sap權(quán)限的設(shè)定方法

1、SAP 權(quán)限的設(shè)定QiQiV張穎祺內(nèi)部教材CONFIDENTIAL目錄1.總述述2.職能能/Template Role/設(shè)定的的分工3.三種種不同的的常規(guī)權(quán)權(quán)限的設(shè)設(shè)定方法法4.5.如何何快速檢檢查權(quán)限限設(shè)定的的情況總述1.在開開始學(xué)習(xí)習(xí)之前2.SAP權(quán)限限的架構(gòu)構(gòu)在開始學(xué)學(xué)習(xí)之前前在開始了了解權(quán)限限前,有幾點(diǎn)是是要大家家注意的的1.權(quán)限設(shè)定定非常重重要而且權(quán)限限的DEBUG操作非常常繁瑣,耗時(shí),所以請(qǐng)大大家設(shè)定定時(shí)一定定要非常常謹(jǐn)慎,每次更改改都要記記錄。2.權(quán)限設(shè)定定除非特特殊情況況不允許在在正式環(huán)環(huán)境直接接更改請(qǐng)?jiān)跍y(cè)試試環(huán)境修修改好再再傳到正正式環(huán)境境。3.MIS不是決定定user權(quán)限的

2、人人而是user大大小小小的leader所以要變更權(quán)權(quán)限設(shè)定定務(wù)必要求求user提供經(jīng)過簽核核的申請(qǐng)請(qǐng)表。（當(dāng)然然對(duì)user不合理的的權(quán)限要要求MIS也有責(zé)任任退回）4.權(quán)限的設(shè)設(shè)定,是MIS的工作.（廢話）所以本教材是是MIS內(nèi)部教材材請(qǐng)不要隨隨便泄漏漏SAP權(quán)權(quán)限的架架構(gòu)Role template-Description-Menu-AuthorizationsAuthorization profile-Object class-Authorizationobject-Authorizations.AssigntoBind withAssigntoSAPUseraccount-Address

3、-Logondata-Group. . . . .這是SAP權(quán)限的架架構(gòu)圖大家也接接觸過。請(qǐng)大家一一定要記記住他們們的關(guān)系系。SAP權(quán)權(quán)限的架架構(gòu)名詞解釋釋（英譯譯中）User account就是我我們平常常說的“賬號(hào)”也稱稱為“USER ID”。Role同類的USER使用SAP的目的和和常用的的功能都都是類似似的例如業(yè)務(wù)務(wù)一定需需要用到到開S/O的權(quán)限。當(dāng)我們們把某類類USER需要的權(quán)權(quán)限都?xì)w歸到一個(gè)個(gè)集合中中這個(gè)集合合就是“職能”(Role)。所謂的“角色”或者“職能”是sap4.0才開始有有的概念念其實(shí)就是是對(duì)user的需求進(jìn)進(jìn)行歸類類使權(quán)限的的設(shè)定更更方便。(面向?qū)ο笙蟮臋?quán)限限!)分為

4、singlerole 和composite role兩兩種后后者其實(shí)實(shí)是前者者的集合合。SAP權(quán)權(quán)限的架架構(gòu)Profile:真正記錄錄權(quán)限的的設(shè)定的的文件從sap4.0開始是與與Role綁定在一一起的。雖然在在sap4.6c還可以單單獨(dú)存在在但按sap的行為推推測(cè)以后將不不能“一一個(gè)人活活著”TemplateRole:Role的的模板一般是是single role.但這個(gè)個(gè)模板具具有一個(gè)個(gè) 強(qiáng)大大的功能能能通通過更改改模板而而更改所所有應(yīng)用用(sap稱為Derive“繼承”）此模板的的Role(sap稱之為為adjust)SAP權(quán)權(quán)限的架架構(gòu)例外權(quán)限限這是公司司創(chuàng)造的的名詞。當(dāng)一個(gè)個(gè)USER除

5、了其職職位一般般所需的的權(quán)限外外還需要一一些特殊殊的權(quán)限限我們把這這些權(quán)限限稱之為為這個(gè)USER的例外權(quán)權(quán)限。例如開工工單對(duì)生生管來說說是其職職能應(yīng)有有的權(quán)限限但對(duì)倉庫庫來所就就是例外外權(quán)限。Role的命名名和分類類Role的命名規(guī)規(guī)則和分分類如下下:以“G+”開頭頭都是TemplateRole(模板板)都都不會(huì)直直接assign給user id。G+職能能名稱全全球共同同TemplateRoleG+職能能名稱-1地地區(qū)Template Role以“Z+”開頭頭都是User Role,直接assign給給userid。Z+UserID+職能名名稱:繼承全全球共同同TemplateRoleZ+U

6、serID+職能名名稱-1:繼承承地區(qū)TemplateRoleZ+UserID+Exception:沒沒有繼承承任何Role,例外權(quán)限限以“Y+”開頭頭都是BasisRole,直接接assign給userid。Y+職能能名稱:全球球共同BasisRoleRole的命名名和分類類附件是一一張職能能/Rolename對(duì)照表我們以其其中一個(gè)個(gè)職能“AR作業(yè)人員員”做解解釋職能中文文名稱職能英文文名稱全球共同同TemplateRole地區(qū)TemplateRole全球共同同BasisRoleRole的命名名和分類類全球共同同TemplateRole是是指此職職能在全全球任何何一個(gè)地地區(qū)都一一致的那那部分

