sap權(quán)限的設(shè)定方法課件

SAP權(quán)限的設(shè)定QiQiV張穎祺內(nèi)部教材CONFIDENTIALSAP權(quán)限的設(shè)定QiQi內(nèi)部教材1目錄1.總述2.職能/TemplateRole/設(shè)定的分工3.三種不同的常規(guī)權(quán)限的設(shè)定方法4.5.如何快速檢查權(quán)限設(shè)定的情況目錄1.總述2總述1.在開始學(xué)習(xí)之前2.SAP權(quán)限的架構(gòu)總述1.在開始學(xué)習(xí)之前3在開始學(xué)習(xí)之前在開始了解權(quán)限前,有幾點(diǎn)是要大家注意的1.權(quán)限設(shè)定非常重要﹐而且權(quán)限的DEBUG操作非常繁瑣,耗時(shí),所以請大家設(shè)定時(shí)一定要非常謹(jǐn)慎,每次更改都要記錄。2.權(quán)限設(shè)定除非特殊情況﹐不允許在正式環(huán)境直接更改﹐請?jiān)跍y試環(huán)境修改好再傳到正式環(huán)境。3.MIS不是決定user權(quán)限的人﹐而是user大大小小的leader﹐所以﹐要變更權(quán)限設(shè)定﹐務(wù)必要求user提供經(jīng)過簽核的申請表。（當(dāng)然﹐對user不合理的權(quán)限要求﹐MIS也有責(zé)任退回）4.權(quán)限的設(shè)定,是MIS的工作.（廢話）所以﹐本教材是MIS內(nèi)部教材﹐請不要隨便泄漏在開始學(xué)習(xí)之前在開始了解權(quán)限前,有幾點(diǎn)是要大家注意的4SAP權(quán)限的架構(gòu)Roletemplate-Description-Menu-Authorizations……………Authorizationprofile-Objectclass-Authorizationobject-Authorizations………………..AssigntoBindwithAssigntoSAPUseraccount-Address-Logondata-Group............這是SAP權(quán)限的架構(gòu)圖﹐大家也接觸過。請大家一定要記住他們的關(guān)系。SAP權(quán)限的架構(gòu)RoletemplateAuthoriza5SAP權(quán)限的架構(gòu)名詞解釋（英譯中﹖）﹕Useraccount﹕就是我們平常說的“賬號”﹐也稱為“USERID”。Role﹕同類的USER使用SAP的目的和常用的功能都是類似的﹐例如業(yè)務(wù)一定需要用到開S/O的權(quán)限。當(dāng)我們把某類USER需要的權(quán)限都?xì)w到一個(gè)集合中﹐這個(gè)集合就是“職能”(Role)。 所謂的“角色”或者“職能”﹐是sap4.0才開始有的概念﹐其實(shí)就是對user的需求進(jìn)行歸類﹐使權(quán)限的設(shè)定更方便。(面向?qū)ο蟮臋?quán)限!!) 分為singlerole和compositerole兩種﹐后者其實(shí)是前者的集合。SAP權(quán)限的架構(gòu)名詞解釋（英譯中﹖）﹕6SAP權(quán)限的架構(gòu)Profile:真正記錄權(quán)限的設(shè)定的文件﹐從sap4.0開始是與Role綁定在一起的。雖然在sap4.6c還可以單獨(dú)存在﹐但按sap的行為推測﹐以后將不能“一個(gè)人活著”TemplateRole:Role的模板﹐一般是singlerole.但這個(gè)模板具有一個(gè)強(qiáng)大的功能﹐能通過更改模板而更改所有應(yīng)用(sap稱為Derive“繼承”）此模板的Role(sap稱之為adjust)SAP權(quán)限的架構(gòu)Profile:真正記錄權(quán)限的設(shè)定的文件﹐7SAP權(quán)限的架構(gòu)例外權(quán)限﹕這是公司創(chuàng)造的名詞。當(dāng)一個(gè)USER除了其職位一般所需的權(quán)限外﹐還需要一些特殊的權(quán)限﹐我們把這些權(quán)限稱之為這個(gè)USER的例外權(quán)限。 例如開工單對生管來說是其職能應(yīng)有的權(quán)限﹐但對倉庫來所就是例外權(quán)限。SAP權(quán)限的架構(gòu)例外權(quán)限﹕這是公司創(chuàng)造的名詞。當(dāng)一個(gè)USER8Role的命名和分類Role的命名規(guī)則和分類如下:以“G+”開頭都是TemplateRole(模板)﹐都不會直接assign給userid。G+職能名稱 ﹕全球共同TemplateRoleG+職能名稱-1 ﹕地區(qū)TemplateRole以“Z+”開頭都是UserRole,直接assign給userid。Z+UserID+職能名稱 :繼承全球共同TemplateRoleZ+UserID+職能名稱-1:繼承地區(qū)TemplateRoleZ+UserID+Exception :沒有繼承任何Role,例外權(quán)限以“Y+”開頭都是BasisRole,直接assign給userid。Y+職能名稱 :全球共同BasisRoleRole的命名和分類Role的命名規(guī)則和分類如下:9Role的命名和分類附件是一張職能/Rolename對照表我們以其中一個(gè)職能“AR作業(yè)人員”做解釋﹕職能中文名稱職能英文名稱全球共同TemplateRole地區(qū)TemplateRole全球共同BasisRoleRole的命名和分類附件是一張職能/Rolename對照表職10Role的命名和分類全球共同TemplateRole﹕是指此職能在全球任何一個(gè)地區(qū)都一致的那部分權(quán)限的模板。命名特征是以“G+”開頭﹐非“-1”結(jié)尾。 例如“G+CO–CO”地區(qū)TemplateRole﹕是指此職能根據(jù)不同地區(qū)而不同的那部分權(quán)限的模板。命名特征是“G+”開頭﹐“-1”結(jié)尾。 例如“G+CO–CO–1”Role的命名和分類全球共同TemplateRole﹕是指11Role的命名和分類UserRole﹕是指根據(jù)每個(gè)user的具體需求進(jìn)行設(shè)定的權(quán)限的Role.命名特征是﹕“Z+”USERID開頭（東莞﹑臺灣地區(qū)）“W+”USERID開頭（吳江地區(qū)） 例如“Z+PSC1-ACT01+CO-CO”全球共同BasisRole﹕是指此職能關(guān)系到整個(gè)系統(tǒng)的安全的那部分權(quán)限的Role.命名特征是“Y+”開頭 例如“Y+CO–CO”Role的命名和分類UserRole﹕是指根據(jù)每個(gè)user12權(quán)限設(shè)定者分工一.以Role類型分1.TemplateRole 即“G”開頭的:臺北本部的APMIS2.UserRole: 以Z開頭的:東莞APMIS 以W開頭的:吳江APMIS3.BasisRole: 即以Y開頭的:臺北和東莞BasisMIS權(quán)限設(shè)定者分工一.以Role類型分13權(quán)限設(shè)定者分工二.以USERID分從USERID可以區(qū)分出這個(gè)ID所屬的廠別和模塊。例如﹕PSC1-ENG01這是PSC1廠的賬號﹐屬于PP模塊﹐所以這個(gè)賬號申請的權(quán)限將由東莞PP模塊的MIS主要負(fù)責(zé)和監(jiān)督。權(quán)限設(shè)定者分工二.以USERID分14權(quán)限設(shè)定者分工三.以所申請的權(quán)限歸屬的模塊分 由于user所申請的權(quán)限通常涉及多個(gè)模塊﹐這就需要多個(gè)模塊的MIS共同合作設(shè)定user的權(quán)限﹐這時(shí)先按第二條執(zhí)行,由ID所屬模塊MIS接受申請﹐并從始至終跟進(jìn)。然后具體的權(quán)限屬于哪個(gè)模塊就由那個(gè)模塊的MIS作設(shè)定。 但無論如何﹐作為跟進(jìn)的MIS都是負(fù)主要責(zé)任的。權(quán)限設(shè)定者分工三.以所申請的權(quán)限歸屬的模塊分15權(quán)限設(shè)定的操作 上面說過﹐權(quán)限的大架構(gòu)由UserID,Role,Profile三層組成﹐那么﹐權(quán)限的設(shè)定自然也會有三層。但由于sap4.6是Profile與Role是捆綁在一起的﹐所以在建立Role的時(shí)候﹐Profile是會自動創(chuàng)建的（具體見后文）。而UserID的建立比較簡單。所以﹐我將主要說明Role的部分。權(quán)限設(shè)定的操作 上面說過﹐權(quán)限的大架構(gòu)由UserID,16USERID的建立TCODE﹕SU01單擊建立圖標(biāo)2輸入要?jiǎng)?chuàng)建的UserID1USERID的建立TCODE﹕SU01單擊建立圖標(biāo)17USERID的建立填好這些字段USERID的建立填好這些字段18USERID的建立設(shè)定組別﹐這對MIS非常重要﹐MIS能否管理此UserID就看這里設(shè)定初始密碼有效期一般不設(shè)定USERID的建立設(shè)定組別﹐這對MIS非常重要﹐MIS能19USERID的建立按圖設(shè)定（打印機(jī)按實(shí)際設(shè)定）USERID的建立按圖設(shè)定（打印機(jī)按實(shí)際設(shè)定）20USERID的建立接著按save﹐就把USERID創(chuàng)建好了

