中石油SAP权限培训文档课件

中国石油ERP系统

权限培训文档中国石油ERP系统实施项目2009年3月26日中国石油ERP系统

权限培训文档中国石油ERP系统实施项目日期Date:

目录二、SAP权限的架构三、权限的基本概念四、用户和角色的创建及命名规则五、权限设置的步骤六、权限实施计划表一、权限的重要性日期Date:目录一、权限的重要性权限的重要性权限本身的重要性在SAP系统中，业务人员是否能够行使该业务范围的操作是由权限来实现的。

权限工作的好坏是系统能否成功上线的基础之一。

最终用户是权限的直接使用者，权限设计的好坏会直接影响到最终用户对使用ERP系统的信心。权限的重要性权限本身的重要性权限的重要性权限实施工作的重要性权限实施是ERP系统上线的必备条件之一，权限设计的合理性、实施的准确性和测试的精准度是系统能否成功上线的基础之一。在权限设计、实施和测试全过程，由于地区公司人员最了解其自身业务，因此由地区公司权限组全程参与权限设计和实施工作，将从ERP技术角度和地区公司业务角度双重保障权限实施的质量，进而保证ERP项目的顺利上线。项目准备蓝图设计系统实现权限设计、实施、测试最后准备上线支持权限的重要性权限实施工作的重要性项目准备蓝图设计系统实现权限的重要性权限运维工作的重要性在项目上线及运维阶段，系统处于稳定运行状态，权限变更安全合理才能防止越权和误操作发生，从而保证系统数据安全。通过ERP项目权限组和地区公司权限组在权限设计实施期间的相互配合，提高了地区公司权限组的问题处理能力，将在项目进入上线支持及运维期后，有效保证了权限变更工作的顺利进行。项目准备蓝图设计系统实现上线支持运维最后准备上线支持5权限的重要性权限运维工作的重要性项目准备蓝图设计系统实日期Date:

目录一、权限的重要性

三、权限的基本概念四、用户和角色的创建及命名规则五、权限实施中注意要点六、权限工作计划二、SAP权限的架构日期Date:目录一、权限的重要性二、SASAP权限的架构SAPUserID-地址-登录数据-组............分配Role-描述-菜单-权限……………分配BindwithAuthorizationprofile-组织级别值-权限对象-用户………………..SAP权限的架构SAPUserID分配Role分配Bi日期Date:

目录一、权限的重要性二、SAP权限的架构

四、用户和角色的创建及命名规则五、权限实施中注意要点六、权限工作计划三、权限的基本概念日期Date:目录一、权限的重要性三、权限的权限的基本概念名词解释：Useraccount﹕就是我们平常说“USERID”(注意用户类型）dialog用户、……权限：它允许或禁止用户在系统中进行操作和处理事务，一般以角色分配给用户角色（Role）﹕权限的集合，基于业务要求创建所谓的“角色”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。分为singlerole和compositerole两种﹐后者其实是前者的集合Profile:

真正记录权限的设定的文件,和角色绑定在一起，一个角色生成一个PROFILE权限对象：被授权的业务对象，由字段值和参数组成权限的基本概念名词解释：Useraccount﹕就是我们平日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 授权就是给个人（或组）一个方式或权力来行使一些特殊的职责用

SAP

的语言来说….它允许或禁止用户在系统中进行操作和处理事务权限的概念—授权日期Date:SPEXSAPR/3Project权限的概念－授权对象授权对象

=

运行事务的权限=没有

授权对象没有事务权限权限的概念－授权对象授权对象=运行事务的权限=没有没有日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 进入一个

SAP事务代码就好象….从一扇

门进入一个房间Transaction授权对象

就是开门的

钥匙授权对象权限的概念－授权对象日期Date:SPEXSAPR/3Project日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 即使只缺少一个对象，用户都不能够运行事务代码运行事务代码需要先具备所有的授权对象!

