确保合规的关键是通过活动目录(Active Directory)之类的系统来实施企业政策，可问题是，一旦你设置好各种规则，要确保这它们始终保持有效就不那么容易了。IT技术的日新月异，意味着基础设施的变更速度经常超过了IT管理人员应对变化的能力，这导致企业的“官方”政策与现实脱节。本来系统就缺乏能见度，如果再往系统里增加一些远程员工和分支办事处的话，这对系统管理员来说无疑是一场噩梦。

　　让系统回归正轨的第一步，是根据监管法规的要求制定相应的安全政策，然后部署活动目录组策略，以进行企业政策的配置，这可绝非易事。这个步骤完成后，IT管理人员还得证明政策合规，因为只完成那些必要的设置是不够的，审计人员期望你能够证明相关规则都得到了正确应用。

　　厂商们自称新出炉的活动目录合规工具能够评测安全政策的有效性，为IT系统和公司业务创造价值。那些配置不当的设备容易产生安全问题，数据漏洞会被外来入侵者利用或被内部员工滥用。在所有的工作站中，采用非标准配置的工作站虽然相对比例较小，但它们往往会引来层出不穷的病毒和间谍软件问题。

　　如果某种工具软件自称能在降低合规成本的同时，显著地提高系统安全性，那么它必须给出让人信服的理由。在大多数合规软件的宣传广告中，都存在不同程度的水分，因此要弄清楚它们的真正价值确实也有难度。不过，无论如何，企业都应当尽量避免为系统添置名不副实、鸡肋式的单点工具。

　　当然，我并非是说这些工具一无是处。但值得警惕的是，它们虽然不能给系统带来实质性的改善，但却能让你感受到某种虚假的安全感，所以你得看清这些陷阱。在决定购买某些工具之前，你最好先打好安全政策框架的基础，并且充分利用现有的功能。

　　畅销软件

　　在广阔的企业治理、风险管理和合规性(GRC)软件市场中，活动目录政策审计工具可算得上是个利基市场(niche)。从供应商的角度来看，GRC产品已经成为稳定的营收增长源之一，而且相对来说它很少受到恶劣的经济气候造成的预算削减影响。有鉴于此，供应商们进一步强化相关的产品，并将现有产品重新包装后美其名曰“合规解决方案”也就不足为奇了。不幸的是，这个细分市场仍在不断进化中，开发者们争先恐后与最新技术保持同步。由于这些产品的功能差别较大，没有哪两种产品是一模一样的，所以要对它们进行比较有点困难。

　　针对在整个企业内部满足合规要求的目标，冠群电脑公司(CA)、国际商业机器公司(IBM)、网威公司(Novell)、太阳微系统公司(Sun Microsystems)和赛门铁克公司(Symantec)等大型厂商都推出了功能众多的软件套件，不过，它们并不一定都能处理组策略问题。有些软件套件干脆将组策略管理丢给本地工具去处理，而那些包括某种端点政策审计功能的套件往往又缺乏足够的深度。规模较小的厂商如大修公司(Bigfix)、全甲公司(Fullarmor)、NetIQ公司和 Quest公司提供一些专门针对活动目录的工具，在组策略管理方面这些工具往往具备更全面的功能。