近年来，大多数企业已脱离了传统的客户机/服务器模式的Windows网络—— 一个我们许多人深深怀念的计算年代。现在有自定义Web应用、远程接入系统、通过LDAP集成支持Unix/Linux和其他遗留系统的需要以及引进了一系列我们10年之前无法想象的复杂事物。

　　这些变化可以有效地进行管理，如果你能够控制身份认定和接入管理（IAM）及其周边。不幸的是，还存在我们没有掌握的IT领域，这是我看到的Windows管理员最挣扎的问题之一。从用户“我必须拥有它！”到今天商业期待的更重要的安全和认证要求，如果你不能很好地掌握身份认证管理，它将毫无疑问地控制你。

　　如果你考虑围绕IAM设立一些控制或者需要提高你当前Windows的身份认证管理情况，你需要退后一步，看一下等式的软层面。正如我们多年的经验，简单地在问题上面堆积技术——Windows Server 2008 R2的IAM功能或者其他第三方产品——通常只能带来短期利益。就像IT领域的大多数产品，如果你没有做好计划和记录良好的过程，它们就有可能自行其是，往往阻碍多于帮助。

　　现在你可以做六件事情来提高你当前Windows身份认证和访问管理情况，同时也能确保你从一开始就正确使用IAM：

1. 从被管理水平影响的其他人处收集反馈。这可能包括开发人员、数据库管理员和安全管理人员（包括物理和信息）。
2. 考虑你的业务数据分类、保密政策和程序（假设它们存在）。身份认证和访问管理直接关系到这点，你的组织的法律顾问、财务总监、首席信息官、人力资源、内部审计小组将可能有一些方向。
3. 和你的信息安全和内部审计人员合作，查看他们在精简供应/反提供的用户和其他Active Directory对象方面的想法，这些可能需要访问的批准和审计跟踪。
4. 考虑可能出于你设立的政策和程序之下的商业伙伴，客户和最近/即将收购公司。
5. 文件，文件，文件！建立一套支持IAM标准和正是政策，包括范围、作用、责任和参与的具体程序。这里是一个你可以利用的安全策略模板。不要忘记IAM与事件响应和灾难恢复/业务连续性一致。
6. 您的身份认证和访问管理系统（文档，流程和技术控制）需要在一致和定期的基础上进行重新评估。商业越大型，环境越发杂，这就越重要。每年的信息风险评估和内部审计是进行这项工作的适当时间。

　　在这些领域的工作时，记得把重点放在如何提高能见度，控制和及时性 ——我们不能忽视的“其他”三个Windows安全基石。