Kontakt

Ansicht
Dokumentation

Änderungen bei den Berechtigungen für das R/3-Spool-System ( RELNBC_40A_SPOO_BERECHT )

Änderungen bei den Berechtigungen für das R/3-Spool-System ( RELNBC_40A_SPOO_BERECHT )

Vendor Master (General Section)   CPI1466 during Backup  
Diese Dokumentation steht unter dem Copyright der SAP AG.
SAP E-Book

Kurztext

Änderungen bei den Berechtigungen für das R/3-Spool-System

Beschreibung

Die Berechtigungen für das Drucken und die Verwaltung von Spool- Aufträgen und Spoolgeräten wurden für Release 4.0 überarbeitet und erweitert. Die Änderungen liefern eine bessere und genauere Kontrolle über Spool-Administratoren, d.h. Benutzer, die mit R/3-Spoolgerätedefinitionen arbeiten, und Benutzer, die Spool-Aufträge in der Ausgabesteuerung verwalten.

Es folgt eine kurze Übersicht über die Änderungen:

  • Endanwender behalten die volle Kontrolle über die eigenen Spool-Aufträge in der Ausgabesteuerung.
  • Spool-Administratoren und Endanwender, die Zugriff auf Spool-Aufträge anderer Benutzer benötigen, brauchen jetzt immer eine Berechtigungsschlüssel-Berechtigung für das Berechtigungsobjekt S_SPO_ACT (Spooler: Aktionen). Standardmäßig sind jetzt alle Spool-Aufträge durch den Benutzer des Benutzernamens des Eigentümers als Berechtigungsschlüssel geschützt. Vor Release 4.0 waren nur Spool-Aufträge mit einem explizit eingegebenen Berechtigungsschlüssel vor dem Zugriff durch andere Benutzer geschützt.
  • Spool-Administratoren benötigen jetzt zusätzliche Berechtigungswerte für das Berechtigungsobjekt S_ADMI_FCD (Systemberechtigungen). Zusätzlich zu dem Wert SPAD benötigen Administratoren jetzt einen oder mehr der folgenden Werte:
  • SPAA: Ausgabegeräte definieren (Geräte für die Verwendung aus R/3 verfügbar machen)

  • SPAB: Externe Output-Management-Systeme für Geräte definieren, die Koppelart E verwenden

  • SPAC: Gerätetypen und dazugehörige Objekte (Aufbereitungen, Zeichensätze usw.) definieren

  • Es gibt jetzt einen Customer-Exit, SPOOAUTH, der anstelle der S_SPO_ACT-Berechtigungen verwendet werden kann, um auf die Spool- Aufträge anderer Benutzer zuzugreifen. Zugriff und Verwaltung des neuen Exits erfolgt über die R/3-Transaktionen CMOD und SMOD.

Die Änderungen im Detail:

  • Das Berechtigungsobjekt S_SPO_ACT (Spooler: Aktionen) wurde erweitert. Die Berechtigungswertfunktion wurde dergestalt geändert, daß für alle Aktivitäten, die die Spool-Aufträge anderer Benutzer betreffen, ein Berechtigungstest durchgeführt wird. S_SPO_ACT bietet jetzt auch eine präzisere Kontrolle über Benutzeraktionen hinsichtlich der Spool-Aufträge anderer.
Die Berechtigungswertfunktion: Das System prüft die Berechtigung für S_SPO_ACT nur, wenn in den Attributen eines Spool-Auftrags ein Berechtigungswert eingegeben wird (Feld Berechtigung). Ohne den Schlüssel wird auch keine Berechtigungsprüfung durchgeführt.
Dies bleibt in Release 4.0 unverändert. Wenn das Feld Berechtigung jedoch leer ist, geht das System jetzt automatisch davon aus, daß der Benutzername des Besitzers des Sool-Auftrags als Berechtigungswert eingegeben wird.
Tatsächlich stellt das System jetzt sicher, daß für jeden Spool- Auftrag ein Berechtigungswert vorhanden ist. (Diese automatische Verwendung des Benutzernamens erfolgt nur intern im System. Das Feld Berechtigung in den Attributen eines Spool-Auftrags bleibt leer, wenn der den Auftrag erstellende Benutzer keinen Schlüsselwert eingibt.)
Ein R/3-Benutzer hat weiterhin uneingeschränkten Zugriff auf die eigenen Spool-Aufträge, solange
  • das Feld Berechtigung leer ist; oder

