在分析一个客户事件的过程中，我尝试测试功能模块BAPI\u USER\u GET\u DETAIL的行为，其中一些信息由于维护授权对象S\u USER\u GRP中的activity 05（lock）而受到限制。客户抱怨维护的活动限制了太多的信息。他预计密码散列的唯一限制将导致严重的安全问题。

SE37:BCODE、PASSCODE和PWDSALTEDHASH应显示为零，因为它不包含有关密码的信息。

因此，游戏返利平台，我试图用一个特定的测试用户可以看到我的管理员ID的密码散列的规范来重现这个例子。由于活动05是默认的，我想知道如果我将活动更改为03（显示）会发生什么。

我在PFCG（ZïBAPI）中创建了一个新的单一角色，其中包括事务SE37（函数生成器），将我的测试用户分配给该角色，并手动添加授权对象S\u user\u GRP.

在S\u user\u GRP中可以维护两个授权字段：活动（ACTVT）和用户组（CLASS）。

最初测试用户没有执行功能模块的授权。为了找出检查了哪些授权对象和-字段，我为测试用户运行了STAUTHTRACE，并在事务SE37中简单地执行了BAPI\u user\u GET\u DETAIL。

哪些授权是默认的，可以在非活动授权对象S\u DEVELOP的授权字段中看到。底部的STAUTHTRACE显示了authority\u CHECK检查的字段。只是为了找出哪些值必须维护（ACTVT:16，海量数据，DEVCLASS:SUSR，OBJNAME:SU\u USER），以便测试用户有权在SE37中执行BAPI\u USER\u GET\u DETAIL。

之后，我在SUGR中为我的管理员ID创建了一个用户组（"BAPI"），将其分配给该用户组，并在授权对象S\u user\u GRP中维护用户组的授权字段

就是这样！

说到做到，我用我的测试用户登录到系统并执行SE37。然后我启动了功能模块BAPI\u USER\u GET\u DETAIL，什么大数据，并试图显示我的管理员ID中的所有信息，

但是返回表显示："您无权在超级组中显示用户"。

此消息的原因是我的管理员ID被分配给用户组BAPI作为一个普通用户组。一个用户可以被分配到多个常规用户组，但是只有一个用户组可以被分配到进行授权检查。在这种情况下，这个特定的用户组（用于授权检查）很重要，因为在功能模块BAPI\u user\u GET\u DETAIL中，高返利页游，检查用户组的授权检查，而不是一般用户组。

在我用管理员ID运行SU01并在登录选项卡的"user group"字段中替换"BAPI"进行授权之后检查，一切正常。

如果用户组分配了用户ID，则会对哪种类型产生影响。在我的文档案例中，由于已检查了用于授权检查的用户组，因此将用户分配给常规组没有任何效果。特别是在用户管理主题中，如果将用户的ID分配给错误的用户组，这也可能导致严重的安全问题。所以，维护和分配后，请始终检查是否一切正常。

请查看以下有关用户组的链接：

https://help.sap.com/viewer/0182e2bf25e64b2b9743e81300cc9764/6.04.20/de-de/ff17ebb9ae414aaeae8257f219eac50.html

1663177–SU01：按需录入用户组字段

https://help.sap.com/doc/sahelp\u nw74/7.4.16/de-de/5f/617ef4bade433b9b7290bee20bc385/frameset.htm

，服务器