所有现代操作系统都实现了对数据和资源的访问控制，几乎所有的操作系统都提供了某种形式的自主访问控制。某些系统也可能提供基于角色的或强制访问控制机制。

并非所有可以访问系统的用户对系统内的数据和资源都拥有相同的访问权限。系统规划阶段应该考虑系统用户的分类、他们各自拥有的权限、他们可以访问的信息的类型，以及他们如何被定义和认证、在哪里被定义和认证。一些用户拥有更高的权限来管理系统；其他用户是普通用户，拥有相同的、对所需的文件和数据访问的适当权限；除此之外，还可以设置来宾账户，它们拥有十分有限的访问权限。另外，更高的管理权限仅提供给需要的人，并且，这些人应该在执行某些需要更高权限的任务时才可以使用这些权限，而在其他时候则以普通用户的身份访问系统。这样一来，攻击者就只有很少的机会利用特权用户的行为来攻击系统，从而提高了系统的安全性。一些操作系统提供了特殊的工具或访问控制机制，来帮助管理员在必要时提升自己的权限，并对这些行为进行适当的记录。

在配置用户、组和认证时，一个关键的决定是，用户、用户所属的组，以及他们的认证方法，是在本地系统上指定，还是使用一个集中式认证服务器。不论选择哪一种，都要在系统上做适当的配置。(www.daowen.com)

同样地，在这个阶段，包含在系统安装过程中的任何默认账户都应该受到保护。那些不需要的账户要么删除掉，要么至少禁用。管理系统中的服务的系统账户应该设置成不能用于交互式登录。另外，所有安装过程中的默认口令都应该被更改为更加安全的口令。

所有应用于认证证书，特别是应用于口令安全的策略，都需要配置。这包括对于不同的账户访问方法，哪些认证方法是可接受的，还包括口令的长度、复杂性及时效。