Abap Forum on Gate²App

[Bilal3242]

Oder wie bereits vorgeschlagen: versiegeltes Passwort im Briefumschlag im Tresor.

Das ist natürlich die sicherste Lösung, aber was wirkliche "Notfälle" angeht, ist das doch eher ungeeignet, oder? Da müsste der Tresor schon irgendwo stehen, wo 24/7 auch jemand verfügbar ist, der ihn öffnen kann.

[Jay646]

Hallo Grillfreund,

bei uns gibt es mehrere Notfallkennungen (für verschiedene Aufgaben), aber alle haben KEIN SAP_ALL!
Über eine Z-Transaktion wird ein Pflege-View gestartet, wo man den gewünschten Benutzer auswählt, dann gibt es einen Button zum Freischalten des Benutzers. Dann muss man einen Grund hinterlegen, und es wird ein Passwort generiert (und beim Benutzer hinterlegt), mit dem man sich dann als dieser Benutzer anmeldet. Natürlich muss das Programm noch ein bißchen mehr machen (z.B. prüfen, ob dieser Benutzer nicht gerade schon angemeldet ist), aber es funktioniert recht gut.
Und man ist weit weg von dieser "versiegelten Passwortvariante" o.ä.

[Carlos1739]

Dann muss man einen Grund hinterlegen, und es wird ein Passwort generiert

Und wie macht ihr das genau? Die Z-Transaktion läuft doch mit den Berechtigungen des angemeldeten Bentzers. Und der muss dann auch die Berechtigung zum Ändern von Passwörtern haben, sonst funktioniert es doch nicht. Und wenn er die hat kann er auch ohne das Hinterlegen eines Grundes sich für einen solchen Benutzer ein Passwort setzen. Oder sehe ich da was falsch?

Ich stimme dir aber zu, dass die Variante mit dem "versiegelten Passwort" eher eibe Krücke ist...

[Fiona462]

Das mit dem Passwort ist doch drittrangig.
Ob nun in der Schublade, im Tresor oder ein generiertes Passwort.

Irgendeinem sollte man schon trauen.

Bei uns in der Firma machen manche auch immer ein Fass auf, wenn ein "Notfall" eingetreten ist.

Es wird doch wohl irgendwo einen oder zwei Verantwortliche geben, die irgendwie das Passwort "verwalten".

Es geht doch nur darum, dass solchen Änderungen dokumentiert und fachgerecht beseitigt werden und das nicht ständig jemand mit SAP_ALL im Produktiv "rumfuscht".
Und DA sehe ich die meisten Probleme

[Fiona462]

Noch etwas.

Wie bereits erwähnt, wird bei uns jedesmal ein riesen Trouble gemacht, wenn jemand etwas im Produktivsystem anpassen muss oder Troubleshooting machen muss.

Es wurde ein Z-Programm erstellt, das ca. 15 SAP-Standard-Transaktionen ersetzen soll und wir nicht direkten Zugriff auf dies SAP-Standard-TCodes haben.
Genau in diesem Program, hat aber jemand bereits ein Backdoor-Program 'implementiert', damit man auch gesperrte SAP-TCodes trotzdem aufgerufen kann.
Das Lustige an dieser Geschichte: Gerade die, die immer so ein Fass aufmachen, haben genau dieses Program dann auch an alle verteilt, ohne zu wissen, dass genau dieses Program viele Türen öffnet.