Seguridad SAP - Plataforma Windows
Debe crear diferentes usuarios y grupos en la plataforma Windows para ejecutar su sistema SAP de forma segura. Para facilitar la tarea de administración de usuarios, se sugiere agregar todos los usuarios de WIN NT al grupo de usuarios con derechos de acceso correctos a nivel de sistema operativo. En el sistema operativo Windows, hay diferentes niveles de grupo:
- Grupos globales
- Grupos locales
Grupos globales
Los grupos globales en WIN están disponibles a nivel de dominio y se pueden usar para asignar usuarios de múltiples servidores. Los grupos globales están disponibles para todos los servidores de un dominio.
Puede seleccionar el nombre de los grupos globales según su conveniencia. Sin embargo, se recomienda utilizar convenciones de nomenclatura según laSAP R/3 System Installation, que es el grupo global estándar para administradores de sistemas SAP y se define como SAP_<SID>_GlobalAdmin.
En la plataforma de Windows, hay varios grupos globales creados comúnmente que se pueden usar para ejecutar un sistema SAP:
SAPadmin - Este grupo contiene una lista de todos los administradores del sistema SAP.
SAPusers - Este grupo contiene una lista de todos los usuarios de la aplicación SAP.
SAPservices - Este grupo contiene una lista de todos los programas del sistema SAP.
Domain Admin - Este grupo contiene una lista de todos los administradores de todos los dominios.
Grupos locales
Los grupos locales en la plataforma Windows están limitados a un servidor en un dominio. Durante la instalación, los derechos se asignan a usuarios individuales y no a grupos. Sin embargo, se recomienda que asigne derechos de acceso a grupos locales en lugar de usuarios individuales.
Los grupos locales se utilizan para aumentar la seguridad del entorno de Windows en dominios compartidos. Además, puede asignar usuarios globales y grupos globales a un grupo local. Puede crear un grupo local con cualquier nombre, pero se recomienda que utilice el nombre del grupo local como:SAP_<SID>_LocalAdmin.
Puede definir varias relaciones entre usuarios, grupos locales y grupos globales:
- Un solo usuario puede formar parte de un grupo global y también de un grupo local.
- También puede incluir un grupo global en un grupo local.
Usuarios estándar en una plataforma Windows
Cuando ejecuta el sistema SAP en una plataforma Windows, hay usuarios estándar que deben administrarse con cuidado. Los siguientes son algunos de los usuarios estándar en Windows:
Window NT User -
Administrator - Cuentas de administrador con acceso a todos los recursos.
Guest - Solo acceso de invitado a todos los recursos del sistema.
SAP System User -
<SID>ADM SAP - Administrador del sistema con acceso completo a todos los recursos de SAP.
SAPService<SID> - Usuario especial responsable de ejecutar los servicios de SAP.
Database Users -
<DBService> - Ejecutar servicios específicos de base de datos en la plataforma Windows.
<DBuser> - Usuario de la base de datos para realizar operaciones generales de la base de datos.
Además, tenga en cuenta que los usuarios Administrador e Invitado se crean durante el proceso de instalación y se utilizan para realizar tareas específicas de Windows. Todos estos usuarios deben estar protegidos en una plataforma Windows.