BASIS權(quán)限的設(shè)定-達(dá)沃旗SAP課件

目錄1.總述2.職能/TemplateRole/設(shè)定的分工3.三種不同的常規(guī)權(quán)限的設(shè)定方法4.常規(guī)以外的權(quán)限設(shè)定方式5.如何快速檢查權(quán)限設(shè)定的情況目錄1.總述總述1.在開(kāi)始學(xué)習(xí)之前2.SAP權(quán)限的架構(gòu)總述1.在開(kāi)始學(xué)習(xí)之前在開(kāi)始學(xué)習(xí)之前在開(kāi)始了解權(quán)限前,有幾點(diǎn)是要大家注意的1.權(quán)限設(shè)定非常重要﹐而且權(quán)限的DEBUG操作非常繁瑣,耗時(shí),所以請(qǐng)大家設(shè)定時(shí)一定要非常謹(jǐn)慎,每次更改都要記錄。2.權(quán)限設(shè)定除非特殊情況﹐不允許在正式環(huán)境直接更改﹐請(qǐng)?jiān)跍y(cè)試環(huán)境修改好再傳到正式環(huán)境。3.MIS不是決定user權(quán)限的人﹐而是user大大小小的leader﹐所以﹐要變更權(quán)限設(shè)定﹐務(wù)必要求user提供經(jīng)過(guò)簽核的申請(qǐng)表。（當(dāng)然﹐對(duì)user不合理的權(quán)限要求﹐MIS也有責(zé)任退回）4.權(quán)限的設(shè)定,是MIS的工作.（廢話）所以﹐本教材是MIS內(nèi)部教材﹐請(qǐng)不要隨便泄漏在開(kāi)始學(xué)習(xí)之前在開(kāi)始了解權(quán)限前,有幾點(diǎn)是要大家注意的SAP權(quán)限的架構(gòu)Roletemplate-Description-Menu-Authorizations……………Authorizationprofile-Objectclass-Authorizationobject-Authorizations………………..AssigntoBindwithAssigntoSAPUseraccount-Address-Logondata-Group............這是SAP權(quán)限的架構(gòu)圖﹐大家也接觸過(guò)。請(qǐng)大家一定要記住他們的關(guān)系。SAP權(quán)限的架構(gòu)RoletemplateAuthorizaSAP權(quán)限的架構(gòu)名詞解釋（英譯中﹖）﹕Useraccount﹕就是我們平常說(shuō)的“帳號(hào)”﹐也稱為“USERID”。Role﹕同類的USER使用SAP的目的和常用的功能都是類似的﹐例如業(yè)務(wù)一定需要用到開(kāi)S/O的權(quán)限。當(dāng)我們把某類USER需要的權(quán)限都?xì)w到一個(gè)集合中﹐這個(gè)集合就是“職能”(Role)。 所謂的“角色”或者“職能”﹐是sap4.0才開(kāi)始有的概念﹐其實(shí)就是對(duì)user的需求進(jìn)行歸類﹐使權(quán)限的設(shè)定更方便。(面向?qū)ο蟮臋?quán)限!!)

分為singlerole和compositerole兩種﹐后者其實(shí)是前者的集合。SAP權(quán)限的架構(gòu)名詞解釋（英譯中﹖）﹕SAP權(quán)限的架構(gòu)Profile:真正記錄權(quán)限的設(shè)定的文件﹐從sap4.0開(kāi)始是與Role綁定在一起的。雖然在sap4.6c還可以單獨(dú)存在﹐但按sap的行為推測(cè)﹐以后將不能“一個(gè)人活著”TemplateRole:Role的模板﹐一般是singlerole.但這個(gè)模板具有一個(gè)強(qiáng)大的功能﹐能通過(guò)更改模板而更改所有應(yīng)用(sap稱為Derive“繼承”）此模板的Role(sap稱之為adjust)SAP權(quán)限的架構(gòu)Profile:真正記錄權(quán)限的設(shè)定的文件﹐SAP權(quán)限的架構(gòu)例外權(quán)限﹕這是公司創(chuàng)造的名詞。當(dāng)一個(gè)USER除了其職位一般所需的權(quán)限外﹐還需要一些特殊的權(quán)限﹐我們把這些權(quán)限稱之為這個(gè)USER的例外權(quán)限。 例如開(kāi)工單對(duì)生管來(lái)說(shuō)是其職能應(yīng)有的權(quán)限﹐但對(duì)倉(cāng)庫(kù)來(lái)所就是例外權(quán)限。SAP權(quán)限的架構(gòu)例外權(quán)限﹕這是公司創(chuàng)造的名詞。當(dāng)一個(gè)USERRole的命名和分類Role的命名規(guī)則和分類如下:以“G+”開(kāi)頭都是TemplateRole(模板)﹐都不會(huì)直接assign給userid。G+職能名稱 ﹕全球共同TemplateRoleG+職能名稱-1 ﹕地區(qū)TemplateRole以“Z+”開(kāi)頭都是UserRole,直接assign給userid。Z+UserID+職能名稱 :繼承全球共同TemplateRoleZ+UserID+職能名稱-1:繼承地區(qū)TemplateRoleZ+UserID+Exception :沒(méi)有繼承任何Role,例外權(quán)限以“Y+”開(kāi)頭都是BasisRole,直接assign給userid。Y+職能名稱 :全球共同BasisRoleRole的命名和分類Role的命名規(guī)則和分類如下:Role的命名和分類附件是一張職能/Rolename對(duì)照表我們以其中一個(gè)職能“AR作業(yè)人員”做解釋﹕職能中文名稱職能英文名稱全球共同TemplateRole地區(qū)TemplateRole全球共同BasisRoleRole的命名和分類附件是一張職能/Rolename對(duì)照表職Role的命名和分類全球共同TemplateRole﹕是指此職能在全球任何一個(gè)地區(qū)都一致的那部分權(quán)限的模板。命名特征是以“G+”開(kāi)頭﹐非“-1”結(jié)尾。 例如“G+CO–CO”地區(qū)TemplateRole﹕是指此職能根據(jù)不同地區(qū)而不同的那部分權(quán)限的模板。命名特征是“G+”開(kāi)頭﹐“-1”結(jié)尾。 例如“G+CO–CO–1”Role的命名和分類全球共同TemplateRole﹕是指Role的命名和分類UserRole﹕是指根據(jù)每個(gè)user的具體需求進(jìn)行設(shè)定的權(quán)限的Role.命名特征是﹕“Z+”USERID開(kāi)頭（東莞﹑臺(tái)灣地區(qū)）“W+”USERID開(kāi)頭（吳江地區(qū)） 例如“Z+PSC1-ACT01+CO-CO”全球共同BasisRole﹕是指此職能關(guān)系到整個(gè)系統(tǒng)的安全的那部分權(quán)限的Role.命名特征是“Y+”開(kāi)頭 例如“Y+CO–CO”Role的命名和分類UserRole﹕是指根據(jù)每個(gè)user權(quán)限設(shè)定者分工一.以Role類型分1.TemplateRole

即“G”開(kāi)頭的:臺(tái)北本部的APMIS2.UserRole:

以Z開(kāi)頭的:東莞APMIS

以W開(kāi)頭的:吳江APMIS3.BasisRole:

即以Y開(kāi)頭的:臺(tái)北和東莞BasisMIS權(quán)限設(shè)定者分工一.以Role類型分權(quán)限設(shè)定者分工二.以USERID分從USERID可以區(qū)分出這個(gè)ID所屬的廠別和模組。例如﹕PSC1-ENG01這是PSC1廠的帳號(hào)﹐屬于PP模組﹐所以這個(gè)帳號(hào)申請(qǐng)的權(quán)限將由東莞PP模組的MIS主要負(fù)責(zé)和監(jiān)督。權(quán)限設(shè)定者分工二.以USERID分權(quán)限設(shè)定者分工三.以所申請(qǐng)的權(quán)限歸屬的模組分 由于user所申請(qǐng)的權(quán)限通常涉及多個(gè)模組﹐這就需要多個(gè)模組的MIS共同合作設(shè)定user的權(quán)限﹐這時(shí)先按第二條執(zhí)行,由ID所屬模組MIS接受申請(qǐng)﹐并從始至終跟進(jìn)。然后具體的權(quán)限屬于哪個(gè)模組就由那個(gè)模組的MIS作設(shè)定。 但無(wú)論如何﹐作為跟進(jìn)的MIS都是負(fù)主要責(zé)任的。權(quán)限設(shè)定者分工三.以所申請(qǐng)的權(quán)限歸屬的模組分權(quán)限設(shè)定的操作

