好吧，讓我們假設你的活動目錄是簡潔、中等和正確的：它包含你組織內的所有用戶，并且當前他們是被許可的。這種令人高興的狀態要歸功于健全的帳戶管理生命周期。是否達到這點后你就可以止步不前了呢？不是。

雖然擁有真實反映組織內有哪些賬號的活動目錄，這讓IT系統不斷地變得更好（即使節奏緩慢），但它還沒有好到能確保這些活躍的身份只具有為完成工作所需要的特權。無論是因為他們的活動目錄不支持足夠細粒度化的權限，或是由于他們只有少量的職員所以必須授予許多人寬泛的訪問權限，或者是因為他們有大量的職員，而人員的職位變更易于積累他們曾經擁有的所有特權——被稱作訪問蠕變（權限泛濫）——控制特權賬戶的系統訪問是個極大的挑戰。

當正確地控制訪問特權以及如何使用它們時，一個關鍵原則是實施基于角色的訪問控制（role-based access control，RBAC）。RBAC原則認為：不要直接管理用戶的帳戶特權。而是定義用戶們履行某個特定角色需要的特權，然后為適當的用戶帳戶分配角色。當用戶的角色發生變化時他們的訪問權限也隨之變化。這個方法緩解了特權蠕變問題，當某人的角色從DBA變為Unix系統管理員時，他們會失去原先工作角色需要的數據庫特權，但同時獲得之前不需要的OS級別的特權。

為了讓基于角色的管理健全地運行，并且滿足審計人員的需要，IT部門需要盡可能地保持角色設置簡單，減少它在實際運作中要求的例外情況，并有一些“外援”來管理賬戶特權的使用。基本上，身份管理系統能幫助你進行基于角色的管理，并且有些在你將使用的角色集、以及你同意的例外情況最小化方面做的很好，還有更少一些能有力地幫助你追蹤特權是如何被使用的，或給予你對它們進行細粒度控制的其他能力。

注意，當我們提到特權時是指IT人員（以及審計人員）通常所理解的，即主要是想追蹤與系統、數據庫以及網絡管理有關的特權。這些***鑰匙被授予對嚴格保護數據的廣泛、甚至是不受約束的訪問。然而，應該指出的是，其它特權也可能引起其它業務部門的興趣，例如能夠在存有掃描紙質表格鏡像的存儲設備上創建、或刪除文檔鏡像。

權限管理工具（又名特權帳戶管理、超級用戶特權管理、或是特權用戶管理工具）幫助你超越賬戶和角色。它們超出了傳統工具所能提供的支持，能幫助填補特權用戶訪問管理的差距，授予關于特權使用額外的可視性，給用戶或系統授予訪問時額外的粒度。

理想的特權管理（privilege management，PM）工具應該是：

◆比起標準的帳戶特權組更加細粒度：例如，一個PM工具能授予、或限制對應用內特定組件的訪問（例如，有選擇性地允許或是禁止“另存為”或是“打印”）；基于各種因素過濾角色所被賦予特權中的子集，包括人們從哪里登錄以及最近他們做了什么；給其它非特權角色或進程賦予特定的提升特權。

◆能容易地與非活動目錄賬戶協作，例如服務器和桌面系統的本地管理員賬戶。

◆不僅能管理你的活動目錄里面的特權用戶，還包括你關心的所有平臺：包括Windows、Linux、Unix或是其它系統。管理包括變更管理，例如確保某個特權用戶做出的變更不會意外地影響到其他人的工作，如某人修改服務器上好幾個人需要訪問的本地管理員賬戶的密碼。

◆能審計特權的使用情況：例如，該特權管理工具能推動管理員反復地核查進出的訪問（可能是通過一次性密碼），并追蹤每次敏感的訪問權限的使用，以及追蹤使用共享賬戶的真實人員。

如果IT部門希望對特權賬戶的管理至少和身份管理一樣成功，這些能力會被越來越多地看作是必備條件。