top of page
Suche

RSUSR_LOCK_USERS: Dormant Accounts bereinigen, Risiken senken und die Lizenz Vermessung seriös vorbereiten

In vielen SAP Landschaften sieht es ähnlich aus: Im Laufe der Jahre sammeln sich unzählige Benutzer Accounts an, die längst niemand mehr benötigt. Praktikanten, temporäre Berater, Projekt IDs oder Service User, die einmal für einen Test angelegt wurden und danach nie wieder im Einsatz waren. Sie bleiben bestehen, weil sie nicht auffallen. Solche Karteileichen sind mehr als nur ein Schönheitsfehler. Sie sind ein Kostenfaktor, weil SAP sie bei der Lizenz Vermessung mitzählt, und sie sind ein Risiko, weil ein Account, den niemand mehr kennt, auch niemand mehr kontrolliert.


Obsolete User identifizieren und abgrenzen

Viele Unternehmen beschäftigen sich in diesem Zusammenhang zuerst mit großen Themen wie Rollen Redesign oder Identity Management Systemen. Doch bevor diese Projekte starten, lohnt ein Blick auf ein unscheinbares, aber sehr wirkungsvolles Werkzeug: den Report RSUSR_LOCK_USERS. Er ist in jedem System verfügbar, einfach zu bedienen und genau auf die Benutzer Typen ausgerichtet, die Geld kosten und Risiken darstellen, nämlich Dialog und Service User.


Warum RSUSR_LOCK_USERS sofort Wirkung zeigt


Dormant Accounts sind die Low hanging Fruits in jedem Berechtigungs und Lizenz Management. Es kostet wenig Aufwand, sie zu identifizieren und konsequent zu bereinigen. RSUSR_LOCK_USERS macht genau das möglich. Mit einfachen Selektionsparametern wie Tage seit letzter Anmeldung und Benutzer Typ zeigt er inaktive Benutzer auf und bietet die Möglichkeit, direkt zu handeln. Das macht ihn zu einem idealen Einstieg, bevor größere Projekte greifen.


Selektionsmöglichkeiten richtig einsetzen


Wirklich relevant sind wenige Einstellungen:


  • Tage seit letzter Anmeldung. In der Praxis bewährt: 90 Tage für Dialog User, 180 Tage für Service User.

  • Benutzer Typ. Auf Dialog und Service beschränken.

  • Benutzer Gruppen. Bestehende Gruppen wie SYSTEM, SAP BASIS, IT oder DEV ausschließen.

  • Passwort Status. Um Accounts mit initialem Passwort sichtbar zu machen.


So grenzt man die Auswahl genau auf die Benutzer ein, die unnötig Lizenzen binden und gleichzeitig Risiken darstellen. Technische User wie RFC oder Batch Accounts werden konsequent ausgeschlossen, da sie in der Regel keine Lizenzkosten verursachen und prozesskritisch sind.


Best Practice: Zwei tägliche Jobs für einen klaren Lifecycle


Der größte Nutzen entsteht, wenn RSUSR_LOCK_USERS nicht nur punktuell ausgeführt wird, sondern täglich. Zwei aufeinanderfolgende Jobs haben sich als Best Practice etabliert:


  1. Job Dormant User beenden


    • Selektiert alle Dialog und Service User ohne Anmeldung seit 90 beziehungsweise 180 Tagen.

    • Setzt das Gültigkeits Ende auf gestern.

    • Ergebnis: Diese Benutzer tauchen nicht mehr in der Lizenz Vermessung auf.


  2. Job Abgelaufene Benutzer sperren


    • Selektiert alle Benutzer, deren Gültigkeit bereits überschritten ist.

    • Sperrt diese Benutzer automatisch.

    • Ergebnis: Doppelter Schutz, falls ein Gültigkeits Ende manuell verlängert wird.


Die tägliche Ausführung stellt sicher, dass weder Dormant Accounts noch abgelaufene Benutzer länger offen bleiben als unbedingt nötig.


Lizenz Vermessung aktiv vorbereiten


Gerade im Kontext von Lizenzkosten liegt die Stärke des Reports. SAP unterscheidet nicht zwischen einem Benutzer, der nur gesperrt ist, und einem Benutzer, dessen Gültigkeit formal abgelaufen ist. Nur die zweite Variante wird aus der USMM Vermessung herausgefiltert. Deshalb ist es so wichtig, Dormant User nicht einfach nur zu sperren, sondern ihr Gültigkeits Ende zu setzen. Das anschließende Sperren dient als Sicherheitsnetz, verändert aber die Lizenz Zahlen nicht.


Fazit


RSUSR_LOCK_USERS ist kein spektakuläres Tool. Er hat keine bunte Oberfläche und keinen Projektcharakter. Aber gerade darin liegt seine Stärke. Mit zwei täglichen Jobs lassen sich Dormant Dialog und Service User automatisiert bereinigen, abgelaufene Benutzer konsequent sperren und Lizenzkosten spürbar senken.


Wer diesen Report diszipliniert einsetzt, gewinnt auf drei Ebenen: weniger Kosten, höhere Sicherheit und saubere Compliance Nachweise. Und das Beste daran: Es braucht dafür weder monatelange Projekte noch zusätzliche Software, sondern nur die Entscheidung, vorhandene Bordmittel endlich konsequent zu nutzen.


Bei Anmerkungen, Ergänzungen, Hinweise auf Fehler, gerne eine kurze Mail an blog@wtrknt.com


MfG DMa

 
 
 

Kommentare

bottom of page