上面說(shuō)過(guò)﹐權(quán)限的大架構(gòu)由UserID,Role,Profile三層組成﹐那么﹐權(quán)限的設(shè)定自然也會(huì)有三層。但由于sap4.6是Profile與Role是捆綁在一起的﹐所以在建立Role的時(shí)候﹐Profile是會(huì)自動(dòng)創(chuàng)建的（具體見(jiàn)后文）。而UserID的建立比較簡(jiǎn)單。所以﹐我將主要說(shuō)明Role的部分。權(quán)限設(shè)定的操作 上面說(shuō)過(guò)﹐權(quán)限的大架構(gòu)由UserID,USERID的建立TCODE﹕SU01單擊建立圖標(biāo)2輸入要?jiǎng)?chuàng)建的UserID1USERID的建立TCODE﹕SU01單擊建立USERID的建立填好這些欄位USERID的建立填好這些欄位USERID的建立設(shè)定組別﹐這對(duì)MIS非常重要﹐MIS能否管理此UserID就看這里設(shè)定初始密碼有效期一般不設(shè)定USERID的建立設(shè)定組別﹐這對(duì)MIS非常重要﹐MIS能USERID的建立按圖設(shè)定（印表機(jī)按實(shí)際設(shè)定）USERID的建立按圖設(shè)定（印表機(jī)按實(shí)際設(shè)定）USERID的建立接著按save﹐就把USERID創(chuàng)建好了 USERID創(chuàng)建好了﹐但這時(shí)這個(gè)ID沒(méi)有賦予(Assign)任何權(quán)限﹐是什么都不能做的。USER得到這樣的帳號(hào)沒(méi)有任何意義。 如何Assign權(quán)限給一個(gè)帳號(hào)﹖主要就是Assign一個(gè)Role給這個(gè)帳號(hào)了。下面我們看看如何建Role和給權(quán)限。USERID的建立接著按save﹐就把USERID創(chuàng)建Role的建立新創(chuàng)建Role主要有三種方式。TCODE﹕PFCG1.由始至終新建;

可以對(duì)應(yīng)所有新建Role。主要對(duì)應(yīng)例外權(quán)限Z+USERID+EXCEPTION2.繼承;

主要對(duì)應(yīng)設(shè)定Z+USERID+職能名稱3.復(fù)制（COPY）﹔

主要對(duì)應(yīng)設(shè)定Z+USERID+職能名稱-1Role的建立新創(chuàng)建Role主要有三種方式。TCODE﹕Role的建立—完全新建

我們假設(shè)有一個(gè)帳號(hào)“FORTEST”,他申請(qǐng)了例外權(quán)限VA01和YF30。 下面我將會(huì)一步一步向大家說(shuō)明操作的步驟和應(yīng)該注意的地方。 看到PFCG的畫(huà)面了嗎﹖沒(méi)有﹖

哦﹐在下一頁(yè)。Role的建立—完全新建 我們假設(shè)有一個(gè)帳號(hào)“FORTERole的建立—完全新建輸入Rolename注意選第二項(xiàng)Role的建立—完全新建輸入Rolename注意選第二項(xiàng)Role的建立—完全新建描述一般與Rolename一致記錄此Role的創(chuàng)建者記錄此Role的最后修改者把描述填好后﹐按save然后點(diǎn)擊menu頁(yè)簽Role的建立—完全新建描述一般與Rolename一致記錄Role的建立—完全新建建立新目錄修改TEXT項(xiàng)目下移項(xiàng)目上移刪除項(xiàng)目手動(dòng)增加Tcode從SAPMenu中增加Tcode從其他Role中CopyMenu這些是常用的功能Menu頁(yè)簽定義的是USERMENU（個(gè)人化菜單）的內(nèi)容。Role的建立—完全新建建立新目錄修改TEXT項(xiàng)目下移項(xiàng)目上Role的建立—完全新建請(qǐng)大家按圖所示建立目錄﹐第一層是職能﹐這里是EXCEPTION﹐下面分“標(biāo)準(zhǔn)”(Standark)和“外掛”(AddOn)兩個(gè)目錄。讓菜單保持清晰﹐可以令User的個(gè)人菜單清楚﹐不混亂。我們MIS檢查權(quán)限也比較方便。Role的建立—完全新建請(qǐng)大家按圖所示建立目錄﹐第一層是職Role的建立—完全新建大家可以對(duì)比下面兩個(gè)USER的個(gè)人化菜單﹐左邊職能清晰﹐右邊非?；靵y﹐同名的目錄大量出現(xiàn)﹐但里面的內(nèi)容又不盡相同﹐這對(duì)依賴路徑執(zhí)行指令的user是很麻煩的。Role的建立—完全新建大家可以對(duì)比下面兩個(gè)USER的個(gè)人化Role的建立—完全新建菜單的殼子有了﹐如何往里面添加內(nèi)容呢﹖比較常見(jiàn)的是﹕從SAP菜單添加和直接添加TCODE。從SAP菜單添加﹕所有標(biāo)準(zhǔn)的TCODE和沒(méi)有TCODE的標(biāo)準(zhǔn)程式都可以用這種方法添加。好處是可以尋找﹐可以一次添加標(biāo)準(zhǔn)菜單的一個(gè)目錄﹐Tcode在標(biāo)準(zhǔn)菜單中的位置也可以顯示出來(lái)。缺點(diǎn)是很浪費(fèi)時(shí)間﹐而且外掛的程式無(wú)法添加。Role的建立—完全新建菜單的殼子有了﹐如何往里面添加內(nèi)容呢Role的建立—完全新建直接添加﹕所有TCODE(包括外掛）和沒(méi)有TCODE的標(biāo)準(zhǔn)程式都可以用這種方法添加。好處是比較快缺點(diǎn)是必須知道Tcode﹐不能帶出路徑。Role的建立—完全新建直接添加﹕Role的建立—完全新建從SAP菜單添加Role的建立—完全新建從SAP菜單添加Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建OBJECT完全沒(méi)有給值OBJECT只有部分給值OBJECT已經(jīng)全部有值請(qǐng)注意﹕綠燈只是表示全部有值而已﹐但不一定就是我們所需要的值這時(shí)﹐標(biāo)準(zhǔn)Tcode所需要的Object﹐系統(tǒng)會(huì)自動(dòng)帶出來(lái)。Role的建立—完全新建OBJECT完全沒(méi)有給值OBJECTRole的建立—完全新建這個(gè)Object是任何權(quán)限設(shè)定文件中都應(yīng)該有的﹐這是給予啟動(dòng)Tcode的權(quán)限﹐如果Tcode沒(méi)有出現(xiàn)在這個(gè)列表中﹐user連這個(gè)指令的畫(huà)面都無(wú)法進(jìn)入Role的建立—完全新建這個(gè)Object是任何權(quán)限設(shè)定文件中Role的建立—完全新建在這里﹐需要向大家介紹一個(gè)很重要的概念﹕Org.level.在權(quán)限設(shè)定中﹐有許多地方的控制點(diǎn)是一致的﹐sap公司為了方便權(quán)限的設(shè)定﹐把這些地方設(shè)計(jì)為與全局變數(shù)關(guān)聯(lián)。當(dāng)改變?nèi)肿償?shù)時(shí)﹐這些地方就可以全部改變過(guò)來(lái)。這個(gè)全局的變數(shù)就是﹕Org.levelRole的建立—完全新建在這里﹐需要向大家介紹一個(gè)很重要的概Role的建立—完全新建當(dāng)Org.Level給值后﹐相應(yīng)的Objectvalue的值也變了Role的建立—完全新建當(dāng)Org.Level給值后﹐相應(yīng)的ORole的建立—完全新建

對(duì)Org.Level都給值之后﹐會(huì)發(fā)現(xiàn)相當(dāng)一部分的Objectvalue都已經(jīng)給值了﹐但還有一些Object是紅燈或者是黃燈﹐這些Object是要單獨(dú)給值的。Role的建立—完全新建 對(duì)Org.Level都給值之后﹐會(huì)Role的建立—完全新建

按一下標(biāo)志﹐就可以輸入值﹐按保存 在這里介紹一下的作用﹐點(diǎn)擊它﹐就相當(dāng)於給這個(gè)Object一個(gè)“*”(star)﹐“*”的意義是AllAuthorization﹐不卡任何權(quán)限。Object給值后﹐就變成綠色﹐不能點(diǎn)擊了。Role的建立—完全新建 按一下標(biāo)志﹐就可以輸入Role的建立—完全新建

如果是外掛的Tcode﹐就只能用“直接添加”的方式加入到菜單中﹐需要注意的是﹐外掛的Tcode的Object不會(huì)自動(dòng)帶出來(lái)﹐需要自己手工添加。 按﹐點(diǎn)擊Y-AUTH-PRT前的Role的建立—完全新建 如果是外掛的Tcode﹐就只能Role的建立—完全新建變?yōu)楹螬o按屏幕上方的﹐插入Object.注意﹕外掛的Tcode﹐除了前面所說(shuō)的列表中要有外﹐這里框住的地方要給Tcode﹐否則user還是不會(huì)有權(quán)限Role的建立—完全新建變?yōu)楹螬o按屏幕上方的Role的建立—完全新建都給好值后﹐按保存﹐按“勾”。然后按激活。退出。Role的建立—完全新建都給好值后﹐按保存﹐按Role的建立—完全新建Authorization已經(jīng)變成綠燈﹐這表示權(quán)限的設(shè)定已經(jīng)可用了。點(diǎn)擊USER,AssignUSERID給這個(gè)RoleRole的建立—完全新建Authorization已經(jīng)變成綠Role的建立—完全新建點(diǎn)擊USERCOMPARE﹐再點(diǎn)擊Completecompare﹐就完成了COMPARE。至此﹐此權(quán)限已經(jīng)Assign完畢﹐FORTEST這個(gè)帳號(hào)已經(jīng)具有VA01和YF30的權(quán)限Role的建立—完全新建點(diǎn)擊USERCOMPARE﹐Role的建立—繼承

