Sicurezza SAP - Piattaforma Windows
È necessario creare diversi utenti e gruppi nella piattaforma Windows per eseguire il sistema SAP in modo sicuro. Per facilitare l'attività di gestione degli utenti, si consiglia di aggiungere tutti gli utenti WIN NT al gruppo utenti con diritti di accesso corretti a livello di sistema operativo. Nel sistema operativo Windows, ci sono diversi livelli di gruppo:
- Gruppi globali
- Gruppi locali
Gruppi globali
I gruppi globali in WIN sono disponibili a livello di dominio e possono essere utilizzati per assegnare utenti da più server. I gruppi globali sono disponibili per tutti i server in un dominio.
È possibile selezionare il nome dei gruppi globali in base alle proprie esigenze. Tuttavia, si consiglia di utilizzare le convenzioni di denominazione come perSAP R/3 System Installation, che è il gruppo globale standard per gli amministratori di sistema SAP ed è definito come SAP_<SID>_GlobalAdmin.
Nella piattaforma Windows, ci sono vari gruppi globali comunemente creati che possono essere utilizzati per eseguire un sistema SAP:
SAPadmin - Questo gruppo contiene un elenco di tutti gli amministratori di sistema SAP.
SAPusers - Questo gruppo contiene un elenco di tutti gli utenti dell'applicazione SAP.
SAPservices - Questo gruppo contiene un elenco di tutti i programmi di sistema SAP.
Domain Admin - Questo gruppo contiene un elenco di tutti gli amministratori di tutti i domini.
Gruppi locali
I gruppi locali nella piattaforma Windows sono limitati a un server in un dominio. Durante l'installazione, i diritti vengono assegnati ai singoli utenti e non ai gruppi. Tuttavia, si consiglia di assegnare i diritti di accesso ai gruppi locali anziché ai singoli utenti.
I gruppi locali vengono utilizzati per aumentare la sicurezza dell'ambiente Windows nei domini condivisi. È inoltre possibile assegnare utenti globali e gruppi globali a un gruppo locale. È possibile creare un gruppo locale con qualsiasi nome, ma si consiglia di utilizzare il nome del gruppo locale come:SAP_<SID>_LocalAdmin.
È possibile definire varie relazioni tra utenti, gruppi locali e gruppi globali -
- Un singolo utente può far parte di un gruppo globale e anche di un gruppo locale.
- Puoi anche includere un gruppo globale in un gruppo locale.
Utenti standard in una piattaforma Windows
Quando esegui il sistema SAP su una piattaforma Windows, ci sono utenti standard che dovrebbero essere gestiti con attenzione. Di seguito sono riportati alcuni degli utenti standard in Windows:
Window NT User -
Administrator - Account amministratore con accesso a tutte le risorse.
Guest - Solo accesso guest a tutte le risorse nel sistema.
SAP System User -
<SID>ADM SAP - Amministratore di sistema con accesso completo a tutte le risorse SAP.
SAPService<SID> - Utente speciale responsabile dell'esecuzione dei servizi SAP.
Database Users -
<DBService> - Per eseguire servizi specifici del database nella piattaforma Windows.
<DBuser> - Utente del database per eseguire operazioni generali sul database.
Inoltre, si noti che gli utenti amministratore e ospite vengono creati durante il processo di installazione e vengono utilizzati per eseguire attività specifiche di Windows. Tutti questi utenti dovrebbero essere protetti in una piattaforma Windows.