SAP生产机该不应开放Debuger权限

前段时间公司定制系统在调用SAP RFC接口的时候报错了，看错误消息一时半会儿也不知道是哪里参数数据错误，就想着进到SAP系统里面对这个接口作远程Debuger，跟踪一下参数变量的变化，结果发现根本就没有这个权限。

我记得当初入职的时候是有申请过这个权限的，包括IT总裁及公司老板在内的都赞成了该申请，到SAP系统管理员那边的时候也照申请的权限更新了角色，但过了一段时间以后这个权限仍是被收回了。联系系统管理员被告知：SAP生产机不能开放Debuger权限，哪怕是公司老板赞成了也没用，原则上就是不能开放。

 

他口中的“原则”无非就是SAP生产机毕竟是企业生产真实的数据，权限把控要比较严格。若是一个帐号有了Debuger权限，那就等于很大程度拥有了SAP系统不少权限，从审计以及IT管控上来讲是不合理的。从他的角度上来讲或许是对的，但站在IT业务和开发顾问的角度来看，若是遇到了很是规未知的错误，就必须经过Debuger来跟踪解决，甚至要跟踪到系统深层次的标准逻辑。那些妄想经过数据复制到测试机来让问题复现的作法都是愚蠢者的行为。

 

不只如此，我还问过其余业务顾问，好比SD模块的业务顾问，他们的帐号连SD模块不少权限都不具有（如VA02等），甚至连自开自发的报表权限都没有。有时候用户打电话发邮件过来反馈异常，经常让他们感到难堪，由于权限问题他们看不到这个异常。

  

算起来我混SAP界也是有一些年头了，一直都是用的sap_all，遇到什么问题解决历来不会为权限烦恼，也不会有人来稽核我IT帐号的权限，而这么多年来我也历来没有由于权限过大而发生过什么误操做。

 

因此开放Debuger权限是必定有的，无论是否是SAP生产机，不然不少问题根本就无法解决。惟一要卡控的是谁能拥有这个权限。通常来讲资深的开发顾问以及资历较深的SAP顾问应该拥有这个权限。这就看企业SAP系统管理员的规划了，若是只是偷懒而禁用这个权限，那我只能说像这种把SAP系统当菩萨供着的作法特别不专业和没水准。

 

 文章的最后，再说一句：其实SAP系统是能够管理到一个帐号能够用Debuger权限，但不容许修改任何变量的值。如此能够在必定程度上消除Debuger权限带来的数据风险，但我相信他们绝对不会。