所謂“繼承”,是指兩個(gè)Role形成這樣的母子關(guān)系﹕子Role的所有Menu,Authorization（Org.level除外)都源于母Role,并與母Role保持一致。 母Role與子Role是

1對(duì)多的。Role的建立—繼承 所謂“繼承”,是指兩個(gè)Role形成這Role的建立—繼承下面﹐我們來(lái)學(xué)習(xí)用“繼承”方式建立Role.我們假設(shè)有一個(gè)帳號(hào)“FORTEST”,他申請(qǐng)了職能“AP立帳員”﹐“AP立帳員”的TemplateRole是“G+CO-AP”。我們先來(lái)按命名規(guī)則Create一個(gè)新Role。Role的建立—繼承下面﹐我們來(lái)學(xué)習(xí)用“繼承”方式建立RolRole的建立—繼承大家注意這個(gè)地方﹐建立“繼承”關(guān)系就是靠這里了Role的建立—繼承大家注意這個(gè)地方﹐建立“繼承”關(guān)系就是靠Role的建立—繼承填入TemplateRole,按Enter.是否建立繼承關(guān)系﹖回答當(dāng)然是“YES”了﹐否則我們?cè)鯓由险n﹖如果在此前沒(méi)有做過(guò)存檔﹐系統(tǒng)會(huì)詢問(wèn)是否存檔﹐回答同樣是“YES”Role的建立—繼承填入TemplateRole,按EntRole的建立—繼承可以看到﹐菜單已經(jīng)自動(dòng)根據(jù)TemplateRole生成了,點(diǎn)擊Authorization頁(yè)簽﹐設(shè)定權(quán)限去。Role的建立—繼承可以看到﹐菜單已經(jīng)自動(dòng)根據(jù)TemplatRole的建立—繼承進(jìn)入Profile里面了﹐請(qǐng)注意下面所說(shuō)的操作﹐如果做錯(cuò)了﹐可能要拉倒從新開(kāi)始的喲。點(diǎn)擊這個(gè)按鈕1.系統(tǒng)會(huì)自動(dòng)進(jìn)入Org.level﹐請(qǐng)點(diǎn)擊“X”,退出Org.level。2.按“SAVE”對(duì)Profile存檔。Role的建立—繼承進(jìn)入Profile里面了﹐請(qǐng)注意下面所說(shuō)Role的建立—繼承3.執(zhí)行菜單Edit中的Copydata,系統(tǒng)會(huì)提示這個(gè)操作不可反轉(zhuǎn)。按“勾”繼續(xù),執(zhí)行完畢后我們會(huì)看到﹐許多Object已經(jīng)變成綠燈了。Role的建立—繼承3.執(zhí)行菜單Edit中的CopydatRole的建立—繼承現(xiàn)在可以維護(hù)Org.level的設(shè)定了。進(jìn)入的方法如上。當(dāng)Org.level每一個(gè)欄位都賦值之后﹐應(yīng)該每一個(gè)Object都是綠燈﹐如果還有紅黃燈﹐請(qǐng)通知臺(tái)北修正。Role的建立—繼承現(xiàn)在可以維護(hù)Org.level的設(shè)定了。Role的建立—繼承

當(dāng)所有權(quán)限（其實(shí)只是設(shè)定Org.level)都設(shè)定完畢后﹐按激活設(shè)定﹐Assign給USERID,就完成了。Role的建立—繼承 當(dāng)所有權(quán)限（其實(shí)只是設(shè)定Org.leRole的建立—繼承大家是否覺(jué)得“繼承”的方法好簡(jiǎn)單﹐幾下就做完了。其實(shí)這種方法思路最復(fù)雜了﹐后面的處理還隱藏不少陷阱。不過(guò)現(xiàn)在大家先掌握Role的建立方法﹐其它的問(wèn)題等一下再說(shuō)。那么﹐我們來(lái)看看第三種方法—復(fù)制。Role的建立—繼承大家是否覺(jué)得“繼承”的方法好簡(jiǎn)單﹐幾下就Role的建立—復(fù)制復(fù)制其實(shí)是一種從思想到操作都很簡(jiǎn)單的操作。它的核心就是—……復(fù)制!(雞蛋和番茄飛了起來(lái)……）我們來(lái)看看如何操作吧。先告訴大家﹕“AP立帳員”的TemplateRole還有一個(gè)﹐是“G+CO-AP-1”﹐我們就用它來(lái)學(xué)習(xí)。Role的建立—復(fù)制復(fù)制其實(shí)是一種從思想到操作都很簡(jiǎn)單的操作Role的建立—復(fù)制一開(kāi)始當(dāng)然是進(jìn)入PFCG了﹐先把TemplateRole名輸進(jìn)去﹐然后按COPY按鈕Role的建立—復(fù)制一開(kāi)始當(dāng)然是進(jìn)入PFCG了﹐先把TempRole的建立—復(fù)制Role的建立—復(fù)制Role的建立—復(fù)制把描述改成與Role名一樣要注意“-1”的Role的menu是空的這里是空的Role的建立—復(fù)制把描述改成與Role名一樣要注意“-1”Role的建立—復(fù)制紅色框住的都是要填入值的地方﹐最好先填完Org.levelRole的建立—復(fù)制紅色框住的都是要填入值的地方﹐最好先填完Role的建立—復(fù)制與其它方式建立的Role一樣,當(dāng)所有權(quán)限都設(shè)定完畢后﹐按激活設(shè)定﹐Assign給USERID﹐一個(gè)Role就設(shè)定完成了Role的建立—復(fù)制與其它方式建立的Role一樣,當(dāng)所有權(quán)限Role的建立—繼承與復(fù)制小結(jié)﹕非“-1”的那種TemplateRole﹐用繼承的方式建立新Role,繼承后﹐只需要填入Org.level﹐Object就全部是綠燈了﹐而“-1”的那種是用復(fù)制的方式﹐還需要在Object里填入值﹐才能全部綠燈。這是兩者操作上的最大特點(diǎn)。Role的建立—繼承與復(fù)制小結(jié)﹕Role的修改1.Merge2.新增/刪除TCode3.從其它Role導(dǎo)入4.AdjustRole的修改1.MergeRole的修改

對(duì)Role的修改最常見(jiàn)的是有TCode的新增/刪除。這種改動(dòng)﹐一般是從Menu開(kāi)始﹐當(dāng)Menu改變?nèi)魏胃淖儵o系統(tǒng)都會(huì)偵測(cè)到﹐Authorization和User會(huì)變成紅燈。 在Authorization頁(yè)簽里有兩個(gè)按鈕﹐他們有什么不同呢﹖Role的修改 對(duì)Role的修改最常見(jiàn)的是有TCode的新Role的修改我們先點(diǎn)擊﹐會(huì)出現(xiàn)一個(gè)小窗口﹐里面是三個(gè)選項(xiàng)﹐他們的意義是不同的。第一項(xiàng)﹕刪除此Role的Profile后重建第二項(xiàng)﹕編輯原有的Profile第三項(xiàng)﹕讀取原有Profile并根據(jù)Menu的變化對(duì)Profile進(jìn)行更改Role的修改我們先點(diǎn)擊﹐會(huì)出現(xiàn)一個(gè)小窗口﹐里面Role的修改第一項(xiàng)會(huì)把Profile整個(gè)重建﹐并且會(huì)把已經(jīng)被屏蔽掉或刪除的Object重新顯示出來(lái)﹐極容易造成權(quán)限設(shè)定錯(cuò)誤﹐反對(duì)使用。第二項(xiàng)完全保留之前可用的Profile﹐即使新的權(quán)限沒(méi)設(shè)好﹐還有原有的權(quán)限可用。推薦使用。缺點(diǎn)是Object的變更需要手動(dòng)進(jìn)行。第三項(xiàng)重新讀取Role的Menu﹐按菜單的變化變更Object﹐具有一定的智能﹐但會(huì)把已經(jīng)Merge的Item彈開(kāi)﹐造成設(shè)定者的混亂。不反對(duì)使用。Role的修改第一項(xiàng)會(huì)把Profile整個(gè)重建﹐并且會(huì)把已經(jīng)Role的修改

這個(gè)按鈕相當(dāng)與前面所說(shuō)的第三項(xiàng)。 由于已經(jīng)包含這個(gè)選擇﹐而且第三項(xiàng)不是最優(yōu)選擇﹐所以我們一般不建議使用它?？偟膩?lái)說(shuō)﹐我們認(rèn)為選的第二項(xiàng)比較穩(wěn)當(dāng)﹐保留原有的可用設(shè)定?？梢钥吹阶兓暗腜rofile。詳細(xì)細(xì)節(jié)請(qǐng)繼續(xù)看后面的章節(jié)。Role的修改 這個(gè)按鈕相當(dāng)與前面所說(shuō)的第三項(xiàng)。Role的修改—Merge

