Добрый день, коллеги! Предлагаю обсудить опубликованную статью на саплэнде. Автор рекомендует удалять 001, 066 и остальные "лишние клиенты".
Что Вы думаете по этому поводу ? По мне как-то не по фэн шую.
http://sapland.ru/blogs/polyakov/?post=9609

имеет смысл если есть дефицит места в базе
можно сэкономить пару гигабайт

Мотивация - снижение затрат на поддержание безопасности. Если этим действительно кто-то занимается (безопасностью) - то почему бы и нет
Кому сейчас нужен 066 мандант?

Для тех вещей, о которых пишет данный теоретик достаточно запустить отчёт RSUSR003 и ставить нетривиальные пароли

Пардонте, а EWA отчёты у вас в каком манданте работать будут ?

P.S>
С удивлением обнаружил, что есть на эту тему отдельная нота 1749142 (смущает только то,что мне она недоступна...)

Они там не работают.
А теоретик на самом деле крутой чувак (который Бухгольтц).
RSUSR003 - это все чудесно, но только кто его запускает регулярно?

В общем если есть малоиспользуемый мандант - то почему бы его не удалить, если у вас паранойя по поводу безопасности в вашей системе.
Про ноту там шутят в комментариях -

Но зато есть вот эта нота -
1897372 - EarlyWatch Mandant 066 - Can Client 066 be deleted?

А кто-нибудь уже имел опыт в удалении этих мандантов?
Сказывается ли это на продуктивном ладшафте?
И были ли вопросы от аудиторов? )))

Поддерживаю вопрос Prometheus

Ну удалили 001 и 066 мандант, ну сэкономили пару-тройку гигабайт. На общем фоне в несколько сот гигабайт - это незаметно(imho)...

И бац, года через три вас просят их "восстановить"(ну мало ли, какая блажь потребуется ТП SAP AG..). Что будете делать ?

Вспомните, что выгрузили мандант в запрос и сохранили в укромном месте... ?

Начнёте процесс восстановления и выяснится, что за эти три года вы поставили пару-тройку обновлений...и процесс успешно вываливается в ошибку.
И стоит ли администраторских нервов такая экономия "на спичках" ???



На мой взгляд, иметь в этих трёх мандантах(плюс нулевой конечно) лишних юзеров - неправильно.
Достаточно запустить 1 раз RSUSR003 , для всех стандартных и базисных юзеров поставить нетривиальные пароли - и успешно про эти манданты забыть..
И кстати, насколько я слышал пароли могут быть зашифрованы разными алгоритмами и есть у меня стойкое подозрение, что какие-то из них
шифруют с помощью необратимой функции. Так что, угроза "с лёгкостью расшифровать пароль" на мой взгляд сильно преувеличена

Админ записал на бумажке пароль
Сап-сервер сломали...
Виноват первый мандант

А у меня вообще смешно, я бы и рад поменять пароль SAP* в 066, дык не дает, потому что при создании пользователя в 066 манданте вкладка адрес пуста. И при сохранении падает в дамп

Все правильно говорите, от паролей хранится hash который расшифровать, будем считать, что крайне сложно.
Но в общем случае - зачем держать дыру (малоиспользуемый мандант в который никто не заходит, не меняет пароли и т.д.).
Например. Работал у вас базисник. Поставил прекрасный нетривиальный пароль. Уволился. Все пароли везде поменяли (уже на самом деле - молодцы ), про 66 мандант - забыли.
Скажете, что нереальная ситуация? А RSUSR003 тут ничего не скажет.
Но соглашусь, что это не самая большая проблема, я написал, что это больше для параноиков

Если в организации нет нормативных документов по хранению паролей, политике их изменения и пр., то в описанной ситуации - это ОЧЕНЬ большая проблема. И не с точки зрения SAP. А с точки зрения откровенного разгильдяйства СБ.
Базис может только предоставить СРЕДСТВА рабоы с паролями (и прочим, относящимся к безопасности). Все остальное - чисто административная проблема.
И никакое удаление мандантов и тому подобное никак не помогут, если нет четкой инструкции по выполнению определенных действий при описанной ситуации (увольнение базисника).

Да вроде никто и не говорит, что удалите 66 мандант и будет вам счастье
Конечно если все хорошо, все зарегламентировано, СБ знает про все манданты и т.д - может и не надо ничего удалять, особенно если 66 мандант вам дорог или если используется разумный подход - работает, не трогай.
Но, скажите серьезно, везде так?

Тс-с-с... Я знаю такие места...
А там, где не так, удалять "лишние" манданты вообще бессмысленное занятие

А разве не достаточно просто заблокировать все ненужные манданты?