BASIS权限的设定_达沃旗SAP（PPT120页)

达沃旗SAP教育集团官网地址://www.dawoqi.com總述1.在開始學習之前2.SAP權限的架構达沃旗SAP教育集团官网地址,有几點是要大家注意的1.權限設定非常重要﹐而且權限的DEBUG操作非常繁瑣,耗時,所以請大家設定時一定要非常謹慎,每次更改都要記錄。2.權限設定除非特殊情況﹐不允許在正式環境直接更改﹐請在測試環境修改好再傳到正式環境。3.MIS不是決定user權限的人﹐而是user大大小小的leader﹐所以﹐要變更權限設定﹐務必要求user提供經過簽核的申請表。（當然﹐對user不合理的權限要求﹐MIS也有責任退回）4.權限的設定,是MIS的工作.（廢話）所以﹐本教材是MIS內部教材﹐請不要隨便泄漏达沃旗SAP教育集团官网地址……………Authorizationprofile-Objectclass-Authorizationobject-Authorizations………………..AssigntoBindwithSAPUseraccount-Address-Logondata-Group............這是SAP權限的架構圖﹐大家也接觸過。請大家一定要記住他們的關系。达沃旗SAP教育集团官网地址（英譯中﹖）﹕•Useraccount﹕就是我們平常說的“帳號”﹐也稱為“USERID”。•Role﹕同類的USER使用SAP的目的和常用的功能都是類似的﹐例如業務一定需要用到開S/O的權限。當我們把某類USER需要的權限都歸到一個集合中﹐這個集合就是“職能”(Role)。所謂的“角色”或者“職能”﹐是sap4.0才開始有的概念﹐其實就是對user的需求進行歸類﹐使權限的設定更方便。(面向對象的權限!!)分為singlerole和compositerole兩種﹐后者其實是前者的集合。达沃旗SAP教育集团官网地址•Profile:真正記錄權限的設定的文件﹐從sap4.0開始是與Role綁定在一起的。雖然在sap4.6c還可以單獨存在﹐但按sap的行為推測﹐以后將不能“一個人活着”•TemplateRole:Role的模板﹐一般是singlerole.但這個模板具有一個強大的功能﹐能通過更改模板而更改所有應用(sap稱為Derive“繼承”）此模板的Role(sap稱之為adjust)达沃旗SAP教育集团官网地址•例外權限﹕這是公司創造的名詞。當一個USER除了其職位一般所需的權限外﹐還需要一些特殊的權限﹐我們把這些權限稱之為這個USER的例外權限。例如開工單對生管來說是其職能應有的權限﹐但對倉庫來所就是例外權限。达沃旗SAP教育集团官网地址:以“G+”開頭都是TemplateRole(模板)﹐都不會直接assign給userid。G+職能名稱﹕全球共同TemplateRoleG+職能名稱-1﹕地區TemplateRole以“Z+”開頭都是UserRole,直接assign給userid。Z+UserID+職能名稱:繼承全球共同TemplateRoleZ+UserID+職能名稱-1:繼承地區TemplateRoleZ+UserID+Exception:沒有繼承任何Role,例外權限以“Y+”開頭都是BasisRole,直接assign給userid。Y+職能名稱:全球共同BasisRole达沃旗SAP教育集团官网地址“AR作業人員”做解釋﹕A/R作業人員CO-ARG+CO-ARG+CO-AR-1Y+CO-AR職能中文名稱職能英文名稱全球共同TemplateRole地區TemplateRole全球共同BasisRole达沃旗SAP教育集团官网地址﹕是指此職能在全球任何一個地區都一致的那部分權限的模板。命名特征是以“G+”開頭﹐非“-1”結尾。例如“G+CO–CO”地區TemplateRole﹕是指此職能根據不同地區而不同的那部分權限的模板。命名特征是“G+”開頭﹐“-1”結尾。例如“G+CO–CO–1”达沃旗SAP教育集团官网地址﹕是指根據每個user的具體需求進行設定的權限的Role.命名特征是﹕“Z+”USERID開頭（東莞﹑台灣地區）“W+”USERID開頭（吳江地區）例如“Z+PSC1-ACT01+CO-CO”全球共同BasisRole﹕是指此職能關系到整個系統的安全的那部分權限的Role.