SAPBW用户与权限管理系统文档.doc

用户与权限管理文档一、安装SAP客户端1二、配置SAP客户端3三、用户管理53.1登录SAP服务器63.2从无到有建立用户93.3从其它用户复制用户133.4删除用户143.5锁定/解锁用户153.6初始用户密码153.7给用户分配角色16四、用户的批量维护17五、PFCG22六、ST01&SU53使用手册29七、BW权限管理41八、 SUIM42九、SU2074十、SU2179十一、SU22&SU2487一、安装SAP客户端当你第一次通过SAP客户端使用SAP产品时，首先你需要安装SAP的客户端，即我们通常所说的SAP Gui。1.1 安装SAP客户端(1) 找到SAPGui安装目录，双击SapGuiSetup.exe文件。(2) 在弹出的安装界面选择按钮。(3) 在选择要安装的组件画面只选择SAP GUI、SAP Logon pad和SAP Logon这三个组件，其它组件都不用选。(4) 选择完成后单击按钮开始安装。(5) 安装完毕后单击"Finish"按钮结束安装过程。1.2 给SAP客户端打补丁(1) 双击SAP Gui安装目录下的SAP客户端补丁安装文件，根据提示安装最新的补丁。至此，SAP客户端安装完成，我们就可以进行下一步的设定了。二、配置SAP客户端当安装好SAP Gui之后，你必须对SAP Gui进行配置，以连接到特定的SAP服务器。2.1 手工配置SAP客户端(1) 双击桌面的的"SAP Logon"快捷方式图标或单击"开始"->"SAP Front End"->"SAP Logon"，运行SAP客户端，进入如下界面：(2) 单击按钮，进入服务器参数设置画面。(3) 在描述栏输入SAP服务器的相关描述，在应用程序服务器栏输入SAP服务器的IP地址或主机名称，在系统标识栏输入SAP服务器的SID，在系统编号栏输入SAP服务器的System Number。所有信息输入完成后点击按钮。你刚设定的SAP服务器就在系统标签中出现了，你可以双击它或选中它后单击按钮使用该SAP服务器了。2.2 导入配置你也可以直接导入别人已经设定好的saplogon.ini文件到Windows安装目录，省去了设置的步骤。不过值得注意的是，当SAP服务器使用组登录的时候，你还必须修改hosts文件和services文件。三、用户管理配置好SAP Gui之后，你就可以通过SAP Gui连接到SAP服务器进行工作了。3.1 登录SAP服务器选中已经配置好的SAP服务器清单，双击或者选中后单击“登录(L)”按钮图3-1-1 SAP Logon在SAP服务器可用，并且SAP Gui配置正确的情况下，将会出现如下界面：图3-1-2 用户认证界面在集团(Client)栏位输入要登录的集团，一般用系统默认的集团即可。在用户(User)栏位输入要登录的用户名在密码(Password)栏位输入该用户的密码在语言(Language)栏位输入想使用的语言，使用中文的话填ZH，使用英文的话填EN。不填写的话将使用系统默认的语言，系统默认的语言与SAP服务器的配置有关。上述信息输入完成后按回车键，进行系统认证过程。如果该用户是第一次登录SAP服务器，系统会提示你修改密码，如图：图3-1-3 第一次登录修改密码提示在弹出的对话框输入新密码两次，再单击按钮就可以登录SAP服务器开始工作了。值得注意的是：SAP服务器对用户的密码有一些安全方面的设定，具体情况视公司的相关规定，比如密码长度，密码过期时间，密码复杂程度，最近修改的密码多少次不能相同等等。当你想主动更改自己的密码，可以在登录SAP服务器的时候输入集团(一般用缺省值），用户名及原来的密码，语言(可选)后单击按钮3.2 从无到有建立用户建立用户使用TCD：SU01。当然SU01还可以实现很多功能，后面会一一叙述。当你有建立用户的权限时，你才可以使用SU01建立用户，否则你是不能使用SU01建立用户的。假设你有建立用户的权限，建立用户的过程如下：3.2.1 在T-code框中输入“/nsu01”图3-2-1-13.2.2 单击T-code框前面的按钮或直接按回车，进入用户维护界面图3-2-2-1 3.2.3 在User输入框中输入需要新建的用户名(用户名必须遵循公司的命名规则，请查询相关文档),然后单击按钮图3-2-3-13.2.4 如果你要建立的用户以前在系统里建立过，后来又删除了，会弹出如下对话框图3-2-4-13.2.5 单击按钮。