SAP权限继承

最近项目中正在做权限设置，因为自己是菜鸟，所以在网上搜了很多资料，加上自己在操作的情况，借鉴了前辈们的经验，总结如下：      首先介绍一下SAP权限的几个基本概念：   *SAP系统权限：某SAP操作用户能在SAP系统中做哪些操作。比如（大致概念）用户XX-A只能查看物料信息，在SAP系统中就分配事物码MM03给XX-A。SAP的权限控制是控制到字段级的，换句话说，其权限控制机制可以检查你是否有权限维护某张透明表的某一个字段。     用户（User）：具体操作SAP系统的用户，即登陆SAPLogon输入的用户。使用事物码SU01创建一个新的用户ID，默认的权限是空白的，不允许任何操作。     单一角色（SingleRole）：简单的说就是一个事物码的集合。其中包含了控制事物码操作的“权限对象”、“权限字段”以及允许的操作及允许的值。用事物码PFCG维护。单一角色是相对应复合角色而言的。     复合角色（Comp.Role）：又叫通用角色，即是多个单一角色的集合。复合角色中可以包含多个单一角色，此复合角色包含了这多个单一角色所控制的权限。复合角色还可以维护具体的“权限对象”、“权限字段”以及允许的字段值及字段操作。用事物码PFCG维护。     单一角色和复合角色：单一角色好比“IT部员”，复合角色好比“IT经理”，每个IT部员所操作的权限范围不同，而IT经理可以具备多有部员的权限，IT经理的权限就是多位IT部员的权限的一个集合，即在IT经理的权限中添加多为IT部员的权限即可。就是将多个单一角色分配在一个复合角色当中，取并集。     权限对象（AuthorizationObject），权限字段（AuthorizationField），允许的操作（Activity），允许的值（FieldValue）      角色包含了若干权限对象，在透明表AGR_1250中有存储二者之间的关系；权限对象包含了若干权限字段、允许的操作和允许的值，在透明表AGR_1251中体现了ROLE/Object/Field/Value之间的关系；有一个特殊的权限对象用来包含了若干事务码。这个权限对象叫“S_TCODE”，该权限对象的权限字段叫“TCD”，该字段允许的值（FieldValue）存放的就是事务代码；有一种特殊的权限字段用来表示可以针对该权限对象做哪些操作，是允许创建、修改、显示、删除或者其他呢。该权限字段叫“ACTVT”，该字段允许的值（FieldValue）存放的就是允许操作的代码，01代表创建、02代表修改、03代表显示等；SAP系统自带了若干权限对象、默认控制了若干权限字段（对应到透明表的某些字段）。可以用事务码SU20来查看系统有哪些权限字段，用SU21来查看系统有哪些默认的权限对象。于是我们知道了事务代码与权限对象的区别。从权限控制的范畴来看，事务代码属于一种特殊的权限对象；一个事务代码在执行过程中，为了判断某个ID是否有权限执行此事务代码，还可能检查其他若干普通的权限对象。使用SU22来查看某个事务代码包含了哪些权限对象。在透明表USOBX中，存放了事务码与权限对象的对应关系。      如果大家理解了上面的概念（不理解也没关系，因为我也一开始也没懂），我们开始用实例来讲解如何维护一个用户的权限。      SAP权限设置常用的事物码：*SU01：创建用户   *SU22：查看事物码中的权限对象   *PFCG：创建角色   *SU53：权限测试1.创建用户事物码SU01，输入新建用户名：SAPMOON_012.创建单一角色ZR_SAPMOON_01，事物码：PFCG。有三种方法：（1）手工创建（2）复制创建（3）继承创建：输入要继承的角色*继承与复制的区别：复制：A复制B，A创建好后与B没有联系，A可以自由维护添加事物码继承：A继承B，B变更后，A也相应变更，A中不能添加事物码，可以删除继承关系后单独添加。（4）维护菜单：此处添加允许操作的事物码，报表或其他功能（5）维护权限，生产权限参数文件。这里我们维护的是“菜单”页中事物所控制的权限字段维护权限字段值（红灯变绿的），点击生成参数文件，保存。（6）可将单一角色直接分配给用户，分配用户，进行用户比较（7）保存退出，单一角色ZR_SAPMOON_01创建完毕3.创建复合角色（1）创建复合角色ZC_SAPMOON_01，事物码同样是PFCG。（2）复合角色中分配单一角色，不能添加事物码（3）点击“读菜单”，读取单一角色的菜单。（4）将复合角色分配给用户，用户比较。（5）保存退出，创建复合角色成功。4.SU22：维护事物码所控制的权限对象及权限字段（1）SU22，输入事物码，F8运行。（2）左边为CO01所有可控制的权限对象。两种状态：YES、NOYES：运行CO01时，程序检查此权限对象，判断用户是否可操作。NO：运行CO01时，程序不检查此权限字段（3）维护权限字段检查状态及权限字段值。变更后会产生请求号。5.SU53：权限测试6.SUIM：权限报表可以更加各种条件查询用户权限信息SE93查询所有TCODE或者table:tstcSE16displaySUIM查询用户信息的报表们技术流(中英文)SBITMenu菜单SBTATestbackgroundprocessing后台处理测试SBTUBackgroundprocessingforuser对用户的后台处理SM36DefineBackgroundJob定义后台作业SM37BackgroundJobOverview后台作业概览SM39JobAnalysis作业分析SM49ExecuteexternalOScommands执行外部OS命令SM61Menu菜单SM62Menu菜单SM63Display/MaintainOperatingModeSets显示/保持操作方式设置SM64ReleaseofanEvent事件的释放