好吧，讓我們假設(shè)你的活動目錄是簡潔、中等和正確的：它包含你組織內(nèi)的所有用戶，并且當前他們是被許可的。這種令人高興的狀態(tài)要歸功于健全的帳戶管理生命周期。是否達到這點后你就可以止步不前了呢？不是。

雖然擁有真實反映組織內(nèi)有哪些賬號的活動目錄，這讓IT系統(tǒng)不斷地變得更好（即使節(jié)奏緩慢），但它還沒有好到能確保這些活躍的身份只具有為完成工作所需要的特權(quán)。無論是因為他們的活動目錄不支持足夠細粒度化的權(quán)限，或是由于他們只有少量的職員所以必須授予許多人寬泛的訪問權(quán)限，或者是因為他們有大量的職員，而人員的職位變更易于積累他們曾經(jīng)擁有的所有特權(quán)——被稱作訪問蠕變（權(quán)限泛濫）——控制特權(quán)賬戶的系統(tǒng)訪問是個極大的挑戰(zhàn)。

當正確地控制訪問特權(quán)以及如何使用它們時，一個關(guān)鍵原則是實施基于角色的訪問控制（role-based access control，RBAC）。RBAC原則認為：不要直接管理用戶的帳戶特權(quán)。而是定義用戶們履行某個特定角色需要的特權(quán)，然后為適當?shù)挠脩魩舴峙浣巧．斢脩舻慕巧l(fā)生變化時他們的訪問權(quán)限也隨之變化。這個方法緩解了特權(quán)蠕變問題，當某人的角色從DBA變?yōu)閁nix系統(tǒng)管理員時，他們會失去原先工作角色需要的數(shù)據(jù)庫特權(quán)，但同時獲得之前不需要的OS級別的特權(quán)。

為了讓基于角色的管理健全地運行，并且滿足審計人員的需要，IT部門需要盡可能地保持角色設(shè)置簡單，減少它在實際運作中要求的例外情況，并有一些“外援”來管理賬戶特權(quán)的使用?；旧?，身份管理系統(tǒng)能幫助你進行基于角色的管理，并且有些在你將使用的角色集、以及你同意的例外情況最小化方面做的很好，還有更少一些能有力地幫助你追蹤特權(quán)是如何被使用的，或給予你對它們進行細粒度控制的其他能力。

注意，當我們提到特權(quán)時是指IT人員（以及審計人員）通常所理解的，即主要是想追蹤與系統(tǒng)、數(shù)據(jù)庫以及網(wǎng)絡(luò)管理有關(guān)的特權(quán)。這些***鑰匙被授予對嚴格保護數(shù)據(jù)的廣泛、甚至是不受約束的訪問。然而，應(yīng)該指出的是，其它特權(quán)也可能引起其它業(yè)務(wù)部門的興趣，例如能夠在存有掃描紙質(zhì)表格鏡像的存儲設(shè)備上創(chuàng)建、或刪除文檔鏡像。

權(quán)限管理工具（又名特權(quán)帳戶管理、超級用戶特權(quán)管理、或是特權(quán)用戶管理工具）幫助你超越賬戶和角色。它們超出了傳統(tǒng)工具所能提供的支持，能幫助填補特權(quán)用戶訪問管理的差距，授予關(guān)于特權(quán)使用額外的可視性，給用戶或系統(tǒng)授予訪問時額外的粒度。

理想的特權(quán)管理（privilege management，PM）工具應(yīng)該是：

◆比起標準的帳戶特權(quán)組更加細粒度：例如，一個PM工具能授予、或限制對應(yīng)用內(nèi)特定組件的訪問（例如，有選擇性地允許或是禁止“另存為”或是“打印”）；基于各種因素過濾角色所被賦予特權(quán)中的子集，包括人們從哪里登錄以及最近他們做了什么；給其它非特權(quán)角色或進程賦予特定的提升特權(quán)。

◆能容易地與非活動目錄賬戶協(xié)作，例如服務(wù)器和桌面系統(tǒng)的本地管理員賬戶。

◆不僅能管理你的活動目錄里面的特權(quán)用戶，還包括你關(guān)心的所有平臺：包括Windows、Linux、Unix或是其它系統(tǒng)。管理包括變更管理，例如確保某個特權(quán)用戶做出的變更不會意外地影響到其他人的工作，如某人修改服務(wù)器上好幾個人需要訪問的本地管理員賬戶的密碼。

◆能審計特權(quán)的使用情況：例如，該特權(quán)管理工具能推動管理員反復(fù)地核查進出的訪問（可能是通過一次性密碼），并追蹤每次敏感的訪問權(quán)限的使用，以及追蹤使用共享賬戶的真實人員。

如果IT部門希望對特權(quán)賬戶的管理至少和身份管理一樣成功，這些能力會被越來越多地看作是必備條件。