  • der Benutzername des Besitzers explizit in das Feld Berechtigung eingegeben wird

Wenn der Besitzer versucht, auf einen Spool-Auftrag zuzugreifen, sieht das System, daß der Benutzername dem Berechtigungswert entspricht, und prüft nicht die Berechtigung S_SPO_ACT des Benutzers. Der Benutzer kann mit dem Spool-Auftrag alles machen, was er will: ihn drucken, den Inhalt anzeigen, den Auftrag löschen usw.
Die Berechtigung S_SPO_ACT wird jedoch geprüft, wenn ein Benutzer versucht, auf einen Spool-Auftrag in seinem eigenen Mandanten zuzugreifen und einer der folgenden Punkte zutrifft:
  • Das Feld Berechtigung des Spool-Auftrags enthält einen anderen Wert als den Benutzernamen der Person, die auf den Auftrag zuzugreifen versucht.

  • Das Feld Berechtigung ist leer, aber ein anderer Benutzer als der Besitzer des Spool-Auftrags will auf den Spool-Auftrag zugreifen.

In diesen Fällen läßt das System den Benutzer nur so zugreifen, wie in der Berechtigung S_SPO_ACT ausdrücklich angegeben.
Durch diese Änderung soll der Schutz durch das Feld Berechtigung ausgedehnt werden. Präziser ausgedrückt, es besteht ein besserer Schutz vor dem wahllosen Zugriff auf Spool-Aufträge anderer Benutzer durch Systemadministratoren. Normale Benutzer können nur ihre eigenen Spool-Aufträge in der Ausgabesteuerung anzeigen. Administratoren mit der Berechtigung S_ADMI_FCD (Systemberechtigungen) SP0R oder SP01 können jedoch auch die Spool-Aufträge anderer Benutzer anzeigen.
Bis zu Release 4 hatten diese Administratoren uneingeschränkten Zugriff auf alle Spool-Aufträge, die keinen Berechtigungswert enthielten. Jetzt haben Administratoren innerhalb ihrer Mandanten nur den durch S_SPO_ACT erlaubten Zugriff.
Wie bereits bemerkt ist der Zugriff des Besitzers auf die eigenen Spool-Aufträge von dieser Änderung bei den Berechtigungen nicht betroffen.
  • Präzisere Kontrolle über Benutzeraktionen: Das Berechtigungsobjekt S_SPO_ACT wurde auch erweitert, um für jede der folgenden Aktivitäten separate Berechtigungen zu vergeben:
  • Inhalt eines Spool-Auftrags anzeigen

Neuer Berechtigungswert: DISP
  • Berechtigungswert eines Spool-Auftrags ändern

Neuer Berechtigungswert: AUTH
  • Spool-Auftrag ausdrucken (separate Berechtigungen für den ersten Ausdruck (Wert PRNT) und mehrere Ausdrucke (Wert REPR))

Neuer Berechtigungswert: PRNT
  • Der Umfang von zwei vorhandenen Berechtigungswerten für das Berechtigungsobjekt S_SPO_ACT hat sich geändert:
  • Die vorhandene Berechtigung BASE ermöglicht nicht mehr den ersten Ausdruck (jetzt über die Berechtigung PRNT) und das Anzeigen eines Spool-Auftrags (jetzt über die Berechtigung DISP).

