制定訪問控制策略時需要遵循以下原則：

1. 最小權限原則（Principle of Least Privilege）：授權用戶時，應該只賦予其完成工作所必需的最低權限。避免將不必要的權限授予用戶，以減少潛在的風險和濫用權限的可能性。

2. 分層授權原則（Principle of Separation of Duties）：將訪問控制策略按照層級劃分，根據用戶的職責和工作需求，分配相應的權限。不同的層級擁有不同的權限，以實現信息的隔離和分級管理。

3. 審計和監控原則（Principle of Audit and Monitoring）：對系統的訪問行為進行審計和監控，及時發現和阻止異常的訪問行為。通過日志記錄和實時監控，可以識別潛在的安全威脅和違規行為，保護系統的安全性。

4. 多因素認證原則（Principle of Multi-factor Authentication）：采用多種因素進行用戶身份認證，如密碼、生物特征、令牌等。以提高系統的安全性和防御能力，避免僅依賴單一密碼認證的弱點。

5. 強化密碼策略原則（Principle of Strong Password Policy）：制定密碼復雜度要求，鼓勵用戶使用強密碼，并定期更換密碼。通過強密碼策略，可以減少密碼泄露和猜測攻擊等安全風險。

6. 及時撤銷權限原則（Principle of Timely Revocation of Privileges）：當用戶離職或不再需要某個權限時，應及時撤銷對其的授權權限，以避免濫用或誤操作帶來的風險。

7. 安全教育與培訓原則（Principle of Security Education and Training）：持續進行安全教育與培訓，提高員工與用戶的安全意識和安全技能。經過培訓的員工更容易理解和遵守訪問控制策略，減少安全漏洞和錯誤操作。

以上原則是制定訪問控制策略時常用的準則，可以幫助組織保護敏感信息、管理訪問權限，確保系統和數據的安全性和完整性。根據具體的情況，還可以結合其他安全原則和最佳實踐來制定適合自身組織的訪問控制策略。