Sven Schreiber
 - 21. November 2018

Umgang mit inaktiven Benutzern

Individueller SAP Security Check

Der Umgang mit inaktiven Benutzern ist in jedem SAP-Umfeld ein verbreitetes Thema. Doch wie geht man damit um und was sind die Vorteile der einzelnen Lösungen? Ich zeige einen vielleicht unbekannten Trick zum Sperren von Benutzern.

Benutzer sperren oder löschen?

Durch das Löschen eines Users werden seine Stammdaten gelöscht. Dadurch sind zum Beispiel Buchungsbelege schwerer nachvollziehbar, weil nur noch der SAP-User aufgeführt wird. Durch die Sperre des Users bleibt der Bezug zum Mitarbeiter in den Änderungsbelegen erhalten. Konflikte in der Nachvollziehbarkeit durch einen zweimal vergebenen Usernamen (z.B. zweimal „AMEYER“) werden so ebenfalls ausgeschlossen. Der User kann auch bei Bedarf reaktiviert werden. Dies erspart administrativen Aufwand. Deshalb ist hier meine Empfehlung die Benutzer lediglich zu sperren.

Benutzer sperren leicht gemacht

Jeden einzelnen Benutzer durchgehen und sperren? Viel zu aufwändig!
SAP bietet standardmäßig den Report RSUSR_LOCK_USERS um bspw. inaktive Benutzer zu finden und zu sperren. Hier bietet es sich an eine Filterung auf 90 Tage zu setzen, sodass Benutzer mit einer Inaktivität von mindestens 3 Monaten erfasst werden. Allerdings ist auch eine Selektierung auf die Benutzerart möglich. Da bei der Sperre bezüglich Inaktivität in den meisten Fällen Dialogbenutzer betrachtet werden, sollte auch nur auf diesen Benutzertypen selektiert werden.
RSUSR_LOCK_USERS_1 - Umgang mit inaktiven Benutzern
RSUSR_LOCK_USERS_2 - Umgang mit inaktiven Benutzern
Später kann dann die Aktion, die auf die selektierten Benutzer angewendet werden soll, ausgewählt werden. Hier können Nutzer sowohl lokal gesperrt als auch lokal entsperrt werden und auch die Gültigkeit des Benutzers gesetzt werden. Demnach also bereits zwei der drei von mir empfohlenen Schritte im Umgang mit inaktiven Benutzern. Es empfiehlt sich das Gültigkeitsdatum „auf Gestern“ zu setzen.
RSUSR_LOCK_USERS_3
Letztlich sollten in der SU01 die Profile und Rollen entzogen werden, damit der Benutzer nicht mehr im System berechtigt ist.

Mögliche Konflikte

Trotz der Sperre eines Benutzers kann es in manchen Fällen immer noch möglich sein, dass sich der Benutzer im System anmelden kann, z.B. durch Single-Sign-On. Um einen User also endgültig vom System ‚auszusperren‘ entfernen Sie bestenfalls alle zugeordneten Rollen, deaktivieren das Passwort und – am wichtigsten – setzen das „Gültig bis“-Datum auf einen Zeitpunkt in der Vergangenheit (siehe auch: SAP Benutzersperren verstehen)

Empfohlene Vorgehensweise im Überblick

Mein Rezept im Umgang mit inaktiven Benutzern sieht wie folgt aus:

  1. Benutzer nach 3-monatiger Inaktivität sperren
  2. Dem Benutzer sämtliche Rollen und Profile entziehen
  3. Das Gültigkeitsdatum setzen

War das Hilfreich? Ich freue mich über Feedback, gerne per Mail oder hier unter diesem Beitrag als Kommentar. Vielen Dank!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:




Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support