7、權(quán)權(quán)限的模模板。命名特征征是以“G +”開頭非“-1”結(jié)尾。例如“G+ CO CO”地區(qū)Template Role是指此此職能根根據(jù)不同同地區(qū)而而不同的的那部分分權(quán)限的的模板。命名特征征是“G+”開頭“-1”結(jié)尾。例如“G+ CO CO1 ”Role的命名名和分類類User Role是指根根據(jù)每個(gè)個(gè)user的具具體需求求進(jìn)行設(shè)設(shè)定的權(quán)權(quán)限的Role.命名特征征是“Z+”USERID開頭（東東莞臺(tái)灣地區(qū)區(qū)）“W+” USERID開開頭（吳吳江地區(qū)區(qū)）例如“Z+PSC1-ACT01+CO-CO”全球共同同BasisRole是是指此職職能關(guān)系系到整個(gè)個(gè)系統(tǒng)的的安全的的那部分分權(quán)限的的Role.命名特

8、征征是“Y+” 開頭頭例如“ Y+CO CO ”權(quán)限設(shè)定定者分工工一.以Role類型分1.Template Role即“G”開頭的的:臺(tái)臺(tái)北本部部的AP MIS2.UserRole:以Z開頭頭的:東東莞AP MIS以W開頭頭的:吳吳江AP MIS3.Basis Role:即以Y開開頭的:臺(tái)北和和東莞BasisMIS權(quán)限設(shè)定定者分工工二.以USER ID分從USERID可以以區(qū)分出出這個(gè)ID所屬屬的廠別別和模塊塊。例如PSC1-ENG01這是PSC1廠的賬賬號(hào)屬屬于PP模塊所以這這個(gè)賬號(hào)號(hào)申請(qǐng)的的權(quán)限將將由東莞莞PP模模塊的MIS主主要負(fù)責(zé)責(zé)和監(jiān)督督。權(quán)限設(shè)定定者分工工三.以所所申請(qǐng)的的權(quán)限歸歸

9、屬的模模塊分由于user所所申請(qǐng)的的權(quán)限通通常涉及及多個(gè)模模塊這這就需要要多個(gè)模模塊的MIS共共同合作作設(shè)定user的權(quán)限限這時(shí)時(shí)先按第第二條執(zhí)執(zhí)行,由由ID所所屬模塊塊MIS接受申申請(qǐng)并并從始至至終跟進(jìn)進(jìn)。然后后具體的的權(quán)限屬屬于哪個(gè)個(gè)模塊就就由那個(gè)個(gè)模塊的的MIS作設(shè)定定。但無論如如何作作為跟進(jìn)進(jìn)的MIS都是是負(fù)主要要責(zé)任的的。權(quán)限設(shè)定定的操作作上面說過過權(quán)限限的大架架構(gòu)由User ID,Role,Profile 三層層組成那么權(quán)限的的設(shè)定自自然也會(huì)會(huì)有三層層。但由由于sap4.6是Profile與Role是是捆綁在在一起的的所以以在建立立Role的時(shí)時(shí)候Profile是會(huì)自自動(dòng)創(chuàng)建建的（

10、具具體見后后文）。而UserID的的建立比比較簡(jiǎn)單單。所以以我將將主要說說明Role的的部分。USER ID 的建建立T CODESU01單擊建立圖標(biāo)2輸入要?jiǎng)?chuàng)建的User ID1USER ID 的建建立填好這些些字段USER ID 的建建立設(shè)定組別這對(duì)MIS非常重要MIS能否管理此User ID就看這里設(shè)定初始始密碼有效期一一般不設(shè)設(shè)定USER ID 的建建立按圖設(shè)定定（打印印機(jī)按實(shí)實(shí)際設(shè)定定）USER ID 的建建立接著按save就把USER ID創(chuàng)建好了了USER ID創(chuàng)建好了了但這時(shí)這這個(gè)ID沒有賦予予(Assign)任何權(quán)限限是什么都都不能做做的。USER得到這樣樣的賬號(hào)號(hào)沒有任任何

11、意義義。如何Assign權(quán)限給一一個(gè)賬號(hào)號(hào)主要就是是Assign一個(gè)Role給這個(gè)賬賬號(hào)了。下面我我們看看看如何建建Role和給權(quán)限限。Role的建立立新創(chuàng)建Role主要有有三種方方式。T CODEPFCG1.可以對(duì)應(yīng)應(yīng)所有新新建Role。主要對(duì)對(duì)應(yīng)例外外權(quán)限Z+USERID+EXCEPTION2.繼承承;主要對(duì)應(yīng)應(yīng)設(shè)定Z+USERID+職能名稱稱3.復(fù)制制（COPY）主要對(duì)應(yīng)應(yīng)設(shè)定Z+USERID+職能名稱稱-1Role的建立立完全全新建我們假設(shè)設(shè)有一個(gè)個(gè)賬號(hào)“FORTEST”,他申申請(qǐng)了例例外權(quán)限限 VA01和和YF30。下面我將將會(huì)一步步一步向向大家說說明操作作的步驟驟和應(yīng)該該注意的的地