當(dāng)Role所包含的TCode經(jīng)過(guò)多次修改后﹐可能產(chǎn)生多個(gè)同樣的Object﹐其Value可能互相包含。 這時(shí)可以通過(guò)Merge（合并）的動(dòng)作使同一個(gè)Object內(nèi)Value相同或者互相包含的Item合并起來(lái)﹐使權(quán)限的條目更清晰Role的修改—Merge 當(dāng)Role所包含的TCode經(jīng)Role的修改—Merge紅框框住的兩個(gè)Object,是同樣的Object,而且其Value又是第一個(gè)包含第二個(gè)。Role的修改—Merge紅框框住的兩個(gè)Object,是同樣Role的修改—Merge上頁(yè)紅框里的兩項(xiàng)被合并了。選擇菜單Utilities里的MergeRole的修改—Merge上頁(yè)紅框里的兩項(xiàng)被合并了。選擇菜單Role的修改—Merge的規(guī)則我們來(lái)看一個(gè)簡(jiǎn)單的Object﹐它只有兩項(xiàng)﹕Activity和下面的Group。 我稱Acitivity為“動(dòng)作”﹐它下面的Group等項(xiàng)目為“參數(shù)”。Merge的規(guī)則﹕當(dāng)兩個(gè)相同Object的Item的動(dòng)作或參數(shù)完全一致時(shí)﹐這兩個(gè)Item可以Merge。Role的修改—Merge的規(guī)則我們來(lái)看一個(gè)簡(jiǎn)單的ObjecRole的修改—Merge

當(dāng)一個(gè)Role經(jīng)過(guò)Merge后﹐這個(gè)Role的Object會(huì)比較精簡(jiǎn)。但當(dāng)Menu發(fā)生改變后﹐系統(tǒng)會(huì)提示菜單已經(jīng)變化﹐Authorization和User會(huì)從綠燈變成紅燈。 現(xiàn)在我來(lái)舉一個(gè)例子﹐假設(shè)新增一個(gè)TCode:FSS0。Role的修改—Merge 當(dāng)一個(gè)Role經(jīng)過(guò)Merge后﹐Role的修改—Merge這時(shí)﹐如果我們選擇的第二項(xiàng)﹐進(jìn)入Profile﹐會(huì)發(fā)現(xiàn)所有的Object都和菜單沒(méi)有變化前一樣。到底FSS0對(duì)Object的影響有哪一些﹐需要自己的經(jīng)驗(yàn)。這里我就不詳細(xì)介紹。(如果一點(diǎn)都不知道﹐可以做一個(gè)測(cè)試用的Role﹐只含有這一個(gè)TCode﹐看看系統(tǒng)自動(dòng)為它帶出的Object即可)Role的修改—Merge這時(shí)﹐如果我們選擇的第Role的修改—Merge如果選擇的第三項(xiàng)﹐進(jìn)入Profile﹐我們會(huì)發(fā)現(xiàn)﹐不少Object變成了黃燈。但如果有經(jīng)驗(yàn)的話﹐仔細(xì)看看﹐會(huì)發(fā)現(xiàn)有好幾個(gè)Object其實(shí)都是以前Merge過(guò)﹐現(xiàn)在給彈開(kāi)或者刪除過(guò)﹐再次帶出.Role的修改—Merge如果選擇的第三項(xiàng)﹐進(jìn)入Role的修改—Merge對(duì)于熟悉的人來(lái)說(shuō)﹐這些多余的Item可以刪除就可以了﹐但也要費(fèi)時(shí)間確認(rèn)。對(duì)于不熟悉的人來(lái)說(shuō)﹐就可能無(wú)法區(qū)分那些Object是新增TCode所需要的﹐哪些是因?yàn)椴荒荛_(kāi)放而刪除的。耗費(fèi)的時(shí)間可能更多。所以﹐我們不推薦這種做法。Role的修改—Merge對(duì)于熟悉的人來(lái)說(shuō)﹐這些多余的IteRole的修改—新增和刪除TCode新增和刪除TCode其實(shí)在前面都有提到。在Menu頁(yè)簽的操作這里就不再重復(fù)了﹐細(xì)節(jié)請(qǐng)參照《Role的新建—完全新建》在Authorization頁(yè)簽的操作請(qǐng)參考《Role的修改》這里只重點(diǎn)提醒一件事。Role的修改—新增和刪除TCode新增和刪除TCodeRole的修改—新增和刪除TCode在每一個(gè)有Menu的Role里﹐必定有一個(gè)叫S_TCODE的Object﹐這個(gè)Object里記錄的是這個(gè)Role所有可以執(zhí)行的TCode。當(dāng)Menu變化﹐這里也要相應(yīng)變化。但這個(gè)Object永遠(yuǎn)是綠燈﹐所以大家一定要記得檢查這里。Role的修改—新增和刪除TCode在每一個(gè)有Menu的RRole的修改—新增和刪除TCode經(jīng)過(guò)測(cè)試﹕

在Menu新增TCode后﹐在進(jìn)入Profile時(shí)選擇第二項(xiàng)時(shí)﹐系統(tǒng)不會(huì)在此Object自動(dòng)增加TCode﹔選擇第三項(xiàng)﹐系統(tǒng)會(huì)自動(dòng)增加TCode。

在Menu刪除TCode后﹐無(wú)論選擇第二項(xiàng)還是第三項(xiàng)﹐系統(tǒng)都不會(huì)自動(dòng)刪除TCode。必須手工刪除﹗﹗