3.2.6 在出现的用户维护界面，单击“Logon data”标签，并在“Initial password”和“Repeat password”输入相同的初始密码，初始密码至少需要6位长度。图3-2-6-13.2.7 单击“Roles”标签，在Role栏输入该用户需要的角色名，比如z:su01d。需要赋予用户哪些角色，要根据用户的需求来决定。图3-2-7-1图3-2-7-23.2.8 角色输入完毕后单击按钮保存。3.2.9 至此该用户就建好了，该用户将可以登录到系统并可以执行授予权限的功能。3.3 从其它用户复制用户3.3.1 使用具有用户管理权限的用户登录到SAP服务器3.3.2 在T-code栏位输入SU01，并单击或直接按回车3.3.3 在User栏输入被复制用户的名称，再单击按钮。3.3.4 在To栏位输入要复制的用户的名称，再单击按钮。图3-3-4-13.3.5 通过另一个用户复制新用户的前提是被复制的用户在系统里面已经存在，否则复制不会成功。3.4 删除用户3.4.1 使用具有用户管理权限的用户登录到SAP服务器3.4.2 在T-code栏位输入SU01，并单击或直接按回车3.4.3 在User栏输入要删除用户的名称，再单击按钮。3.4.4 在弹出的对话框单击按钮，完成删除用户动作。3.4.5 删除用户前应确保被删除的用户不再被使用并存在于系统中。3.5 锁定/解锁用户3.5.1 使用具有用户管理权限的用户登录到SAP服务器3.5.2 在T-code栏位输入SU01，并单击或直接按回车3.5.3 在User栏输入需要被锁定用户的名称，再单击按钮。3.5.4 系统会根据该用户当前的状态显示相应的操作按钮，你可以(锁定)或(解锁)该用户。3.5.5 当你解锁用户时，应该分析用户被锁定的原因(一般是多次输入错误的密码被系统自动锁定或被系统管理员锁定)，并根据公司相关的作业流程进行相应的处理，详情请参照公司文档。3.6 初始用户密码3.6.1 使用具有用户管理权限的用户登录到SAP服务器3.6.2 在T-code栏位输入SU01，并单击或直接按回车3.6.3 在User栏输入要初始用户密码的用户名称，再单击按钮。3.6.4 在弹出的对话框输入初始密码两次，单击按钮。3.6.4 在初始用户密码后应该检查该用户是否被锁定，如果被锁定，根据不同的情况进行相应的操作。是因为多次错误输入密码被系统自动锁定的话，直接解锁。如果是因为被系统管理员锁定，根据相应的流程处理。3.7 给用户分配角色可以在用户创建和维护时给用户分配角色，也可以在角色维护时对该角色的用户进行维护。这里我们只对前一种情况进行描述。3.7.1 使用具有用户管理权限的用户登录到SAP服务器3.7.2 在T-code栏位输入SU01，并单击或直接按回车3.7.3 在User栏输入用户的名称，再单击按钮。3.7.4 单击Role标签，在角色栏位添加或删除角色。3.7.5 角色维护完成后单击按钮，完成用户角色维护动作。四、用户的批量维护当有许多用户需要维护时，我们可以一个一个用户的处理，如上所述。也可以进行批量的处理。现在我们将描述一下批量处理的过程。4.1 用SU10锁定有某一特点的用户的方法。如：TJTRFI001TJTRFI00574.1.1 输入SU10，执行。4.1.2 选择地址数据或权限数据，执行。4.1.3 如：选择权限数据，执行，4.1.4 在用户字段输入用户名，如TJTRFI*，选择执行。4.1.5 选择全选后，再单击Transfer。4.1.6 选择锁定，就将所选的以TJTRFI开头的所有用户全部锁定。4.1.7 对批量维护用户系统会需要你选择是否带日志。可以进行选择。如选择有日志，单击。4.1.8 选择日志旁边的向下的箭头，可以显示详细信息。五、PFCG总体描述本文旨在描述SAP权限管理员使用PFCG工具对角色的建立和分配，以及对授权对象的增加和修改，本文的主要读者为ERP项目组的技术小组成员和权限管理员。5.1 角色的建立和分配以SAP权限管理员的用户登录SAP R/3系统。选择：Tools->Administration->User maintenance->Roles (T_code: PFCG).如图一： （图一）输入角色所需名称，点击按钮，如图二： (图二) 在Description一栏中输入相关描述信息，保存后，点击按钮，如图三：在标准菜单中选择T-code直接加入你所需要的T_code单击“Copy menus”中的“From the SAP menu”，将出现添加选择事务对话框，在SAP标准菜单中选定要给该角色的管理职能（如图四），完成后，单击“transfer”完成配置。 (图四)系统回到图三界面，菜单旁的红色标志会变为绿色，表明菜单选项完成配置，单击Authorizations图标，显示权限对话框（如图五）单击“change authorization data”。(图五)显示角色权限维护对话框（如图六），管理员对该角色的所有权限进行核查和维护，然后进行保存配置信息，最后单击对话框的生成图标生成相关配置信息文档。权限配置完成。（图六）在图五对话框中，单击用户图标，显示添加用户对话框（如图七），单击“选择”出现现有用户信息（如图八）选定相应用户，单击“复制”，完成，对所做操作进行保存，完成添加用户操作。（图七）完成后，保存信息，完成一个角色的配置。请养成随时用户比较的好习惯。（图八） 5.2 案例案例：假如有两个用户权限管理员Admin1，Admin2，他们都可以使用T_CODE:Su01,并且用户组可分为A，B，C三个组，建议需要Admin1可以显示和更改A组用户的信息，可以显示但不能更改B组用户的信息，不能显示和更改C组用户的信息；Admin2可以显示和更改C组用户，不能看A，B组用户的信息。方案：需要建立两个角色ROLE1，ROLE2ROLE1的权限：02change03-displayA,B 是两个组ROLE2的权限：然后把ROLE1->Admin1,ROLE2->Admin2。值得注意的是：用PFCG不仅可以建立单一角色，还可以建立组合角色和继承角色。组全角色由多个单一角色合并而成，组合角色不能直接对授权进行维护，只能通过修改单一角色来进行维护；继承角色的权限从父角色继承而来，也不能直接对权限对象进行维护，要增加或删除权限对象的话，只能通过修改父角色来实现。5.3 角色的下载与上传什么情况下需要用到角色的上传和下载？1. 两系统不属同一传输域；2. 两系统属同一传输域，但基于标准传输路由无法实现的，如路由的逆向；单个角色下载：假设当前需要下载单个角色”Z:TEST”，执行下述操作：a) 登陆SAP GUI；b) 命令区域键入T-code：/npfcg ；c) 输入需要下载的角色名称：Z:TEST ，该角色必须已经存在于系统中，如图：d) 菜单区选择 Role >> Download (Ctrl+F11)，如图：e) 选择角色文件保存路径并确认文件名称，点击”保存”即可完成单个角色下载。批量角色下载：假设当前需要下载多个角色”Z*TEST*”（即所有以字母”Z”开头，且包含字母”TEST”该命名规则的角色），执行下述操作：a) 登陆SAP GUI；b) 命令区域键入T-code：/npfcg ；c) 菜单区选择 Utilities >> Mass download (Ctrl + Shift +F1)，如图：d)e) 键入需要批量保存的角色名称：i. 在Selection of Roles 区域输入角色名称：Z*TEST*;ii. 点选按钮 或快捷键 F4 限制相关显示条目；iii. 确认输出结果是否符合当前需求，确认后钩选所有记录；iv. 点选按钮 或”回车”；f) 点选按钮 或快捷键 F8，执行；g) 选择角色文件保存路径并确认文件名称，点击”保存”即可完成多个角色下载。角色上传：无论是单个角色下载或是批量下载，均会保存在本地为一个整体文件，所以角色的上传没有单个或批量上传之分。假设当前需要上传角色文件”ZTEST1.SAP”，执行下述操作：a) 登陆SAP GUI；b) 命令区域键入T-code：/npfcg ；c) 菜单区选择 Role >> Upload (Ctrl + F12),如图：d) 选择”ZTEST1.ASP”文件保存路径，双击该文件；e) 系统提示”ZTEST1.ASP”该文件包含的ROLE为”Z:TEST1”，由此可知该文件仅包含一个角色。点选 确认。入图：f) 若上传的文件为角色批量下载所生成的文件，则在列表中会出现多行记录，并展现出每个角色的状态、名称等。如图：g) 此后系统将自动完成上传角色的操作，一个完整的角色上传流程到此结束。