12、方。看到PFCG的的畫面了了嗎沒沒有哦在下下一頁。Role的建立立完全全新建輸入Role name注意選第第二項(xiàng)Role的建立立完全全新建描述一般般與Role name一致記錄此Role的創(chuàng)建者者記錄此Role的最后修修改者把描述填填好后按save然后點(diǎn)擊擊menu頁簽Role的建立立完全全新建建立新目目錄修改TEXT項(xiàng)目下移移項(xiàng)目上移移刪除項(xiàng)目目手動(dòng)增加加T code從SAPMenu中增加T code從其它Role中Copy Menu這些是常常用的功功能Menu頁簽定義義的是USER MENU（個(gè)人化化菜單）的內(nèi)容容。Role的建立立完全全新建請(qǐng)大家按按圖所示示建立目目錄第一層是是職能這里是

13、EXCEPTION下面分“標(biāo)準(zhǔn)”(Standark)和 “外外掛”(Add On)兩個(gè)目錄錄 。讓菜單保保持清晰晰可以令User的個(gè)人菜菜單清楚楚不混亂。我們MIS檢查權(quán)限限也比較較方便。Role的建立立完全全新建大家可以以對(duì)比下下面兩個(gè)個(gè)USER的個(gè)人化化菜單左邊職能能清晰右邊非常?；靵y同名的目目錄大大量出現(xiàn)現(xiàn)但里面的的內(nèi)容又又不盡相相同這對(duì)依賴賴路徑執(zhí)執(zhí)行指令令的user是很麻煩煩的。Role的建立立完全全新建菜單的殼殼子有了了如何往里里面添加加內(nèi)容呢呢比較常見見的是從SAP菜單添加加和直接接添加T CODE。從SAP菜單添加加所有標(biāo)準(zhǔn)準(zhǔn)的T CODE和沒有T CODE的標(biāo)準(zhǔn)程程序都可可以

14、用這這種方法法添加。好處是是可以尋尋找可以一次次添加標(biāo)標(biāo)準(zhǔn)菜單單的一個(gè)個(gè)目錄Tcode在標(biāo)準(zhǔn)菜菜單中的的位置也也可以顯顯示出來來。缺點(diǎn)點(diǎn)是很浪浪費(fèi)時(shí)間間而且外掛掛的程序序無法添添加。Role的建立立完全全新建直接添加加所有TCODE(包包括外掛掛）和沒沒有TCODE的標(biāo)標(biāo)準(zhǔn)程序序都可以以用這種種方法添添加。好好處是比比較快缺點(diǎn)是必必須知道道Tcode不能能帶出路路徑。Role的建立立完全全新建從SAP菜單添加加Role的建立立完全全新建Role的建立立完全全新建Role的建立立完全全新建Role的建立立完全全新建OBJECT完全沒有有給值OBJECT只有部分分給值OBJECT已經(jīng)全部部有值請(qǐng)注

15、意綠燈只是是表示全全部有值值而已但不一定定就是我我們所需需要的值值這時(shí)標(biāo)準(zhǔn)T code所需要的的Object系統(tǒng)會(huì)自自動(dòng)帶出出來。Role的建立立完全全新建這個(gè)Object是任任何權(quán)限限設(shè)定文文件中都都應(yīng)該有有的這這是給予予啟動(dòng)T code的的權(quán)限如果T code沒沒有出現(xiàn)現(xiàn)在這個(gè)個(gè)列表中中user連連這個(gè)指指令的畫畫面都無無法進(jìn)入入Role的建立立完全全新建在這里需要向大大家介紹紹一個(gè)很很重要的的概念Org.level.在權(quán)限設(shè)設(shè)定中有許多地地方的控控制點(diǎn)是是一致的的sap公司為了了方便權(quán)權(quán)限的設(shè)設(shè)定把這些地地方設(shè)計(jì)計(jì)為與全全局變量量關(guān)聯(lián)。當(dāng)改變變?nèi)肿冏兞繒r(shí)這些地方方就可以以全部改改變過來

16、來。這個(gè)全局局的變量量就是Org.levelRole的建立立完全全新建當(dāng)Org.Level給值后相應(yīng)的Objectvalue的值也變變了Role的建立立完全全新建對(duì)Org.Level都給值之之后會(huì)發(fā)現(xiàn)相相當(dāng)一部部分的Objectvalue都已經(jīng)給給值了但還有一一些Object是紅燈或或者是黃黃燈這些Object是要單獨(dú)獨(dú)給值的的。Role的建立立完全全新建按一下標(biāo)標(biāo)志就可以輸輸入值按保保存存在這里介介紹一下下的的作用用點(diǎn)擊擊它就就相當(dāng)于于給這個(gè)個(gè)Object一個(gè)“*”(star)“*”的意意義是AllAuthorization不不卡任何何權(quán)限。Object給值后后就變變成綠色色 不不能點(diǎn)擊擊了

