Wenn ein SAP-Benutzer gesperrt ist, dann gilt es Folgendes zu tun:
- Herausfinden, warum der SAP-Benutzer gesperrt wurde
- SAP-Benutzer entsperren
Wie man prüft, ob ein SAP-Benutzer wirklich gesperrt ist, was der Grund der Sperre ist, wie man einfach die Sperre entfernt und damit den SAP-Benutzer entsperrt wird in diesem Artikel näher erläutert.
Prüfen, ob ein SAP-Benutzer gesperrt ist
Es gibt drei Möglichkeiten, um zu überprüfen, ob ein SAP-Benutzer gesperrt ist:
- Anmeldung am SAP-System
- Transaktion SU01
- Tabelle USR02
Anmeldung am SAP-System
Bei einer Anmeldung am SAP-System findet man am einfachsten und schnellsten heraus, ob ein SAP-Benutzer gesperrt ist. Ist ein SAP-Benutzer gesperrt, erhält man in der Statusleiste eine Fehlermeldung bei der Anmeldung.
Das ist auch die einzige Möglichkeit die Sperre herauszufinden, wenn man keine andere Möglichkeit hat, sich im SAP-System anzumelden.
Transaktion SU01
Man kann über die Transaktion SU01 einfach und schnell herausfinden, ob ein SAP-Benutzer gesperrt ist. Sobald man die Transaktion SU01 aufruft, gibt man den SAP-Benutzer im Feld „Benutzer“ ein und klickt auf den Button „Sperren / Entsperren“ oder die Tastenkombination „Strg + F5“. Anschließend bekommt man eine Info, ob und warum der SAP-Benutzer gesperrt ist.
In dieser Funktion hat man sogar die Möglichkeit, den Benutzer gleich zu entsperren.
Wenn man in der Transaktion SU01 in die Detailansicht des Benutzers geht (Button „Anzeigen“ oder F7-Taste), dann sieht man auch im Tabreiter „Logondaten“, ob der SAP-Benutzer gesperrt ist.
Tabelle USR02
Meistens hat man für die Transaktion SU01 keine Berechtigungen. Es gibt natürlich auch eine SAP-Tabelle, die die notwendige Information liefert, ob ein SAP-Benutzer gesperrt ist. Die Tabelle USR02 liefert die notwendigen Daten. Man kann die Tabelle mit dem Data Browser (Transaktion SE16N) analysieren. In dem Feld „Benutzersperre“ (UFLAG) ist der Status der Benutzersperre gespeichert.
Mit der F4-Taste erhält man dabei den Grund der Sperre.
Grund der Sperre herausfinden
Der häufigste Grund für die Sperre eines SAP-Benutzers ist die Falscheingabe des Passwortes. Manchmal kann die Sperre auch aktiv vom Administrator vergeben worden sein.
Im Abschnitt „Prüfen, ob ein SAP-Benutzer gesperrt ist“ sind die drei Anlaufstellen näher erläutert, die man bei der Überprüfung der Sperren aufsuchen sollte. In der Tabelle USR02 findet man am einfachsten und schnellsten den Grund für eine Sperre. Auch in der Transaktion SU01 mit dem Button „Sperren / Entsperren“ oder die Tastenkombination „Strg + F5“ erhält man sofort den Grund der Sperre.
Abhängig von der Art der Sperre kann das Systemprotokoll mit der Transaktion SM21 ebenfalls wichtige Informationen liefern.
SAP-Benutzer entsperren – Sperre entfernen
Es gibt mehre Möglichkeiten, einen SAP-Benutzer zu entsperren. Die einfachsten und schnellsten sind folgende:
- Sperre aktiv entfernen
- Automatische Entsperrzeit festlegen
- Sperre über einen Hintergrundjob entfernen
- Sperre über den Data Browser entfernen
Sperre aktiv entfernen
Sobald man herausgefunden hat, dass ein SAP-Benutzer gesperrt ist, kann man ihn einfach und schnell über die Transaktion SU01 und den Button „Sperren / Entsperren“ oder die Tastenkombination „Strg + F5“ entfernen.
Automatische Entsperrzeit festlegen
Das SAP-System kann ebenfalls einen SAP-Benutzer automatisch entsperren, indem man die automatische Entsperrzeit festlegt. In der Transaktion RZ10 kann man den Profilparameter „login/failed_user_auto_unlock“ bspw. auf 1 setzen. Dann wird nach einem Tag die Sperre automatisch entfernt. Der Zähler für die fehlgeschlagenen Anmeldeversuche wird dabei nicht auf 0 zurückgesetzt.
Hier gibt es eine Auflistung weiterer Profilparameter.
Sperre über einen Hintergrundjob entfernen
Es gibt den Funktionsbaustein „BAPI_USER_UNLOCK„, der die Sperre eines SAP-Benutzers aufhebt. Man kann über die Transaktion SE37 den Funktionsbaustein aufrufen und dadurch die Sperre entfernen, oder einen ABAP-Report programmieren, ihn als Job in der Transaktion SM36 einplanen und dadurch automatisch die Sperre entfernen. Dabei kann man den ABAP-Report nach eigenen Wünschen und Ideen anpassen.
Ein Beispiel für so ein Report kann folgendermaßen aussehen:
REPORT z_unlock_user.
*----------------------------------------------------------------------
* Datendeklaration
*----------------------------------------------------------------------
DATA:
lt_bname TYPE TABLE OF xubname,
ls_bname TYPE xubname,
lt_return TYPE TABLE OF bapiret2.