這一點(diǎn)請(qǐng)大家務(wù)必注意。Role的修改—新增和刪除TCode經(jīng)過(guò)測(cè)試﹕Role的修改—從其它Role導(dǎo)入當(dāng)我們要處理的RoleA與某個(gè)RoleB的設(shè)定十分相似﹐可以通過(guò)Insert功能把RoleB的Object設(shè)定導(dǎo)入到RoleA中。請(qǐng)留意﹐實(shí)際上是導(dǎo)入Profile哦﹐所以一般還要去看RoleB的ProfileName﹐不是很方便。Role的修改—從其它Role導(dǎo)入當(dāng)我們要處理的RoleARole的修改—從其它Role導(dǎo)入需要注意的是﹕這樣導(dǎo)入進(jìn)去的Object的設(shè)定都跟RoleB的一樣﹐一定要把其中對(duì)RoleA不適用的部分更正過(guò)來(lái)。 對(duì)RoleB不熟悉不要亂用這功能哦。還是那句老話﹕欲速不達(dá)﹐不熟的事﹐沒(méi)有把握的事一定要謹(jǐn)慎。Role的修改—從其它Role導(dǎo)入需要注意的是﹕這樣導(dǎo)入進(jìn)去Role的修改—AdjustAdjust是專門(mén)針對(duì)存在繼承關(guān)系的母子Role的一項(xiàng)功能。在《Role的建立》一章﹐我們學(xué)習(xí)到﹐從子Role可以通過(guò)CopyData從母Role得到ObjectValue。現(xiàn)在﹐我們看看從母Role傳送ObjectValue到子Role的功能Adjust。Role的修改—AdjustAdjust是專門(mén)針對(duì)存在繼承關(guān)Role的修改—Adjust用Display模式進(jìn)入TemplateRole的Profile﹐選擇菜單上的Generatederivedroles即可。從操作來(lái)看﹐十分簡(jiǎn)單。注﹕不要用Change進(jìn)入TemplateRole﹐否則Adjust會(huì)造成TemplateRole本身最后修改日期和最后修改人發(fā)生改變﹐對(duì)查對(duì)權(quán)限產(chǎn)生誤會(huì)Role的修改—Adjust用Display模式進(jìn)入TempRole的修改—Adjust簡(jiǎn)單比較CopyData和Adjust從子Role發(fā)出CopyData僅影響執(zhí)行此功能的子Role﹐其它繼承同一母Role的子Role不受影響同一Client下所有繼承此母Role的子Role均受影響從母Role發(fā)出AdjustRole的修改—Adjust簡(jiǎn)單比較CopyData和Role的傳輸1.產(chǎn)生RequestNum2.Release3.TransportRole的傳輸1.產(chǎn)生RequestNumRole的傳輸—產(chǎn)生RequestNum在PFCG的開(kāi)始畫(huà)面﹐可以看到。由于單個(gè)Role的傳送比大批量的傳送從操作上來(lái)說(shuō)要簡(jiǎn)單而且類似﹐所以我們重點(diǎn)說(shuō)大批量傳送的操作。大批量的傳輸單個(gè)Role的傳輸Role的傳輸—產(chǎn)生RequestNum在PFCG的開(kāi)始畫(huà)Role的傳輸—產(chǎn)生RequestNum選擇SingleRole選擇要傳輸?shù)腞oleRole的傳輸—產(chǎn)生RequestNum選擇SingleRole的傳輸—產(chǎn)生RequestNum確定要傳輸Role的傳輸—產(chǎn)生RequestNum確定要傳輸Role的傳輸—產(chǎn)生RequestNum如果這個(gè)Role第一次傳輸這里一定要打勾﹐否則傳輸?shù)狡渌點(diǎn)lient后會(huì)沒(méi)有Assign到UserID。但如果不是第一次傳輸請(qǐng)不要打勾﹐因?yàn)橹灰蛄斯淳鸵侥繕?biāo)的Client端去做一次Compare的動(dòng)作﹐權(quán)限才能激活沒(méi)有起用Role的傳輸—產(chǎn)生RequestNum如果這個(gè)Role第Role的傳輸—產(chǎn)生RequestNum如果要新建一個(gè)Request﹐按如果現(xiàn)在已經(jīng)有一個(gè)還沒(méi)有Release的可用的RequestNum﹐請(qǐng)?jiān)谶@里輸入﹐然后打勾Role的傳輸—產(chǎn)生RequestNum如果要新建一個(gè)ReRole的傳輸—產(chǎn)生RequestNum簡(jiǎn)要說(shuō)明傳輸?shù)膬?nèi)容或目的Role的傳輸—產(chǎn)生RequestNum簡(jiǎn)要說(shuō)明傳輸?shù)膬?nèi)容Role的傳輸—產(chǎn)生RequestNumRequestNum產(chǎn)生,C00K開(kāi)頭的都是大陸地區(qū)產(chǎn)生的﹐T00K開(kāi)頭的都是臺(tái)灣地區(qū)產(chǎn)生的.Role的傳輸—產(chǎn)生RequestNumRequestNRole的傳輸—產(chǎn)生RequestNum單個(gè)Role的傳輸RequestNum產(chǎn)生的過(guò)程與打批量的相似﹐只是開(kāi)始不一樣而已。單個(gè)傳輸直接KeyRole名字﹐按按鈕﹐其它操作就一樣了Role的傳輸—產(chǎn)生RequestNum單個(gè)Role的傳輸Role的傳輸—ReleaseRelease的TCode﹕SE10輸入RequestNum的產(chǎn)生者﹐選擇查看ModifiableRole的傳輸—ReleaseRelease的TCodeRole的傳輸—Release可以看到﹐其實(shí)是有兩個(gè)RequestNum的,一個(gè)記錄Header﹐一個(gè)記錄ItemRole的傳輸—Release可以看到﹐其實(shí)是有兩個(gè)RequRole的傳輸—Release先ReleaseItem的Num（在下面﹐作為子項(xiàng)的那一個(gè)）﹐再Header的Num方法是﹕點(diǎn)擊Item的Num﹐然后按按鈕﹐會(huì)進(jìn)入另一個(gè)畫(huà)面﹐按﹐會(huì)回到原來(lái)的畫(huà)面﹐然后再ReleaseHeader的Num。同樣是點(diǎn)擊Header的Num﹐然后按﹐進(jìn)入另一畫(huà)面后﹐不用存盤(pán)﹐按即可Role的傳輸—Release先ReleaseItem的NRole的傳輸—傳送這一部分是Basis的工作。本來(lái)是在Unix下進(jìn)行﹐但我們開(kāi)發(fā)了兩支外掛程式。從測(cè)試環(huán)境到正式環(huán)境是YATP從測(cè)試環(huán)境到QAS是YATPQA進(jìn)行傳送的RequestNum必須是已經(jīng)Release的NumberRole的傳輸—傳送這一部分是Basis的工作。Role的傳輸—傳送兩者的畫(huà)面很象﹐填入RequestNum﹐選擇好目標(biāo)Server﹐按就可以了Role的傳輸—傳送兩者的畫(huà)面很象﹐填入RequestNuRole的傳輸—?jiǎng)h除如果發(fā)現(xiàn)Role搭錯(cuò)了一個(gè)RequestNum﹐在沒(méi)有Release前可以補(bǔ)救。同樣是在SE10,點(diǎn)擊Num后使用就可以了。Role的傳輸—?jiǎng)h除如果發(fā)現(xiàn)Role搭錯(cuò)了一個(gè)RequesRole的傳輸—?jiǎng)h除如果已經(jīng)Release就沒(méi)有辦法刪除了﹐只能整個(gè)Number作廢﹐所謂“作廢”其實(shí)是不做最后的傳送動(dòng)作﹐讓這個(gè)Number閑置而已。Role的傳輸—?jiǎng)h除如果已經(jīng)Release就沒(méi)有辦法刪除了﹐Role的刪除在PFCG中填好Role的名字﹐按按鈕﹐確認(rèn)﹐即可把Role及其專屬Profile刪除。Role的刪除在PFCG中填好Role的名字﹐按Role的刪除請(qǐng)注意﹕如果需要利用傳輸功能在多個(gè)環(huán)境中刪除Role﹐一定要按以下順序進(jìn)行﹕1.對(duì)Role產(chǎn)生傳輸?shù)腞equestNum﹔2.刪除本環(huán)境的Role﹔3.Release;(此時(shí)本環(huán)境中已經(jīng)沒(méi)有這個(gè)Role了）4.傳輸Role的刪除請(qǐng)注意﹕如果需要利用傳輸功能在多個(gè)環(huán)境中刪除R帳號(hào)刪除

帳號(hào)（UserID）的刪除操作也十分簡(jiǎn)單﹐在SU01中﹐輸入帳號(hào)名稱﹐按就可以了帳號(hào)刪除 帳號(hào)（UserID）的刪除操作也十分簡(jiǎn)單﹐在S帳號(hào)刪除

刪除一個(gè)帳號(hào)后﹐為其專設(shè)的Role（即Z或W開(kāi)頭的）也要?jiǎng)h除（包括測(cè)試和正式環(huán)境）﹐減少系統(tǒng)無(wú)用的資料﹐也減少不必要的查對(duì)。 或許有人會(huì)認(rèn)為﹕保留這些Role﹐雖然占用一點(diǎn)硬盤(pán)﹐但如果以后這個(gè)帳號(hào)再次起用﹐不就可以不用重設(shè)權(quán)限嗎﹖

這個(gè)理由咋看起來(lái)很有道理。實(shí)際上USER一旦決定刪除某個(gè)帳號(hào)﹐在相當(dāng)長(zhǎng)的時(shí)間內(nèi)都不會(huì)再起用（一個(gè)帳號(hào)的費(fèi)用不菲﹐決定不會(huì)輕易下的）﹐在經(jīng)過(guò)長(zhǎng)時(shí)間后即使需要再次起用﹐其權(quán)限需求也要重新審視﹐與其把其新需求與舊有設(shè)定一項(xiàng)一項(xiàng)對(duì)比修改﹐還不如重新設(shè)定來(lái)得方便快捷﹐而且更安全。帳號(hào)刪除 刪除一個(gè)帳號(hào)后﹐為其專設(shè)的Role（即Z或W開(kāi)頭Debug/查看有一些工具對(duì)權(quán)限的問(wèn)題處理很有幫助

1.SU53 2.SUIM雖然還有一些其它工具﹐但一般很少用或者不實(shí)用﹐這里就不介紹了。Debug/查看有一些工具對(duì)權(quán)限的問(wèn)題處理很有幫助Debug/查看—SU53當(dāng)一個(gè)帳號(hào)反映沒(méi)有某個(gè)應(yīng)有的權(quán)限時(shí)﹐我們可以在系統(tǒng)出現(xiàn)沒(méi)有權(quán)限的信息時(shí)﹐馬上輸入“/NSU53”Debug/查看—SU53當(dāng)一個(gè)帳號(hào)反映沒(méi)有某個(gè)應(yīng)有的權(quán)限時(shí)Debug/查看—SU53Debug/查看—SU53Debug/查看—SU53上頁(yè)紅色框住的就是沒(méi)有權(quán)限的地方﹐而藍(lán)色框住的是跟這個(gè)帳號(hào)已經(jīng)有的權(quán)限。但是請(qǐng)注意﹕SU53給出的信息并不詳細(xì)﹐大部分情況只能作為一個(gè)大方向的參考﹐有時(shí)還可能指示不出來(lái)問(wèn)題所在。但無(wú)論如何﹐有一個(gè)參考總比沒(méi)有好。Debug/查看—SU53上頁(yè)紅色框住的就是沒(méi)有權(quán)限的地方﹐Debug/查看—SUIMSUIM其實(shí)就是Information系統(tǒng)的一個(gè)集合界面。我們最常用的功能是﹕已知某個(gè)TCode﹐查找含有這個(gè)TCode的Role。Debug/查看—SUIMSUIM其實(shí)就是InformatiDebug/查看—SUIMDebug/查看—SUIMDebug/查看—SUIM輸入TCode后執(zhí)行﹐就可以得到含有這個(gè)Tcode的Role的列表。請(qǐng)注意﹕其判斷條件是Role的Menu﹐而不是ProfileDebug/查看—SUIM輸入TCode后執(zhí)行﹐就可以得到特殊的權(quán)限設(shè)定SD的權(quán)限在SD模組﹐有一個(gè)解S/OBillingBlock權(quán)限的設(shè)定﹐它是在YS08中設(shè)定特殊的權(quán)限設(shè)定SD的權(quán)限其它知識(shí)1.Object的狀態(tài)Standard/Manually/Maintained/Changed2.ObjectValueVSOrg.level其它知識(shí)1.Object的狀態(tài)Standard/Manual其它知識(shí)—Object的狀態(tài)其它知識(shí)—Object的狀態(tài)其它知識(shí)—Object的狀態(tài)當(dāng)我們用第三項(xiàng)進(jìn)入一個(gè)Profile的時(shí)候﹐我們可以看到每個(gè)Object的描述前有都有兩個(gè)狀態(tài)?，F(xiàn)在我來(lái)給大家解釋一下他們的含義。右邊的狀態(tài)共有兩種﹕NEW和OLDNEW﹕此Object有新的Item或Value,ProfileSave后會(huì)變成OLDOLD﹕此Object的Item是以前建立的其它知識(shí)—Object的狀態(tài)當(dāng)我們用第三項(xiàng)進(jìn)入一個(gè)Profi其它知識(shí)—Object的狀態(tài)左邊的狀態(tài)有好幾種﹕Standard﹕由系統(tǒng)帶出后沒(méi)有經(jīng)過(guò)任何更改Maintained﹕對(duì)系統(tǒng)初次帶出時(shí)Value為空的Item進(jìn)行過(guò)變更或補(bǔ)充Changed﹕對(duì)系統(tǒng)初次帶出時(shí)Value為非空的Item進(jìn)行過(guò)變更其它知識(shí)—Object的狀態(tài)左邊的狀態(tài)有好幾種﹕其它知識(shí)—ObjectValueVSOrg.level大家可能對(duì)ObjectValue與Org.level的關(guān)系有一些疑問(wèn)﹐對(duì)Adjust時(shí)子Role到底那些地方會(huì)被母Role控制變更有點(diǎn)把握不住。那么下面介紹的東東對(duì)大家可能有點(diǎn)幫助1.Adjust大原則﹕Org.level﹕子Role有值時(shí)﹐Adjust時(shí)以子Role為準(zhǔn)﹐ 子Role無(wú)值時(shí)﹐Adjust以母Role為準(zhǔn)Object.Value﹕一律強(qiáng)制以母Role為準(zhǔn)其它知識(shí)—ObjectValueVSOrg.level其它知識(shí)—ObjectValueVSOrg.level2.Value與Org.level

