在做 SAP 权限角色整理时,最容易被低估的一类授权,不是某个业务事务码自己的检查对象,而是那些几乎每个岗位都可能碰到的通用能力,打印、归档、后台作业、基础查询、部分 Basis 管理功能。它们看起来不起眼,放进角色里也不难,可一旦系统里有几百个业务角色,维护方式就会直接影响后面的审计、升级、权限回收和用户主数据比较。SAP 在PFCG角色维护里提供了一套模板机制,专门处理这类通用授权。角色管理员在维护角色授权数据时,可以从 SAP 预置模板里采用授权对象,也可以把 SAP 模板复制出来,形成我们自己的客户模板。模板的维护入口在事务码SU24初始界面,通过Edit templates进入。SAP 文档明确提到,SAP 交付的模板不能直接修改,但可以复制后作为客户自定义模板的样板,也可以完全新建模板;维护这类模板需要授权对象S_USER_GRP,也就是User master maintenance, User groups。(SAP Help Portal)这套机制的关键价值,是把「通用授权」从单个事务码的角色维护里抽出来。打印权限就是一个很典型的例子。公司里