Berechtigungsobjekte, die fast immer auf Fehler laufen – aber so gut wie nie das Problem sind

Es gibt eine Reihe von Berechtigungsobjekten, die in fast jeder SU53 und oft auch im Berechtigungstrace auf Fehler laufen, am Ende aber so gut wie nie Ursache des Problems sind. Wir zeigen Ihnen heute, welche Objekte das sind, wann Sie sie ignorieren können – und wann es sich tatsächlich lohnt, sie genauer zu prüfen.

Da ist sie wieder: Diese eine Mail vom Fachbereich. „Wir können Transaktion XY nicht ausführen. Bitte passen Sie die Berechtigungen an!“ Im besten Fall (wenn Sie die Kollegen schon oft genug damit genervt haben), hängt der Auszug der SU53 gleich an der Mail. Der zeigt bei verschiedenen Berechtigungsobjekten Fehler an. Doch wo fangen Sie jetzt an?

Einige dieser Objekte können Sie in den allermeisten Fällen (aber nicht in allen!) von vornherein ignorieren, weil sie nur selten wirklich die Ursache des Problems sind:

P_RUNTIME

Das Objekt P_RUNTIME ist nur relevant, wenn es um SAP Screen Personas geht. Das ist eine Software-Lösung, mit der Anwender ihre SAPGUI-Oberflächen personalisieren können.

Ähnlich wie bei FIORI können Transaktionen zusammengefasst und auch um weitere Daten, Bilder oder Schaltflächen ergänzt werden. Die einzelnen Elemente wie Buttons usw. können neu angeordnet oder auch verborgen werden. Ebenso lassen sich mit SAP Screen Personas nicht nur klassische Transaktionen, sondern auch etwa eigenentwickelte WebDynpros in die personalisierten Oberflächen aufnehmen. Auf diese Weise sollen die Anwendungen für die Endanwender übersichtlicher und damit schneller zu erfassen und leichter zu bedienen sein. Das reduziert Schulungs- und Supportaufwand.

Die Anpassungen der Oberflächen funktioniert dabei über Themes und Flavors. Deren Nutzung und Ausgestaltung berechtigen Sie mit dem Objekt P_RUNTIME. Dabei stehen zur Berechtigung die Felder Aktivitäten für Framework (P_ACTVT_FW), Laufzeitaktivität (P_ACTVT_RT) sowie konkrete Transaktionen und Dynpros (P_APP_ID) zur Verfügung.

Nun kann es sein, dass SAP Screen Personas im Unternehmen im Einsatz ist, aber nicht für alle Rollen/jeden User zur Verfügung steht. Kommen nun User mit Berechtigungsfehlern auf Sie zu, die SAP Screen Personas nicht nutzen (sollen), läuft P_RUNTIME in deren Berechtigungsprüfung auf Fehler, ist aber für Ihre Analyse irrelevant.

S_GUI

Das Objekt S_GUI taucht in der SU53 häufig auf. Über dieses Objekt steuern Sie die Berechtigungen für Download und Upload von Daten. Das ist relevant, wenn etwa Listen aus SAP in Datenverarbeitungsprogrammen wie Excel weiterbearbeitet werden sollen. Vor allem aber brauchen User eine bestimmte Ausprägung dieses Objekts, um SAP-Listen per Copy & Paste in andere Anwendungen oder Fenster zu kopieren.

Das Objekt verfügt nur über das Feld Aktivitäten (ACTVT) und kann dort folgendermaßen ausgeprägt werden:

60: Upload (Importieren)

61: Download (Exportieren)

02: Zwischenablage (relevant, um Daten per Copy & Paste zu kopieren)

04: Drucken

Merke: S_GUI mit ACTVT 02 brauchen Sie in den allermeisten Fällen. Alle anderen Fehlermeldungen sind nur relevant, wenn die User tatsächlich Daten im- oder exportieren wollen.

S_ALV_LAYO

Über das Objekt steuern Sie, ob User benutzerübergreifende Standard-Layouts des ABAP List Viewer (ALV) ändern dürfen. Sie dürfen dann also zum Beispiel systemweit, also für alle User, entscheiden, welche Felder einer Tabelle standardmäßig angezeigt werden usw. In den meisten Fällen ist diese Berechtigung aus gutem Grund nur Entwicklern/Administratoren vorbehalten, trotzdem taucht das Objekt in vielen Berechtigungsprüfungen auf – und läuft entsprechend auf Fehler. Handelt es sich bei dem betroffenen Anwender nicht gerade um einen Entwickler/Administrator, der genau diese Anpassungen im Standardlayout vornehmen will, können Sie den Eintrag in der SU53 ignorieren.

Gut zu wissen: Das Objekt steuert nur die Änderungsberechtigung für übergreifende Standardlayouts. Auch ohne diese Berechtigungen können die User die Tabllen- und Listendarstellung für ihren eigenen User jederzeit ändern.

Gut zu wissen II: Administratoren, die das Standardlayout anpassen sollen dürfen, brauchen im Objekt S_ALV_LAYO die ACTVT 23. Sollten damit nach wie vor Probleme auftauchen (etwa beim Speichern der geänderten Standardlayouts), wenden Sie sich bitte an die Basis/den Anwendungsentwickler, denn dann stimmen in der Methode set_table_for_first_display möglicherweise Einstellung für die Parameter nicht (z.B. i_save).

S_ALV_LAYR

Ähnlich wie S_ALV_LAYO taucht auch das Berechtigungsobjekt S_ALV_LAYR hin und wieder in Berechtigungsfehlerprotokollen auf. Es steuert ebenfalls die Änderungsberechtigung für benutzerübergreifende ALV-Layouts, allerdings begrenzt auf konkrete Reports. Deshalb müssen Sie in diesem Objekt nicht nur die ACTVT (23 für „pflegen“), sondern auch die Felder Reportname (REPORT), VerwaltungsID (HANDLE), und Logische Gruppe (LOG) ausprägen. Auch hier gilt in den meisten Unternehmen: Die Pflegeberechtigung für benutzerübergreifende Report-Layouts ist Administratoren und Entwicklern vorbehalten.

Können Sie die oben genannten Berechtigungsobjekte ausschließen, bleiben in der SU53 häufig nur noch fachliche Berechtigungsobjekte übrig. Die müssen Sie zwar immer noch einzeln prüfen, aber der Aufwand ist trotzdem deutlich geringer geworden. Viel Erfolg!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert