Willkommen im SAP Forum

Sehr geehrter Herr Tenbuss, da Mandant 0 nur Auslieferungsmandant ist, gibt es zwingende Gründe die Standardpasswörter zu ändern? Speziell stelle ich mir die Frage für den Benutzer TMSADM. Vielen Dank und freundliche Grüße Sven Uhlig

Sehr geehrter Herr Uhlig, vielen Dank für Ihre Frage. Grundsätzlich gibt es keine zwingenden Gründe, welche eine Kennwortänderung des TMSADM-Benutzers erforderlich machen. Zunächst hat der Benutzer keine sicherheitskritischen Berechtigungen. Eine Änderung des Kennwortes ist notwendig, wenn die Sicherheitsrichtlinie des Unternehmens die Verwendung von Standardkennwörtern untersagt. Sollten die Berechtigungen des Benutzers in den SAP-Systemen über den Standard hinaus erweitert werden, dann empfehle ich dringend auch die Änderung der Kennwörter. Unabhängig davon, ob es sich um den 000er-Mandanten handelt, ist es in jedem Fall sehr wichtig mindestens die Kennwörter der Benutzer SAP*, DDIC und EARLYWATCH zu ändern. Die Berechtigungen dieser Benutzer sind üblicherweise so weitreichend, dass auch mandantenübergreifend Schaden angerichtet werden kann bzw. Daten ausgelesen werden können. Ich hoffe, dass ich Ihnen weiterhelfen konnte. Viele Grüße Andre Tenbuß

ja wohl

Hallo, wenn ich diese Sperre bei den Standartbenutzer habe, wie bekomme ich diese denn wieder raus. Ich komme sinst nicht auf den Mandanten. gruß und Danke vorab

Hallo, Wie kann ich denn die Passwörter dieser SAP User zurücksetzen ohne das ich auf dem Mandanten bin (da ich ja nicht drauf komme)? mfg

Hallo, ein Zurücksetzen der Kennwörter, wie es über die Transaktion SU01 z.B. möglich wäre, funktioniert über die Datenbank nicht. Mein Kollege Herr Busse hat mir hier freundlicherweise eine Anleitung zur Verfügung gestellt, mit der Sie die Benutzersperre über die Datenbankwerkzeuge entfernen können. Wir werden diesen Beitrag voraussichtlich auch in Kürze als Artikel veröffentlichen: Der Standardbenutzer SAP* ist im Programmcode des Systems definiert und verfügt über uneingeschränkte Zugriffsberechtigungen. Das Standardkennwort des Benutzers lautet PASS. Dieser Kernel-Benutzer kann über ein Profilparameter aktiviert werden. Bei der Installation eines Systems wird automatisch in jedem Mandanten ein Benutzerstamm für SAP* angelegt. Es gibt zwei Schutzmechanismen: 1. Der Benutzer kann über Profilparameter aktiviert werden. 2. Über einen gleichnamigen Benutzerstamm für SAP* kann dieser überlagert werden. Profilparameter Um den Benutzer zu aktivieren muss der Profilparameter login/no_automatic_user_sapstar auf den Wert 0 gesetzt werden. Die kann bspw. via Transaktion RZ10 geschehen. Das System muss anschließend neugestartet werden. Benutzerstamm Damit eine Anmeldung am System möglich ist, muss sichergestellt werden, dass der Notfallbenutzer nicht von einem gleichnamigen Benutzer SAP* überlagert wird. Falls das so ist, muss der gleichnamige Benutzer via SU01 umbenannt werden. Falls eine Anmeldung am System jedoch nicht möglich ist, kann dies auch direkt per SQL in der Datenbank geändert werden. Mit folgenden Befehl kann für einen bestimmten Mandanten der Name des Benutzers SAP* aus dem Benutzerstamm geändert werden: update [SCHEMA].usr02 set BNAME="SAP*_old" where BNAME="SAP*" and MANDT="[ZIELMANDANT]" Für das Schema der Tabelle USR02 muss die System-ID eingetragen werden. Alternativ kann der existierende Benutzerstamm auch gelöscht werden. Sobald der Notfallbenutzer aktiviert ist, kann man sich mit dem Standardkennwort PASS anmelden. Dieses Password ist im Programmcode festgesetzt und kann nicht geändert werden. Nach der Reparatur muss der Profilparameter wieder auf einen Wert größer 0 gesetzt werden und ggf. ein Benutzerstamm SAP* angelegt werden. Dieser sollte der Benutzergruppe SUPER angehören. Ich hoffe, dass wir Ihnen damit weiterhelfen konnten. Viele Grüße, Andre Tenbuß