角色参数文件生成：角色上传至系统后，必须对其生成参数文件批量角色参数文件生成先决条件：角色profile的批量生成，要求该角色必须存在profile name，且当该角色被维护并未被生成新的profile时，可以使用supc进行批量生成。假设多个角色被批量上传到一个系统，此时在该系统，这些被上传的角色不存在profile name，则不可以使用supc进行批量生成。综上所述：当角色不存在profile时无法使用批量生成 Mass generation (T-code: supc)下述操作发生在ZTEST003 ZTEST005 已经存在profile，此后对其维护后需要重新生成新的profile，这里我们用到Mass generationa) 命令区域键入T-code：/npfcg ；b) 菜单区选择 Unilities >> Mass generation , T-code：/nsupc如图：c) 角色的profile批量生成准备工作Step1选择输出类型：All RolesStep2输入角色名称：从 ZTEST003 到 ZTEST005；即包含：ZTEST003、ZTEST004、ZTEST005Step3自动生成所有的ProfileStep4点击按钮 ，执行并输出结果d) 系统提示需要在前台完整该操作？或是在后台完成该操作？Online: 系统将在前端处理用户操作，执行时间据需求而定，执行过程中用户无法执行其他操作通过GUI。Online 执行结果：Background: 系统将在后台处理用户操作，执行时间据需求而定，执行过程中用户可以执行其他操作通过GUI。Background 执行结果：执行后直接返回前一页面，无提示。批量角色用户比较下述操作发生在ZTEST003 ZTEST005 已经存在profile，此后对其维护后需要重新生成新的profile，这里我们用到Mass comparisona) 命令区域键入T-code：/npfcg ；b) 菜单区选择 Unilities >> Mass comparisonc) 用户批量比较准备工作Step1输入需要进行用户比较的角色区间，如：从 ZTEST003 到 ZTEST005Step2输出错误信息Step3执行d) 执行成功后，系统状态栏输出，如图：几种情况的假设：1） 当前EGQ系统存在角色z_test010,包含TCD：SU01、SU53。当前EGD系统存在同名角色z_test010,包含TCD：SU20、SU24。假设将EGD的同名角色z_test010上传至EGQ，则.2） 当前EGQ系统存在角色z_test020,包含USR：ZTEST_USR01、ZTEST_USR02。当前EGD系统存在同名角色z_test020,包含USR：ZTEST_USR10、ZTEST_USR20。假设将EGD的同名角色z_test010上传至EGQ，则.RE：当上传角色与当前系统出现重名角色时，系统提示：当您坚持执行该操作，则会以上传的角色覆盖当前系统中角色，但用户的分配依旧以系统中角色为主。六、ST01&SU53使用手册本文旨在描述SAP权限管理员如何使用跟踪工具（ST01）和检查工具（SU53）对SAP的权限设置进行检查和分析，本文的主要读者包括ERP项目组的技术小组成员和权限管理员。6.1 权限跟踪 以SAP权限管理员的用户登录SAP R/3系统。选择：Tools->Administration->Monitor->Traces (T_code: ST01).如图一： （图一）单击“Authorization check”复选框，如图二： (图二) 从菜单条选择“Edit->Filter->Shared”，定义跟踪进程的数量、需跟踪的用户、事务代码或程序等参数，如图三：(图三)在标准菜单中选择T-code定义好跟踪的参数后，返回图二所示屏幕，单击工具条上的“Trace on”按钮，开始跟踪，跟踪状态变为“Trace switched on (main switch on)”。如需停止，则单击“Trace off”按钮，跟踪状态变为“Trace switched off (main switch off)”。 跟踪结束后，从菜单选择“Goto->Files/Analysis”,进入如图四屏幕，系统能阅读到的跟踪日志文件被列在清单里，用户可对跟踪结果进行分析。(图四)把光标定位在需要分析的跟踪日志文件上，单击“Analysis”按钮，进入分析选项设置，具体参照2.3、2.4步，如图五所示。