17、。Role的建立立完全全新建如果是外外掛的T code就只能能用“直直接添加加”的方方式加入入到菜單單中需需要注意意的是外掛的的Tcode的Object不會(huì)會(huì)自動(dòng)帶帶出來需要自自己手工工添加。按點(diǎn)擊Y-AUTH-PRT前的Role的建立立完全全新建變?yōu)楹蠛蟀窗雌聊簧仙戏降牟迦隣bject.注注意外外掛的T code除了前前面所說說的列表表中要有有外這這里框住住的地方方要給T code否則user還是不不會(huì)有權(quán)權(quán)限Role的建立立完全全新建都給好值值后按按保保存存按“勾”。然后按激激活。退退出。Role的建立立完全全新建Authorization已經(jīng)變變成綠燈燈這表表示權(quán)限限的設(shè)定定已經(jīng)可可用了

18、。點(diǎn)擊USER,Assign USERID給給這個(gè)個(gè)RoleRole的建立立完全全新建點(diǎn)擊USER COMPARE再點(diǎn)擊Completecompare就完成了了COMPARE。至此此權(quán)限已已經(jīng)Assign完畢FORTEST這個(gè)賬號(hào)號(hào)已經(jīng)具具有VA01和YF30的權(quán)限Role的建立立繼承承所謂“繼繼承”,是指兩兩個(gè)Role形形成這樣樣的母子子 關(guān)系系子Role的所有有Menu,Authorization（Org.level除除外)都都源于于母Role,并與母母Role保持持一致。母Role與與 子Role是是1對(duì) 多的的。Role的建立立繼承承下面我我們來學(xué)學(xué)習(xí)用“繼承”方式建建立Role.我們

19、假設(shè)設(shè)有一個(gè)個(gè)賬號(hào)“FORTEST”,他申申請(qǐng)了職職能“AP立立帳員”“AP立帳帳員”的的TemplateRole是是 “G+CO-AP”。我們先來來按命名名規(guī)則Create一一個(gè)新Role。Role的建立立繼承承大家注意意這個(gè)地地方建立“繼繼承”關(guān)關(guān)系就是是靠這里里了Role的建立立繼承承填入Template Role,按Enter.是否建立立繼承關(guān)關(guān)系回答當(dāng)然然是“YES”了否則我們們?cè)鯓由仙险n如果在此此前沒有有做過存存盤系統(tǒng)會(huì)詢?cè)儐柺欠穹翊姹P回答同樣樣是“YES”Role的建立立繼承承可以看到到菜單已經(jīng)經(jīng)自動(dòng)根根據(jù)TemplateRole生成了,點(diǎn)擊Authorization頁簽設(shè)定權(quán)限

20、限去。Role的建立立繼承承進(jìn)入Profile里面了請(qǐng)注意下下面所說說的操作作如果做錯(cuò)錯(cuò)了可能要拉拉倒從新新開始的的喲。點(diǎn)擊這個(gè)個(gè)按鈕1.系統(tǒng)會(huì)自自動(dòng)進(jìn)入入Org.level請(qǐng)點(diǎn)擊“X”,退出Org.level。2.按“SAVE”對(duì)Profile存檔。Role的建立立繼承承3.執(zhí)行菜單單Edit中的Copy data,系統(tǒng)會(huì)提提示這個(gè)個(gè)操作不不可反轉(zhuǎn)轉(zhuǎn)。按“勾”繼繼續(xù),執(zhí)行完畢畢后我們們會(huì)看到到許多Object已經(jīng)變成成綠燈了了。Role的建立立繼承承現(xiàn)在可以以維護(hù)Org.level的設(shè)定了了。進(jìn)入入的方法法如上。當(dāng)Org.level每一個(gè)字字段都賦賦值之后后應(yīng)該每一一個(gè)Object都是綠燈燈

21、如果還有有紅黃燈燈請(qǐng)通知臺(tái)臺(tái)北修正正。Role的建立立繼承承當(dāng)所有權(quán)權(quán)限（其其實(shí)只是是設(shè)定Org.level)都設(shè)定定完畢后后按激激活設(shè)定定Assign給USER ID,就完完成了。Role的建立立繼承承大家是否否覺得“繼承”的方法法好簡(jiǎn)單單幾下下就做完完了。其其實(shí)這種種方法思思路最復(fù)復(fù)雜了后面的的處理還還隱藏不不少陷阱阱。不過現(xiàn)在在大家先先掌握Role的建立立方法其它的的問題等等一下再再說。那么我我們來看看看第三三種方法法復(fù)制制。Role的建立立復(fù)制制復(fù)制其實(shí)實(shí)是一種種從思想想到操作作都很簡(jiǎn)簡(jiǎn)單的操操作。它的核心心就是復(fù)制! (雞蛋和西西紅柿飛飛了起來來）我們來看看看如何何操作吧吧。先告訴大