USERID創(chuàng)建好了﹐但這時(shí)這個(gè)ID沒有賦予(Assign)任何權(quán)限﹐是什么都不能做的。USER得到這樣的賬號沒有任何意義。 如何Assign權(quán)限給一個(gè)賬號﹖主要就是Assign一個(gè)Role給這個(gè)賬號了。下面我們看看如何建Role和給權(quán)限。USERID的建立接著按save﹐就把USERID創(chuàng)建21Role的建立新創(chuàng)建Role主要有三種方式。TCODE﹕PFCG1. 可以對應(yīng)所有新建Role。主要對應(yīng)例外權(quán)限Z+USERID+EXCEPTION2.繼承;

主要對應(yīng)設(shè)定Z+USERID+職能名稱3.復(fù)制（COPY）﹔

主要對應(yīng)設(shè)定Z+USERID+職能名稱-1Role的建立新創(chuàng)建Role主要有三種方式。TCODE﹕22Role的建立—完全新建 我們假設(shè)有一個(gè)賬號“FORTEST”,他申請了例外權(quán)限VA01和YF30。 下面我將會一步一步向大家說明操作的步驟和應(yīng)該注意的地方。 看到PFCG的畫面了嗎﹖沒有﹖ 哦﹐在下一頁。Role的建立—完全新建 我們假設(shè)有一個(gè)賬號“FORTE23Role的建立—完全新建輸入Rolename注意選第二項(xiàng)Role的建立—完全新建輸入Rolename注意選第二項(xiàng)24Role的建立—完全新建描述一般與Rolename一致記錄此Role的創(chuàng)建者記錄此Role的最后修改者把描述填好后﹐按save然后點(diǎn)擊menu頁簽Role的建立—完全新建描述一般與Rolename一致記錄25Role的建立—完全新建建立新目錄修改TEXT項(xiàng)目下移項(xiàng)目上移刪除項(xiàng)目手動增加Tcode從SAPMenu中增加Tcode從其它Role中CopyMenu這些是常用的功能Menu頁簽定義的是USERMENU（個(gè)人化菜單）的內(nèi)容。Role的建立—完全新建建立新目錄修改TEXT項(xiàng)目下移項(xiàng)目上26Role的建立—完全新建請大家按圖所示建立目錄﹐第一層是職能﹐這里是EXCEPTION﹐下面分“標(biāo)準(zhǔn)”(Standark)和“外掛”(AddOn)兩個(gè)目錄。讓菜單保持清晰﹐可以令User的個(gè)人菜單清楚﹐不混亂。我們MIS檢查權(quán)限也比較方便。Role的建立—完全新建請大家按圖所示建立目錄﹐第一層是職27Role的建立—完全新建大家可以對比下面兩個(gè)USER的個(gè)人化菜單﹐左邊職能清晰﹐右邊非?；靵y﹐同名的目錄大量出現(xiàn)﹐但里面的內(nèi)容又不盡相同﹐這對依賴路徑執(zhí)行指令的user是很麻煩的。Role的建立—完全新建大家可以對比下面兩個(gè)USER的個(gè)人化28Role的建立—完全新建菜單的殼子有了﹐如何往里面添加內(nèi)容呢﹖比較常見的是﹕從SAP菜單添加和直接添加TCODE。從SAP菜單添加﹕所有標(biāo)準(zhǔn)的TCODE和沒有TCODE的標(biāo)準(zhǔn)程序都可以用這種方法添加。好處是可以尋找﹐可以一次添加標(biāo)準(zhǔn)菜單的一個(gè)目錄﹐Tcode在標(biāo)準(zhǔn)菜單中的位置也可以顯示出來。缺點(diǎn)是很浪費(fèi)時(shí)間﹐而且外掛的程序無法添加。Role的建立—完全新建菜單的殼子有了﹐如何往里面添加內(nèi)容呢29Role的建立—完全新建直接添加﹕所有TCODE(包括外掛）和沒有TCODE的標(biāo)準(zhǔn)程序都可以用這種方法添加。好處是比較快缺點(diǎn)是必須知道Tcode﹐不能帶出路徑。Role的建立—完全新建直接添加﹕30Role的建立—完全新建從SAP菜單添加Role的建立—完全新建從SAP菜單添加31Role的建立—完全新建Role的建立—完全新建32Role的建立—完全新建Role的建立—完全新建33Role的建立—完全新建Role的建立—完全新建34Role的建立—完全新建OBJECT完全沒有給值OBJECT只有部分給值OBJECT已經(jīng)全部有值請注意﹕綠燈只是表示全部有值而已﹐但不一定就是我們所需要的值這時(shí)﹐標(biāo)準(zhǔn)Tcode所需要的Object﹐系統(tǒng)會自動帶出來。Role的建立—完全新建OBJECT完全沒有給值OBJECT35Role的建立—完全新建這個(gè)Object是任何權(quán)限設(shè)定文件中都應(yīng)該有的﹐這是給予啟動Tcode的權(quán)限﹐如果Tcode沒有出現(xiàn)在這個(gè)列表中﹐user連這個(gè)指令的畫面都無法進(jìn)入Role的建立—完全新建這個(gè)Object是任何權(quán)限設(shè)定文件中36Role的建立—完全新建在這里﹐需要向大家介紹一個(gè)很重要的概念﹕Org.level.在權(quán)限設(shè)定中﹐有許多地方的控制點(diǎn)是一致的﹐sap公司為了方便權(quán)限的設(shè)定﹐把這些地方設(shè)計(jì)為與全局變量關(guān)聯(lián)。當(dāng)改變?nèi)肿兞繒r(shí)﹐這些地方就可以全部改變過來。這個(gè)全局的變量就是﹕Org.levelRole的建立—完全新建在這里﹐需要向大家介紹一個(gè)很重要的概37Role的建立—完全新建當(dāng)Org.Level給值后﹐相應(yīng)的Objectvalue的值也變了Role的建立—完全新建當(dāng)Org.Level給值后﹐相應(yīng)的O38Role的建立—完全新建 對Org.Level都給值之后﹐會發(fā)現(xiàn)相當(dāng)一部分的Objectvalue都已經(jīng)給值了﹐但還有一些Object是紅燈或者是黃燈﹐這些Object是要單獨(dú)給值的。Role的建立—完全新建 對Org.Level都給值之后﹐會39Role的建立—完全新建 按一下標(biāo)志﹐就可以輸入值﹐按保存 在這里介紹一下的作用﹐點(diǎn)擊它﹐就相當(dāng)于給這個(gè)Object一個(gè)“*”(star)﹐“*”的意義是AllAuthorization﹐不卡任何權(quán)限。Object給值后﹐就變成綠色﹐不能點(diǎn)擊了。Role的建立—完全新建 按一下標(biāo)志﹐就可以輸入40Role的建立—完全新建 如果是外掛的Tcode﹐就只能用“直接添加”的方式加入到菜單中﹐需要注意的是﹐外掛的Tcode的Object不會自動帶出來﹐需要自己手工添加。 按﹐點(diǎn)擊Y-AUTH-PRT前的Role的建立—完全新建 如果是外掛的Tcode﹐就只能41Role的建立—完全新建變?yōu)楹螬o按屏幕上方的﹐插入Object.注意﹕外掛的Tcode﹐除了前面所說的列表中要有外﹐這里框住的地方要給Tcode﹐否則user還是不會有權(quán)限Role的建立—完全新建變?yōu)楹螬o按屏幕上方的42Role的建立—完全新建都給好值后﹐按保存﹐按“勾”。然后按激活。退出。Role的建立—完全新建都給好值后﹐按保存﹐按43Role的建立—完全新建Authorization已經(jīng)變成綠燈﹐這表示權(quán)限的設(shè)定已經(jīng)可用了。點(diǎn)擊USER,AssignUSERID給這個(gè)RoleRole的建立—完全新建Authorization已經(jīng)變成綠44Role的建立—完全新建點(diǎn)擊USERCOMPARE﹐再點(diǎn)擊Completecompare﹐就完成了COMPARE。至此﹐此權(quán)限已經(jīng)Assign完畢﹐FORTEST這個(gè)賬號已經(jīng)具有VA01和YF30的權(quán)限Role的建立—完全新建點(diǎn)擊USERCOMPARE﹐45Role的建立—繼承 所謂“繼承”,是指兩個(gè)Role形成這樣的母子關(guān)系﹕子Role的所有Menu,Authorization（Org.level除外)都源于母Role,并與母Role保持一致。 