(即整套钥匙)授权对象1授权对象2授权对象3授权对象4授权对象5权限的概念－授权对象日期Date:SPEXSAPR/3Project日期Date:

授权级别图日期Date:授权级别图用户是由几个角色组成的用户是由几个角色组成的角色下包括一些事务代码角色下包括的事务代码角色下包括一些事务代码角色下包括的事务代码权限的概念－授权ProfileProfile:真正记录权限设定的文件Profile与Role是捆绑在一起的。在建立Role的时候﹐Profile是会自动创建的，（有弊端），我们根据每个项目每个模块的不同，根据需求表对每个角色定义一个profile。AuthorizationProfile权限的概念－授权ProfileProfile:真正记录权限Objectclass权限对象（Authorizationobject）参数权限的概念－权限对象Objectclass权限对象（Authorization业务、岗位及用户之间的关系用户：基于业务要求而赋予岗位相适合的角色，用户和角色一对多的关系角色：执行相关业务所需要的权限集合。业务关键点业务关键点业务关键点角色A角色B角色C用户1用户2业务流程岗位用户业务、岗位及用户之间的关系用户：基于业务要求而赋予岗位相适合日期Date:

目录一、权限的重要性二、SAP权限的基本架构三、权限的基本概念

五、权限实施中注意要点六、权限工作计划四、用户和角色的创建及命名规则日期Date:目录一、权限的重要性四、日期Date:

USERID的命名规则SAP系统分为门户和后台两类系统，后台系统包括ECC和BI系统。在所有SAP系统中，同一用户的ID是唯一的，用户ID最长不超过12位。

ERP用户ID以中石油邮箱用户名为准，若超过12位，按如下方法进行处理：如果没有邮件地址，必须申请一个少于11位的邮箱地址。

有邮件地址的用户，取邮件地址的用户名为用户ID；如果用户名超过11位，应另外申请一个少于11位的邮箱地址；举例如下：

正常用户名：

zhangxing@，ID：ZHANGXING

超长用户名：

zhangxingyuan@，重新申请：ZHANGXINGY注：保留一位是为区分CNPC和PetroChina不同邮箱，如果产生冲突，则在用户名前加前缀，集团ERP用户ID前加前缀V，股份ERP用户ID前加前缀U。举例如下：

CNPC：zhangxin@，ID：VZHANGXING

PetroChina：zhangxing@，ID：UZHANGXING日期Date:USERID的命名规则SAP日期Date:

相关事务代码SU01－用户维护PFCG－职责维护SU24－维护事务权限对象的分配SU3－维护用户参数文件SU53－显示用户的权限数据SUGR－维护用户组SUIM－用户信息系统SU10－帐号批维护日期Date:相关事务代码SU01－用户维护PFCG－职责日期Date:

USERID的建立T_code﹕SU01SU01SU01日期Date:USERID的建立T_code﹕日期Date:

USERID的建立输入要创建的UserID1单击建立图标2日期Date:USERID的建立输入要创建的UseUSERID的建立选择“对话”类型设定初始密码用户组选择此用户对应的组，地区二级管理员管理USERID的建立选择“对话”类型设定初始密码用户组选日期Date:

USERID的建立填好这些字段注：1.通讯方法选择：INTE-mail2.如果输入座机号，分机号必须填写00日期Date:USERID的建立填好这些字段注：1.USERID的建立这些都是必填项USERID的建立这些都是必填项USERID的建立用户组最好跟前面设置的一样，这个用户组是总部技术组管理用户用的USERID的建立用户组最好跟前面设置的一样，这个用户USERID的建立

USERID创建好了﹐但这时这个ID没有赋予(Assign)任何权限﹐是什么都不能做的。USER得到这样的帐号没有任何意义。如何Assign权限给一个帐号﹖主要就是Assign一个Role给这个帐号了。下面我们看看如何建Role和给权限。点击SAVE，这个用户就创建好了USERID的建立点击SAVE，这个用户就创建好了帐号的批维护有时我们需要对账户进行批量维护,例如：当公司地址变了，需要变更所有用户的公司地址。月结时，需要将除了月结人员外，其它的所有用户暂时锁定。T_CODE：SU10帐号的批维护有时我们需要对账户进行批量维护,例如：T帐号的批维护全选用户后，点击transfer可以批量修改“新疆油田咨询顾问”的前台信息，包括添加角色、锁定用户等帐号的批维护全选用户后，点击transfer可以批量修改“新创建用户组T_CODE：SUGR例如：创建勘探与生产项目新疆油田咨询顾问用户组

EXJYTZZYH业务板块缩写项目名称缩写最终用户用户组命名规则创建用户组T_CODE：SUGR例如：业务板块缩写项目名称缩ROLE的建立T_CODE：PFCGROLE的建立T_CODE：PFCGROLE的建立创建Role主要有三种方式：1.

新建2.

继承 3.