BASE wird jetzt nur noch als Berechtigung für die Auflistung von Spool-Aufträgen in der Ausgabesteuerung und zum Anzeigen der Attribute von Spool-Aufträgen verwendet.
  • Die vorhandene Berechtigung ATTR berechtigt nicht mehr zum Ändern des Berechtigungswerts in den Attributen eines Spool-Auftrags. Alle anderen Attributfelder können weiterhin damit geändert werden.

Durch diese Änderungen haben Sie die Kontrolle über alle Vorgänge, die Benutzer in Bezug auf Spool-Aufträge durchführen können (drucken, anzeigen, Attribute ändern, den Berechtigungswert ändern usw.). Ein Benutzer hat immer die Berechtigungen für Spool-Aufträge, die als Berechtigungswert seinen Benutzernamen tragen. Sie können die Aktionen, die ein Benutzer dann in Bezug auf seine Spool-Aufträge ausführen kann, jedoch einschränken oder den Zugriff auf das Drucken oder die Spool-Auftrags-Verwaltung ganz verbieten.
  • Das Berechtigungsobjekt S_ADMI_FCD (Systemberechtigungen) wurde erweitert. Sie können jetzt den Zugriff auf Spool-Verwaltungs- Funktionen (Gerätepflege) durch separate Berechtigungen regeln. Außerdem können Sie steuern, welchen Zugriff Systemadministratoren auf die Spool-Aufträge anderer Benutzer haben (siehe auch S_SPO_ACT, oben.)
Spooler-Administration(Werkzeuge-> CCMS-> Spool-> Spool administration). Sie können Benutzern jetzt Berechtigungen für verschiedene Verwaltungsfunktionen erteilen:
  • Geräte definieren (Drucker für die Verwendung innerhalb des R/3-Systems verfügbar machen)

Erforderlich: Bestehender Berechtigungswert SPAD und neuer Wert SPAA
  • OMSs definieren (Schnittstellen zu externen Output-Management-Systemen)

Erforderlich: Bestehender Wert SPAD und neuer Wert SPAB
  • Mit Gerätetyen und dazugehörigen Objekten (Aufbereitungen, Zeichensätzen usw.) arbeiten

Erforderlich: Bestehender Wert SPAD und neuer Wert SPAC
Vor Release 4.0 galt bei den Spool-Verwaltungsberechtigungen das Alles-oder-Nichts-Prinzip: Entweder man durfte alle Spool-Verwaltungs- Funktionen ausführen oder keine.
Durch diese Änderung können Sie jetzt auch Spool-Administratoren mit weniger Berechtigungen definieren (sofern erforderlich). Beispielsweise können Sie einem Benutzer nur die Berechtigung zum Definieren von Geräten (Druckern) erteilen, ihn jedoch nicht mit Gerätetypen oder mit den Definitionen von Output-Management-Systemen arbeiten lassen.
Spool-Auftragsverwaltung(Tools-> CCMS-> Spool-> Output Management). Die erforderlichen Berechtigungen für die Verwaltung von Spool-Aufträgen wurden geändert. Wichtigste Auswirkung: Mehr Kontrolle über den Zugriff auf Spool-Aufträge, deren Besitzer nicht der Administrator ist.
Für Administratoren mit der Berechtigung, die Spool-Aufträge aller Benutzer aus allen Mandanten zu verwalten, ist noch immer die bestehende Berechtigung S_ADMI_FCD SP01 erforderlich. Die Operationen, die der Administrator in der Ausgabesteuerung durchführen kann, unterliegen jetzt zusätzlichen Berechtigungen. Es werden zwei Fälle unterschieden:
  • Selber Mandant: Wenn der Administrator auf Spool-Aufträge zugreift, die in seinem eigenen Mandanten erstellt wurden, überprüft das System die Berechtigung S_SPO_ACT (Spooler: Aktionen) des Administrators. Für Spool-Aufträge anderer Benutzer hat der Administrator nur die in S_SPO_ACT angegebene Zugriffsberechtigung.

