Sécurité SAP - Plateforme Windows

Vous devez créer différents utilisateurs et groupes sur la plateforme Windows pour exécuter votre système SAP en toute sécurité. Pour faciliter la tâche de gestion des utilisateurs, il est suggéré d'ajouter tous les utilisateurs WIN NT au groupe d'utilisateurs avec des droits d'accès corrects au niveau du système d'exploitation. Dans le système d'exploitation Windows, il existe différents niveaux de groupe -

  • Groupes mondiaux
  • Groupes locaux

Groupes mondiaux

Les groupes globaux dans WIN sont disponibles au niveau du domaine et peuvent être utilisés pour attribuer des utilisateurs à partir de plusieurs serveurs. Les groupes globaux sont disponibles pour tous les serveurs dans un domaine.

Vous pouvez sélectionner le nom des groupes globaux selon votre convenance. Cependant, il est recommandé d'utiliser les conventions de dénomination selon leSAP R/3 System Installation, qui est le groupe global standard pour les administrateurs système SAP et il est défini comme SAP_<SID>_GlobalAdmin.

Dans la plate-forme Windows, il existe divers groupes globaux couramment créés qui peuvent être utilisés pour exécuter un système SAP -

  • SAPadmin - Ce groupe contient une liste de tous les administrateurs système SAP.

  • SAPusers - Ce groupe contient une liste de tous les utilisateurs de l'application SAP.

  • SAPservices - Ce groupe contient une liste de tous les programmes système SAP.

  • Domain Admin - Ce groupe contient une liste de tous les administrateurs de tous les domaines.

Groupes locaux

Les groupes locaux de la plate-forme Windows sont limités à un serveur dans un domaine. Lors de l'installation, les droits sont attribués à des utilisateurs individuels et non à des groupes. Cependant, il est recommandé d'attribuer des droits d'accès à des groupes locaux plutôt qu'à des utilisateurs uniques.

Les groupes locaux sont utilisés pour augmenter la sécurité de l'environnement Windows dans les domaines partagés. Vous pouvez en outre affecter des utilisateurs globaux et des groupes globaux à un groupe local. Vous pouvez créer un groupe local avec n'importe quel nom, mais il est recommandé d'utiliser le nom du groupe local comme:SAP_<SID>_LocalAdmin.

Vous pouvez définir diverses relations entre les utilisateurs, les groupes locaux et les groupes globaux -

  • Un seul utilisateur peut également faire partie d'un groupe global et d'un groupe local.
  • Vous pouvez également inclure un groupe global dans un groupe local.

Utilisateurs standard dans une plate-forme Windows

Lorsque vous exécutez le système SAP sur une plate-forme Windows, certains utilisateurs standard doivent être soigneusement gérés. Voici quelques-uns des utilisateurs standard de Windows -

Window NT User -

  • Administrator - Comptes administrateur avec accès à toutes les ressources.

  • Guest - Seul l'accès invité à toutes les ressources du système.

SAP System User -

  • <SID>ADM SAP - Administrateur système avec un accès complet sur toutes les ressources SAP.

  • SAPService<SID> - Utilisateur spécial chargé d'exécuter les services SAP.

Database Users -

  • <DBService> - Pour exécuter des services spécifiques à la base de données dans la plate-forme Windows.

  • <DBuser> - Utilisateur de base de données pour effectuer des opérations générales de base de données.

Notez également que les utilisateurs Administrateur et Invité sont créés pendant le processus d'installation et sont utilisés pour effectuer des tâches spécifiques à Windows. Tous ces utilisateurs doivent être protégés dans une plateforme Windows.