复制（COPY）

ROLE的命名ROLE的建立创建Role主要有三种方式：ROLE的命名根角色的创建输入role的角色记录此Role的创建者描述须能表示Role的内容及属性根角色的创建输入role的角色记录此Role的创建者描述须能根角色的创建点击“事务”添加tcode按照profile命名规则进行命名根角色的创建点击“事务”添加tcode按照profile命名根角色的创建标准Tcode所需要的Object,系统会自动带出来OBJECT完全没有给值OBJECT只有部分给值OBJECT已经全部有值请注意﹕绿灯只是表示全部有值而已﹐但不一定就是我们所需要的值根角色的创建标准Tcode所需要的Object,系统会自动根角色的创建根角色的创建根角色的创建在这里介绍一下

的作用﹐点击它﹐就相当于给这个Object一个“*”(star)﹐“*”的意义是AllAuthorization﹐不卡任何权限。根角色的创建在这里介绍一下的作用﹐点击它﹐就相当于给这根角色的创建然后按激活，退出已经变成绿灯﹐这表示权限的设定已经可用了点击，再点击此权限已经分配完毕，test001这个帐号已经具有了主数据维护的权限根角色的创建然后按激活，退出已经变成绿灯﹐这表示权限派生角色的定义所谓派生角色,是指根Role和派生Role形成这样的母子关系﹕派生Role的所有权限、权限对象（组织级别值除外)都源于根Role,并与根Role保持一致。

根Role与派生Role是1对多的。派生角色的定义所谓派生角色,是指根Role和派生Role形成根角色与派生角色之间的关系公司组织机构地区公司1地区公司3员工1地区公司2根角色A角色子角色A1子角色A3地区公司1子角色A2地区公司2地区公司3子角色B1子角色B3地区公司1子角色B2地区公司2地区公司3根角色B根角色C根据根据岗位分配按限制范围派生出不同的子角色员工2员工3员工1员工2员工3员工1员工2员工3根角色与派生角色之间的关系公司组织机构地区公司1地区公司3员派生角色的创建根据公司代码派生的，创建好后点击“创建角色”组织级别代码字典表派生角色的创建根据公司代码派生的，创建好后点击“创建角色”组派生角色的创建角色继承就是通过这派生角色的创建角色继承就是通过这派生角色的创建这时候的派生角色还没有完全继承，要返回根角色里点击生成派生角色这时候一个派生角色就创建完成了派生角色的创建这时候的派生角色还没有完全继承，要返回根角色里角色的复制输入角色，点击copy复制角色这时候一个角色就复制完成了角色的复制输入角色，点击copy复制角色这时候一个角色就复制角色的创建-继承与复制

小结﹕

用继承的方式建立新Role,继承后﹐只需维护好组织级别﹐Object就全部是绿灯了。

用复制的方式﹐全部是绿灯。这是两者操作上的最大特点。角色的创建-继承与复制小结﹕角色的修改对Role的修改最常见的就是TCode的新增/删除，这种改动﹐一般是从菜单开始。添加VF01（创建客户发票）角色的修改对Role的修改最常见的就是TCode的新增/删角色的修改角色的修改角色的修改当Role所包含的TCode经过多次修改后﹐可能产生多个同样的Object﹐其Value可能互相包含。这时可以通过合并的动作使同一个Object内Value相同或者互相包含的Item合并起来﹐使权限的条目更清晰角色的修改当Role所包含的TCode经过多次修改后﹐可能产Debug/查看有一些工具对权限的问题处理很有帮助1.SU53 2.SUIM3.SU24Debug/查看有一些工具对权限的问题处理很有帮助Debug/查看-SU53当一个帐号反映没有某个应有的权限时﹐我们可以在系统出现没有权限的信息时﹐马上输入“/NSU53”

Debug/查看-SU53当一个帐号反映没有某个应有的权限时Debug/查看-SU53但是请注意﹕SU53给出的信息并不详细﹐大部分情况只能作为一个大方向的参考﹐有时还可能指示不出来问题所在。Debug/查看-SU53但是请注意﹕SU53给出的信息并不Debug/查看-SUIMSUIM其实就是Information系统的一个集合界面。我们最常用的功能是﹕已知某个TCode﹐查找含有这个TCode的Role。Debug/查看-SUIMSUIM其实就是InformatiDebug/查看-SU24查看XD01检查哪些权限对象Debug/查看-SU24查看XD01检查哪些权限对象Debug/查看-SU24查看F_KNA1_BED检查哪些TcodeDebug/查看-SU24查看F_KNA1_BED检查哪些T日期Date:

几点需要注意的地方权限设定非常重要﹐而且一旦有问题，排错非常繁琐、耗時,所以请大家设定时一定要非常谨慎,每次更改都要记录。权限设定除非特殊情況﹐不允许在生产机直接更改﹐请在开发机修改好再传到生产机。IT人员不是决定user权限的人﹐而是user大大小小的leader﹐所以﹐要变更权限设定﹐务必要求user提供经过审核的申请表。当然﹐对于user不合理的权限要求﹐IT人员也有责任退回。日期Date:几点需要注意的地方权限设定非常重要﹐而且一旦日期Date:

目录一、权限的重要性二、SAP权限的基本架构三、权限的基本概念

四、用户和角色的创建及命名规则六、权限工作计划五、权限实施中注意要点日期Date:目录一、权限的重要性五、日期Date:

角色命名规则要慎重

在创建角色时需要遵循一个规则，这个规则要求权限管理员与业务顾问进行充分的讨论后，制定出一个能够满足业务需求的权限命名规则在对角色命名过程中，最好把可变部分放到最后，不变的放在命名前。为以后上二级单位管理员做好准备。例：

Z:E_XJYT_FI001_BS日期Date:角色命名规则要慎重在创建角色时日期Date:

第一轮权限测试要做细

在权限测试过程中，最少应进行两轮测试，第一轮测试需对每个模块抽取一个种子角色进行测试，这个测试过程非常重要，在以后的角色创建过程中，都将会对这个角色进行复制工作。因此第一轮测试应该安排的时间最长，做的最完善，以免以后造成重复工作。在做第一轮测试时应注意事项有：日期Date:第一轮权限测试要做细在权限测试过日期Date:

权限测试注意事项权限测试要重视，要指派专门的业务人员与权限管理员共同完成整个测试过程。对事务代码的测试要详细，对每个事务代码都要完全测一遍，以免以后发现漏测的现象。种子角色中的权限对象要干净，对于重复的权限对象要对其进行合并，在角色中避免出现红色OBJECT值的现象。统一做权限的登录界面，建议全部以中文方式登录SAP系统进行操作。在做权限过程中，文档要注意更新，与系统保持同步。对权限的任何操作均需要先在开发系统完成后再传输至生产系统，严禁直接在生产系统进行更改。以免导致数据的不同步现象。日期Date:权限测试注意事项权限测试要重视，要指派专门的日期Date:

日期Date:

目录一、权限的重要性二、SAP权限的架构三、权限的基本概念四、用户和角色的创建及命名规则

五、权限实施中注意要点六、权限工作计划日期Date:日期Date:目录一、权限的重要性权限工作计划

权限实施工作的开始是以业务顾问提供需求文档为标志。下图是假设从2009年5月11日开始权限工作，共历时52个工作日。日期Date:

权限工作计划63权限工作计划日期Date:权限工作计划63权限工作详细计划任务分类计划任务负责人配合人需工作日文档提供提供需求文档（交易码角色对应表）业务顾问权限实施前提供岗位职责互斥矩阵图内控组业务顾问权限培训权限设置权限相关培训权限组2进行角色命名权限组业务顾问1提供可供第一轮测试的种子角色业务顾问1按互斥矩阵图检查系统中是否存在互斥角色权限组3创建根角色，种子角色权限组1第一轮测试第一轮权限测试业务顾问（每个模块必须保证一个测试人员）权限组15权限设置第一轮测试结束后创建派生角色权限组5创建最终用户（开发，测试）权限组2权限分配给用户并与需求做比对（开发系统）权限组3第二轮测试第二轮权限测试业务顾问/关键用户（每个模块必须保证一个测试人员）权限组10角色与用户的对应关系需求表业务顾问1模拟测试进行模拟测试最终用户/关键用户权限组5角色传输和检查将角色传输至生产系统并与需求做比对权限组2在生产系统中检查是否存在互斥T-CODE权限组2权限工作详细计划任务分类计划任务负责人配合人需工作日文档提供日期Date:

谢谢大家日期Date:谢谢大家中国石油ERP系统

权限培训文档中国石油ERP系统实施项目2009年3月26日中国石油ERP系统

权限培训文档中国石油ERP系统实施项目日期Date:

目录二、SAP权限的架构三、权限的基本概念四、用户和角色的创建及命名规则五、权限设置的步骤六、权限实施计划表一、权限的重要性日期Date:目录一、权限的重要性权限的重要性权限本身的重要性在SAP系统中，业务人员是否能够行使该业务范围的操作是由权限来实现的。

权限工作的好坏是系统能否成功上线的基础之一。

最终用户是权限的直接使用者，权限设计的好坏会直接影响到最终用户对使用ERP系统的信心。权限的重要性权限本身的重要性权限的重要性权限实施工作的重要性权限实施是ERP系统上线的必备条件之一，权限设计的合理性、实施的准确性和测试的精准度是系统能否成功上线的基础之一。在权限设计、实施和测试全过程，由于地区公司人员最了解其自身业务，因此由地区公司权限组全程参与权限设计和实施工作，将从ERP技术角度和地区公司业务角度双重保障权限实施的质量，进而保证ERP项目的顺利上线。项目准备蓝图设计系统实现权限设计、实施、测试最后准备上线支持权限的重要性权限实施工作的重要性项目准备蓝图设计系统实现权限的重要性权限运维工作的重要性在项目上线及运维阶段，系统处于稳定运行状态，权限变更安全合理才能防止越权和误操作发生，从而保证系统数据安全。通过ERP项目权限组和地区公司权限组在权限设计实施期间的相互配合，提高了地区公司权限组的问题处理能力，将在项目进入上线支持及运维期后，有效保证了权限变更工作的顺利进行。项目准备蓝图设计系统实现上线支持运维最后准备上线支持70权限的重要性权限运维工作的重要性项目准备蓝图设计系统实日期Date:

目录一、权限的重要性

三、权限的基本概念四、用户和角色的创建及命名规则五、权限实施中注意要点六、权限工作计划二、SAP权限的架构日期Date:目录一、权限的重要性二、SASAP权限的架构SAPUserID-地址-登录数据-组............分配Role-描述-菜单-权限……………分配BindwithAuthorizationprofile-组织级别值-权限对象-用户………………..SAP权限的架构SAPUserID分配Role分配Bi日期Date:

目录一、权限的重要性二、SAP权限的架构

四、用户和角色的创建及命名规则五、权限实施中注意要点六、权限工作计划三、权限的基本概念日期Date:目录一、权限的重要性三、权限的权限的基本概念名词解释：Useraccount﹕就是我们平常说“USERID”(注意用户类型）dialog用户、……权限：它允许或禁止用户在系统中进行操作和处理事务，一般以角色分配给用户角色（Role）﹕权限的集合，基于业务要求创建所谓的“角色”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。分为singlerole和compositerole两种﹐后者其实是前者的集合Profile:

真正记录权限的设定的文件,和角色绑定在一起，一个角色生成一个PROFILE权限对象：被授权的业务对象，由字段值和参数组成权限的基本概念名词解释：Useraccount﹕就是我们平日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 授权就是给个人（或组）一个方式或权力来行使一些特殊的职责用

SAP

的语言来说….它允许或禁止用户在系统中进行操作和处理事务权限的概念—授权日期Date:SPEXSAPR/3Project权限的概念－授权对象授权对象

=

运行事务的权限=没有

授权对象没有事务权限权限的概念－授权对象授权对象=运行事务的权限=没有没有日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 进入一个

SAP事务代码就好象….从一扇

门进入一个房间Transaction授权对象

就是开门的

钥匙授权对象权限的概念－授权对象日期Date:SPEXSAPR/3Project日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 即使只缺少一个对象，用户都不能够运行事务代码运行事务代码需要先具备所有的授权对象!

(即整套钥匙)授权对象1授权对象2授权对象3授权对象4授权对象5权限的概念－授权对象日期Date:SPEXSAPR/3Project日期Date:

授权级别图日期Date:授权级别图用户是由几个角色组成的用户是由几个角色组成的角色下包括一些事务代码角色下包括的事务代码角色下包括一些事务代码角色下包括的事务代码权限的概念－授权ProfileProfile:真正记录权限设定的文件Profile与Role是捆绑在一起的。在建立Role的时候﹐Profile是会自动创建的，（有弊端），我们根据每个项目每个模块的不同，根据需求表对每个角色定义一个profile。AuthorizationProfile权限的概念－授权ProfileProfile:真正记录权限Objectclass权限对象（Authorizationobject）参数权限的概念－权限对象Objectclass权限对象（Authorization业务、岗位及用户之间的关系用户：基于业务要求而赋予岗位相适合的角色，用户和角色一对多的关系角色：执行相关业务所需要的权限集合。业务关键点业务关键点业务关键点角色A角色B角色C用户1用户2业务流程岗位用户业务、岗位及用户之间的关系用户：基于业务要求而赋予岗位相适合日期Date:

目录一、权限的重要性二、SAP权限的基本架构三、权限的基本概念

五、权限实施中注意要点六、权限工作计划四、用户和角色的创建及命名规则日期Date:目录一、权限的重要性四、日期Date:

USERID的命名规则SAP系统分为门户和后台两类系统，后台系统包括ECC和BI系统。在所有SAP系统中，同一用户的ID是唯一的，用户ID最长不超过12位。

ERP用户ID以中石油邮箱用户名为准，若超过12位，按如下方法进行处理：如果没有邮件地址，必须申请一个少于11位的邮箱地址。

有邮件地址的用户，取邮件地址的用户名为用户ID；如果用户名超过11位，应另外申请一个少于11位的邮箱地址；举例如下：

正常用户名：

zhangxing@，ID：ZHANGXING

超长用户名：

zhangxingyuan@，重新申请：ZHANGXINGY注：保留一位是为区分CNPC和PetroChina不同邮箱，如果产生冲突，则在用户名前加前缀，集团ERP用户ID前加前缀V，股份ERP用户ID前加前缀U。举例如下：

CNPC：zhangxin@，ID：VZHANGXING

PetroChina：zhangxing@，ID：UZHANGXING日期Date:USERID的命名规则SAP日期Date:

相关事务代码SU01－用户维护PFCG－职责维护SU24－维护事务权限对象的分配SU3－维护用户参数文件SU53－显示用户的权限数据SUGR－维护用户组SUIM－用户信息系统SU10－帐号批维护日期Date:相关事务代码SU01－用户维护PFCG－职责日期Date:

USERID的建立T_code﹕SU01SU01SU01日期Date:USERID的建立T_code﹕日期Date:

USERID的建立输入要创建的UserID1单击建立图标2日期Date:USERID的建立输入要创建的UseUSERID的建立选择“对话”类型设定初始密码用户组选择此用户对应的组，地区二级管理员管理USERID的建立选择“对话”类型设定初始密码用户组选日期Date:

USERID的建立填好这些字段注：1.通讯方法选择：INTE-mail2.如果输入座机号，分机号必须填写00日期Date:USERID的建立填好这些字段注：1.USERID的建立这些都是必填项USERID的建立这些都是必填项USERID的建立用户组最好跟前面设置的一样，这个用户组是总部技术组管理用户用的USERID的建立用户组最好跟前面设置的一样，这个用户USERID的建立

USERID创建好了﹐但这时这个ID没有赋予(Assign)任何权限﹐是什么都不能做的。USER得到这样的帐号没有任何意义。如何Assign权限给一个帐号﹖主要就是Assign一个Role给这个帐号了。下面我们看看如何建Role和给权限。点击SAVE，这个用户就创建好了USERID的建立点击SAVE，这个用户就创建好了帐号的批维护有时我们需要对账户进行批量维护,例如：当公司地址变了，需要变更所有用户的公司地址。月结时，需要将除了月结人员外，其它的所有用户暂时锁定。T_CODE：SU10帐号的批维护有时我们需要对账户进行批量维护,例如：T帐号的批维护全选用户后，点击transfer可以批量修改“新疆油田咨询顾问”的前台信息，包括添加角色、锁定用户等帐号的批维护全选用户后，点击transfer可以批量修改“新创建用户组T_CODE：SUGR例如：创建勘探与生产项目新疆油田咨询顾问用户组

EXJYTZZYH业务板块缩写项目名称缩写最终用户用户组命名规则创建用户组T_CODE：SUGR例如：业务板块缩写项目名称缩ROLE的建立T_CODE：PFCGROLE的建立T_CODE：PFCGROLE的建立创建Role主要有三种方式：1.

新建2.

继承 3.