Ist die Berechtigung S_SPO_ACT nicht vorhanden, erlaubt das System keinen Zugriff auf Spool-Aufträge. Die S_SPO_ACT-Berechtigungen sind weiter oben beschrieben.
  • Anderer Mandant: Wenn der Administrator auf Spool-Aufträge aus anderen Mandanten zugreift, prüft das System nun noch zusätzliche S_ADMI_FCD-Berechtigungen.

Mit der vorhandenen Berechtigung S_ADMI_FCD SPAD und der neuen Berechtigung S_ADMI_FCD SPAM hat der Administrator die volle Kontrolle über alle Spool-Aufträge in anderen Mandanten.
Ohne diese Berechtigungen kann der Benutzer nur Spool-Aufträge auflisten(für alle Benutzer) und ihre Attribute anzeigen. Der Zugriff entspricht der Berechtigung S_SPO_ACT BASE für alle Benutzer.
In beiden Fällen bleibt der Zugriff auf Aufträge im eigenen Mandanten des Benutzers durch die Berechtigung S_SPO_ACT eingeschränkt.
Für Administratoren, die auf Spool-Aufträge beschränkt sind, die in ihren eigenen Mandanten erstellt wurden, wird noch immer die Berechtigung S_ADMI_FCD SP0R benötigt. Die Operationen, die der Administrator in der Ausgabesteuerung ausführen kann, unterliegen nun der Administratorberechtigung S_SPO_ACT (Spooler: Aktionen).
Ist die Berechtigung S_SPO_ACT nicht vorhanden, erlaubt das System keinen Zugriff auf Spool-Aufträge. Die S_SPO_ACT-Berechtigungen sind weiter oben beschrieben.
Vor Release 4.0 gab es keine Einschränkung der Spool-Verwaltungs- Aktionen, die ein Benutzer mit der Berechtigung S_ADMI_FCD SP01 oder SP0R durchführen konnte. Sie konnten nur festlegen, ob der Benutzer nur in seinem aktuellen Mandanten oder in allen Mandanten die volle Kontrolle haben sollte.

Mögliche Delta-Pflege für vorhandene Berechtigungen

Wenn Sie einen Upgrade von Release 3.0 durchführen, müssen Sie die unten aufgeführten Änderungen an den Berechtigungen Ihrer Systemadministratoren vornehmen, wenn Sie einen unveränderten Zugriff auf das System wünschen.

Die Berechtigungserweiterungen wurden nicht dem Standard- Berechtigungsprofil SAP_NEW hinzugefügt. SAP liefert jedoch vordefinierte Berechtigungsprofile, die Sie Ihren Benutzern zuweisen können (siehe die Massenänderungsfunktionen in der Benutzerpflege).

Zusätzlich erforderliche Berechtigungen zur Erhaltung der bestehenden Zugriffsrechte für Systemadministratoren

  • Spool-Verwaltungs-Funktionen verwenden
Zusätzliche Berechtigungen: Berechtigung SPAA, SPAB und/oder SPAC für das einzelne Feld im Berechtigungsobjekt Systemberechtigungen
Vordefinierte Berechtigung: unten aufgeführt
For vorhandene Berechtigung SPAD ist noch immer für die Spool- Verwaltung erforderlich, muß jedoch durch einen oder mehr der oben aufgeführten Werte ergänzt werden.
  • Spool-Aufträge in der Ausgabesteuerung verwalten
Für Aktionen innerhalb des aktuellen Mandanten des Benutzers (Berechtigung SP0R, SP01 für S_ADMI_FCD): Zusätzliche Berechtigung für die gewünschten Aktionen mit dem Berechtigungsobjekt S_SPO_ACT (Spooler: Aktionen), sofern nicht bereits definiert.
Für Aktionen in anderen Mandanten (Berechtigung SP01 für S_ADMI_FCD): Standardmäßig hat der Benutzer die Berechtigung S_SPO_ACT BASE (Spool-Aufträge in der Ausgabesteuerung anzeigen, keine anderen Aktionen zulässig).
Um die volle Kontrolle über Spool-Aufträge aus anderen Mandanten zu haben, benötigt der Benutzer die Berechtigungen S_ADMI_FCD SPAD und SPAM. Zugriff auf Spool-Aufträge im aktuellen Mandanten des Benutzers bleibt durch S_SPO_ACT geregelt.

