好吧，讓我們假設(shè)你的活動(dòng)目錄是簡(jiǎn)潔、中等和正確的：它包含你組織內(nèi)的所有用戶，并且當(dāng)前他們是被許可的。這種令人高興的狀態(tài)要?dú)w功于健全的帳戶管理生命周期。是否達(dá)到這點(diǎn)后你就可以止步不前了呢？不是。

雖然擁有真實(shí)反映組織內(nèi)有哪些賬號(hào)的活動(dòng)目錄，這讓IT系統(tǒng)不斷地變得更好（即使節(jié)奏緩慢），但它還沒(méi)有好到能確保這些活躍的身份只具有為完成工作所需要的特權(quán)。無(wú)論是因?yàn)樗麄兊幕顒?dòng)目錄不支持足夠細(xì)粒度化的權(quán)限，或是由于他們只有少量的職員所以必須授予許多人寬泛的訪問(wèn)權(quán)限，或者是因?yàn)樗麄冇写罅康穆殕T，而人員的職位變更易于積累他們?cè)?jīng)擁有的所有特權(quán)——被稱作訪問(wèn)蠕變（權(quán)限泛濫）——控制特權(quán)賬戶的系統(tǒng)訪問(wèn)是個(gè)極大的挑戰(zhàn)。

當(dāng)正確地控制訪問(wèn)特權(quán)以及如何使用它們時(shí)，一個(gè)關(guān)鍵原則是實(shí)施基于角色的訪問(wèn)控制（role-based access control，RBAC）。RBAC原則認(rèn)為：不要直接管理用戶的帳戶特權(quán)。而是定義用戶們履行某個(gè)特定角色需要的特權(quán)，然后為適當(dāng)?shù)挠脩魩舴峙浣巧?。?dāng)用戶的角色發(fā)生變化時(shí)他們的訪問(wèn)權(quán)限也隨之變化。這個(gè)方法緩解了特權(quán)蠕變問(wèn)題，當(dāng)某人的角色從DBA變?yōu)閁nix系統(tǒng)管理員時(shí)，他們會(huì)失去原先工作角色需要的數(shù)據(jù)庫(kù)特權(quán)，但同時(shí)獲得之前不需要的OS級(jí)別的特權(quán)。

為了讓基于角色的管理健全地運(yùn)行，并且滿足審計(jì)人員的需要，IT部門需要盡可能地保持角色設(shè)置簡(jiǎn)單，減少它在實(shí)際運(yùn)作中要求的例外情況，并有一些“外援”來(lái)管理賬戶特權(quán)的使用。基本上，身份管理系統(tǒng)能幫助你進(jìn)行基于角色的管理，并且有些在你將使用的角色集、以及你同意的例外情況最小化方面做的很好，還有更少一些能有力地幫助你追蹤特權(quán)是如何被使用的，或給予你對(duì)它們進(jìn)行細(xì)粒度控制的其他能力。

注意，當(dāng)我們提到特權(quán)時(shí)是指IT人員（以及審計(jì)人員）通常所理解的，即主要是想追蹤與系統(tǒng)、數(shù)據(jù)庫(kù)以及網(wǎng)絡(luò)管理有關(guān)的特權(quán)。這些***鑰匙被授予對(duì)嚴(yán)格保護(hù)數(shù)據(jù)的廣泛、甚至是不受約束的訪問(wèn)。然而，應(yīng)該指出的是，其它特權(quán)也可能引起其它業(yè)務(wù)部門的興趣，例如能夠在存有掃描紙質(zhì)表格鏡像的存儲(chǔ)設(shè)備上創(chuàng)建、或刪除文檔鏡像。

權(quán)限管理工具（又名特權(quán)帳戶管理、超級(jí)用戶特權(quán)管理、或是特權(quán)用戶管理工具）幫助你超越賬戶和角色。它們超出了傳統(tǒng)工具所能提供的支持，能幫助填補(bǔ)特權(quán)用戶訪問(wèn)管理的差距，授予關(guān)于特權(quán)使用額外的可視性，給用戶或系統(tǒng)授予訪問(wèn)時(shí)額外的粒度。

理想的特權(quán)管理（privilege management，PM）工具應(yīng)該是：

◆比起標(biāo)準(zhǔn)的帳戶特權(quán)組更加細(xì)粒度：例如，一個(gè)PM工具能授予、或限制對(duì)應(yīng)用內(nèi)特定組件的訪問(wèn)（例如，有選擇性地允許或是禁止“另存為”或是“打印”）；基于各種因素過(guò)濾角色所被賦予特權(quán)中的子集，包括人們從哪里登錄以及最近他們做了什么；給其它非特權(quán)角色或進(jìn)程賦予特定的提升特權(quán)。

◆能容易地與非活動(dòng)目錄賬戶協(xié)作，例如服務(wù)器和桌面系統(tǒng)的本地管理員賬戶。

◆不僅能管理你的活動(dòng)目錄里面的特權(quán)用戶，還包括你關(guān)心的所有平臺(tái)：包括Windows、Linux、Unix或是其它系統(tǒng)。管理包括變更管理，例如確保某個(gè)特權(quán)用戶做出的變更不會(huì)意外地影響到其他人的工作，如某人修改服務(wù)器上好幾個(gè)人需要訪問(wèn)的本地管理員賬戶的密碼。

◆能審計(jì)特權(quán)的使用情況：例如，該特權(quán)管理工具能推動(dòng)管理員反復(fù)地核查進(jìn)出的訪問(wèn)（可能是通過(guò)一次性密碼），并追蹤每次敏感的訪問(wèn)權(quán)限的使用，以及追蹤使用共享賬戶的真實(shí)人員。

如果IT部門希望對(duì)特權(quán)賬戶的管理至少和身份管理一樣成功，這些能力會(huì)被越來(lái)越多地看作是必備條件。