22、大家“AP立立帳員”的Template Role還還有一一個(gè)是是 “G+CO-AP-1”我們們就用它它來學(xué)習(xí)習(xí)。Role的建立立復(fù)制制一開始當(dāng)當(dāng)然是進(jìn)進(jìn)入PFCG了先把TemplateRole名輸進(jìn)去去然后按COPY按鈕Role的建立立復(fù)制制Role的建立立復(fù)制制把描述改改成與Role名一樣要注意“-1”的Role的menu是空的這里是空的Role的建立立復(fù)制制紅色框住住的都是是要填入入值的地地方最好先填填完Org.levelRole的建立立復(fù)制制與其它方方式建立立的Role一一樣,當(dāng)當(dāng)所有權(quán)權(quán)限都設(shè)設(shè)定完畢畢后按按激激活設(shè)設(shè)定Assign給給USERID一一個(gè)Role就就設(shè)定完完成了Role

23、的建立立繼承承與復(fù)制制小結(jié)非“-1”的那那種Template Role用繼繼承的方方式建立立新Role,繼承后后只需需要填入入Org.levelObject就全全部是綠綠燈了而“-1”的那那種是用用復(fù)制的的方式還需要要在Object里填填入值才能全全部綠燈燈。這是兩者者操作上上的最大大特點(diǎn)。Role的修改改1.Merge2.新增增/刪除除TCode3.從其其它Role導(dǎo)導(dǎo)入4.AdjustRole的修改改對(duì)Role的修修改最常常見的是是有TCode的新新增/刪刪除。這這種改動(dòng)動(dòng)一般般是從Menu開始當(dāng)Menu改改變?nèi)魏魏胃淖兿到y(tǒng)都都會(huì)偵測(cè)測(cè)到Authorization和User會(huì)會(huì)變成紅紅燈。

24、在Authorization頁簽簽里有兩兩個(gè)按鈕鈕他們們有什么么不同呢呢Role的修改改我們先點(diǎn)點(diǎn)擊會(huì)會(huì)出現(xiàn)一一個(gè)小窗窗口里里面是三三個(gè)選項(xiàng)項(xiàng)他們們的意義義是不同同的。第一項(xiàng)刪除此此Role的Profile后重建建第二項(xiàng)編輯原原有的Profile第三項(xiàng)讀取原原有Profile并并根據(jù)Menu的變化化對(duì)Profile進(jìn)進(jìn)行更改改Role的修改改第一項(xiàng)會(huì)會(huì)把Profile整個(gè)重建建并且會(huì)把把已經(jīng)被被屏蔽掉掉或刪除除的Object重新顯示示出來極容易造造成權(quán)限限設(shè)定錯(cuò)錯(cuò)誤反對(duì)使用用。第二項(xiàng)完完全保留留之前可可用的Profile即使新的的權(quán)限沒沒設(shè)好還有原有有的權(quán)限限可用。推薦使用用。缺點(diǎn)是是Obje

25、ct的變更需需要手動(dòng)動(dòng)進(jìn)行。第三項(xiàng)重重新讀取取Role的Menu按菜單的的變化變變更Object具有一定定的智能能但會(huì)把已已經(jīng)Merge的Item彈開造成設(shè)定定者的混混亂。不反對(duì)使使用。Role的修改改這個(gè)按鈕鈕相當(dāng)與與前面所所說的第第三項(xiàng)。由于已已經(jīng)包含含這個(gè)選選擇而且第三三項(xiàng)不是是最優(yōu)選選擇所以我們們一般不不建議使使用它?？偟膩碚f說我們認(rèn)為為選的的第第二項(xiàng)比比較穩(wěn)當(dāng)當(dāng)保留原有有的可用用設(shè)定?？梢钥纯吹阶兓暗腜rofile。詳細(xì)細(xì)細(xì)節(jié)請(qǐng)繼繼續(xù)看后后面的章章節(jié)。Role的修改改Merge當(dāng)Role所包包含的T Code經(jīng)經(jīng)過多次次修改后后可能能產(chǎn)生多多個(gè)同樣樣的Object其其Value可

26、可能互相相包含。這時(shí)可以以通過Merge（合合并）的的動(dòng)作使使同一個(gè)個(gè)Object內(nèi)Value相同或或者互相相包含的的Item合并并起來使權(quán)限限的條目目更清晰晰Role的修改改Merge紅框框住住的兩個(gè)個(gè)Object,是同同樣的Object,而且其其Value又又是第一一個(gè)包含含第二個(gè)個(gè)。Role的修改改Merge上頁紅框框里的兩兩項(xiàng)被合合并了。選擇菜單單Utilities里的MergeRole的修改改Merge的規(guī)則則我們來看看一個(gè)簡(jiǎn)簡(jiǎn)單的Object它只有有兩項(xiàng)Activity和和下面的的Group。我稱Acitivity為“動(dòng)作作”它下面的的Group等項(xiàng)目為為“參數(shù)數(shù)”。Merge的規(guī)