Vordefinierte Berechtigungsprofile

Die folgenden Profile für Spool-Funktionen sind vordefiniert und werden mit Release 4.0 ausgeliefert:

Vordefinierte Profile für die Systemadministration

  • S_ADMI_SAP
Alle S_ADMI_FCD-Berechtigungen (Systemberechtigungen) mit Ausnahme der Spool-Verwaltung (Berechtigungswert SPAD).
Durch Hinzufügen eines der folgenden Spool-Profile erhalten Sie den gewünschten Zugriff auf die Spool-Verwaltung.
  • S_ADMI_SP0_J
Verwaltungsberechtigung für Spool-Aufträge: Spool- und Ausgabeaufträge in der Ausgabesteuerung und allen Mandanten und für alle Benutzer verwalten.
Im aktuellen Mandanten des Benutzers: Benutzer benötigt eine zusätzliche Berechtigung für S_SPO_ACT (Spooler: Aktionen).
In anderen Mandanten: Volle Kontrolle über Spool-Aufträge.
  • S_ADMI_SPO_A
Uneingeschränkte Pflegeberechtigung für das Spool-System.
Erlaubt alle Operationen in Spool-> Spool administration, einschließlich dem Definieren von Druckern, Ändern von Gerätetypen usw.
  • S_ADMI_SPO_D
Auf das Definieren und Bearbeiten von Geräten (Druckern) beschränkte Spool-Verwaltung.
Gerätedefinitionen beschreiben dem R/3-System einen Drucker in Ihrem System.
  • S_ADMI_SPO_E
Auf die Verwaltung externer Output-Management-Systeme (OMSs) im Spool-System beschränkte Spool-Verwaltung.
Erlaubt einem Benutzer, die physischen und logischen OMS-Definitionen des R/3-Spool-Systems zu definieren oder zu bearbeiten. Diese Definitionen ermöglichen die Kommunikation zwischen dem R/3-System und einem externen OMS.
  • S_ADMI_SPO_T
Auf das Pflegen von Gerätetypen und dazugehörigen Komponenten beschränkte Spool-Verwaltung.
Ein Benutzer kann einen Gerätetyp definieren oder bearbeiten, mit R/3-Aufbereitungen und R/3-Zeichensätzen arbeiten usw.

Fügen Sie einem Administrator-Profil eines oder mehr der folgenden Endanwender-Berechtigungsprofile hinzu, um festzulegen, welchen Zugriff ein Administrator auf Spool-Aufträge in der Ausgabesteuerung hat.

Beispiel: Mit den Profilen S_ADMI_SPO_J (S_ADMI_FCD SP01, SPAD, SPAM) und S_SPOOL_LOC kann ein Administrator in der Ausgabesteuerung alles machen, außer den Inhalt von Spool-Aufträgen anzeigen. Der Administrator hat diesen Zugriff für alle Spool-Aufträge, die in dem Mandanten erstellt wurden, in dem er angemeldet ist.

