Bezpieczeństwo SAP - Platforma Windows

Aby bezpiecznie obsługiwać system SAP, należy utworzyć różnych użytkowników i grupy na platformie Windows. Aby ułatwić zadanie zarządzania użytkownikami, zaleca się dodanie wszystkich użytkowników WIN NT do grupy użytkowników z odpowiednimi prawami dostępu na poziomie systemu operacyjnego. W systemie operacyjnym Windows istnieją różne poziomy grup -

  • Grupy globalne
  • Grupy lokalne

Grupy globalne

Grupy globalne w WIN są dostępne na poziomie domeny i mogą być używane do przypisywania użytkowników z wielu serwerów. Grupy globalne są dostępne dla wszystkich serwerów w jednej domenie.

Możesz wybrać nazwę grup globalnych według własnego uznania. Jednak zaleca się stosowanie konwencji nazewnictwa zgodnie zSAP R/3 System Installation, która jest standardową grupą globalną dla administratorów systemów SAP i jest zdefiniowana jako SAP_<SID>_GlobalAdmin.

W platformie Windows istnieje wiele często tworzonych grup globalnych, których można używać do uruchamiania systemu SAP -

  • SAPadmin - Ta grupa zawiera listę wszystkich administratorów systemu SAP.

  • SAPusers - Ta grupa zawiera listę wszystkich użytkowników aplikacji SAP.

  • SAPservices - Ta grupa zawiera listę wszystkich programów systemu SAP.

  • Domain Admin - Ta grupa zawiera listę wszystkich administratorów ze wszystkich domen.

Grupy lokalne

Grupy lokalne na platformie Windows są ograniczone do jednego serwera w domenie. Podczas instalacji uprawnienia są nadawane poszczególnym użytkownikom, a nie grupom. Zaleca się jednak przypisywanie praw dostępu do grup lokalnych zamiast pojedynczych użytkowników.

Grupy lokalne służą do zwiększenia bezpieczeństwa środowiska Windows w domenach współdzielonych. Możesz dalej przypisywać globalnych użytkowników i globalne grupy do lokalnej grupy. Możesz utworzyć grupę lokalną o dowolnej nazwie, ale zaleca się użycie nazwy grupy lokalnej jako:SAP_<SID>_LocalAdmin.

Możesz zdefiniować różne relacje między użytkownikami, grupami lokalnymi i grupami globalnymi -

  • Pojedynczy użytkownik może należeć zarówno do grupy globalnej, jak i do grupy lokalnej.
  • Możesz także dołączyć grupę globalną do grupy lokalnej.

Użytkownicy standardowi na platformie Windows

W przypadku uruchamiania systemu SAP na platformie Windows istnieją zwykli użytkownicy, którymi należy ostrożnie zarządzać. Poniżej przedstawiono niektórych standardowych użytkowników w systemie Windows -

Window NT User -

  • Administrator - Konta administratora z dostępem do wszystkich zasobów.

  • Guest - Dostęp tylko dla gości do wszystkich zasobów w systemie.

SAP System User -

  • <SID>ADM SAP - Administrator systemu z pełnym dostępem do wszystkich zasobów SAP.

  • SAPService<SID> - Specjalny użytkownik odpowiedzialny za uruchamianie usług SAP.

Database Users -

  • <DBService> - Aby uruchomić usługi specyficzne dla bazy danych na platformie Windows.

  • <DBuser> - Użytkownik bazy danych do wykonywania ogólnych operacji DB.

Należy również pamiętać, że użytkownicy Administrator i Gość są tworzeni podczas procesu instalacji i służą do wykonywania zadań specyficznych dla systemu Windows. Wszyscy ci użytkownicy powinni być chronieni na platformie Windows.