27、則當(dāng)兩個(gè)相相同Object的Item的動(dòng)作或或參數(shù)完完全一致致時(shí)這兩個(gè)Item可以Merge。Role的修改改Merge當(dāng)一個(gè)Role經(jīng)過Merge后這個(gè)Role的Object會(huì)會(huì)比較精精簡(jiǎn)。但但當(dāng)Menu發(fā)發(fā)生改變變后系系統(tǒng)會(huì)提提示菜單單已經(jīng)變變化Authorization和User會(huì)會(huì)從綠燈燈變成紅紅燈?，F(xiàn)在我來來舉一個(gè)個(gè)例子假設(shè)新新增一個(gè)個(gè)TCode :FSS0。Role的修改改Merge這時(shí)如果我們們選擇的的第二項(xiàng)項(xiàng)進(jìn)入Profile會(huì)發(fā)現(xiàn)所所有的Object都和菜單單沒有變變化前一一樣。到底FSS0對(duì)Object的影響有有哪一些些需要自己己的經(jīng)驗(yàn)驗(yàn)。這里里我就不不詳細(xì)介介紹。(如果一

28、點(diǎn)點(diǎn)都不知知道可以做一一個(gè)測(cè)試試用的Role只含有這這一個(gè)T Code看看系統(tǒng)統(tǒng)自動(dòng)為為它帶出出的Object即可)Role的修改改Merge如果選擇擇的的第三三項(xiàng)進(jìn)進(jìn)入Profile我們會(huì)會(huì)發(fā)現(xiàn)不少Object變變成了黃黃燈。但如果有有經(jīng)驗(yàn)的的話仔仔細(xì)看看看會(huì)發(fā)發(fā)現(xiàn)有好好幾個(gè)Object其其實(shí)都是是以前Merge過現(xiàn)在給給彈開或或者刪除除過再再次帶出出.Role的修改改Merge對(duì)于熟悉悉的人來來說這這些多余余的Item可可以刪除除就可以以了但但也要費(fèi)費(fèi)時(shí)間確確認(rèn)。對(duì)對(duì)于不熟熟悉的人人來說就可能能無法區(qū)區(qū)分那些些Object是新增增TCode所需要要的哪哪些是因因?yàn)椴荒苣荛_放而而刪除的的。耗

29、費(fèi)費(fèi)的時(shí)間間可能更更多。所以我我們不推推薦這種種做法。Role的修改改新增增和刪除除TCode新增和刪刪除TCode其實(shí)實(shí)在前面面都有提提到。在Menu頁簽簽的操作作這里就就不再重重復(fù)了細(xì)節(jié)請(qǐng)請(qǐng)參照Role的新新建完完全新建建在Authorization頁簽簽的操作作請(qǐng)參考考Role的的修改這里只重重點(diǎn)提醒醒一件事事。Role的修改改新增增和刪除除TCode在每一個(gè)個(gè)有Menu的Role里必定有一一個(gè)叫S_TCODE的Object這個(gè)Object里記錄的的是這個(gè)個(gè)Role所有可以以執(zhí)行的的T Code。當(dāng)Menu變化這里也要要相應(yīng)變變化。但這個(gè)Object永遠(yuǎn)是綠綠燈所以大家家一定要要記得檢檢

30、查這里里。Role的修改改新增增和刪除除TCode經(jīng)過測(cè)試試在Menu新增T Code后在進(jìn)入Profile時(shí)選擇第第二項(xiàng)時(shí)時(shí)系統(tǒng)不會(huì)會(huì)在此Object自動(dòng)增加加T Code選擇第三三項(xiàng)系統(tǒng)會(huì)自自動(dòng)增加加T Code。在Menu刪除T Code后無論選擇擇第二項(xiàng)項(xiàng)還是第第三項(xiàng)系統(tǒng)都不不會(huì)自動(dòng)動(dòng)刪除T Code。必須手手工刪除除這一點(diǎn)請(qǐng)請(qǐng)大家務(wù)務(wù)必注意意。Role的修改改從其其它Role導(dǎo)導(dǎo)入當(dāng)我們要要處理的的RoleA與某個(gè)個(gè)RoleB的設(shè)定定十分相相似可可以通過過Insert功能把把RoleB的Object設(shè)定定導(dǎo)入到到RoleA中。請(qǐng)留意實(shí)際上是是導(dǎo)入Profile哦所以一般般還要去去看R

31、ole B的Profile Name不是很方方便。Role的修改改從其其它Role導(dǎo)導(dǎo)入需要注意意的是這樣導(dǎo)導(dǎo)入進(jìn)去去的Object的設(shè)設(shè)定都跟跟RoleB的一樣樣一定定要把其其中對(duì)Role A不不適用的的部分更更正過來來。對(duì)RoleB不熟悉悉不要亂亂用這功功能哦。還是那句句老話欲速不不達(dá)不不熟的事事沒有有把握的的事一定定要謹(jǐn)慎慎。Role的修改改AdjustAdjust是是專門針針對(duì)存在在繼承關(guān)關(guān)系的母母子Role的的一項(xiàng)功功能。在Role的的建立一章我們學(xué)學(xué)習(xí)到從子Role可以通通過CopyData從母母Role得到到Object Value?，F(xiàn)在我我們看看看從母Role傳送ObjectV