SM65BackgroundProcessingAnalysisTool后台处理分析工具SM67JobScheduling作业调度SM68JobAdministration作业管理SM69MaintainexternalOScommands维护外部OS命令SMXDisplayOwnJobs显示自己的作业SPBMMonitoringparallelbackgroundtasks监控类似的后台任务SPBTTest:Parallelbackgroundtasks文本:匹配后台任务DB16DBsystemcheck(trigger/browse)DBsystemcheck(trigger/browse)DB17DBsystemcheck(configure)DBsystemcheck(configure)DB20No.oftabletupelsacc.tostat.No.oftabletupelsacc.tostat.DB21MaintenancecontroltableDBSTATCMaintenancecontroltableDBSTATCRZ01JobSchedulingMonitor作业计划监视器RZ02NetworkGraphicsforSAPInstances网络图SAPRZ04MaintainSAPInstances保持SAP实例RZ06AlertsThresholdsMaintenance警报门限维护RZ08SAPAlertMonitorSAP报警监视器RZ12MaintainRFCservergroupassignment维护RFC指定服务器组SM66SystemwideWorkProcessOverview系统工作过程概述SMLGMaintainLogonGroup维护登录组SRZLMenu菜单SM02SystemMessages系统消息SM04UserOverview用户概览SM13DisplayUpdateRecords显示更新记录SM50WorkProcessOverview工作进程概述SM51ListofSAPServersSAP服务器的清单SM54TXCOMmaintenanceTXCOM维护SM55THOSTMaintenanceTHOST维持SM56NumberRangeBuffer数字范围缓冲区SMGWGatewayMonitor网关监控器ST07Applicationmonitor应用程序监视器AL01SAPAlertMonitorSAP报警监视器AL02Databasealertmonitor数据库警报监测器AL03Operatingsystemalertmonitor操作系统警告监视器AL04Monitorcalldistribution监视呼叫分配AL05Monitorcurrentworkload监视当前的工作负荷AL06Performance:Upload/Download执行:上载/下装AL07EarlyWatchReport初期察看报告AL08UsersLoggedOn登录的用户AL09Datafordatabaseexpertise专家数据库的数据AL10DownloadtoEarlyWatch下载早观察AL11DisplaySAPDirectories显示SAP目录AL12Displaytablebuffer(Exp.session)显示表缓冲AL13DisplaySharedMemory(Expertmode)显示共享内存(输出方式)AL15CustomizeSAPOSCOLdestination自定义SAPOSCOL目的地AL16LocalAlertMonitorforOperat.Syst.操作系统的本地报警监视器AL17RemoteAlertMonitorf.Operat.Syst.操作系统的远程报警监视器AL18LocalFileSystemMonitor本地的文件系统监视器AL19RemoteFileSystemMonitor远程文件系统监视器AL20EarlyWatchDataCollectorListEarlyWatch数据收集器清单AL21ABAPProgramanalysisABAPProgramanalysisAL22DependentobjectsdisplayDependentobjectsdisplayDB01Analyzeexclusivelockwaits分析互斥锁定等待DB02Analyzetablesandindexes分析表和索引DB03Parameterchangesindatabase在数据库中参数改变DB05Analysisofatableacc.toindexAnalysisofatableacc.toindexDB11EarlyWatchProfileMaintenance初期察看描述文件维护DB12OverviewofBackupLogs备份日志的概观DB13Databaseadministrationcalendar数据库管理日历DB14ShowSAPDBAActionLogs显示SAPDBA行为记录DB15CCMS-DocumentarchivingCCMS-DocumentarchivingOS01LANcheckwithping通过ping检查LANOS02Operatingsystemconfiguration操作系统配置OS03O/SParameterchangesO/S参数更改OS04LocalSystemConfiguration本地的系统配置OS05RemoteSystemCconfiguration远程系统配置OS06LocalOperatingSystemActivity本地的操作系统作业OS07RemoteOperatingSystemActivity远程操作系统活动性OSS1LogontoOnlineServiceSys