Можно ли ограничить пользователя на создание заказов только определенных видов? Например, имеет полномочия на создание заказов только вида PM01, полномочия на просмотр всех PM01, PM02, PM03.

да

Стандартный объект полномочий I_AUART, добавляется в профиль полномочий автоматически при добавлении в роль транзакции IW31.

Народ, вы чего ?

Добавляем объект I_AUART : Виды заказов PM01, PM02, PM03

Потом добавляем транзакции, объект I_TCODE : IW31, IW33.

В итоге пользователь может как смотреть, так и создавать все виды заказов. Было бы все так просто, я бы не спрашивал ??

Исхожу из предпосылки, что нет стандартной проверки полномочий по условиям определенным в топике: если чуть-чуть с АБАП-ом дружен, то можно, например так:

1. Создаешь объект полномочий, например Z_AUART - можно по подобию I_AUART, только добавив туда поле AKTVT и указав для него допустимые операции: 01 (Создание), 02 (Изменение), 03 (Просмотр)

2. BADI IWO1_ORDER_BADI, метод AUTHORITY_CHECK_AUART_ACTIVIT пишешь что-то типа:

Добрый день,
мне кажется наиболее рациональный подход создание отдельных ролей для каждой транзакции (IW31, IW33) для каждого вида заказов (PM01, PM02, PM03) и в этих ролях уже разграничивать полномочия по организационно-экономическим операциям (Объект полномочий - BETRVORG). Пусть все это займет побольше времяни чем написание EXITa, но потом у пользователей будет более корректное разграничение полномочий.

Злравствуйте!
я сам не пробовал, но интересно:
Если создать варианты транзакций на ведение ЕО, жестко прошить туда вид заказа, дать полномочия на данную транзакцию, но не давать на ie01 - как система себя поведет?

что-то ты намудрил - ведение ЕО, вид заказа, ie01. Наверное все-таки имел ввиду IW31. Ну а насчет того как система поведет: именно так как ты думаешь(вернее как вариант транзакции создашь), так и поведет. Но мне кажется, что проблему обозначенную в топики проще решить разруливанием прав.

да, намудрил...
iw31 конечно....

Скорее всего ничего сделать она не даст. Т.к. просто по коду оператор проверки полномочий на этот вид заказа все равно быдет выполнятся. И если ты дал полномочия на какую-то з-транзакцию, имхо это ни о чем не говорит.

Мы изначально так и хотели пойти, по пути предложенному Andj :

" ... создание отдельных ролей для каждой транзакции (IW31, IW33) для каждого вида заказов (PM01, PM02, PM03) и в этих ролях уже разграничивать полномочия по организационно-экономическим операциям (Объект полномочий - BETRVORG).... "
В итоге оказалось, что при присвоении этих ролей одному пользователю происходит наслоение видов заказов на транзакции и в итоге все могут делать все.

Что касается BETRVORG, то там нет операций типа "Создать, Изменить", там операции типа "Деблокировать"или "Создать прав.расчета".

В данной ситуации единственный выход мне видится - это предложенный OlegDM (BADI) (спасибо ему, в очередной раз выручает).

Мое решение проблемы:
Создаете роль для транзакции IW31 и указываете один вид заказа PM01, в BETRVORG ставите * (или то, что вам надо).
Для просмотра создаете отдельную роль с транзакциями IW33, IW39 указываете все виды заказов, а ветку I_VORG_ORD (РМ:орг-эконом операции:Заказы) делаете неактивной.
Проделывал все это с сообщениями - все работает (Одни пользователи создают сообщения, но не могут их деблокировать и т.д., а другие пользователи обрабатывают их далее).

Отвечу кратко : пробовали, для заказов это не подходит.