（图五）单击图五中的“Analysis”按钮，开始分析，结果如图六。（图六）6.2 权限检查当用户在使用系统时，会遇上权限不够的问题，此时用户可用权限检查（SU53）这个事务代码来查看自己缺少哪些授权。执行事物代码，发现权限不够，如图七（图七）在图七所示屏幕上输入事务代码SU53，回车检查结果如图八（图八）当执行某业务操作时在系统信息提示栏显示授权不足等相关错误信息时，您必须立即通过TCD：SU53检查具体原因。该动作必须在发生错误信息后立即执行，否则将不能得到正确的权限检查输出结果。该动作只能逐条输出权限检查的结果，当执行业务操作时也许会缺少若干相应执行权限，通过TCD：SU53只能逐步输出相应业务操作过程的单个检查结果。与TCD：ST01的区别即：ST01可以一次性检查出执行相应业务操作所需要的全部技术文本，授权对象，值等信息，而SU53只能逐步显示出权限检查的部分结果。TCD：SU53通常允许用户检查自己所缺少的授权对象，值等信息。但针对具有足够权限的管理员（如系统管理员，权限管理员等），他们可以应用SU53来为其他用户检查所缺少的授权。6.3 SU53的具体使用方法：假设当前需要执行T-Code：SU01，但该用户不存在相关授权，通过T-code命令区键入：/nSU01并“回车”执行，系统提示信息：系统提示分析：您没有事物码(T-code)SU01的执行授权。此时需要借助T-Code：SU53进行权限检查，在T-code命令区键入：/nSU53 并”回车”执行，输出结果：系统提示分析：用户=ZTEST；授权对象=S_TCODE；缺少事物码=SU01；当您执行TCD：SU53时，系统提示：您没有事物码(T-code)SU53的执行授权。此时您需要直接联系管理员。作为管理员，当用户无法正确描述他所缺少的授权，且该用户不能将SU53检查的输出结果发给管理员，此时需要管理员通过功能按钮 或通过菜单 Authorization Values >> Different User / Authorization Object (F5)以此来显示最终用户T-Code：SU53的权限检查输出结果。输入最终用户的ID，确定执行 。如图：此后将输出ZTEST用户使用SU53权限检查的相同结果。如图：6.4 ST01的案例创建一个角色，命名为ztest，并赋予执行SU01、PFCG、SU53三个事务的权限。ztest的权限如图九所示,在PFCG中仅能对ztest，即对其本身进行操作。（图九）创建一个用户命名为JSROCKY，并将角色ztest分配给该用户。以SAP权限管理员的用户登录SAP R/3系统。以用户JSROCKY登录SAP R/3系统。参照本文第二部分，在SAP权限管理员登录的会话中执行权限跟踪，并定义跟踪的用户为JSROCKY，事务代码为PFCG。在用户JSROCKY登录的会话中运行PFCG，如图十所示，在角色字段中键入“Z：SAP_BC_ENDUSER”,单击“Display”和“Change”按钮,发现均无授权。（图十）在SAP权限管理员登录的会话中结束权限跟踪，并检查分析结果，如图十一所示。图十一中红色椭圆中内容说明了用户JSROCKY不能对角色ztest进行操作的原因， 0<-S_TCODE:TCD=PFCG返回值为0，表明检查通过，可以执行PFCG0<-S_TCODE:TCD=PFCG1<-S_USER_AGR:ACT_GROUP=Z：SAP_BC_ENDUSER,ACTVT=02返回值为1，表明检查未通过。被检查的对象是S_USER_AGR,字段是 ACT_GROUP和ACTVT,需要的值分别是Z：SAP_BC_ENDUSER和02、03，而用户JSROCKY所具有的权限仅能对角色ztest进行操作，对其它角色没有任何权限，故系统返回信息为缺少授权。1<-S_USER_AGR:ACT_GROUP=Z：SAP_BC_ENDUSER,ACTVT=03（图十一）七、BW权限管理由于BW权限管理的特殊性，它的授权与SAP标准的权限管理有一些差异，请参阅下述文档。7.1 BW报表以及相关权限概览通过本部分的讲解，您应该掌握以下内容：1. BW报表分类以及报表数量2. BW报表权限要解决那些问题附注：本次讨论的BW报表权限是针对于从BO系统移植过来的FI/CO报表，CRM报表不在本次讨论范围内。7.2 BW报表概览我们需要交接管理的BW报表一共有24个报表类，84张报表。