系統管理者通常會要能夠授予額外的權限給其他使用者，以讓這些使用者可以執行需權限的工作。要讓團隊成員可以存取 FreeBSD 系統來完成其特定的工作對所有管理者都會帶來挑戰，這些團隊成員通常只需要比一般使用者多出一些存取權限便可作業，但他們總是會告訴管理者若沒有超級使用者的存取權便無法完成其工作。幸好，有工具可以管理這類的需求，這樣便不需提供這麼大的權限給一般使用者。

到目前為止，安全性章節已說明了如何允許已授權的使用者存取以及嘗試防止未經授權的存取，而現在有另一個問題，是由已授權的使用者擁有權限存取系統資源造成的。在很多的情況，使用者會需要存取應用程式啟動 Script 的權限或是管理者團隊需要維護系統，以往會使用標準的使用者與群組、檔案權限、甚至是 su(1) 指令來管理存取權，但當應用程式需要更多存取權，更多使用者需要使用系統資源時，便需要更好的解決方案，目前最常用來解決此問題的應用程式便是 Sudo。

Sudo 讓管理者可以對系統指令的存取設下更嚴格的限制並提供進階的記錄功能。如同其他工具，它可自 Port 套件集取得，於其中的 security/sudo，或使用 pkg(8) 工具取得，若要使用 pkg(8) 工具可：

# pkg install sudo

安裝完成之後，可用安裝的 visudo 以文字編輯器開啟設定檔，強烈建議使用 visudo 來編輯設定檔，由於它有內建的語法檢查程式可在檔案儲存之前檢驗是否有誤。

設定檔由個小節所組成，透過這些小節可做常廣泛的設定，在以下的範例中，網站應用程式維護人員 user1 需要啟動、停止與重新啟動名稱為 webservice 的網站應用程式 。要授權此使用者執行這些工作的權限，可加入此行到 /usr/local/etc/sudoers 的最後：

user1   ALL=(ALL)       /usr/sbin/service webservice *

現在使用者可使用此指令來啟動 webservice：

% sudo /usr/sbin/service webservice start

雖然這項設定可以讓一位使用者存取 webservice 服務，但在大部份組織中會有一整個網站小組負責管理該服務，因此也可以一行來授予整個群組存取權，以下步驟會建立一個網站群組、加入使用者到這個群組，然後讓該群組中的所有成員能夠管理服務：

# pw groupadd -g 6001 -n webteam

同樣使用 pw(8) 指令來加入該使用到 webteam 群組：

# pw groupmod -m user1 -n webteam

最後，在 /usr/local/etc/sudoers 中的這行設定可以讓 webteam 群組的所有成員可以管理 webservice：

%webteam   ALL=(ALL)       /usr/sbin/service webservice *

與 su(1) 不同的是 Sudo 只需要一般使用者的密碼，這有一個使用者不需要共用密碼的優點，在大多數安全稽查都會發現共用密碼的問題且這種情況只有壞處可言。

使用 Sudo 允許使用者執行應用程式只需要輸入使用者自己的密碼，這更安全且提供比 su(1) 更佳的控制權，因為 su(1) 只要輸入 root 密碼之後該使用者便可取得所有的 root 權限。

%webteam   ALL=(ALL)       NOPASSWD: /usr/sbin/service webservice *

Defaults iolog_dir=/var/log/sudo-io/%{user}

%webteam ALL=(ALL) NOPASSWD: LOG_INPUT: LOG_OUTPUT: /usr/sbin/service webservice *

# sudoreplay -l

# sudoreplay user1/00/00/02