命名特征是“Y+”開頭例如“Y+CO–CO”达沃旗SAP教育集团官网地址“G”開頭的:台北本部的APMIS2.UserRole:以Z開頭的:東莞APMIS以W開頭的:吳江APMIS3.BasisRole:即以Y開頭的:台北和東莞BasisMIS达沃旗SAP教育集团官网地址。例如﹕PSC1-ENG01這是PSC1廠的帳號﹐屬于PP模組﹐所以這個帳號申請的權限將由東莞PP模組的MIS主要負責和監督。达沃旗SAP教育集团官网地址﹐這就需要多個模組的MIS共同合作設定user的權限﹐這時先按第二條執行,由ID所屬模組MIS接受申請﹐并從始至終跟進。然后具體的權限屬于哪個模組就由那個模組的MIS作設定。但無論如何﹐作為跟進的MIS都是負主要責任的。达沃旗SAP教育集团官网地址﹐權限的大架構由UserID,Role,Profile三層組成﹐那么﹐權限的設定自然也會有三層。但由于sap4.6是Profile與Role是捆綁在一起的﹐所以在建立Role的時候﹐Profile是會自動創建的（具體見后文）。而UserID的建立比較簡單。所以﹐我將主要說明Role的部分。达沃旗SAP教育集团官网地址﹕SU01單擊建立圖標2輸入要創建的UserID1达沃旗SAP教育集团官网地址://www.dawoqi.comUSERID的建立設定組別﹐這對MIS非常重要﹐MIS能否管理此UserID就看這里設定初始密碼有效期一般不設定达沃旗SAP教育集团官网地址（印表機按實際設定）达沃旗SAP教育集团官网地址﹐就把USERID創建好了USERID創建好了﹐但這時這個ID沒有賦予(Assign)任何權限﹐是什么都不能做的。USER得到這樣的帳號沒有任何意義。如何Assign權限給一個帳號﹖主要就是Assign一個Role給這個帳號了。下面我們看看如何建Role和給權限。达沃旗SAP教育集团官网地址。TCODE﹕PFCG1.由始至終新建;可以對應所有新建Role。主要對應例外權限Z+USERID+EXCEPTION2.繼承;主要對應設定Z+USERID+職能名稱3.復制（COPY）﹔主要對應設定Z+USERID+職能名稱-1达沃旗SAP教育集团官网地址—完全新建我們假設有一個帳號“FORTEST”,他申請了例外權限VA01和YF30。下面我將會一步一步向大家說明操作的步驟和應該注意的地方。看到PFCG的畫面了嗎﹖沒有﹖哦﹐在下一頁。达沃旗SAP教育集团官网地址—完全新建輸入Rolename注意選第二項达沃旗SAP教育集团官网地址—完全新建描述一般與Rolename一致記錄此Role的創建者記錄此Role的最后修改者把描述填好后﹐按save然后點擊menu頁簽达沃旗SAP教育集团官网地址—完全新建建立新目錄修改TEXT項目下移項目上移刪除項目手動增加Tcode從SAPMenu中增加Tcode從其他Role中CopyMenu這些是常用的功能Menu頁簽定義的是USERMENU（個人化菜單）的內容。达沃旗SAP教育集团官网地址—完全新建請大家按圖所示建立目錄﹐第一層是職能﹐這里是EXCEPTION﹐下面分“標准”(Standark)和“外挂”(AddOn)兩個目錄。讓菜單保持清晰﹐可以令User的個人菜單清楚﹐不混亂。我們MIS檢查權限也比較方便。达沃旗SAP教育集团官网地址—完全新建大家可以對比下面兩個USER的個人化菜單﹐左邊職能清晰﹐右邊非常混亂﹐同名的目錄大量出現﹐但里面的內容又不盡相同﹐這對依賴路徑執行指令的user是很麻煩的。达沃旗SAP教育集团官网地址—完全新建菜單的殼子有了﹐如何往里面添加內容呢﹖比較常見的是﹕從SAP菜單添加和直接添加TCODE。從SAP菜單添加﹕所有標准的TCODE和沒有TCODE的標準程式都可以用這種方法添加。好處是可以尋找﹐可以一次添加標准菜單的一個目錄﹐Tcode在標准菜單中的位置也可以顯示出來。缺點是很浪費時間﹐而且外挂的程式無法添加。达沃旗SAP教育集团官网地址—完全新建直接添加﹕所有TCODE(包括外挂）和沒有TCODE的標準程式都可以用這種方法添加。好處是比較快缺點是必須知道Tcode﹐不能帶出路徑。达沃旗SAP教育集团官网地址—完全新建從SAP菜單添加达沃旗SAP教育集团官网地址—完全新建达沃旗SAP教育集团官网地址—完全新建达沃旗SAP教育集团官网地址—完全新建达沃旗SAP教育集团官网地址—完全新建OBJECT完全沒有給值OBJECT只有部分給值OBJECT已經全部有值請注意﹕綠燈只是表示全部有值而已﹐但不一定就是我們所需要的值這時﹐標准Tcode所需要的Object