涉及了损益，费用，客服，奖金，销量等模块。我们把模块类型相似的报表进行了归类，参见BW报表分类以及菜单设计.xls我们考核利润报表为例：报表类技术名称(菜单Role)报表类报表技术名报表06财年联想中国费用报表zcca_c11_q00206财年联想中国费用报表(不拆折旧)zcca_c11_q00306财年联想中国费用报表附注：报表的技术名称包含了报表来自于哪个模型。比如zcca_c11_q002，表明这个报表在自zcca_c11这个模型。报表的技术名命名归责为，模型的名称_QXX,其中的Q表示Query， QXX表示源自这个模型的第XX个报表。7.3 BW报表权限BW报表权限设计要解决以下几个问题1.哪些用户能看报表2.用户能看到哪些报表3.用户能看到报表的那些内容我们通过3个层次(步骤)的权限配置来解决以上的问题。7.4 BW权限的3层结构通过本部分的讲解，您应该知道：1. BW权限设计是如何通过3个层次的配置实现的2. 每一层的权限涉及是如何实现的3. 有哪些文档，能帮助我们实现权限配置7.5 BW系统帐号配置在这一层，主要解决的是“哪些用户能看报表的问题”，我们要根据用户所提的报表需求，在系统中建立报表用户的基本帐号，包括用户名，密码，用户姓名，以及所属部门。在SAP系统中我们使用T-code：SU01来完成这个操作。7.6 BW报表菜单的配置在这一层，主要解决的是“用户能看哪些报表的问题”，我们要根据用户所提的报表需求，通过查询BW报表分类以及菜单设计.xls 这个文件，找到用户所要看的报表类的技术名(ROLE),并把这个报表类(ROLE)赋给用户。在BW报表的权限设计中，用户的权限是针对于报表类的，也就是说，如果用户能看到这个类下的某一张报表，那么对于这个类下的其他报表，用户也有权使用。在系统中，我们使用T-code：SU01来完成这个工作。7.7 BW报表细节配置在这一层，主要解决的是“用户能看到报表的那些内容的问题”，我们要根据用户所提的报表需求，通过查询2-BW报表对应权限相关纬度.xls这个文件，找到用户所关心的报表需要配置哪些权限对象，然后用T-code：RSECADMIN这个事务代码进行配置。这个层次的配置是整个权限配置环节最为复杂的地方，为此详细的讲解一下。Step 1:明确每张报表都有哪些权限限制的纬度。在2-BW报表对应权限相关纬度.xls这个文件中，我们整理好了，目前所有报表中跟权限相关的纬度(纬度：暂时可以理解为是报表的行或列项目)如下图所示，目前我们的报表跟权限相关的纬度(对应到BW模型的infoObject),在第一行为权限相关的纬度名，下面为相应的infoObject名称。标有红色Y标记的，表纬度，但是用户对此并没有作权限限制，我们在配置权限的时候，应该把这类权限配示报表模型中含有这个权限相关置为“*”即，能看所有。标有蓝色Y标记的，表示报表模型中含有这个权限相关纬度，并且用户对此有权限限制要求，我们在配置权限的时候，应根据用户需求结合权限架构配置。Step 2:审核用户的权限配置原因：BW权限细节配置是通过权限对象实现的，如果同一个权限相关的infoObject包含在多个BW模型中，那么对这个infoObject的权限限制，将会对来自含有此infoObject的模型的所有报表起作用。审核原则：检查用户的权限，对于一些infoObject（除0costcenter,0costelmnt外）是否存在在一些报表中不受限制，在另外一些报表中受限，或者不同报表对这些infoObject有不同的限制需求，审核的时候，需要把以上的问题找出。特殊原则：对于0costcenter(成本中心) ,0costelmnt（成本要素）由于采用了Hierarchy（层级）的权限配置，因此允许用户对某些模型没有成本中心，成本要素的限制，对另外一些模型有成本中心，成本要素的层级限制。Step 3:用权限对象配置报表权限。1. 用T-code：RSECADMIN,并选择维护用户的权限对象2. 创建用户的权限对象这里有一些命名原则：2.1 每个用户都有一个基础权限对象(不含0costcenter,0costelmnt的层级权限)，命名的规则为：Z+ITCode(其中ITcode取前8位，如果有重复请把第8位ITCode改成数字标识)在下图的界面中点击 Creat 创建用户权限对象。