我們可以發(fā)現(xiàn)﹐在Object里有些Item的Value是與Org.level相關(guān)聯(lián)的﹐其值在沒(méi)有手工更改前都是以“$”開(kāi)頭﹐這類值都是變量﹐指向?qū)?yīng)的Org.level。 當(dāng)Org.level給值后﹐Object就通過(guò)這些變量把Org.level的值顯示出來(lái)﹐但實(shí)際上Object的值仍然是原來(lái)以“$”開(kāi)頭的那個(gè)值。 其它知識(shí)—ObjectValueVSOrg.level其它知識(shí)—ObjectValueVSOrg.level

在子Role中﹐如果這些ObjectValue被手工更改﹐在母Role沒(méi)有做Adjust之前﹐子Role的ObjectValue是可以與Org.level不一致的﹐實(shí)際權(quán)限以O(shè)bjectValue為準(zhǔn)。但一旦母Role做了Adjust﹐子Role的ObjectValue就強(qiáng)制與母Role一致。而母Role一般對(duì)這類ObjectValue的處理是保持其變量狀態(tài)﹐那么子Role的Value就變會(huì)變量狀態(tài)（$XXXX)﹐然后根據(jù)子RoleOrg.level的值顯示出新的值。其它知識(shí)—ObjectValueVSOrg.level其它知識(shí)—ObjectValueVSOrg.level3.如果不小心變更了與Org相連的Value﹐但又想恢復(fù)其變量狀態(tài)﹐怎么操作﹖

首先﹐簡(jiǎn)單地把Value清空是不行的﹐這樣的操作只是把當(dāng)前值變?yōu)镹ULL(空)﹐第二﹐把其原有的$開(kāi)頭的值Key進(jìn)去也是不行的﹐主要原因是輸入欄位的長(zhǎng)度不夠。 正確操作是﹕把這個(gè)Object整個(gè)刪除﹐然后手工添加這個(gè)Object。其它知識(shí)—ObjectValueVSOrg.level請(qǐng)大家把自己的發(fā)現(xiàn)告訴我這個(gè)教材是我在工作之余測(cè)試編寫(xiě)的﹐因?yàn)榭吹讲簧傩值苕⒚冒鼨?quán)限的時(shí)候還有不少的疑問(wèn)﹐所以希望能總結(jié)一下﹐對(duì)大家有點(diǎn)幫助因?yàn)闀r(shí)間很不夠用﹐斷斷續(xù)續(xù)寫(xiě)了一個(gè)多月﹐本來(lái)有些東西想寫(xiě)﹐但由于沒(méi)有時(shí)間進(jìn)一步了解﹐怕寫(xiě)出來(lái)誤人子弟。只好作罷。同時(shí)由于時(shí)間和精力﹐美觀方面就不做多的修飾了。(反正是內(nèi)部教材^_^)請(qǐng)大家把自己的發(fā)現(xiàn)告訴我這個(gè)教材是我在工作之余測(cè)試編寫(xiě)的﹐因請(qǐng)大家把自己的發(fā)現(xiàn)告訴我這不是客套話﹕這個(gè)教材雖然是我很辛苦寫(xiě)出來(lái)的﹐但可能還是有不對(duì)的地方﹐請(qǐng)大家發(fā)現(xiàn)后告訴我﹐我有時(shí)間的時(shí)候會(huì)修正。同時(shí)如果大家有自己的心得也請(qǐng)不吝賜教﹐特別是各個(gè)模組特有的權(quán)限設(shè)定﹐輔助工具的使用﹐Basis組所負(fù)責(zé)的權(quán)限部分﹐權(quán)限的傳輸?shù)确矫姗o我還有些地方了解的很不足夠﹐希望各位能告訴我。請(qǐng)大家把自己的發(fā)現(xiàn)告訴我這不是客套話﹕這個(gè)教材雖然是我很辛苦目錄1.總述2.職能/TemplateRole/設(shè)定的分工3.三種不同的常規(guī)權(quán)限的設(shè)定方法4.常規(guī)以外的權(quán)限設(shè)定方式5.如何快速檢查權(quán)限設(shè)定的情況目錄1.總述總述1.在開(kāi)始學(xué)習(xí)之前2.SAP權(quán)限的架構(gòu)總述1.在開(kāi)始學(xué)習(xí)之前在開(kāi)始學(xué)習(xí)之前在開(kāi)始了解權(quán)限前,有幾點(diǎn)是要大家注意的1.權(quán)限設(shè)定非常重要﹐而且權(quán)限的DEBUG操作非常繁瑣,耗時(shí),所以請(qǐng)大家設(shè)定時(shí)一定要非常謹(jǐn)慎,每次更改都要記錄。2.權(quán)限設(shè)定除非特殊情況﹐不允許在正式環(huán)境直接更改﹐請(qǐng)?jiān)跍y(cè)試環(huán)境修改好再傳到正式環(huán)境。3.MIS不是決定user權(quán)限的人﹐而是user大大小小的leader﹐所以﹐要變更權(quán)限設(shè)定﹐務(wù)必要求user提供經(jīng)過(guò)簽核的申請(qǐng)表。（當(dāng)然﹐對(duì)user不合理的權(quán)限要求﹐MIS也有責(zé)任退回）4.權(quán)限的設(shè)定,是MIS的工作.（廢話）所以﹐本教材是MIS內(nèi)部教材﹐請(qǐng)不要隨便泄漏在開(kāi)始學(xué)習(xí)之前在開(kāi)始了解權(quán)限前,有幾點(diǎn)是要大家注意的SAP權(quán)限的架構(gòu)Roletemplate-Description-Menu-Authorizations……………Authorizationprofile-Objectclass-Authorizationobject-Authorizations………………..AssigntoBindwithAssigntoSAPUseraccount-Address-Logondata-Group............這是SAP權(quán)限的架構(gòu)圖﹐大家也接觸過(guò)。請(qǐng)大家一定要記住他們的關(guān)系。SAP權(quán)限的架構(gòu)RoletemplateAuthorizaSAP權(quán)限的架構(gòu)名詞解釋（英譯中﹖）﹕Useraccount﹕就是我們平常說(shuō)的“帳號(hào)”﹐也稱為“USERID”。Role﹕同類的USER使用SAP的目的和常用的功能都是類似的﹐例如業(yè)務(wù)一定需要用到開(kāi)S/O的權(quán)限。當(dāng)我們把某類USER需要的權(quán)限都?xì)w到一個(gè)集合中﹐這個(gè)集合就是“職能”(Role)。 所謂的“角色”或者“職能”﹐是sap4.0才開(kāi)始有的概念﹐其實(shí)就是對(duì)user的需求進(jìn)行歸類﹐使權(quán)限的設(shè)定更方便。(面向?qū)ο蟮臋?quán)限!!)