复制（COPY）

ROLE的命名ROLE的建立创建Role主要有三种方式：ROLE的命名根角色的创建输入role的角色记录此Role的创建者描述须能表示Role的内容及属性根角色的创建输入role的角色记录此Role的创建者描述须能根角色的创建点击“事务”添加tcode按照profile命名规则进行命名根角色的创建点击“事务”添加tcode按照profile命名根角色的创建标准Tcode所需要的Object,系统会自动带出来OBJECT完全没有给值OBJECT只有部分给值OBJECT已经全部有值请注意﹕绿灯只是表示全部有值而已﹐但不一定就是我们所需要的值根角色的创建标准Tcode所需要的Object,系统会自动根角色的创建根角色的创建根角色的创建在这里介绍一下

的作用﹐点击它﹐就相当于给这个Object一个“*”(star)﹐“*”的意义是AllAuthorization﹐不卡任何权限。根角色的创建在这里介绍一下的作用﹐点击它﹐就相当于给这根角色的创建然后按激活，退出已经变成绿灯﹐这表示权限的设定已经可用了点击，再点击此权限已经分配完毕，test001这个帐号已经具有了主数据维护的权限根角色的创建然后按激活，退出已经变成绿灯﹐这表示权限派生角色的定义所谓派生角色,是指根Role和派生Role形成这样的母子关系﹕派生Role的所有权限、权限对象（组织级别值除外)都源于根Role,并与根Role保持一致。

根Role与派生Role是1对多的。派生角色的定义所谓派生角色,是指根Role和派生Role形成根角色与派生角色之间的关系公司组织机构地区公司1地区公司3员工1地区公司2根角色A角色子角色A1子角色A3地区公司1子角色A2地区公司2地区公司3子角色B1子角色B3地区公司1子角色B2地区公司2地区公司3根角色B根角色C根据根据岗位分配按限制范围派生出不同的子角色员工2员工3员工1员工2员工3员工1员工2员工3根角色与派生角色之间的关系公司组织机构地区公司1地区公司3员派生角色的创建根据公司代码派生的，创建好后点击“创建角色”组织级别代码字典表派生角色的创建根据公司代码派生的，创建好后点击“创建角色”组派生角色的创建角色继承就是通过这派生角色的创建角色继承就是通过这派生角色的创建这时候的派生角色还没有完全继承，要返回根角色里点击生成派生角色这时候一个派生角色就创建完成了派生角色的创建这时候的派生角色还没有完全继承，要返回根角色里角色的复制输入角色，点击copy复制角色这时候一个角色就复制完成了角色的复制输入角色，点击copy复制角色这时候一个角色就复制角色的创建-继承与复制

小结﹕

用继承的方式建立新Role,继承后﹐只需维护好组织级别﹐Object就全部是绿灯了。

用复制的方式﹐全部是绿灯。这是两者操作上的最大特点。角色的创建-继承与复制小结﹕角色的修改对Role的修改最常见的就是TCode的新增/删除，这种改动﹐一般是从菜单开始。添加VF01（创建客户发票）角色的修改对Role的修改最常见的就是TCode的新增/删角色的修改角色的修改角色的修改当Role所包含的TCode经过多次修改后﹐可能产生多个同样的Object﹐其Value可能互相包含。这时可以通过合并的动作使同一个Object内Value相同或者互相包含的Item合并起来﹐使权限的条目更清晰角色的修改当Role所包含的TCode经过多次修改后﹐可能产Debug/查看有一些工具对权限的问题处理很有帮助1.SU53 2.SUIM3.SU24Debug/查看有一些工具对权限的问题处理很有帮助Debug/查看-SU53当一个帐号反映没有某个应有的权限时﹐我们可以在系统出现没有权限的信息时﹐马上输入“/NSU53”

Debug/查看-SU53当一个帐号反映没有某个应有的权限时Debug/查看-SU53但是请注意﹕SU53给出的信息并不详细﹐大部分情况只能作为一个大方向的参考﹐有时还可能指示不出来问题所在。Debug/查看-SU53但是请注意﹕SU53给出的信息并不Debug/查看-SUIMSUIM其实就是Information系统的一个集合界面。我们最常用的功能是﹕已知某个TCode﹐查找含有这个TCode的Role。Debug/查看-SUIMSUIM其实就是InformatiDebug/查看-SU24查看XD01检查哪些权限对象Debug/查看-SU24查看XD01检查哪些权限对象Debug/查看-SU24查看F_KNA1_BED检查哪些TcodeDebug/查看-SU24查看F_KNA1_BED检查哪些T日期Date:

几点需要注意的地方权限设定非常重要﹐而