Vordefinierte Profile für das Drucken (Endanwender-Funktionen)

  • S_SPOOL_ALL
Alle S_SPO_ACT- (Spooler: Aktionen) Berechtigungen; alle Druck- Operationen und andere Operationen in der Ausgabesteuerung sind erlaubt, jedoch nur für Spool-Aufträge, die dem Benutzer gehören.
Enthält eine uneingeschränkte Berechtigung für Ausgabegeräte (Berechtigungsobjekt S_SPO_DEV, Wert *).
  • S_SPOOL_LOC
Wie S_SPOOL_ALL, jedoch ohne die Berechtigung zum Anzeigen des Inhalts von Spool-Aufträgen.
  • S_SPO_ATTR_A
Spool-Auftrags-Attribute in der Spool-Ausgabesteuerung ändern. Betrifft nur die eigenen Spool-Aufträge eines Benutzers.
  • S_SPO_AUTH_A
Berechtigungswert in Spool-Auftrags-Attributen ändern. Betrifft nur die eigenen Spool-Aufträge eines Benutzers.
  • S_SPO_BASE_A
Spool-Aufträge und ihre Attribute auflisten. Betrifft nur die eigenen Spool-Aufträge eines Benutzers.
  • S_SPO_DELE_A
Spool-Aufträge löschen. Betrifft nur die eigenen Spool-Aufträge eines Benutzers.
  • S_SPO_DEV_A
Berechtigung zum Drucken an alle R/3-Spool-Ausgabegeräte (Berechtigung S_SPO_DEV (Spooler: Geräteberechtigungen)).
  • S_SPO_DISP_A
Inhalt von Spool-Aufträgen anzeigen. Betrifft nur die eigenen Spool-Aufträge eines Benutzers
  • S_SPO_PRNT_A
Ein Exemplar eines Spool-Auftrags drucken. Ermöglicht die Wahl von "Sofort ausgeben" bei der Erzeugung eines Spool-Auftrags bzw. beim Drucken eines Spool-Auftrags aus der Ausgabesteuerung. Beschränkt nicht die Berechtigung zum Erstellen eines Spool-Auftrags (ohne Drucken).
  • S_SPO_REDI_A
Leitet Spool-Aufträge um. Gilt nur für die eigenen Spool-Aufträge eines Benutzers.
  • S_SPO_REPR_A
Mehrere Exemplare eines Spool-Auftrags drucken. Betrifft die Erzeugung eines Spool-Auftrags und das Drucken aus der Ausgabesteuerung. Betrifft nur die eigenen Spool-Aufträge eines Benutzers.

Beispiele

  • Mit dieser Berechtigung kann ein Benutzer Geräte in der Spool-Verwaltungs-Funktion definieren:
Berechtigungsobjekt S_ADMI_FCD, Werte SPAD und SPAA.
  • Mit dieser Berechtigung kann ein Benutzer jeden Spool-Auftrag löschen, der in seinem eigenen Mandanten erzeugt wurde:
Berechtigungsobjekt S_ADMI_FCD, Wert SP0R oder SP01, und Berechtigungsobjekt S_SPO_ACT, Wert DELE
Mit S_ADMI_FCD kann der Benutzer auch Spool-Aufträge aus anderen Mandanten auflisten und ihre Attribute anzeigen.
  • Mit dieser Berechtigung kann ein Benutzer ein Exemplar eines Spool- Auftrags auf dem Drucker LP01 ausdrucken und den Spool-Auftrag in der Ausgabesteuerung auflisten:
Berechtigungsobjekt S_SPO_ACT, Werte BASE und PRNT, und Berechtigungsobjekt S_SPO_DEV, Wert LP01

Einfluß auf den Datenbestand im Fehlerfall

Soft-/Hardwarevoraussetzungen

Besonderheiten bei der Installation

Auswirkungen auf die Systemverwaltung

Auswirkungen auf das Customizing

Auswirkungen auf Batch-Input

Änderungen an der Oberfläche

Änderungen in der Vorgehensweise

Aktionen zum Beheben von Fehlern am Datenbestand

Abhängige Funktionen

Planungen

Weitere Hinweise






rdisp/max_wprun_time - Maximum work process run time   rdisp/max_wprun_time - Maximum work process run time  
Diese Dokumentation steht unter dem Copyright der SAP AG.

Length: 24202 Date: 20240523 Time: 153409     sap01-206 ( 337 ms )