母Role與子Role是1對多的。Role的建立—繼承 所謂“繼承”,是指兩個(gè)Role形成這46Role的建立—繼承下面﹐我們來學(xué)習(xí)用“繼承”方式建立Role.我們假設(shè)有一個(gè)賬號“FORTEST”,他申請了職能“AP立帳員”﹐“AP立帳員”的TemplateRole是“G+CO-AP”。我們先來按命名規(guī)則Create一個(gè)新Role。Role的建立—繼承下面﹐我們來學(xué)習(xí)用“繼承”方式建立Rol47Role的建立—繼承大家注意這個(gè)地方﹐建立“繼承”關(guān)系就是靠這里了Role的建立—繼承大家注意這個(gè)地方﹐建立“繼承”關(guān)系就是靠48Role的建立—繼承填入TemplateRole,按Enter.是否建立繼承關(guān)系﹖回答當(dāng)然是“YES”了﹐否則我們怎樣上課﹖如果在此前沒有做過存盤﹐系統(tǒng)會詢問是否存盤﹐回答同樣是“YES”Role的建立—繼承填入TemplateRole,按Ent49Role的建立—繼承可以看到﹐菜單已經(jīng)自動根據(jù)TemplateRole生成了,點(diǎn)擊Authorization頁簽﹐設(shè)定權(quán)限去。Role的建立—繼承可以看到﹐菜單已經(jīng)自動根據(jù)Templat50Role的建立—繼承進(jìn)入Profile里面了﹐請注意下面所說的操作﹐如果做錯(cuò)了﹐可能要拉倒從新開始的喲。點(diǎn)擊這個(gè)按鈕1.系統(tǒng)會自動進(jìn)入Org.level﹐請點(diǎn)擊“X”,退出Org.level。2.按“SAVE”對Profile存檔。Role的建立—繼承進(jìn)入Profile里面了﹐請注意下面所說51Role的建立—繼承3.執(zhí)行菜單Edit中的Copydata,系統(tǒng)會提示這個(gè)操作不可反轉(zhuǎn)。按“勾”繼續(xù),執(zhí)行完畢后我們會看到﹐許多Object已經(jīng)變成綠燈了。Role的建立—繼承3.執(zhí)行菜單Edit中的Copydat52Role的建立—繼承現(xiàn)在可以維護(hù)Org.level的設(shè)定了。進(jìn)入的方法如上。當(dāng)Org.level每一個(gè)字段都賦值之后﹐應(yīng)該每一個(gè)Object都是綠燈﹐如果還有紅黃燈﹐請通知臺北修正。Role的建立—繼承現(xiàn)在可以維護(hù)Org.level的設(shè)定了。53Role的建立—繼承 當(dāng)所有權(quán)限（其實(shí)只是設(shè)定Org.level)都設(shè)定完畢后﹐按激活設(shè)定﹐Assign給USERID,就完成了。Role的建立—繼承 當(dāng)所有權(quán)限（其實(shí)只是設(shè)定Org.le54Role的建立—繼承大家是否覺得“繼承”的方法好簡單﹐幾下就做完了。其實(shí)這種方法思路最復(fù)雜了﹐后面的處理還隱藏不少陷阱。不過現(xiàn)在大家先掌握Role的建立方法﹐其它的問題等一下再說。那么﹐我們來看看第三種方法—復(fù)制。Role的建立—繼承大家是否覺得“繼承”的方法好簡單﹐幾下就55Role的建立—復(fù)制復(fù)制其實(shí)是一種從思想到操作都很簡單的操作。它的核心就是—……復(fù)制!(雞蛋和西紅柿飛了起來……）我們來看看如何操作吧。先告訴大家﹕“AP立帳員”的TemplateRole還有一個(gè)﹐是“G+CO-AP-1”﹐我們就用它來學(xué)習(xí)。Role的建立—復(fù)制復(fù)制其實(shí)是一種從思想到操作都很簡單的操作56Role的建立—復(fù)制一開始當(dāng)然是進(jìn)入PFCG了﹐先把TemplateRole名輸進(jìn)去﹐然后按COPY按鈕Role的建立—復(fù)制一開始當(dāng)然是進(jìn)入PFCG了﹐先把Temp57Role的建立—復(fù)制Role的建立—復(fù)制58Role的建立—復(fù)制把描述改成與Role名一樣要注意“-1”的Role的menu是空的這里是空的Role的建立—復(fù)制把描述改成與Role名一樣要注意“-1”59Role的建立—復(fù)制紅色框住的都是要填入值的地方﹐最好先填完Org.levelRole的建立—復(fù)制紅色框住的都是要填入值的地方﹐最好先填完60Role的建立—復(fù)制與其它方式建立的Role一樣,當(dāng)所有權(quán)限都設(shè)定完畢后﹐按激活設(shè)定﹐Assign給USERID﹐一個(gè)Role就設(shè)定完成了Role的建立—復(fù)制與其它方式建立的Role一樣,當(dāng)所有權(quán)限61Role的建立—繼承與復(fù)制小結(jié)﹕非“-1”的那種TemplateRole﹐用繼承的方式建立新Role,繼承后﹐只需要填入Org.level﹐Object就全部是綠燈了﹐而“-1”的那種是用復(fù)制的方式﹐還需要在Object里填入值﹐才能全部綠燈。這是兩者操作上的最大特點(diǎn)。Role的建立—繼承與復(fù)制小結(jié)﹕62Role的修改1.Merge2.新增/刪除TCode3.從其它Role導(dǎo)入4.AdjustRole的修改1.Merge63Role的修改 對Role的修改最常見的是有TCode的新增/刪除。這種改動﹐一般是從Menu開始﹐當(dāng)Menu改變?nèi)魏胃淖儵o系統(tǒng)都會偵測到﹐Authorization和User會變成紅燈。 在Authorization頁簽里有兩個(gè)按鈕﹐他們有什么不同呢﹖Role的修改 對Role的修改最常見的是有TCode的新64Role的修改我們先點(diǎn)擊﹐會出現(xiàn)一個(gè)小窗口﹐里面是三個(gè)選項(xiàng)﹐他們的意義是不同的。第一項(xiàng)﹕刪除此Role的Profile后重建第二項(xiàng)﹕編輯原有的Profile第三項(xiàng)﹕讀取原有Profile并根據(jù)Menu的變化對Profile進(jìn)行更改Role的修改我們先點(diǎn)擊﹐會出現(xiàn)一個(gè)小窗口﹐里面65Role的修改第一項(xiàng)會把Profile整個(gè)重建﹐并且會把已經(jīng)被屏蔽掉或刪除的Object重新顯示出來﹐極容易造成權(quán)限設(shè)定錯(cuò)誤﹐反對使用。第二項(xiàng)完全保留之前可用的Profile﹐即使新的權(quán)限沒設(shè)好﹐還有原有的權(quán)限可用。推薦使用。缺點(diǎn)是Object的變更需要手動進(jìn)行。第三項(xiàng)重新讀取Role的Menu﹐按菜單的變化變更Object﹐具有一定的智能﹐但會把已經(jīng)Merge的Item彈開﹐造成設(shè)定者的混亂。不反對使用。Role的修改第一項(xiàng)會把Profile整個(gè)重建﹐并且會把已經(jīng)66Role的修改 這個(gè)按鈕相當(dāng)與前面所說的第三項(xiàng)。 由于已經(jīng)包含這個(gè)選擇﹐而且第三項(xiàng)不是最優(yōu)選擇﹐所以我們一般不建議使用它?？偟膩碚f﹐我們認(rèn)為選的第二項(xiàng)比較穩(wěn)當(dāng)﹐保留原有的可用設(shè)定?？梢钥吹阶兓暗腜rofile。詳細(xì)細(xì)節(jié)請繼續(xù)看后面的章節(jié)。Role的修改 這個(gè)按鈕相當(dāng)與前面所說的第三項(xiàng)。67Role的修改—Merge 當(dāng)Role所包含的TCode經(jīng)過多次修改后﹐可能產(chǎn)生多個(gè)同樣的Object﹐其Value可能互相包含。 這時(shí)可以通過Merge（合并）的動作使同一個(gè)Object內(nèi)Value相同或者互相包含的Item合并起來﹐使權(quán)限的條目更清晰Role的修改—Merge 當(dāng)Role所包含的TCode經(jīng)68Role的修改—Merge紅框框住的兩個(gè)Object,是同樣的Object,而且其Value又是第一個(gè)包含第二個(gè)。Role的修改—Merge紅框框住的兩個(gè)Object,是同樣69Role的修改—Merge上頁紅框里的兩項(xiàng)被合并了。選擇菜單Utilities里的MergeRole的修改—Merge上頁紅框里的兩項(xiàng)被合并了。選擇菜單70Role的修改—Merge的規(guī)則我們來看一個(gè)簡單的Object﹐它只有兩項(xiàng)﹕Activity和下面的Group。 我稱Acitivity為“動作”﹐它下面的Group等項(xiàng)目為“參數(shù)”。