我正在创建政策，为所有需要特权访问的员工创立独立管理员账号。在包含数百名员工的环境中，他们的访问包括Windows、Linux、甲骨文、SAS等。我在考虑创建独立管理员账号时受到一些阻力。请问在大型企业中是否已有这类的政策成功部署？独立管理员账号是最好的方法吗？

Matthew Pascucci：为独立管理员账号创建政策并不罕见，这正在成为一种标准。为管理员创建单独账号可确保正确的职责分离，并确保可完全访问系统和数据的账户安全性。

在大型公司中这可能会成为一个问题，当然并不是不能实现，而是这需要大量工作才能实现，同时还涉及改变管理员和管理层的心态问题。

现在，很多大型公司以多种方式为管理员创建独立账户。一种方法是创建只读访问权限系统账户，让管理员可查看配置和访问权限，当他们在系统内查看应用时不会制造意外问题。另一方面，有些公司只有当管理员要对系统进行更改或者需要提升权限时才会创建账户。

无论哪种方式，建议为管理员创建两种账户来管理系统，特别是那些包含敏感数据的系统。一个账户用于进行更改，另一个账户为只读。当特定用户不需要管理员账户，但仍然要访问系统时，还可以删除其管理员账户。

很多时候，用户（特别是Windows管理员，不过不只局限于Windows操作系统）将特权账户作为一般用户账户使用。在这种情况下，Windows域管理员很容易通过网络钓鱼、跨站脚本或其他攻击泄露其账户信息。很多管理员都会抱怨没有特别权限无法完成工作，但大多数情况下并不是这样。如果是Windows管理员，则可以从其工作站使用运行、Linux管理员可以使用sudo或跳转框以控制使用这些特权账户的风险。

现在特权访问管理领域有很多工具可帮助解决这一问题，但很多时候，还是需要企业文化态度的转变。上级管理人员需要了解特权账户浏览互联网的需求和风险，以及可能由此产生的危险。恐惧、不确定和怀疑的方式并不可取，你需要有更多的事实告诉给管理层，这样对你说服他们更有利。

我建议从每组选出试用用户，并为每个用户设置次级账户。从长远来看，提前了解详细信息可更好地让用户和管理层了解不使用独立管理员账户的风险。