Bloqueo de usuarios en sap

sap-basis
Etiquetas: #<Tag:0x00007f4351c5a350>

#1

Buenas tardes chicos como están? , he estado algo ausente por la universidad pero hoy me surge una duda y problema, si en una compañía todos los usuarios encargados de desbloquear usuarios están Bloqueados y no hay mas nadie que pueda desbloquearlos, que se podría hacer al respecto? hay algún usuario predeterminado o algo por el estilo?

Gracias de antemano


#2

hola @Osman con la trx SU01
image
pones el usuario y los desbloqueas en el candidato o cambias contraseña con la opción de lado derecho

si te sirvió marcarla como respuesta


#3

@Osman
Siempre están los super usuarios DDIC y SAP* creados por defecto en cada mandante. Si bien DDIC no es el mas apropiado para desbloquear tiene todos los permisos para hacerlo, al igual que SAP*.Usualmente usuarios son “propiedad” del equipo basis, así que si eres un usuario final debes apoyarte en el/ella/ellos.

Esa opcion es super rapida y directa.


#4

Cuando dices “bloqueados”, ¿qué tipo de bloqueos tienen?

Lo que puedes hacer, es como indicó @Cristian_Mart, un consultor SAP que tenga SAP_ALL puede entrar a la SU01, poner el usuario encargado bloqueado, y lo desbloquea.

Y de ahí, él se encargará de desbloquear al resto.

¿Lo han probado?


#5

Si los power user están bloqueados deberias intentar ingresar con las cuentas de sistema, DDIC o SAP*, esas te permiten realizar cualquier función dentro de SAP. Luego desde la SU10 desbloquear todos los usuarios que necesites.

Deberías darnos mas detalles de como se bloquearon los usuarios, si fue por un “error de dedo” de alguien desde la SU10 o algún mal proceso que hayan realizado

Saludos


#6

@Osman
Según lo que escribiste en tu pregunta original, tu pregunta es hipotética, porque la verdad un sistema donde TODOS los usuarios estén bloqueados es muy raro o hay alguna razón por parte del negocio para hacer algo así, y de todas maneras deben existir usuarios que permitan realizar actividades en el sistema.
La única vez que me ha pasado algo como lo que indicas ha sido en un cliente donde se instalo, y se crearon los usuarios del proyecto pero por razones que no vienen al caso, el basis que realizo la actividad no envió los usuarios y password ni se sabían los password de los super usuarios. Un escenario parecido al que indicas en tu pregunta. Lo que se hizo fue reiniciar los passwords de los super usuarios para el cliente que se necesitaba ingresar, usando SQL y con eso se pudieron usar los passwords que por defecto tienen estos usuarios y ya.


#7

Sí es un caso muy raro, aunque ya como último recurso también lo que se podría hacer es modificar la tabla USR02, poniendo en la columna UFLAG el valor 0 al usuario deseado, o hacer un pequeño desarrollo para desbloqueo de usuarios con la BAPI ‘BAPI_USER_UNLOCK’.


#8

El tema es que para eso debería tener un usuario con los permisos específicos y por lo que se entiende de su threat pareciera que los que podrían hacerlo son precisamente los que están bloqueados


#9

Hola! Efectivamente, el usuario SAP* está hardcodeado a nivel de kernel, y en caso extremo se puede utilizar para desbloquear el resto de usuarios. Para ello habría que seguir los siguientes pasos:

  • borrar de la tabla USR02 el usuario SAP* en el mandante concreto:
    DELETE FROM USR02 where BNAME = ‘SAP*’ and MANDT = ‘XXX’
  • activar el parámetro login/no_automatic_user_sapstar a 0 y reiniciar la instancia
  • entrar en el mandante SAP* y contraseña PASS
  • desbloquear los usuarios en el mandante concreto
  • activar el parámetro login/no_automatic_user_sapstar a 1 y reiniciar la instancia

En la parte java hay también un mecanismo similar:
h_tps://wiki.scn.sap.com/wiki/display/Basis/How+to+activate+emergency+user+on+AS+Java
Espero que os sirva!


#10

Hola

Debe ser con un usuario que tenga SAP_ALL por la Tx. SU01 puedes desbloquear o modificar contraseña en caso que solo sea ese el problema.

Es delicado hacer modificaciones en tablas, si lo vas a hacer asegúrate de saber bien lo que estas haciendo.

Saludos,


#11

Excelente repuesta Asier.
Solo resta indicar que se debe crear nuevamente el usuario sap*, cambiar la clave pass por una robusta y bloquear nuevamente el usuario SAP*, por temas de auditoria a la seguridad SAP.


#12

Este tema se cerró automáticamente 91 días después del último post. No se permiten nuevas respuestas.