Merge的規(guī)則﹕當(dāng)兩個(gè)相同Object的Item的動作或參數(shù)完全一致時(shí)﹐這兩個(gè)Item可以Merge。Role的修改—Merge的規(guī)則我們來看一個(gè)簡單的Objec71Role的修改—Merge 當(dāng)一個(gè)Role經(jīng)過Merge后﹐這個(gè)Role的Object會比較精簡。但當(dāng)Menu發(fā)生改變后﹐系統(tǒng)會提示菜單已經(jīng)變化﹐Authorization和User會從綠燈變成紅燈。 現(xiàn)在我來舉一個(gè)例子﹐假設(shè)新增一個(gè)TCode:FSS0。Role的修改—Merge 當(dāng)一個(gè)Role經(jīng)過Merge后﹐72Role的修改—Merge這時(shí)﹐如果我們選擇的第二項(xiàng)﹐進(jìn)入Profile﹐會發(fā)現(xiàn)所有的Object都和菜單沒有變化前一樣。到底FSS0對Object的影響有哪一些﹐需要自己的經(jīng)驗(yàn)。這里我就不詳細(xì)介紹。(如果一點(diǎn)都不知道﹐可以做一個(gè)測試用的Role﹐只含有這一個(gè)TCode﹐看看系統(tǒng)自動為它帶出的Object即可)Role的修改—Merge這時(shí)﹐如果我們選擇的第73Role的修改—Merge如果選擇的第三項(xiàng)﹐進(jìn)入Profile﹐我們會發(fā)現(xiàn)﹐不少Object變成了黃燈。但如果有經(jīng)驗(yàn)的話﹐仔細(xì)看看﹐會發(fā)現(xiàn)有好幾個(gè)Object其實(shí)都是以前Merge過﹐現(xiàn)在給彈開或者刪除過﹐再次帶出.Role的修改—Merge如果選擇的第三項(xiàng)﹐進(jìn)入74Role的修改—Merge對于熟悉的人來說﹐這些多余的Item可以刪除就可以了﹐但也要費(fèi)時(shí)間確認(rèn)。對于不熟悉的人來說﹐就可能無法區(qū)分那些Object是新增TCode所需要的﹐哪些是因?yàn)椴荒荛_放而刪除的。耗費(fèi)的時(shí)間可能更多。所以﹐我們不推薦這種做法。Role的修改—Merge對于熟悉的人來說﹐這些多余的Ite75Role的修改—新增和刪除TCode新增和刪除TCode其實(shí)在前面都有提到。在Menu頁簽的操作這里就不再重復(fù)了﹐細(xì)節(jié)請參照《Role的新建—完全新建》在Authorization頁簽的操作請參考《Role的修改》這里只重點(diǎn)提醒一件事。Role的修改—新增和刪除TCode新增和刪除TCode76Role的修改—新增和刪除TCode在每一個(gè)有Menu的Role里﹐必定有一個(gè)叫S_TCODE的Object﹐這個(gè)Object里記錄的是這個(gè)Role所有可以執(zhí)行的TCode。當(dāng)Menu變化﹐這里也要相應(yīng)變化。但這個(gè)Object永遠(yuǎn)是綠燈﹐所以大家一定要記得檢查這里。Role的修改—新增和刪除TCode在每一個(gè)有Menu的R77Role的修改—新增和刪除TCode經(jīng)過測試﹕

在Menu新增TCode后﹐在進(jìn)入Profile時(shí)選擇第二項(xiàng)時(shí)﹐系統(tǒng)不會在此Object自動增加TCode﹔選擇第三項(xiàng)﹐系統(tǒng)會自動增加TCode。

在Menu刪除TCode后﹐無論選擇第二項(xiàng)還是第三項(xiàng)﹐系統(tǒng)都不會自動刪除TCode。必須手工刪除﹗﹗

這一點(diǎn)請大家務(wù)必注意。Role的修改—新增和刪除TCode經(jīng)過測試﹕78Role的修改—從其它Role導(dǎo)入當(dāng)我們要處理的RoleA與某個(gè)RoleB的設(shè)定十分相似﹐可以通過Insert功能把RoleB的Object設(shè)定導(dǎo)入到RoleA中。請留意﹐實(shí)際上是導(dǎo)入Profile哦﹐所以一般還要去看RoleB的ProfileName﹐不是很方便。Role的修改—從其它Role導(dǎo)入當(dāng)我們要處理的RoleA79Role的修改—從其它Role導(dǎo)入需要注意的是﹕這樣導(dǎo)入進(jìn)去的Object的設(shè)定都跟RoleB的一樣﹐一定要把其中對RoleA不適用的部分更正過來。 對RoleB不熟悉不要亂用這功能哦。還是那句老話﹕欲速不達(dá)﹐不熟的事﹐沒有把握的事一定要謹(jǐn)慎。Role的修改—從其它Role導(dǎo)入需要注意的是﹕這樣導(dǎo)入進(jìn)去80Role的修改—AdjustAdjust是專門針對存在繼承關(guān)系的母子Role的一項(xiàng)功能。在《Role的建立》一章﹐我們學(xué)習(xí)到﹐從子Role可以通過CopyData從母Role得到ObjectValue。現(xiàn)在﹐我們看看從母Role傳送ObjectValue到子Role的功能Adjust。Role的修改—AdjustAdjust是專門針對存在繼承關(guān)81Role的修改—Adjust用Display模式進(jìn)入TemplateRole的Profile﹐選擇菜單上的Generatederivedroles即可。從操作來看﹐十分簡單。注﹕不要用Change進(jìn)入TemplateRole﹐否則Adjust會造成TemplateRole本身最后修改日期和最后修改人發(fā)生改變﹐對查對權(quán)限產(chǎn)生誤會Role的修改—Adjust用Display模式進(jìn)入Temp82Role的修改—Adjust簡單比較CopyData和Adjust從子Role發(fā)出CopyData僅影響執(zhí)行此功能的子Role﹐其它繼承同一母Role的子Role不受影響同一Client下所有繼承此母Role的子Role均受影響從母Role發(fā)出AdjustRole的修改—Adjust簡單比較CopyData和83Role的傳輸1.產(chǎn)生RequestNum2.Release3.TransportRole的傳輸1.產(chǎn)生RequestNum84Role的傳輸—產(chǎn)生RequestNum在PFCG的開始畫面﹐可以看到。由于單個(gè)Role的傳送比大批量的傳送從操作上來說要簡單而且類似﹐所以我們重點(diǎn)說大批量傳送的操作。大批量的傳輸單個(gè)Role的傳輸Role的傳輸—產(chǎn)生RequestNum在PFCG的開始畫85Role的傳輸—產(chǎn)生RequestNum選擇SingleRole選擇要傳輸?shù)腞oleRole的傳輸—產(chǎn)生RequestNum選擇Single86Role的傳輸—產(chǎn)生RequestNum確定要傳輸Role的傳輸—產(chǎn)生RequestNum確定要傳輸87Role的傳輸—產(chǎn)生RequestNum如果這個(gè)Role第一次傳輸這里一定要打勾﹐否則傳輸?shù)狡渌點(diǎn)lient后會沒有Assign到UserID。但如果不是第一次傳輸請不要打勾﹐因?yàn)橹灰蛄斯淳鸵侥繕?biāo)的Client端去做一次Compare的動作﹐權(quán)限才能激活沒有起用Role的傳輸—產(chǎn)生RequestNum如果這個(gè)Role第88Role的傳輸—產(chǎn)生RequestNum如果要新建一個(gè)Request﹐按如果現(xiàn)在已經(jīng)有一個(gè)還沒有Release的可用的RequestNum﹐請?jiān)谶@里輸入﹐然后打勾Role的傳輸—產(chǎn)生RequestNum如果要新建一個(gè)Re89Role的傳輸—產(chǎn)生RequestNum簡要說明傳輸?shù)膬?nèi)容或目的Role的傳輸—產(chǎn)生RequestNum簡要說明傳輸?shù)膬?nèi)容90Role的傳輸—產(chǎn)生RequestNumRequestNum產(chǎn)生,C00K開頭的都是大陸地區(qū)產(chǎn)生的﹐T00K開頭的都是臺灣地區(qū)產(chǎn)生的.Role的傳輸—產(chǎn)生RequestNumRequestN91Role的傳輸—產(chǎn)生RequestNum單個(gè)Role的傳輸RequestNum產(chǎn)生的過程與打批量的相似﹐只是開始不一樣而已。