一、SAP系统中用户密码重置操作记录的审计与追踪方法

在SAP系统的安全运维中，密码管理是权限控制的核心环节。由于SAP出于安全考虑，采用哈希加密方式存储用户密码（位于USR02表中的BHASH字段），因此无法直接追溯密码明文或历史值。然而，企业合规性要求（如SOX、GDPR）常需审计“谁在何时通过何种方式重置了用户密码”。本文将从基础到深入，系统阐述如何通过事务码、数据表、日志功能及变更文档机制实现对密码重置行为的有效追踪。

1. 基础层面：通过标准事务码查看密码修改时间

• SU01 / SU01D：用于维护用户主数据。进入后可查看“登录数据”页签下的“密码最后修改日期”（PASSDAT字段），该字段记录最近一次密码变更的时间。
• SUIM（User Information System）：提供结构化查询能力，路径为：User → By User Name → Change Documents，可筛选特定用户的变更历史。

2. 深入分析：利用变更文档（Change Documents）追踪操作来源

当系统启用变更文档功能时，所有通过SU01等事务码进行的用户修改都会被记录。相关数据表包括：

1. CDHDR：变更头部表，记录变更对象、时间、用户、事务码。
2. CDPOS：变更项目表，包含具体字段变化，如从旧密码到期日变为新日期。
3. USR02-PASSDAT：密码最后修改日期，每次密码更改即更新此字段。

示例SQL查询（在SE16N或SQVI中使用）：

SELECT cdhdr.objectid, cdhdr.username, cdhdr.tcode, cdhdr.udate, cdhdr.uteime,
       cdpos.value_new
FROM cdhdr
JOIN cdpos ON cdhdr.changenr = cdpos.changenr
WHERE cdhdr.objectclas = 'USER'
  AND cdpos.tabname = 'USR02'
  AND cdpos.fname = 'PASSDAT'
  AND cdhdr.objectid = 'ZUSER001'
ORDER BY cdhdr.udate DESC

该查询可识别出哪位管理员在何时通过哪个事务码修改了指定用户的密码最后修改日期，从而间接判断密码是否被重置。

3. 高级审计：启用和解析安全日志（Security Audit Log）

对于更高安全级别的系统，建议启用BC-SEC模块中的安全审计日志。通过以下步骤实现：

1. 使用事务码SM19定义过滤条件，例如事件类型为“Password change”，用户对象类别为“USER”。
2. 启动日志收集，确保系统参数rsau/enable已设置为1。
3. 通过SM20查看原始日志条目，每条记录包含时间戳、客户端、用户、IP地址、操作类型等。

注意：自助密码重置（如通过Portal或Fiori应用）通常也会生成日志，但可能使用不同的事件代码（如LOGIN/PWD_SELF），需在SM19中明确包含。

4. 综合判断逻辑与最佳实践建议

单一数据源往往不足以完整还原操作过程，应结合多维度信息进行交叉验证：

此外，可通过定期调度报表（如使用ABAP程序读取上述表）自动生成“近期密码重置清单”，并集成至GRC（Governance, Risk and Compliance）平台，满足自动化合规报告需求。