SAP-Benutzer gesperrt – Was tun?

Wenn ein SAP-Benutzer gesperrt ist, dann gilt es Folgendes zu tun:

  • Herausfinden, warum der SAP-Benutzer gesperrt wurde
  • SAP-Benutzer entsperren

Wie man prüft, ob ein SAP-Benutzer wirklich gesperrt ist, was der Grund der Sperre ist, wie man einfach die Sperre entfernt und damit den SAP-Benutzer entsperrt wird in diesem Artikel näher erläutert.

Prüfen, ob ein SAP-Benutzer gesperrt ist

Es gibt drei Möglichkeiten, um zu überprüfen, ob ein SAP-Benutzer gesperrt ist:

  • Anmeldung am SAP-System
  • Transaktion SU01
  • Tabelle USR02

Anmeldung am SAP-System

Bei einer Anmeldung am SAP-System findet man am einfachsten und schnellsten heraus, ob ein SAP-Benutzer gesperrt ist. Ist ein SAP-Benutzer gesperrt, erhält man in der Statusleiste eine Fehlermeldung bei der Anmeldung.

Bei einer Anmeldung am SAP-System findet man am einfachsten und schnellsten heraus, ob ein SAP-Benutzer gesperrt ist. Ist ein SAP-Benutzer gesperrt, erhält man in der Statusleiste eine Fehlermeldung bei der Anmeldung.

Das ist auch die einzige Möglichkeit die Sperre herauszufinden, wenn man keine andere Möglichkeit hat, sich im SAP-System anzumelden.

Transaktion SU01

Man kann über die Transaktion SU01 einfach und schnell herausfinden, ob ein SAP-Benutzer gesperrt ist. Sobald man die Transaktion SU01 aufruft, gibt man den SAP-Benutzer im Feld “Benutzer” ein und klickt auf den Button “Sperren / Entsperren” oder die Tastenkombination “Strg + F5”. Anschließend bekommt man eine Info, ob und warum der SAP-Benutzer gesperrt ist.

Man kann über die Transaktion SU01 einfach und schnell herausfinden, ob ein SAP-Benutzer gesperrt ist. Sobald man die Transaktion SU01 aufruft, gibt man den SAP-Benutzer im Feld "Benutzer" ein und klickt auf den Button "Sperren / Entsperren" oder die Tastenkombination "Strg + F5". Anschließend bekommt man eine Info, ob und warum der SAP-Benutzer gesperrt ist.

In dieser Funktion hat man sogar die Möglichkeit, den Benutzer gleich zu entsperren.

Wenn man in der Transaktion SU01 in die Detailansicht des Benutzers geht (Button “Anzeigen” oder F7-Taste), dann sieht man auch im Tabreiter “Logondaten”, ob der SAP-Benutzer gesperrt ist.

Wenn man in der Transaktion SU01 in die Detailansicht des Benutzers geht (Button "Anzeigen" oder F7-Taste), dann sieht man auch im Tabreiter "Logondaten", ob der SAP-Benutzer gesperrt ist.

Tabelle USR02

Meistens hat man für die Transaktion SU01 keine Berechtigungen. Es gibt natürlich auch eine SAP-Tabelle, die die notwendige Information liefert, ob ein SAP-Benutzer gesperrt ist. Die Tabelle USR02 liefert die notwendigen Daten. Man kann die Tabelle mit dem Data Browser (Transaktion SE16N) analysieren. In dem Feld “Benutzersperre” (UFLAG) ist der Status der Benutzersperre gespeichert.

Meistens hat man für die Transaktion SU01 keine Berechtigungen. Es gibt natürlich auch eine SAP-Tabelle, die die notwendige Information liefert, ob ein SAP-Benutzer gesperrt ist. Die Tabelle USR02 liefert die notwendigen Daten. Man kann die Tabelle mit dem Data Browser (Transaktion SE16N) analysieren. In dem Feld "Benutzersperre" (UFLAG) ist der Status der Benutzersperre gespeichert.

Mit der F4-Taste erhält man dabei den Grund der Sperre.

Grund der Sperre herausfinden

Der häufigste Grund für die Sperre eines SAP-Benutzers ist die Falscheingabe des Passwortes. Manchmal kann die Sperre auch aktiv vom Administrator vergeben worden sein.

Im Abschnitt “Prüfen, ob ein SAP-Benutzer gesperrt ist” sind die drei Anlaufstellen näher erläutert, die man bei der Überprüfung der Sperren aufsuchen sollte. In der Tabelle USR02 findet man am einfachsten und schnellsten den Grund für eine Sperre. Auch in der Transaktion SU01 mit dem Button “Sperren / Entsperren” oder die Tastenkombination “Strg + F5” erhält man sofort den Grund der Sperre.

Abhängig von der Art der Sperre kann das Systemprotokoll mit der Transaktion SM21 ebenfalls wichtige Informationen liefern.

SAP-Benutzer entsperren – Sperre entfernen

Es gibt mehre Möglichkeiten, einen SAP-Benutzer zu entsperren. Die einfachsten und schnellsten sind folgende:

  • Sperre aktiv entfernen
  • Automatische Entsperrzeit festlegen
  • Sperre über einen Hintergrundjob entfernen
  • Sperre über den Data Browser entfernen

Sperre aktiv entfernen

Sobald man herausgefunden hat, dass ein SAP-Benutzer gesperrt ist, kann man ihn einfach und schnell über die Transaktion SU01 und den Button “Sperren / Entsperren” oder die Tastenkombination “Strg + F5” entfernen.

Sobald man herausgefunden hat, dass ein SAP-Benutzer gesperrt ist, kann man ihn einfach und schnell über die Transaktion SU01 und den Button "Sperren / Entsperren" oder die Tastenkombination "Strg + F5" entfernen.

Automatische Entsperrzeit festlegen

Das SAP-System kann ebenfalls einen SAP-Benutzer automatisch entsperren, indem man die automatische Entsperrzeit festlegt. In der Transaktion RZ10 kann man den Profilparameter “login/failed_user_auto_unlock” bspw. auf 1 setzen. Dann wird nach einem Tag die Sperre automatisch entfernt. Der Zähler für die fehlgeschlagenen Anmeldeversuche wird dabei nicht auf 0 zurückgesetzt.

Hier gibt es eine Auflistung weiterer Profilparameter.

Sperre über einen Hintergrundjob entfernen

Es gibt den Funktionsbaustein “BAPI_USER_UNLOCK“, der die Sperre eines SAP-Benutzers aufhebt. Man kann über die Transaktion SE37 den Funktionsbaustein aufrufen und dadurch die Sperre entfernen, oder einen ABAP-Report programmieren, ihn als Job in der Transaktion SM36 einplanen und dadurch automatisch die Sperre entfernen. Dabei kann man den ABAP-Report nach eigenen Wünschen und Ideen anpassen.

Ein Beispiel für so ein Report kann folgendermaßen aussehen:

REPORT z_unlock_user.

*----------------------------------------------------------------------
* Datendeklaration
*----------------------------------------------------------------------
DATA:
  lt_bname  TYPE TABLE OF xubname,
  ls_bname  TYPE xubname,
  lt_return TYPE TABLE OF bapiret2.


*----------------------------------------------------------------------
* Tabelle USR02 enthält alle SAP-Benutzer
* Alle gesperrten SAP-Benutzer werden selektiert
* UFLAG 0 -> nicht gesperrt (NE 0 ==> gesperrt)
*----------------------------------------------------------------------
SELECT bname FROM usr02 INTO TABLE lt_bname
  WHERE uflag NE 0. 

*----------------------------------------------------------------------
* Entsperre alle gesperrten SAP-Benutzer
*----------------------------------------------------------------------
LOOP AT lt_bname INTO ls_bname.
  CALL FUNCTION 'BAPI_USER_UNLOCK'
    EXPORTING
      username = ls_bname
    TABLES
      return   = lt_return.
ENDLOOP.

Sperre über den Data Browser entfernen

Man sollte immer versuchen, einen Benutzer über die oberen drei gezeigten Möglichkeiten zu entsperren. Das sind die Funktionen, die der SAP-Standard bietet.

Es gibt noch eine vierte Möglichkeit, die man nur anwenden sollte, wenn man sich den Konsequenten bewusst ist. Bei dieser Möglichkeit verändert man direkt die Daten der Tabelle USR02 über den Data Browser (Transaktion SE16N). Um einen SAP-Benutzer über den Data Browser (Transaktion SE16N) zu entsperren, wendet man folgende Schritte an:

  1. Aufruf des Data Browser in der Transaktion SE16N
  2. Eingabe der Tabelle USR02 
  3. Unter Benutzer gibst Du den SAP-Benutzer ein
  4. Im OK-Code-Feld gibst Du /h ein, um das Debugging zu aktivieren
  5. Ausführen (F8)
  6. Sofort nach dem Start die Variablen GD-EDIT und GD-SAPEDIT auf ‘X’ setzen
  7. Debugging beenden mit “Weiter” oder F8
  8. Status der Benutzersperre auf 0 (nicht gesperrt) setzen
  9. Speichern (Strg + S)
Im Debugging kann man die Variablen gd-edit und gd-sapedit auf 'X' setzen, um Werte im Data Browser zu ändern.