單個(gè)傳輸直接KeyRole名字﹐按按鈕﹐其它操作就一樣了Role的傳輸—產(chǎn)生RequestNum單個(gè)Role的傳輸92Role的傳輸—ReleaseRelease的TCode﹕SE10輸入RequestNum的產(chǎn)生者﹐選擇查看ModifiableRole的傳輸—ReleaseRelease的TCode93Role的傳輸—Release可以看到﹐其實(shí)是有兩個(gè)RequestNum的,一個(gè)記錄Header﹐一個(gè)記錄ItemRole的傳輸—Release可以看到﹐其實(shí)是有兩個(gè)Requ94Role的傳輸—Release先ReleaseItem的Num（在下面﹐作為子項(xiàng)的那一個(gè)）﹐再Header的Num方法是﹕點(diǎn)擊Item的Num﹐然后按按鈕﹐會進(jìn)入另一個(gè)畫面﹐按﹐會回到原來的畫面﹐然后再ReleaseHeader的Num。同樣是點(diǎn)擊Header的Num﹐然后按﹐進(jìn)入另一畫面后﹐不用存盤﹐按即可Role的傳輸—Release先ReleaseItem的N95Role的傳輸—傳送這一部分是Basis的工作。本來是在Unix下進(jìn)行﹐但我們開發(fā)了兩支外掛程序。從測試環(huán)境到正式環(huán)境是YATP從測試環(huán)境到QAS是YATPQA進(jìn)行傳送的RequestNum必須是已經(jīng)Release的NumberRole的傳輸—傳送這一部分是Basis的工作。96Role的傳輸—傳送兩者的畫面很象﹐填入RequestNum﹐選擇好目標(biāo)Server﹐按就可以了Role的傳輸—傳送兩者的畫面很象﹐填入RequestNu97Role的傳輸—?jiǎng)h除如果發(fā)現(xiàn)Role搭錯(cuò)了一個(gè)RequestNum﹐在沒有Release前可以補(bǔ)救。同樣是在SE10,點(diǎn)擊Num后使用就可以了。Role的傳輸—?jiǎng)h除如果發(fā)現(xiàn)Role搭錯(cuò)了一個(gè)Reques98Role的傳輸—?jiǎng)h除如果已經(jīng)Release就沒有辦法刪除了﹐只能整個(gè)Number作廢﹐所謂“作廢”其實(shí)是不做最后的傳送動作﹐讓這個(gè)Number閑置而已。Role的傳輸—?jiǎng)h除如果已經(jīng)Release就沒有辦法刪除了﹐99Role的刪除在PFCG中填好Role的名字﹐按按鈕﹐確認(rèn)﹐即可把Role及其專屬Profile刪除。Role的刪除在PFCG中填好Role的名字﹐按100Role的刪除請注意﹕如果需要利用傳輸功能在多個(gè)環(huán)境中刪除Role﹐一定要按以下順序進(jìn)行﹕1.對Role產(chǎn)生傳輸?shù)腞equestNum﹔2.刪除本環(huán)境的Role﹔3.Release;(此時(shí)本環(huán)境中已經(jīng)沒有這個(gè)Role了）4.傳輸Role的刪除請注意﹕如果需要利用傳輸功能在多個(gè)環(huán)境中刪除R101賬號刪除 賬號（UserID）的刪除操作也十分簡單﹐在SU01中﹐輸入賬號名稱﹐按就可以了賬號刪除 賬號（UserID）的刪除操作也十分簡單﹐在S102賬號刪除 刪除一個(gè)賬號后﹐為其專設(shè)的Role（即Z或W開頭的）也要?jiǎng)h除（包括測試和正式環(huán)境）﹐減少系統(tǒng)無用的數(shù)據(jù)﹐也減少不必要的查對。 或許有人會認(rèn)為﹕保留這些Role﹐雖然占用一點(diǎn)硬盤﹐但如果以后這個(gè)賬號再次起用﹐不就可以不用重設(shè)權(quán)限嗎﹖

這個(gè)理由咋看起來很有道理。實(shí)際上USER一旦決定刪除某個(gè)賬號﹐在相當(dāng)長的時(shí)間內(nèi)都不會再起用（一個(gè)賬號的費(fèi)用不菲﹐決定不會輕易下的）﹐在經(jīng)過長時(shí)間后即使需要再次起用﹐其權(quán)限需求也要重新審視﹐與其把其新需求與舊有設(shè)定一項(xiàng)一項(xiàng)對比修改﹐還不如重新設(shè)定來得方便快捷﹐而且更安全。賬號刪除 刪除一個(gè)賬號后﹐為其專設(shè)的Role（即Z或W開頭103Debug/查看有一些工具對權(quán)限的問題處理很有幫助 1.SU53 2.SUIM雖然還有一些其它工具﹐但一般很少用或者不實(shí)用﹐這里就不介紹了。Debug/查看有一些工具對權(quán)限的問題處理很有幫助104Debug/查看—SU53當(dāng)一個(gè)賬號反映沒有某個(gè)應(yīng)有的權(quán)限時(shí)﹐我們可以在系統(tǒng)出現(xiàn)沒有權(quán)限的信息時(shí)﹐馬上輸入“/NSU53”Debug/查看—SU53當(dāng)一個(gè)賬號反映沒有某個(gè)應(yīng)有的權(quán)限時(shí)105Debug/查看—SU53Debug/查看—SU53106Debug/查看—SU53上頁紅色框住的就是沒有權(quán)限的地方﹐而藍(lán)色框住的是跟這個(gè)賬號已經(jīng)有的權(quán)限。但是請注意﹕SU53給出的信息并不詳細(xì)﹐大部分情況只能作為一個(gè)大方向的參考﹐有時(shí)還可能指示不出來問題所在。但無論如何﹐有一個(gè)參考總比沒有好。Debug/查看—SU53上頁紅色框住的就是沒有權(quán)限的地方﹐107Debug/查看—SUIMSUIM其實(shí)就是Information系統(tǒng)的一個(gè)集合界面。我們最常用的功能是﹕已知某個(gè)TCode﹐查找含有這個(gè)TCode的Role。Debug/查看—SUIMSUIM其實(shí)就是Informati108Debug/查看—SUIMDebug/查看—SUIM109Debug/查看—SUIM輸入TCode后執(zhí)行﹐就可以得到含有這個(gè)Tcode的Role的列表。請注意﹕其判斷條件是Role的Menu﹐而不是ProfileDebug/查看—SUIM輸入TCode后執(zhí)行﹐就可以得到110特殊的權(quán)限設(shè)定SD的權(quán)限在SD模塊﹐有一個(gè)解S/OBillingBlock權(quán)限的設(shè)定﹐它是在YS08中設(shè)定特殊的權(quán)限設(shè)定SD的權(quán)限111其它知識1.Object的狀態(tài)Standard/Manually/Maintained/Changed2.ObjectValueVSOrg.level其它知識1.Object的狀態(tài)Standard/Manual112其它知識—Object的狀態(tài)其它知識—Object的狀態(tài)113其它知識—Object的狀態(tài)當(dāng)我們用第三項(xiàng)進(jìn)入一個(gè)Profile的時(shí)候﹐我們可以看到每個(gè)Object的描述前有都有兩個(gè)狀態(tài)?，F(xiàn)在我來給大家解釋一下他們的含義。右邊的狀態(tài)共有兩種﹕NEW和OLDNEW﹕此Object有新的Item或Value,ProfileSave后會變成OLDOLD﹕此Object的Item是以前建立的其它知識—Object的狀態(tài)當(dāng)我們用第三項(xiàng)進(jìn)入一個(gè)Profi114其它知識—Object的狀態(tài)左邊的狀態(tài)有好幾種﹕Standard﹕由系統(tǒng)帶出后沒有經(jīng)過任何更改Maintained﹕對系統(tǒng)初次帶出時(shí)Value為空的Item進(jìn)行過變更或補(bǔ)充Changed﹕對系統(tǒng)初次帶出時(shí)Value為非空的Item進(jìn)行過變更其它知識—Object的狀態(tài)左邊的狀態(tài)有好幾種﹕115其它知識—ObjectValueVSOrg.level大家可能對ObjectValue與Org.level的關(guān)系有一些疑問﹐對Adjust時(shí)子Role到底那些地方會被母Role控制變更有點(diǎn)把握不住。那么下面介紹的東東對大家可能有點(diǎn)幫助1.Adjust大原則﹕Org.level﹕子Role有值時(shí)﹐Adjust時(shí)以子Role為準(zhǔn)﹐ 子Role無值時(shí)﹐Adjust以母Role為準(zhǔn)Object.Value﹕一律強(qiáng)制以母Role為準(zhǔn)其它知識—ObjectValueVSOrg.level116其它知識—ObjectValueVSOrg.level2.Value與Org.level

