die Rolle dann die Transaktionen und die Berechtigungsobjekte für diesen Customizing-Knoten enthält.

Nun ist das ganze ja ansonsten der gleiche Aufwand wie beim normalen Berechtigungskonzept auch - nur dass hier die Transaktionen schon vorhanden sind, aber die Berechtigungsobjekte müssen genauso gepflegt werden (und zwar nicht nur die Orgebenen).

Gibt es hierfür SAP Standardrollen irgendwo, die schon eine Vorlage zB für einen MM-Customizing-Berater enthalten?

Grüsse
blausieben

---