分為singlerole和compositerole兩種﹐后者其實(shí)是前者的集合。SAP權(quán)限的架構(gòu)名詞解釋（英譯中﹖）﹕SAP權(quán)限的架構(gòu)Profile:真正記錄權(quán)限的設(shè)定的文件﹐從sap4.0開(kāi)始是與Role綁定在一起的。雖然在sap4.6c還可以單獨(dú)存在﹐但按sap的行為推測(cè)﹐以后將不能“一個(gè)人活著”TemplateRole:Role的模板﹐一般是singlerole.但這個(gè)模板具有一個(gè)強(qiáng)大的功能﹐能通過(guò)更改模板而更改所有應(yīng)用(sap稱為Derive“繼承”）此模板的Role(sap稱之為adjust)SAP權(quán)限的架構(gòu)Profile:真正記錄權(quán)限的設(shè)定的文件﹐SAP權(quán)限的架構(gòu)例外權(quán)限﹕這是公司創(chuàng)造的名詞。當(dāng)一個(gè)USER除了其職位一般所需的權(quán)限外﹐還需要一些特殊的權(quán)限﹐我們把這些權(quán)限稱之為這個(gè)USER的例外權(quán)限。 例如開(kāi)工單對(duì)生管來(lái)說(shuō)是其職能應(yīng)有的權(quán)限﹐但對(duì)倉(cāng)庫(kù)來(lái)所就是例外權(quán)限。SAP權(quán)限的架構(gòu)例外權(quán)限﹕這是公司創(chuàng)造的名詞。當(dāng)一個(gè)USERRole的命名和分類Role的命名規(guī)則和分類如下:以“G+”開(kāi)頭都是TemplateRole(模板)﹐都不會(huì)直接assign給userid。G+職能名稱 ﹕全球共同TemplateRoleG+職能名稱-1 ﹕地區(qū)TemplateRole以“Z+”開(kāi)頭都是UserRole,直接assign給userid。Z+UserID+職能名稱 :繼承全球共同TemplateRoleZ+UserID+職能名稱-1:繼承地區(qū)TemplateRoleZ+UserID+Exception :沒(méi)有繼承任何Role,例外權(quán)限以“Y+”開(kāi)頭都是BasisRole,直接assign給userid。Y+職能名稱 :全球共同BasisRoleRole的命名和分類Role的命名規(guī)則和分類如下:Role的命名和分類附件是一張職能/Rolename對(duì)照表我們以其中一個(gè)職能“AR作業(yè)人員”做解釋﹕職能中文名稱職能英文名稱全球共同TemplateRole地區(qū)TemplateRole全球共同BasisRoleRole的命名和分類附件是一張職能/Rolename對(duì)照表職Role的命名和分類全球共同TemplateRole﹕是指此職能在全球任何一個(gè)地區(qū)都一致的那部分權(quán)限的模板。命名特征是以“G+”開(kāi)頭﹐非“-1”結(jié)尾。 例如“G+CO–CO”地區(qū)TemplateRole﹕是指此職能根據(jù)不同地區(qū)而不同的那部分權(quán)限的模板。命名特征是“G+”開(kāi)頭﹐“-1”結(jié)尾。 例如“G+CO–CO–1”Role的命名和分類全球共同TemplateRole﹕是指Role的命名和分類UserRole﹕是指根據(jù)每個(gè)user的具體需求進(jìn)行設(shè)定的權(quán)限的Role.命名特征是﹕“Z+”USERID開(kāi)頭（東莞﹑臺(tái)灣地區(qū)）“W+”USERID開(kāi)頭（吳江地區(qū)） 例如“Z+PSC1-ACT01+CO-CO”全球共同BasisRole﹕是指此職能關(guān)系到整個(gè)系統(tǒng)的安全的那部分權(quán)限的Role.命名特征是“Y+”開(kāi)頭 例如“Y+CO–CO”Role的命名和分類UserRole﹕是指根據(jù)每個(gè)user權(quán)限設(shè)定者分工一.以Role類型分1.TemplateRole

即“G”開(kāi)頭的:臺(tái)北本部的APMIS2.UserRole:

以Z開(kāi)頭的:東莞APMIS

以W開(kāi)頭的:吳江APMIS3.BasisRole:

即以Y開(kāi)頭的:臺(tái)北和東莞BasisMIS權(quán)限設(shè)定者分工一.以Role類型分權(quán)限設(shè)定者分工二.以USERID分從USERID可以區(qū)分出這個(gè)ID所屬的廠別和模組。例如﹕PSC1-ENG01這是PSC1廠的帳號(hào)﹐屬于PP模組﹐所以這個(gè)帳號(hào)申請(qǐng)的權(quán)限將由東莞PP模組的MIS主要負(fù)責(zé)和監(jiān)督。權(quán)限設(shè)定者分工二.以USERID分權(quán)限設(shè)定者分工三.以所申請(qǐng)的權(quán)限歸屬的模組分 由于user所申請(qǐng)的權(quán)限通常涉及多個(gè)模組﹐這就需要多個(gè)模組的MIS共同合作設(shè)定user的權(quán)限﹐這時(shí)先按第二條執(zhí)行,由ID所屬模組MIS接受申請(qǐng)﹐并從始至終跟進(jìn)。然后具體的權(quán)限屬于哪個(gè)模組就由那個(gè)模組的MIS作設(shè)定。 但無(wú)論如何﹐作為跟進(jìn)的MIS都是負(fù)主要責(zé)任的。權(quán)限設(shè)定者分工三.以所申請(qǐng)的權(quán)限歸屬的模組分權(quán)限設(shè)定的操作

上面說(shuō)過(guò)﹐權(quán)限的大架構(gòu)由UserID,Role,Profile三層組成﹐那么﹐權(quán)限的設(shè)定自然也會(huì)有三層。但由于sap4.6是Profile與Role是捆綁在一起的﹐所以在建立Role的時(shí)候﹐Profile是會(huì)自動(dòng)創(chuàng)建的（具體見(jiàn)后文）。而UserID的建立比較簡(jiǎn)單。所以﹐我將主要說(shuō)明Role的部分。權(quán)限設(shè)定的操作 上面說(shuō)過(guò)﹐權(quán)限的大架構(gòu)由UserID,USERID的建立TCODE﹕SU01單擊建立圖標(biāo)2輸入要?jiǎng)?chuàng)建的UserID1USERID的建立TCODE﹕SU01單擊建立USERID的建立填好這些欄位USERID的建立填好這些欄位USERID的建立設(shè)定組別﹐這對(duì)MIS非常重要﹐MIS能否管理此UserID就看這里設(shè)定初始密碼有效期一般不設(shè)定USERID的建立設(shè)定組別﹐這對(duì)MIS非常重要﹐MIS能USERID的建立按圖設(shè)定（印表機(jī)按實(shí)際設(shè)定）USERID的建立按圖設(shè)定（印表機(jī)按實(shí)際設(shè)定）USERID的建立接著按save﹐就把USERID創(chuàng)建好了 USERID創(chuàng)建好了﹐但這時(shí)這個(gè)ID沒(méi)有賦予(Assign)任何權(quán)限﹐是什么都不能做的。USER得到這樣的帳號(hào)沒(méi)有任何意義。 如何Assign權(quán)限給一個(gè)帳號(hào)﹖主要就是Assign一個(gè)Role給這個(gè)帳號(hào)了。下面我們看看如何建Role和給權(quán)限。USERID的建立接著按save﹐就把USERID創(chuàng)建Role的建立新創(chuàng)建Role主要有三種方式。TCODE﹕PFCG1.由始至終新建;

可以對(duì)應(yīng)所有新建Role。主要對(duì)應(yīng)例外權(quán)限Z+USERID+EXCEPTION2.繼承;

主要對(duì)應(yīng)設(shè)定Z+USERID+職能名稱3.復(fù)制（COPY）﹔

主要對(duì)應(yīng)設(shè)定Z+USERID+職能名稱-1Role的建立新創(chuàng)建Role主要有三種方式。TCODE﹕Role的建立—完全新建

我們假設(shè)有一個(gè)帳號(hào)“FORTEST”,他申請(qǐng)了例外權(quán)限VA01和YF30。 下面我將會(huì)一步一步向大家說(shuō)明操作的步驟和應(yīng)該注意的地方。 看到PFCG的畫(huà)面了嗎﹖沒(méi)有﹖