Hinweis: Änderungen über den Data Browser (SE16N) werden in folgenden zwei Tabellen gespeichert:

  • SE16N_CD_KEY
  • SE16N_CD_DATA

Es kann also nachverfolgt werden, wenn man Daten der Tabelle USR02 über diese Möglichkeit verändert hat. Man sollte sich dessen stets bewusst sein. Deshalb bevorzuge ich die oberen drei gezeigten Möglichkeiten. Es wird bevorzugt, mit dem Systemadministrator Kontakt aufzunehmen, anstatt diesen Weg zu gehen.

Übersicht über Benutzertypen in SAP ERP

Ein SAP-Benutzer ist nicht gleich ein SAP-Benutzer. Es gibt verschiedene Benutzertypen:

  • Dialogbenutzer
  • Systembenutzer
  • RFC- oder Kommunikationsbenutzer
  • Servicebenutzer
  • Referenzbenutzer

Dialogbenutzer

Der Dialogbenutzer ist einer der am häufigsten verwendeten SAP-Benutzer im SAP ERP bzw. SAP S/4HANA-System. Dieser Benutzer wird von einer Person für die Bedienung des SAP-Systems verwendet. Bei der Anmeldung wird auf abgelaufene oder initiale Kennwörter geprüft. Dabei kann man sein Kennwort ändern.

Systembenutzer

Ein Systembenutzer wird für Hintergrundverarbeitungen und systembedingte Vorgänge verwendet. Beispiele hierfür sind Aufgaben im Workflow.

Mit einem Systembenutzer kann man sich nicht im SAP-System anmelden. Das Kennwort wird vom Administrator angelegt und kann nur in der Transaktion SU01 über “Springen > Kennwort ändern” geändert werden.

Beispielsweise sind die Workflow-Benutzer “WF-BATCH” und “SAP_WFRT”.

RFC- oder Kommunikationsbenutzer

Ein RFC- oder Kommunikationsbenutzer wird für dialogfreie Kommunikation mit dem SAP-System verwendet. Dabei ist eine Dialoganmeldung am System nicht möglich.

Das Kennwort kann mit dem RFC-Funktionsbaustein SUSR_USER_CHANGE_PASSWORD_RFC oder in der Transaktion SU01 über “Springen > Kennwort ändern” geändert werden.

Servicebenutzer

Ein Servicebenutzer wird typischerweise für anonyme Systemzugänge verwendet. Hierbei handelt es sich also um einen Dialogbenutzer, der einem anonymen, aber größeren Benutzerkreis zugeordnet ist.

Nach der Anmeldung mit dem Servicebenutzer wird die anonyme Sitzung als personenbezogene Sitzung unter einem Dialogbenutzer weitergeführt.

Deshalb sollten die Berechtigungen des Servicebenutzers stark eingeschränkt sein.

Bei der Anmeldung mit dem Servicebenutzer erfolgt keine Prüfung auf abgelaufene oder initiale Kennwörter. Wie bei einem Systembenutzer kann das Kennwort nur in der Transaktion SU01 über “Springen > Kennwort ändern” geändert werden.

Referenzbenutzer

Ein Referenzbenutzer dient als Vorlage für die Anlage von SAP-Benutzern. Beim Anlegen eines SAP-Benutzers basierend auf einem Referenzbenutzer werden die gleichen Berechtigungen vergeben.

Mit einem Referenzbenutzer kann man sich nicht im SAP-System anmelden.

Alle Benutzer außer Referenzbenutzer sind in der Lage, sich remote per RFC-Schnittstelle an einem SAP-System anzumelden oder Hintergrundjobs auszuführen.

Über den Autor

Schön, dass Du Dich für SAP ERP interessierst.

Mein Name ist Andreas Geiger und ich bin der Gründer von ERP-UP.de. Mein Ziel ist es, so viel nützliches Wissen wie möglich über das SAP ERP-System zu vermitteln. Ich möchte Dir damit einen Mehrwert bieten. Es freut mich, wenn ich Dir damit helfen kann.

Mehr zu ERP UP

Schreibe einen Kommentar