Hallo, die Sperre lässt sich nur über ein SQL-Kommando entfernen. Den Weg dazu habe ich in einem Kommentar zu einer anderen Frage von Ihnen beschrieben. Viele Grüße Andre Tenbuß

Hallo Herr Tenbuss, der TMSADM-Benutzer ist als Systemuser hinterlegt. Wieso muss man hier das PW ändern? Wie kann sich ein normaler User(Dialog), dem das PW bekannt ist, mit dem User sich anmelden? Meines Wissens, kann man sich nur als Dialogbenutzer anmelden. VG OA

Hallo, momentan ist SAP* im Produktivsystem nicht angelegt. Ich möchte mir hierzu gerne die Historie anzeigen lassen. Mit dem Report RSUSR100 wird mir dieser Benutzer nicht angezeigt. Das Einzige was mir das System anzeigt ist, dass der Benutzer 2004 angelegt wurde. Der Parameter rec/client war 2012 auf "off" und ist seit 2015 auf "all" eingestellt. Der Parameter login/no_automatic_user_sapstar war 2012 auf "0", 2014 auf "1" und ist seit 2015 auf "0" gesetzt. Können die Parametereinstellungen damit zusammenhängen, das ich keine Historie finde? Welche Möglichkeiten gibt es noch, sich die Historie von SAP* anzeigen zu lassen? VG SB

Hallo, eine direkte Anmeldung über die SAP GUI mit einem Benutzer des Typs SYSTEM ist nicht möglich, da haben Sie recht. Es besteht allerdings die Möglichkeit aus einem anderen SAP-System (oder einer beliebigen Anwendung) entsprechende Funktionsbausteine über RFC-Verbindungen in Ihrem System aufzurufen, die Änderungen ausführen können. Sie sehen also: Selbst, wenn sich ein Benutzer nicht direkt am System anmelden kann, besteht dennoch die Gefahr eines Einbruchs. Dieser muss dabei nicht von außerhalb kommen, sondern könnte z.B. aus Ihrem Entwicklungssystem heraus durchgeführt werden. Die klare Empfehlung ist daher: Grundsätzlich keine Standardkennwörter zu verwenden. Viele Grüße Andre Tenbuß

Hallo und vielen Dank für die Frage. Wenn Sie "Historie" schreiben, meinen Sie die Änderungsbelege des Benutzerstammsatzes vom Benutzer SAP* oder sind Änderungsbelege im gesamten SAP-System gemeint? Zu Änderungsbelegen für Benutzer (im Benutzerstammsatz): Wenn Sie sich diese Belege anzeigen lassen wollen, dann müssen Sie zunächst über die SU01 den Benutzer SAP* wieder anlegen. Denn - obwohl der Benutzer möglicherweise irgendwann mal gelöscht wurde - sind die Änderungsbelege zu diesem Stammdatensatz noch vorhanden. Der Parameter rec/client steuert die Protokollierung von Tabellen (im jeweiligen Mandanten), für welche die Protokollierung in den Tabelleneigenschaften aktiviert ist. Protokolle stehen also leider nur für den Zeitraum zur Verfügung, in dem rec/client auf "all" (oder den entsprechenden Mandanten) gesetzt ist. Sollten Sie noch eine andere Historie gemeint haben, stehe ich natürlich gerne für Fragen zur Verfügung! VG Andre Tenbuß