我們可以發(fā)現(xiàn)﹐在Object里有些Item的Value是與Org.level相關(guān)聯(lián)的﹐其值在沒有手工更改前都是以“$”開頭﹐這類值都是變量﹐指向?qū)?yīng)的Org.level。 當(dāng)Org.level給值后﹐Object就通過這些變量把Org.level的值顯示出來﹐但實(shí)際上Object的值仍然是原來以“$”開頭的那個(gè)值。 其它知識—ObjectValueVSOrg.level117其它知識—ObjectValueVSOrg.level 在子Role中﹐如果這些ObjectValue被手工更改﹐在母Role沒有做Adjust之前﹐子Role的ObjectValue是可以與Org.level不一致的﹐實(shí)際權(quán)限以O(shè)bjectValue為準(zhǔn)。但一旦母Role做了Adjust﹐子Role的ObjectValue就強(qiáng)制與母Role一致。而母Role一般對這類ObjectValue的處理是保持其變量狀態(tài)﹐那么子Role的Value就變會變量狀態(tài)（$XXXX)﹐然后根據(jù)子RoleOrg.level的值顯示出新的值。其它知識—ObjectValueVSOrg.level118其它知識—ObjectValueVSOrg.level3.如果不小心變更了與Org相連的Value﹐但又想恢復(fù)其變量狀態(tài)﹐怎么操作﹖

首先﹐簡單地把Value清空是不行的﹐這樣的操作只是把當(dāng)前值變?yōu)镹ULL(空)﹐第二﹐把其原有的$開頭的值Key進(jìn)去也是不行的﹐主要原因是輸入字段的長度不夠。 正確操作是﹕把這個(gè)Object整個(gè)刪除﹐然后手工添加這個(gè)Object。其它知識—ObjectValueVSOrg.level119請大家把自己的發(fā)現(xiàn)告訴我這個(gè)教材是我在工作之余測試編寫的﹐因?yàn)榭吹讲簧傩值苕⒚冒鼨?quán)限的時(shí)候還有不少的疑問﹐所以希望能總結(jié)一下﹐對大家有點(diǎn)幫助因?yàn)闀r(shí)間很不夠用﹐斷斷續(xù)續(xù)寫了一個(gè)多月﹐本來有些東西想寫﹐但由于沒有時(shí)間進(jìn)一步了解﹐怕寫出來誤人子弟。只好作罷。同時(shí)由于時(shí)間和精力﹐美觀方面就不做多的修飾了。(反正是內(nèi)部教材^_^)請大家把自己的發(fā)現(xiàn)告訴我這個(gè)教材是我在工作之余測試編寫的﹐因120請大家把自己的發(fā)現(xiàn)告訴我這不是客套話﹕這個(gè)教材雖然是我很辛苦寫出來的﹐但可能還是有不對的地方﹐請大家發(fā)現(xiàn)后告訴我﹐我有時(shí)間的時(shí)候會修正。同時(shí)如果大家有自己的心得也請不吝賜教﹐特別是各個(gè)模塊特有的權(quán)限設(shè)定﹐輔助工具的使用﹐Basis組所負(fù)責(zé)的權(quán)限部分﹐權(quán)限的傳輸?shù)确矫姗o我還有些地方了解的很不足夠﹐希望各位能告訴我。請大家把自己的發(fā)現(xiàn)告訴我這不是客套話﹕這個(gè)教材雖然是我很辛苦121SAP權(quán)限的設(shè)定QiQiV張穎祺內(nèi)部教材CONFIDENTIALSAP權(quán)限的設(shè)定QiQi內(nèi)部教材122目錄1.總述2.職能/TemplateRole/設(shè)定的分工3.三種不同的常規(guī)權(quán)限的設(shè)定方法4.5.如何快速檢查權(quán)限設(shè)定的情況目錄1.總述123總述1.在開始學(xué)習(xí)之前2.SAP權(quán)限的架構(gòu)總述1.在開始學(xué)習(xí)之前124在開始學(xué)習(xí)之前在開始了解權(quán)限前,有幾點(diǎn)是要大家注意的1.權(quán)限設(shè)定非常重要﹐而且權(quán)限的DEBUG操作非常繁瑣,耗時(shí),所以請大家設(shè)定時(shí)一定要非常謹(jǐn)慎,每次更改都要記錄。2.權(quán)限設(shè)定除非特殊情況﹐不允許在正式環(huán)境直接更改﹐請?jiān)跍y試環(huán)境修改好再傳到正式環(huán)境。3.MIS不是決定user權(quán)限的人﹐而是user大大小小的leader﹐所以﹐要變更權(quán)限設(shè)定﹐務(wù)必要求user提供經(jīng)過簽核的申請表。（當(dāng)然﹐對user不合理的權(quán)限要求﹐MIS也有責(zé)任退回）4.權(quán)限的設(shè)定,是MIS的工作.（廢話）所以﹐本教材是MIS內(nèi)部教材﹐請不要隨便泄漏在開始學(xué)習(xí)之前在開始了解權(quán)限前,有幾點(diǎn)是要大家注意的125SAP權(quán)限的架構(gòu)Roletemplate-Description-Menu-Authorizations……………Authorizationprofile-Objectclass-Authorizationobject-Authorizations………………..AssigntoBindwithAssigntoSAPUseraccount-Address-Logondata-Group............這是SAP權(quán)限的架構(gòu)圖﹐大家也接觸過。請大家一定要記住他們的關(guān)系。SAP權(quán)限的架構(gòu)RoletemplateAuthoriza126SAP權(quán)限的架構(gòu)名詞解釋（英譯中﹖）﹕Useraccount﹕就是我們平常說的“賬號”﹐也稱為“USERID”。Role﹕同類的USER使用SAP的目的和常用的功能都是類似的﹐例如業(yè)務(wù)一定需要用到開S/O的權(quán)限。當(dāng)我們把某類USER需要的權(quán)限都?xì)w到一個(gè)集合中﹐這個(gè)集合就是“職能”(Role)。 所謂的“角色”或者“職能”﹐是sap4.0才開始有的概念﹐其實(shí)就是對user的需求進(jìn)行歸類﹐使權(quán)限的設(shè)定更方便。(面向?qū)ο蟮臋?quán)限!!) 分為singlerole和compositerole兩種﹐后者其實(shí)是前者的集合。SAP權(quán)限的架構(gòu)名詞解釋（英譯中﹖）﹕127SAP權(quán)限的架構(gòu)Profile:真正記錄權(quán)限的設(shè)定的文件﹐從sap4.0開始是與Role綁定在一起的。雖然在sap4.6c還可以單獨(dú)存在﹐但按sap的行為推測﹐以后將不能“一個(gè)人活著”TemplateRole:Role的模板﹐一般是singlerole.但這個(gè)模板具有一個(gè)強(qiáng)大的功能﹐能通過更改模板而更改所有應(yīng)用(sap稱為Derive“繼承”）此模板的Role(sap稱之為adjust)SAP權(quán)限的架構(gòu)Profile:真正記錄權(quán)限的設(shè)定的文件﹐128SAP權(quán)限的架構(gòu)例外權(quán)限﹕這是公司創(chuàng)造的名詞。當(dāng)一個(gè)USER除了其職位一般所需的權(quán)限外﹐還需要一些特殊的權(quán)限﹐我們把這些權(quán)限稱之為這個(gè)USER的例外權(quán)限。 例如開工單對生管來說是其職能應(yīng)有的權(quán)限﹐但對倉庫來所就是例外權(quán)限。SAP權(quán)限的架構(gòu)例外權(quán)限﹕這是公司創(chuàng)造的名詞。當(dāng)一個(gè)USER129Role的命名和分類Role的命名規(guī)則和分類如下:以“G+”開頭都是TemplateRole(模板)﹐都不會直接assign給userid。G+職能名稱 ﹕全球共同TemplateRoleG+職能名稱-1 ﹕地區(qū)TemplateRole以“Z+”開頭都是UserRole,直接assign給userid。Z+UserID+職能名稱 :繼承全球共同TemplateRoleZ+UserID+職能名稱-1:繼承地區(qū)TemplateRoleZ+UserID+Exception :沒有繼承任何Role,例外權(quán)限以“Y+”開頭都是BasisRole,直接assign給userid。Y+職能名稱 :全球共同BasisRoleRole的命名和分類Role的命名規(guī)則和分類如下:130Role的命名和分類附件是一張職能/Rolename對照表我們以其中一個(gè)職能“AR作業(yè)人員”做解釋﹕職能中文名稱職能英文名稱全球共同TemplateRole地區(qū)TemplateRole全球共同BasisRoleRole的命名和分類附件是一張職能/Rolename對照表職131Role的命名和分類全球共同TemplateRole﹕是指此職能在全球任何一個(gè)地區(qū)都一致的那部分權(quán)限的模板。命名特征是以“G+”開頭﹐非“-1”結(jié)尾。 例如“G+CO–CO”地區(qū)TemplateRole﹕是指此職能根據(jù)不同地區(qū)而不同的那部分權(quán)限的模板。命名特征是“G+”開頭﹐“-1”結(jié)尾。 