哦﹐在下一頁(yè)。Role的建立—完全新建 我們假設(shè)有一個(gè)帳號(hào)“FORTERole的建立—完全新建輸入Rolename注意選第二項(xiàng)Role的建立—完全新建輸入Rolename注意選第二項(xiàng)Role的建立—完全新建描述一般與Rolename一致記錄此Role的創(chuàng)建者記錄此Role的最后修改者把描述填好后﹐按save然后點(diǎn)擊menu頁(yè)簽Role的建立—完全新建描述一般與Rolename一致記錄Role的建立—完全新建建立新目錄修改TEXT項(xiàng)目下移項(xiàng)目上移刪除項(xiàng)目手動(dòng)增加Tcode從SAPMenu中增加Tcode從其他Role中CopyMenu這些是常用的功能Menu頁(yè)簽定義的是USERMENU（個(gè)人化菜單）的內(nèi)容。Role的建立—完全新建建立新目錄修改TEXT項(xiàng)目下移項(xiàng)目上Role的建立—完全新建請(qǐng)大家按圖所示建立目錄﹐第一層是職能﹐這里是EXCEPTION﹐下面分“標(biāo)準(zhǔn)”(Standark)和“外掛”(AddOn)兩個(gè)目錄。讓菜單保持清晰﹐可以令User的個(gè)人菜單清楚﹐不混亂。我們MIS檢查權(quán)限也比較方便。Role的建立—完全新建請(qǐng)大家按圖所示建立目錄﹐第一層是職Role的建立—完全新建大家可以對(duì)比下面兩個(gè)USER的個(gè)人化菜單﹐左邊職能清晰﹐右邊非?；靵y﹐同名的目錄大量出現(xiàn)﹐但里面的內(nèi)容又不盡相同﹐這對(duì)依賴路徑執(zhí)行指令的user是很麻煩的。Role的建立—完全新建大家可以對(duì)比下面兩個(gè)USER的個(gè)人化Role的建立—完全新建菜單的殼子有了﹐如何往里面添加內(nèi)容呢﹖比較常見(jiàn)的是﹕從SAP菜單添加和直接添加TCODE。從SAP菜單添加﹕所有標(biāo)準(zhǔn)的TCODE和沒(méi)有TCODE的標(biāo)準(zhǔn)程式都可以用這種方法添加。好處是可以尋找﹐可以一次添加標(biāo)準(zhǔn)菜單的一個(gè)目錄﹐Tcode在標(biāo)準(zhǔn)菜單中的位置也可以顯示出來(lái)。缺點(diǎn)是很浪費(fèi)時(shí)間﹐而且外掛的程式無(wú)法添加。Role的建立—完全新建菜單的殼子有了﹐如何往里面添加內(nèi)容呢Role的建立—完全新建直接添加﹕所有TCODE(包括外掛）和沒(méi)有TCODE的標(biāo)準(zhǔn)程式都可以用這種方法添加。好處是比較快缺點(diǎn)是必須知道Tcode﹐不能帶出路徑。Role的建立—完全新建直接添加﹕Role的建立—完全新建從SAP菜單添加Role的建立—完全新建從SAP菜單添加Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建Role的建立—完全新建OBJECT完全沒(méi)有給值OBJECT只有部分給值OBJECT已經(jīng)全部有值請(qǐng)注意﹕綠燈只是表示全部有值而已﹐但不一定就是我們所需要的值這時(shí)﹐標(biāo)準(zhǔn)Tcode所需要的Object﹐系統(tǒng)會(huì)自動(dòng)帶出來(lái)。Role的建立—完全新建OBJECT完全沒(méi)有給值OBJECTRole的建立—完全新建這個(gè)Object是任何權(quán)限設(shè)定文件中都應(yīng)該有的﹐這是給予啟動(dòng)Tcode的權(quán)限﹐如果Tcode沒(méi)有出現(xiàn)在這個(gè)列表中﹐user連這個(gè)指令的畫(huà)面都無(wú)法進(jìn)入Role的建立—完全新建這個(gè)Object是任何權(quán)限設(shè)定文件中Role的建立—完全新建在這里﹐需要向大家介紹一個(gè)很重要的概念﹕Org.level.在權(quán)限設(shè)定中﹐有許多地方的控制點(diǎn)是一致的﹐sap公司為了方便權(quán)限的設(shè)定﹐把這些地方設(shè)計(jì)為與全局變數(shù)關(guān)聯(lián)。當(dāng)改變?nèi)肿償?shù)時(shí)﹐這些地方就可以全部改變過(guò)來(lái)。這個(gè)全局的變數(shù)就是﹕Org.levelRole的建立—完全新建在這里﹐需要向大家介紹一個(gè)很重要的概Role的建立—完全新建當(dāng)Org.Level給值后﹐相應(yīng)的Objectvalue的值也變了Role的建立—完全新建當(dāng)Org.Level給值后﹐相應(yīng)的ORole的建立—完全新建

對(duì)Org.Level都給值之后﹐會(huì)發(fā)現(xiàn)相當(dāng)一部分的Objectvalue都已經(jīng)給值了﹐但還有一些Object是紅燈或者是黃燈﹐這些Object是要單獨(dú)給值的。Role的建立—完全新建 對(duì)Org.Level都給值之后﹐會(huì)Role的建立—完全新建

按一下標(biāo)志﹐就可以輸入值﹐按保存 在這里介紹一下的作用﹐點(diǎn)擊它﹐就相當(dāng)於給這個(gè)Object一個(gè)“*”(star)﹐“*”的意義是AllAuthorization﹐不卡任何權(quán)限。Object給值后﹐就變成綠色﹐不能點(diǎn)擊了。Role的建立—完全新建 按一下標(biāo)志﹐就可以輸入Role的建立—完全新建

如果是外掛的Tcode﹐就只能用“直接添加”的方式加入到菜單中﹐需要注意的是﹐外掛的Tcode的Object不會(huì)自動(dòng)帶出來(lái)﹐需要自己手工添加。 按﹐點(diǎn)擊Y-AUTH-PRT前的Role的建立—完全新建 如果是外掛的Tcode﹐就只能Role的建立—完全新建變?yōu)楹螬o按屏幕上方的﹐插入Object.注意﹕外掛的Tcode﹐除了前面所說(shuō)的列表中要有外﹐這里框住的地方要給Tcode﹐否則user還是不會(huì)有權(quán)限Role的建立—完全新建變?yōu)楹螬o按屏幕上方的Role的建立—完全新建都給好值后﹐按保存﹐按“勾”。然后按激活。退出。Role的建立—完全新建都給好值后﹐按保存﹐按Role的建立—完全新建Authorization已經(jīng)變成綠燈﹐這表示權(quán)限的設(shè)定已經(jīng)可用了。點(diǎn)擊USER,AssignUSERID給這個(gè)RoleRole的建立—完全新建Authorization已經(jīng)變成綠Role的建立—完全新建點(diǎn)擊USERCOMPARE﹐再點(diǎn)擊Completecompare﹐就完成了COMPARE。至此﹐此權(quán)限已經(jīng)Assign完畢﹐FORTEST這個(gè)帳號(hào)已經(jīng)具有VA01和YF30的權(quán)限Role的建立—完全新建點(diǎn)擊USERCOMPARE﹐Role的建立—繼承

所謂“繼承”,是指兩個(gè)Role形成這樣的母子關(guān)系﹕子Role的所有Menu,Authorization（Org.level除外)都源于母Role,并與母Role保持一致。 母Role與子Role是

1對(duì)多的。Role的建立—繼承 所謂“繼承”,是指兩個(gè)Role形成這Role的建立—繼承下面﹐我們來(lái)學(xué)習(xí)用“繼承”方式建立Role.我們假設(shè)有一個(gè)帳號(hào)“FORTEST”,他申請(qǐng)了職能“AP立帳員”﹐“AP立帳員”的TemplateRole是“G+CO-AP”。我們先來(lái)按命名規(guī)則Create一個(gè)新Role。Role的建立—繼承下面﹐我們來(lái)學(xué)習(xí)用“繼承”方式建立RolRole的建立—繼承大家注意這個(gè)地方﹐建立“繼承”關(guān)系就是靠這里了Role的建立—繼承大家注意這個(gè)地方﹐建立“繼承”關(guān)系就是靠Role的建立—繼承填入TemplateRole,按Enter.是否建立繼承關(guān)系﹖回答當(dāng)然是“YES”了﹐否則我們?cè)鯓由险n﹖如果在此前沒(méi)有做過(guò)存檔﹐系統(tǒng)會(huì)詢問(wèn)是否存檔﹐回答同樣是“YES”Role的建立—繼承填入TemplateRole,按EntRole的建立—繼承可以看到﹐菜單已經(jīng)自動(dòng)根據(jù)TemplateRole生成了,點(diǎn)擊Authorization頁(yè)簽﹐設(shè)定權(quán)限去。Role的建立—繼承可以看到﹐菜單已經(jīng)自動(dòng)根據(jù)TemplatRole的建立—繼承進(jìn)入Profile里面了﹐請(qǐng)注意下面所說(shuō)的操作﹐如果做錯(cuò)了﹐可能要拉倒從新開(kāi)始的喲。點(diǎn)擊這個(gè)按鈕1.系統(tǒng)會(huì)自動(dòng)進(jìn)入Org.level﹐請(qǐng)點(diǎn)擊“X”,退出Org.level。2.按“SAVE”對(duì)Profile存檔。Role的建立—繼承進(jìn)入Profile里面了﹐請(qǐng)注意下面所說(shuō)Role的建立—繼承3.執(zhí)行菜單Edit中的Copydata,系統(tǒng)會(huì)提示這個(gè)操作不可反轉(zhuǎn)。按“勾”繼續(xù),執(zhí)行完畢后我們會(huì)看到﹐許多Object已經(jīng)變成綠燈了。Role的建立—繼承3.執(zhí)行菜單Edit中的CopydatRole的建立—繼承現(xiàn)在可以維護(hù)Org.level的設(shè)定了。進(jìn)入的方法如上。當(dāng)Org.level每一個(gè)欄位都賦值之后﹐應(yīng)該每一個(gè)Object都是綠燈﹐如果還有紅黃燈﹐請(qǐng)通知臺(tái)北修正。Role的建立—繼承現(xiàn)在可以維護(hù)Org.level的設(shè)定了。Role的建立—繼承

當(dāng)所有權(quán)限（其