2.2 在这个基础权限对象中配置用户对infoObject的限制通过点击来增加对某个infoObject的限制，通过点击来减少对某个infoObject的限制。2.3 对于没有0costcenter,0costelmnt层级限制的用户的权限对象，还需要通过点击增加一些必要的权限(暂时成为公共权限)这些infoObject的含义为：0tcaactvt -设为03Activity in Analysis Authorizations .0tcaiprov -设为 *Authorizations for InfoProvider .0tcakyfnm -设为 *Key Figure in Analysis Authorizations .0tcavalid -设为 *Validity of an Authorization2.4 对于含0costcenter,0costelmnt的层级权限，除了包含基础权限对象外，还包含有成本中心权限对象，成本要素权限对象。对于这种类型权限的基础权限对象，要求同2.1，但是不包含0tcaactvt，0tcaiprov，0tcakyfnm 以及0tcavalid的限制，这些infoObject的限制在成本中心权限对象和成本要素权限对象中实现。2.5 对于含0costcenter,0costelmnt的层级权限，我们通过基础权限对象，成本中心权限对象，成本要素权限对象的组合来实现。§ 命名规则：成本中心权限对象：命名的规则为：Z+ ITCode+C1Z+ ITCode+C2Z+ ITCode+E1Z+ ITCode+E2说明：其中ITcode取前8位，如果有重复请把第8位ITCode改成数字标识。C1，C2，E1，E2为权限类型标识，C表示是成本中心，E表示是成本要素。C1表示的是对某些模型没有成本中心的限制，C2表示的是对某些模型有成本中心树的限制。E1表示的是对某些模型没有成本要素的限制， E2表示的是对某些模型有成本要素树的限制。2.6 成本中心权限对象，成本要素权限对象的配置方法同2.1- 2.3介绍的方法。下面举例来说：§ 对于Muyt，需要对ZBULLO01，ZBILLS01，ZBON_M01.ZCCA_C11_ZPCA_O03的成本中心有All的权限，我们需要如下图所示的配置，对0TCAIPROV进行限制。2.7 成本中心权限对象，成本要素权限对象的配置方法同2.1-2.3介绍的方法。下面举例来说：对于Muyt，需要对LXJTBW_F_001，LXJTBW_SS_001，LXJTBW_CS_001LXJTBW_SP_001，LXJTBW_LC_001，LXJTBW_F_005，LXJTBW_CS_002，这些成本中心树做限制。2. 8 配置树的节点。在0costcenter上双击，进入设置界面：点击创建，点击选择树，以及节点。注意权限种类要选择“1”(默认为“0”)，否则用户无法展开树。2.9 点击后，在弹出的界面选择所需要的树，双击。2. 10 用同样的方法选择节点，点击后，在弹出的界面选择所需要的节点，双击。选完后，选择左下角的。2. 11 更新权限类型为 “1”。点击继续。2. 12 依此类推，配置其它树的权限，以及成本要素树的权限。2. 13 成本要素权限对象的配置如下图所示3. 配置好相关权限对象后，接下来就要分配权限对象了， T-code：RSECADMIN,然后选择USER标签，然后选择Assignment。4. 输入所需要编辑的用户，并选择。5. 在Authorization Selection中选择或输入为这个用户创建的权限对象,最后的结果如图所示。最后点击保存设置。这样用户的3层权限设计就完成了。八、 SUIM8.1 SUIM功能描述：使用事务代码SUIM可以进行各种查询，包括查询用户、角色、参数文件、授权对象、权限、事务代码、比较结果、使用清单、文档改变情况等。8.2 SUIM界面的进入：1、登录系统后，在命令区域输入SUIM后回车。2、SUIM界面：8.3 查询用户1、 根据任务的用户查询中心用户管理的操作步骤：（1）选择USER交叉系统信息根据任务的用户，选择执行。（2）输入查询内容，选择执行。2. 根据地址数据查询用户信息的操作步骤：（1）选择USER 根据地址数据的用户，然后执行。（2）在相应字段输入内容。如：在OTHER DATEDEPARTMENT字段下输入MM。（3）选择执行，显示用户相关信息。3