例如“G+CO–CO–1”Role的命名和分類全球共同TemplateRole﹕是指132Role的命名和分類UserRole﹕是指根據(jù)每個(gè)user的具體需求進(jìn)行設(shè)定的權(quán)限的Role.命名特征是﹕“Z+”USERID開頭（東莞﹑臺灣地區(qū)）“W+”USERID開頭（吳江地區(qū)） 例如“Z+PSC1-ACT01+CO-CO”全球共同BasisRole﹕是指此職能關(guān)系到整個(gè)系統(tǒng)的安全的那部分權(quán)限的Role.命名特征是“Y+”開頭 例如“Y+CO–CO”Role的命名和分類UserRole﹕是指根據(jù)每個(gè)user133權(quán)限設(shè)定者分工一.以Role類型分1.TemplateRole 即“G”開頭的:臺北本部的APMIS2.UserRole: 以Z開頭的:東莞APMIS 以W開頭的:吳江APMIS3.BasisRole: 即以Y開頭的:臺北和東莞BasisMIS權(quán)限設(shè)定者分工一.以Role類型分134權(quán)限設(shè)定者分工二.以USERID分從USERID可以區(qū)分出這個(gè)ID所屬的廠別和模塊。例如﹕PSC1-ENG01這是PSC1廠的賬號﹐屬于PP模塊﹐所以這個(gè)賬號申請的權(quán)限將由東莞PP模塊的MIS主要負(fù)責(zé)和監(jiān)督。權(quán)限設(shè)定者分工二.以USERID分135權(quán)限設(shè)定者分工三.以所申請的權(quán)限歸屬的模塊分 由于user所申請的權(quán)限通常涉及多個(gè)模塊﹐這就需要多個(gè)模塊的MIS共同合作設(shè)定user的權(quán)限﹐這時(shí)先按第二條執(zhí)行,由ID所屬模塊MIS接受申請﹐并從始至終跟進(jìn)。然后具體的權(quán)限屬于哪個(gè)模塊就由那個(gè)模塊的MIS作設(shè)定。 但無論如何﹐作為跟進(jìn)的MIS都是負(fù)主要責(zé)任的。權(quán)限設(shè)定者分工三.以所申請的權(quán)限歸屬的模塊分136權(quán)限設(shè)定的操作 上面說過﹐權(quán)限的大架構(gòu)由UserID,Role,Profile三層組成﹐那么﹐權(quán)限的設(shè)定自然也會有三層。但由于sap4.6是Profile與Role是捆綁在一起的﹐所以在建立Role的時(shí)候﹐Profile是會自動創(chuàng)建的（具體見后文）。而UserID的建立比較簡單。所以﹐我將主要說明Role的部分。權(quán)限設(shè)定的操作 上面說過﹐權(quán)限的大架構(gòu)由UserID,137USERID的建立TCODE﹕SU01單擊建立圖標(biāo)2輸入要?jiǎng)?chuàng)建的UserID1USERID的建立TCODE﹕SU01單擊建立圖標(biāo)138USERID的建立填好這些字段USERID的建立填好這些字段139USERID的建立設(shè)定組別﹐這對MIS非常重要﹐MIS能否管理此UserID就看這里設(shè)定初始密碼有效期一般不設(shè)定USERID的建立設(shè)定組別﹐這對MIS非常重要﹐MIS能140USERID的建立按圖設(shè)定（打印機(jī)按實(shí)際設(shè)定）USERID的建立按圖設(shè)定（打印機(jī)按實(shí)際設(shè)定）141USERID的建立接著按save﹐就把USERID創(chuàng)建好了

USERID創(chuàng)建好了﹐但這時(shí)這個(gè)ID沒有賦予(Assign)任何權(quán)限﹐是什么都不能做的。USER得到這樣的賬號沒有任何意義。 如何Assign權(quán)限給一個(gè)賬號﹖主要就是Assign一個(gè)Role給這個(gè)賬號了。下面我們看看如何建Role和給權(quán)限。USERID的建立接著按save﹐就把USERID創(chuàng)建142Role的建立新創(chuàng)建Role主要有三種方式。TCODE﹕PFCG1. 可以對應(yīng)所有新建Role。主要對應(yīng)例外權(quán)限Z+USERID+EXCEPTION2.繼承;

主要對應(yīng)設(shè)定Z+USERID+職能名稱3.復(fù)制（COPY）﹔

主要對應(yīng)設(shè)定Z+USERID+職能名稱-1Role的建立新創(chuàng)建Role主要有三種方式。TCODE﹕143Role的建立—完全新建 我們假設(shè)有一個(gè)賬號“FORTEST”,他申請了例外權(quán)限VA01和YF30。 下面我將會一步一步向大家說明操作的步驟和應(yīng)該注意的地方。 看到PFCG的畫面了嗎﹖沒有﹖ 哦﹐在下一頁。Role的建立—完全新建 我們假設(shè)有一個(gè)賬號“FORTE144Role的建立—完全新建輸入Rolename注意選第二項(xiàng)Role的建立—完全新建輸入Rolename注意選第二項(xiàng)145Role的建立—完全新建描述一般與Rolename一致記錄此Role的創(chuàng)建者記錄此Role的最后修改者把描述填好后﹐按save然后點(diǎn)擊menu頁簽Role的建立—完全新建描述一般與Rolename一致記錄146Role的建立—完全新建建立新目錄修改TEXT項(xiàng)目下移項(xiàng)目上移刪除項(xiàng)目手動增加Tcode從SAPMenu中增加Tcode從其它Role中CopyMenu這些是常用的功能Menu頁簽定義的是USERMENU（個(gè)人化菜單）的內(nèi)容。Role的建立—完全新建建立新目錄修改TEXT項(xiàng)目下移項(xiàng)目上147Role的建立—完全新建請大家按圖所示建立目錄﹐第一層是職能﹐這里是EXCEPTION﹐下面分“標(biāo)準(zhǔn)”(Standark)和“外掛”(AddOn)兩個(gè)目錄。讓菜單保持清晰﹐可以令User的個(gè)人菜單清楚﹐不混亂。我們MIS檢查權(quán)限也比較方便。Role的建立—完全新建請大家按圖所示建立目錄﹐第一層是職148Role的建立—完全新建大家可以對比下面兩個(gè)USER的個(gè)人化菜單﹐左邊職能清晰﹐右邊非常混亂﹐同名的目錄大量出現(xiàn)﹐但里面的內(nèi)容又不盡相同﹐這對依賴路徑執(zhí)行指令的user是很麻煩的。Role的建立—完全新建大家可以對比下面兩個(gè)USER的個(gè)人化149Role的建立—完全新建菜單的殼子有了﹐如何往里面添加內(nèi)容呢﹖比較常見的是﹕從SAP菜單添加和直接添加TCODE。從SAP菜單添加﹕所有標(biāo)準(zhǔn)的TCODE和沒有TCODE的標(biāo)準(zhǔn)程序都可以用這種方法添加。好處是可以尋找﹐可以一次添加標(biāo)準(zhǔn)菜單的一個(gè)目錄﹐Tcode在標(biāo)準(zhǔn)菜單中的位置也可以顯示出來。缺點(diǎn)是很浪費(fèi)時(shí)間﹐而且外掛的程序無法添加。Role的建立—完全新建菜單的殼子有了﹐如何往里面添加內(nèi)容呢150Role的建立—完全新建直接添加﹕所有TCODE(包括外掛）和沒有TCODE的標(biāo)準(zhǔn)程序都可以用這種方法添加。好處是比較快缺點(diǎn)是必須知道Tcode﹐不能帶出路徑。Role的建立—完全新建直接添加﹕151Role的建立—完全新建從SAP菜單添加Role的建立—完全新建從SAP菜單添加152Role的建立—完全新建Role的建立—完全新建153Role的建立—完全新建Role的建立—完全新建154Role的建立—完全新建Role的建立—完全新建155Role的建立—完全新建OBJECT完全沒有給值OBJECT只有部分給值OBJECT已經(jīng)全部有值請注意﹕綠燈只是表示全部有值而已﹐但不一定就是我們所需要的值這時(shí)﹐標(biāo)準(zhǔn)Tcode所需要的Object﹐系統(tǒng)會自動帶出來。Role的建立—完全新建OBJECT完全沒有給值OBJECT156Role的建立—完全新建這個(gè)Object是任何權(quán)限設(shè)定文件中都應(yīng)該有的﹐這是給予啟動Tcode的權(quán)限﹐如果Tcode沒有出現(xiàn)在這個(gè)列表中﹐user連這個(gè)指令的畫面都無法進(jìn)入Role的建立—完全新建這個(gè)Object是任何權(quán)限設(shè)定文件中157Role的建立—完全新建在這里﹐需要向大家介紹一個(gè)很重要的概念﹕Org.level.在權(quán)限設(shè)定中﹐有許多地方的控制點(diǎn)是一致的﹐sap公司為了方便權(quán)限的設(shè)定﹐把這些地方設(shè)計(jì)為與全局變量關(guān)聯(lián)。當(dāng)改變?nèi)肿兞繒r(shí)﹐這些地方就可以全部改變過來。