*----------------------------------------------------------------------
* Tabelle USR02 enthält alle SAP-Benutzer
* Alle gesperrten SAP-Benutzer werden selektiert
* UFLAG 0 -> nicht gesperrt (NE 0 ==> gesperrt)
*----------------------------------------------------------------------
SELECT bname FROM usr02 INTO TABLE lt_bname
WHERE uflag NE 0.
*----------------------------------------------------------------------
* Entsperre alle gesperrten SAP-Benutzer
*----------------------------------------------------------------------
LOOP AT lt_bname INTO ls_bname.
CALL FUNCTION 'BAPI_USER_UNLOCK'
EXPORTING
username = ls_bname
TABLES
return = lt_return.
ENDLOOP.
Sperre über den Data Browser entfernen
Man sollte immer versuchen, einen Benutzer über die oberen drei gezeigten Möglichkeiten zu entsperren. Das sind die Funktionen, die der SAP-Standard bietet.
Es gibt noch eine vierte Möglichkeit, die man nur anwenden sollte, wenn man sich den Konsequenten bewusst ist. Bei dieser Möglichkeit verändert man direkt die Daten der Tabelle USR02 über den Data Browser (Transaktion SE16N). Um einen SAP-Benutzer über den Data Browser (Transaktion SE16N) zu entsperren, wendet man folgende Schritte an:
- Aufruf des Data Browser in der Transaktion SE16N
- Eingabe der Tabelle USR02
- Unter Benutzer gibst Du den SAP-Benutzer ein
- Im OK-Code-Feld gibst Du /h ein, um das Debugging zu aktivieren
- Ausführen (F8)
- Sofort nach dem Start die Variablen GD-EDIT und GD-SAPEDIT auf ‘X’ setzen
- Debugging beenden mit “Weiter” oder F8
- Status der Benutzersperre auf 0 (nicht gesperrt) setzen
- Speichern (Strg + S)
Hinweis: Änderungen über den Data Browser (SE16N) werden in folgenden zwei Tabellen gespeichert:
- SE16N_CD_KEY
- SE16N_CD_DATA
Es kann also nachverfolgt werden, wenn man Daten der Tabelle USR02 über diese Möglichkeit verändert hat. Man sollte sich dessen stets bewusst sein. Deshalb bevorzuge ich die oberen drei gezeigten Möglichkeiten. Es wird bevorzugt, mit dem Systemadministrator Kontakt aufzunehmen, anstatt diesen Weg zu gehen.
Übersicht über Benutzertypen in SAP ERP
Ein SAP-Benutzer ist nicht gleich ein SAP-Benutzer. Es gibt verschiedene Benutzertypen:
- Dialogbenutzer
- Systembenutzer
- RFC- oder Kommunikationsbenutzer
- Servicebenutzer
- Referenzbenutzer
Dialogbenutzer
Der Dialogbenutzer ist einer der am häufigsten verwendeten SAP-Benutzer im SAP ERP bzw. SAP S/4HANA-System. Dieser Benutzer wird von einer Person für die Bedienung des SAP-Systems verwendet. Bei der Anmeldung wird auf abgelaufene oder initiale Kennwörter geprüft. Dabei kann man sein Kennwort ändern.
Systembenutzer
Ein Systembenutzer wird für Hintergrundverarbeitungen und systembedingte Vorgänge verwendet. Beispiele hierfür sind Aufgaben im Workflow.
Mit einem Systembenutzer kann man sich nicht im SAP-System anmelden. Das Kennwort wird vom Administrator angelegt und kann nur in der Transaktion SU01 über „Springen > Kennwort ändern“ geändert werden.
Beispielsweise sind die Workflow-Benutzer „WF-BATCH“ und „SAP_WFRT“.
RFC- oder Kommunikationsbenutzer
Ein RFC- oder Kommunikationsbenutzer wird für dialogfreie Kommunikation mit dem SAP-System verwendet. Dabei ist eine Dialoganmeldung am System nicht möglich.
Das Kennwort kann mit dem RFC-Funktionsbaustein SUSR_USER_CHANGE_PASSWORD_RFC oder in der Transaktion SU01 über „Springen > Kennwort ändern“ geändert werden.
Servicebenutzer
Ein Servicebenutzer wird typischerweise für anonyme Systemzugänge verwendet. Hierbei handelt es sich also um einen Dialogbenutzer, der einem anonymen, aber größeren Benutzerkreis zugeordnet ist.
Nach der Anmeldung mit dem Servicebenutzer wird die anonyme Sitzung als personenbezogene Sitzung unter einem Dialogbenutzer weitergeführt.
Deshalb sollten die Berechtigungen des Servicebenutzers stark eingeschränkt sein.
Bei der Anmeldung mit dem Servicebenutzer erfolgt keine Prüfung auf abgelaufene oder initiale Kennwörter. Wie bei einem Systembenutzer kann das Kennwort nur in der Transaktion SU01 über „Springen > Kennwort ändern“ geändert werden.
Referenzbenutzer
Ein Referenzbenutzer dient als Vorlage für die Anlage von SAP-Benutzern. Beim Anlegen eines SAP-Benutzers basierend auf einem Referenzbenutzer werden die gleichen Berechtigungen vergeben.
Mit einem Referenzbenutzer kann man sich nicht im SAP-System anmelden.
Alle Benutzer außer Referenzbenutzer sind in der Lage, sich remote per RFC-Schnittstelle an einem SAP-System anzumelden oder Hintergrundjobs auszuführen.
Über den Autor
Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.
ERP UP unterstützen
Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.
