Коллеги, приветствую.

Собственно, есть система разработки, есть группа разработчиков, с полномочиями на отладку и на модификацию даннанных под отладкой.

Внимание, вопрос! Как закрыть им возможность самостоятельно добавлять себе роли через отладчик? Возможности менять данные в отладке лишать нельзя. Это требуется регулярно.

Проблема заключается в том, что в нашей конторе есть документ, в соответствии с которым наделение себя самостоятельно ролями - наказуемое деяние.
Неважно, что это только разработка. И "а-та-та" людям уже делали не раз.

Но, вы понимаете, что это дырка в безопасности. А тыканье бумагой в морду - все-равно, что обязывать работников, под угрозой увольнения, без фильтрации и использования всяких Вэб Сенсов, не использовать корпоративный интернет для сидения в социалках.
Мне хочется услышать не бредни и рассуждения о том, что хорошо и плохо, а возможные разумные предложения по устранению.

Буду очень благодарен.

раздайте sap_all и забудьте о проблеме - никто ничего добавлять не будет сам

Как тут уже сказали - 'или трусы оденьте, или крестик снимите'.
Разработчик с такими полномочиями может обойти любые проверки в абапе и сделать все что ему нужно.

Ок. Согласен. Абсурдный вопрос задал.
Админы, можете удалить мой thread.

Добавлю.
Даже если нет полномочий на изменение переменных в отладчике, но есть права писать программы с инсертами и апдейтами - при должном желании можно добавить себе какие угодно полномочия.
Поэтому разработчик в системе разработки = бог.
Любые ограничения в системе разработки помешают работать нормальным законопослушным разработчикам, но не помешают повредить потенциальным вредителям.
Поэтому ограничения вредны.

Просто, знаю печальный опыт друга, который трудится ABAP-ером в фирме, в которой по документам заказчика, нет разделения понятий "система разработки/продуктивная система".
В фирме, для ABAP-еров в разработке - не SAP_ALL. Возникла необходимочть импортнуть запросы с учебными пакетами из SAP CIS, для которых потребовались роли, которых не было.
В целом, там, любой импорт извне - харам и табу.
Не долго думая, ABAP-ер накинул роль, импортнул запросы и всё вернул на круги своя. В итоге - разнос, выговор и лишение премии.
Хотел сделать благо для команды - ландшафт для самостоятельного изучения курсов, а по факту - огрёб по самые уши.

- вот! остальное неважно

Не долго думая о бюрократических цепочках. Я бы уточнил.
Так как всё остальное было продумано. Так что, не стоит передёргивать.

это называется неадекватной политикой руководства, больше ничего......при желании, любую бюрократию можно или сократить или сделать исключение, если дело стоит этого.....

То есть разработчик захотел сделать из системы разработки в боевом трехсистемном ландшафте систему IDES вместо того, чтобы поставить IDES отдельно, а когда запретили - сделал наперекор.
По моему, очень плохая идея, действительно чреватая проблемами. По ушам надавали правильно.

А если отталкиваться не от факта добавления ролей, а от результата?
Я имею в виду то, для чего это было применено? Тогда как относиться к содеянному?
К примеру, после добавления себе ролей, я импортировал запросы с разработками. Своими же. Для дальнейшего их повторного использования.
Из "IDES", программы, классы, ФМ-ники можно как исходники выгрузить. Не спорю. А что делать с экранами? Заморачиваться каждый раз с SapLink'ами?
И так каждый раз, когда потребуется экземпляр разработки?

Ну, а про то, что всякие "песочницы" не сожержат данных и никто, кроме разработчика, не заинтересован в том, чтобы там что-то было, я и не говорю.
Без данных, система "под эксперименты" бесполезна.

Система разработки - не песочница, не путайте. Если там есть отдельный мандант, который называют 'песочница' - то это песочница для настроек, а никак для разработок. Для баловства с разработками (в том числе и импорт запросов) должна быть отдельная система, а если ее нет - значит нет.
Представьте себе ситуацию, когда из-за импорта левых запросов система разработки легла, и ее нужно восстанавливать из бэкапа. И для остроты ощущений - админы с бэкапом прощелкали и в наличии только бэкап месячной давности (бывает, ага). И вам надо теперь быстренько восстановить все ваши наработки за месяц, особенно вон ту большую задачу которую вы пилите уже три недели, но запросы не переносили в и тесте ее пока нет.
Будете после этого также говорить что 'система без данных бесполезна' или встанете в очередь линчевателей?

Вот. Так и живём. Правда у каждого своя, а истина - одна.
Тогда, поведайте мне, други мои, считается ли криминалом принести код через загрузку/выгрузку в ABAP-редакторе или импорт/экспорт через SapLink/ZSapLink?
К примеру, в запросах определённо лежит не бомба и разработчик это знает и может объяснить (но, никого эти объяснения не интересуют). А другой разработчик тянет код через озвученные выше способы.
В итоге, система падает и карать начинают кого?

нет