這個(gè)全局的變量就是﹕Org.levelRole的建立—完全新建在這里﹐需要向大家介紹一個(gè)很重要的概158Role的建立—完全新建當(dāng)Org.Level給值后﹐相應(yīng)的Objectvalue的值也變了Role的建立—完全新建當(dāng)Org.Level給值后﹐相應(yīng)的O159Role的建立—完全新建 對Org.Level都給值之后﹐會發(fā)現(xiàn)相當(dāng)一部分的Objectvalue都已經(jīng)給值了﹐但還有一些Object是紅燈或者是黃燈﹐這些Object是要單獨(dú)給值的。Role的建立—完全新建 對Org.Level都給值之后﹐會160Role的建立—完全新建 按一下標(biāo)志﹐就可以輸入值﹐按保存 在這里介紹一下的作用﹐點(diǎn)擊它﹐就相當(dāng)于給這個(gè)Object一個(gè)“*”(star)﹐“*”的意義是AllAuthorization﹐不卡任何權(quán)限。Object給值后﹐就變成綠色﹐不能點(diǎn)擊了。Role的建立—完全新建 按一下標(biāo)志﹐就可以輸入161Role的建立—完全新建 如果是外掛的Tcode﹐就只能用“直接添加”的方式加入到菜單中﹐需要注意的是﹐外掛的Tcode的Object不會自動帶出來﹐需要自己手工添加。 按﹐點(diǎn)擊Y-AUTH-PRT前的Role的建立—完全新建 如果是外掛的Tcode﹐就只能162Role的建立—完全新建變?yōu)楹螬o按屏幕上方的﹐插入Object.注意﹕外掛的Tcode﹐除了前面所說的列表中要有外﹐這里框住的地方要給Tcode﹐否則user還是不會有權(quán)限Role的建立—完全新建變?yōu)楹螬o按屏幕上方的163Role的建立—完全新建都給好值后﹐按保存﹐按“勾”。然后按激活。退出。Role的建立—完全新建都給好值后﹐按保存﹐按164Role的建立—完全新建Authorization已經(jīng)變成綠燈﹐這表示權(quán)限的設(shè)定已經(jīng)可用了。點(diǎn)擊USER,AssignUSERID給這個(gè)RoleRole的建立—完全新建Authorization已經(jīng)變成綠165Role的建立—完全新建點(diǎn)擊USERCOMPARE﹐再點(diǎn)擊Completecompare﹐就完成了COMPARE。至此﹐此權(quán)限已經(jīng)Assign完畢﹐FORTEST這個(gè)賬號已經(jīng)具有VA01和YF30的權(quán)限Role的建立—完全新建點(diǎn)擊USERCOMPARE﹐166Role的建立—繼承 所謂“繼承”,是指兩個(gè)Role形成這樣的母子關(guān)系﹕子Role的所有Menu,Authorization（Org.level除外)都源于母Role,并與母Role保持一致。 母Role與子Role是1對多的。Role的建立—繼承 所謂“繼承”,是指兩個(gè)Role形成這167Role的建立—繼承下面﹐我們來學(xué)習(xí)用“繼承”方式建立Role.我們假設(shè)有一個(gè)賬號“FORTEST”,他申請了職能“AP立帳員”﹐“AP立帳員”的TemplateRole是“G+CO-AP”。我們先來按命名規(guī)則Create一個(gè)新Role。Role的建立—繼承下面﹐我們來學(xué)習(xí)用“繼承”方式建立Rol168Role的建立—繼承大家注意這個(gè)地方﹐建立“繼承”關(guān)系就是靠這里了Role的建立—繼承大家注意這個(gè)地方﹐建立“繼承”關(guān)系就是靠169Role的建立—繼承填入TemplateRole,按Enter.是否建立繼承關(guān)系﹖回答當(dāng)然是“YES”了﹐否則我們怎樣上課﹖如果在此前沒有做過存盤﹐系統(tǒng)會詢問是否存盤﹐回答同樣是“YES”Role的建立—繼承填入TemplateRole,按Ent170Role的建立—繼承可以看到﹐菜單已經(jīng)自動根據(jù)TemplateRole生成了,點(diǎn)擊Authorization頁簽﹐設(shè)定權(quán)限去。Role的建立—繼承可以看到﹐菜單已經(jīng)自動根據(jù)Templat171Role的建立—繼承進(jìn)入Profile里面了﹐請注意下面所說的操作﹐如果做錯(cuò)了﹐可能要拉倒從新開始的喲。點(diǎn)擊這個(gè)按鈕1.系統(tǒng)會自動進(jìn)入Org.level﹐請點(diǎn)擊“X”,退出Org.level。2.按“SAVE”對Profile存檔。Role的建立—繼承進(jìn)入Profile里面了﹐請注意下面所說172Role的建立—繼承3.執(zhí)行菜單Edit中的Copydata,系統(tǒng)會提示這個(gè)操作不可反轉(zhuǎn)。按“勾”繼續(xù),執(zhí)行完畢后我們會看到﹐許多Object已經(jīng)變成綠燈了。Role的建立—繼承3.執(zhí)行菜單Edit中的Copydat173Role的建立—繼承現(xiàn)在可以維護(hù)Org.level的設(shè)定了。進(jìn)入的方法如上。當(dāng)Org.level每一個(gè)字段都賦值之后﹐應(yīng)該每一個(gè)Object都是綠燈﹐如果還有紅黃燈﹐請通知臺北修正。Role的建立—繼承現(xiàn)在可以維護(hù)Org.level的設(shè)定了。174Role的建立—繼承 當(dāng)所有權(quán)限（其實(shí)只是設(shè)定Org.level)都設(shè)定完畢后﹐按激活設(shè)定﹐Assign給USERID,就完成了。Role的建立—繼承 當(dāng)所有權(quán)限（其實(shí)只是設(shè)定Org.le175Role的建立—繼承大家是否覺得“繼承”的方法好簡單﹐幾下就做完了。其實(shí)這種方法思路最復(fù)雜了﹐后面的處理還隱藏不少陷阱。不過現(xiàn)在大家先掌握Role的建立方法﹐其它的問題等一下再說。那么﹐我們來看看第三種方法—復(fù)制。Role的建立—繼承大家是否覺得“繼承”的方法好簡單﹐幾下就176Role的建立—復(fù)制復(fù)制其實(shí)是一種從思想到操作都很簡單的操作。它的核心就是—……復(fù)制!(雞蛋和西紅柿飛了起來……）我們來看看如何操作吧。先告訴大家﹕“AP立帳員”的TemplateRole還有一個(gè)﹐是“G+CO-AP-1”﹐我們就用它來學(xué)習(xí)。Role的建立—復(fù)制復(fù)制其實(shí)是一種從思想到操作都很簡單的操作177Role的建立—復(fù)制一開始當(dāng)然是進(jìn)入PFCG了﹐先把TemplateRole名輸進(jìn)去﹐然后按COPY按鈕Role的建立—復(fù)制一開始當(dāng)然是進(jìn)入PFCG了﹐先把Temp178Role的建立—復(fù)制Role的建立—復(fù)制179Role的建立—復(fù)制把描述改成與Role名一樣要注意“-1”的Role的menu是空的這里是空的Role的建立—復(fù)制把描述改成與Role名一樣要注意“-1”180Role的建立—復(fù)制紅色框住的都是要填入值的地方﹐最好先填完Org.levelRole的建立—復(fù)制紅色框住的都是要填入值的地方﹐最好先填完181Role的建立—復(fù)制與其它方式建立的Role一樣,當(dāng)所有權(quán)限都設(shè)定完畢后﹐按激活設(shè)定﹐Assign給USERID﹐一個(gè)Role就設(shè)定完成了Role的建立—復(fù)制與其它方式建立的Role一樣,當(dāng)所有權(quán)限182Role的建立—繼承與復(fù)制小結(jié)﹕非“-1”的那種TemplateRole﹐用繼承的方式建立新Role,繼承后﹐只需要填入Org.level﹐Object就全部是綠燈了﹐而“-1”的那種是用復(fù)制的方式﹐還需要在Object里填入值﹐才能全部綠燈。這是兩者操作上的最大特點(diǎn)。Role的建立—繼承與復(fù)制小結(jié)﹕183Role的修改1.Merge2.新增/刪除TCode3.從其它Role導(dǎo)入4.AdjustRole的修改1.Merge184Role的修改 對Role的修改最常見的是有TCode的新增/刪除。這種改動﹐一般是從Menu開始﹐當(dāng)Menu改變?nèi)魏胃淖儵o系統(tǒng)都會偵測到﹐Authorization和User會變成紅燈。 在Authorization頁簽里有兩個(gè)按鈕﹐他們有什么不同呢﹖Role的修改 對Role的修改最常見的是有TCode的新185Role的修改我們先點(diǎn)擊﹐會出現(xiàn)一個(gè)小窗口﹐里面是三個(gè)選項(xiàng)﹐他們的意義是不同的。第一項(xiàng)﹕刪除此Role的Profile后重建第