32、alue到到子Role的的功能Adjust。Role的修改改Adjust用Display模式進(jìn)入入TemplateRole的Profile選擇擇菜單上上的Generate derivedroles即即可。從從操作來來看十十分簡(jiǎn)單單。注不要要用Change進(jìn)入入TemplateRole否否則Adjust會(huì)造造成Template Role本本身最后后修改日日期和最最后修改改人發(fā)生生改變對(duì)查對(duì)對(duì)權(quán)限產(chǎn)產(chǎn)生誤會(huì)會(huì)Role的修改改Adjust簡(jiǎn)單比較較CopyData 和Adjust從子Role發(fā)出Copy Data僅影響執(zhí)行此功能的子Role其它繼承同一母Role的子Role不受影響同一Client下

33、所有繼承此母Role的子Role均受影響從母Role發(fā)出AdjustRole的傳輸輸1.產(chǎn)生生RequestNum2.Release3.TransportRole的傳輸輸產(chǎn)生生RequestNum在PFCG的開始畫畫面可以看到到。由于單個(gè)個(gè)Role的傳送比比大批量量的傳送送從操作作上來說說要簡(jiǎn)單單而且類類似所以我們們重點(diǎn)說說大批量量傳送的的操作。大批量的的傳輸單個(gè)Role的傳輸Role的傳輸輸產(chǎn)生生RequestNum選擇SingleRole選擇要傳傳輸?shù)腞oleRole的傳輸輸產(chǎn)生生RequestNum確定要傳傳輸Role的傳輸輸產(chǎn)生生RequestNum如果這個(gè)個(gè)Role第一次傳傳輸這里里

34、一定要要打勾否則傳輸輸?shù)狡渌點(diǎn)lient后會(huì)沒有有Assign到User ID。但如果不不是第一一次傳輸輸請(qǐng)不要要打勾因?yàn)橹灰蛄斯垂淳鸵降侥繕?biāo)的的Client端去做一一次Compare的動(dòng)作權(quán)限才能能激活沒有起用用Role的傳輸輸產(chǎn)生生RequestNum如果要新新建一個(gè)個(gè)Request按按如果現(xiàn)在在已經(jīng)有有一個(gè)還還沒有Release的可用的的Request Num請(qǐng)?jiān)谶@里里輸入然后打勾勾Role的傳輸輸產(chǎn)生生RequestNum簡(jiǎn)要說明明傳輸?shù)牡膬?nèi)容或或目的Role的傳輸輸產(chǎn)生生RequestNumRequest Num產(chǎn)生生,C00K開頭的的都是大大陸地區(qū)區(qū)產(chǎn)生的的T00K開開頭的

35、都都是臺(tái)灣灣地區(qū)產(chǎn)產(chǎn)生的.Role的傳輸輸產(chǎn)生生RequestNum單個(gè)Role的的傳輸Request Num產(chǎn)生生的過程程與打批批量的相相似只只是開始始不一樣樣而已。單個(gè)傳輸輸直接KeyRole名字字按按按鈕其其它操作作就一樣樣了Role的傳輸輸ReleaseRelease的T CodeSE10輸入Request Num的產(chǎn)生者者選擇查看看ModifiableRole的傳輸輸Release可以看到到其實(shí)是有有兩個(gè)Request Num的,一個(gè)記錄錄Header一個(gè)記錄錄ItemRole的傳輸輸Release先ReleaseItem的Num（在在下面作為子子項(xiàng)的那那一個(gè)）再Header的的Nu

36、m方法是點(diǎn)擊Item的Num然然后按按按鈕會(huì)會(huì)進(jìn)入另另一個(gè)畫畫面按按會(huì)會(huì)回到原原來的畫畫面然然后再Release Header的Num。同樣是是點(diǎn)擊Header的的Num然后后按進(jìn)入另另一畫面面后不不用存盤盤按即即可Role的傳輸輸傳送送這一部分分是Basis的工作作。本來是在在Unix下進(jìn)進(jìn)行但但我們開開發(fā)了兩兩支外掛掛程序。從測(cè)試環(huán)環(huán)境到正正式環(huán)境境是YATP從測(cè)試環(huán)環(huán)境到QAS是是YATPQA進(jìn)行傳送送的RequestNum必須是是已經(jīng)Release的NumberRole的傳輸輸傳送送兩者的畫畫面很象象填入入RequestNum選擇好好目標(biāo)Server按就就可以以了Role的傳輸輸刪除除

37、如果發(fā)現(xiàn)現(xiàn)Role搭錯(cuò)錯(cuò)了一個(gè)個(gè) RequestNum在沒沒有Release前前可以補(bǔ)補(bǔ)救。同同樣是在在SE10,點(diǎn)點(diǎn)擊Num后使使用就就可以以了。Role的傳輸輸刪除除如果已經(jīng)經(jīng)Release就沒沒有辦法法刪除了了只能能整個(gè)Number作作廢所所謂“作作廢”其其實(shí)是不不做最后后的傳送送動(dòng)作讓這個(gè)個(gè)Number閑置而而已。Role的刪除除在PFCG中填填好Role的的名字按按按鈕鈕確認(rèn)認(rèn)即可可把Role及及其專屬屬Profile刪除除。Role的刪除除請(qǐng)注意如果需需要利用用傳輸功功能在多多個(gè)環(huán)境境中刪除除Role一一定要按按以下順順序進(jìn)行行1.對(duì)Role產(chǎn)生傳傳輸?shù)腞equest Num2.刪

38、除除本環(huán)境境的Role3.Release;(此時(shí)時(shí)本環(huán)境境中已經(jīng)經(jīng)沒有這這個(gè)Role了了）4.傳輸輸賬號(hào)刪除除賬號(hào)（User ID）的刪刪除操作作也十分分簡(jiǎn)單在SU01中中輸入入賬號(hào)名名稱按按就就可以以了賬號(hào)刪除除刪除一個(gè)個(gè)賬號(hào)后后為其專設(shè)設(shè)的Role（即Z或W開頭的）也要?jiǎng)h刪除（包包括測(cè)試試和正式式環(huán)境）減少系統(tǒng)統(tǒng)無用的的數(shù)據(jù)也減少不不必要的的查對(duì)?；蛟S有人人會(huì)認(rèn)為為保留這些些Role雖然占用用一點(diǎn)硬硬盤但如果以以后這個(gè)個(gè)賬號(hào)再再次起用用不就可以以不用重重設(shè)權(quán)限限嗎這個(gè)理由由咋看起起來很有有道理。實(shí)際上上USER一旦決定定刪除某某個(gè)賬號(hào)號(hào)在相當(dāng)長(zhǎng)長(zhǎng)的時(shí)間間內(nèi)都不不會(huì)再起起用（一一個(gè)賬賬號(hào)的費(fèi)

39、費(fèi)用不菲菲決定不會(huì)會(huì)輕易下下的）在經(jīng)過長(zhǎng)長(zhǎng)時(shí)間后后即使需需要再次次起用其權(quán)限需需求也要要重新審審視與其把其其新需求求與舊有有設(shè)定一一項(xiàng)一項(xiàng)項(xiàng)對(duì)比修修改還不如重重新設(shè)定定來得方方便快捷捷而且更安安全。Debug/查查看有一些工工具對(duì)權(quán)權(quán)限的問問題處理理很有幫幫助1.SU532.SUIM雖然還有有一些其其它工具具但一一般很少少用或者者不實(shí)用用這里里就不介介紹了。Debug/查查看SU53當(dāng)一個(gè)賬賬號(hào)反映映沒有某某個(gè)應(yīng)有有的權(quán)限限時(shí)我我們可以以在系統(tǒng)統(tǒng)出現(xiàn)沒沒有權(quán)限限的信息息時(shí)馬馬上輸入入“/NSU53”Debug/查查看SU53Debug/查查看SU53上頁紅色色框住的的就是沒沒有權(quán)限限的地方方而

40、藍(lán)色框框住的是是跟這個(gè)個(gè)賬號(hào)已已經(jīng)有的的權(quán)限。但是請(qǐng)注注意SU53給出的的信息并并不詳細(xì)細(xì)大部部分情況況只能作作為一個(gè)個(gè)大方向向的參考考有時(shí)時(shí)還可能能指示不不出來問問題所在在。但無論如如何有有一個(gè)參參考總總比沒有有好。Debug/查查看SUIMSUIM其實(shí)就就是Information 系統(tǒng)統(tǒng)的一個(gè)個(gè)集合界界面。我們最常常用的功功能是已知某個(gè)個(gè)TCode查找找含有這這個(gè)TCode的Role。Debug/查查看SUIMDebug/查查看SUIM輸入TCode后執(zhí)執(zhí)行就就可以得得到含有有這個(gè)T code的的Role的列列表。請(qǐng)注意其判斷斷條件是是Role的Menu而不不是Profile特殊的權(quán)權(quán)限設(shè)

41、定定SD的權(quán)權(quán)限在SD模模塊有有一個(gè)解解S/O BillingBlock權(quán)權(quán)限的設(shè)設(shè)定它它是在YS08中設(shè)定定其它知識(shí)識(shí)1.Object的狀狀態(tài)Standard/Manually/Maintained/Changed2.ObjectValueVSOrg.level其它知識(shí)識(shí)Object的狀狀態(tài)其它知識(shí)識(shí)Object的狀狀態(tài)當(dāng)我們用用第三項(xiàng)項(xiàng)進(jìn)入一一個(gè)Profile的的時(shí)候我們可可以看到到每個(gè)Object的的描述述前有都都有兩個(gè)個(gè)狀態(tài)。現(xiàn)在我我來給大大家解釋釋一下他他們的含含義。右邊的狀狀態(tài)共有有兩種NEW 和OLDNEW此Object有新新的Item或或Value, ProfileSave后會(huì)會(huì)變成OLDOLD 此Object的的Item是以以前建立立的其它知識(shí)識(shí)Object的狀狀態(tài)左邊的狀狀態(tài)有好好幾種Standard由系統(tǒng)帶帶出后沒沒有經(jīng)過過任何更更改Mai