近年來(lái)有個(gè)問(wèn)題一直困擾著很多管理員，就是如何對(duì)活動(dòng)目錄 AD（Active Directory）的生成叢（Forests）進(jìn)行有效的安全監(jiān)控。其原因主要有兩個(gè)：一是在現(xiàn)實(shí)系統(tǒng)中，這些叢多屬歷史積累所成，如果出于安全考慮徹底取消，重新構(gòu)建，往往成本巨大而不現(xiàn)實(shí)；其二，那么，在這樣的叢基礎(chǔ)上構(gòu)建的更高級(jí)別的域賬號(hào)安全就難以保障。

為此，在Windows Server 2016中所出現(xiàn)的Shadow Principals和短期活動(dòng)目錄AD組，目的便是有效地控制AD叢的安全性，由此便形成了ESAE（Enhanced Security Administrative Environment）解 決 方 案。ESAE不僅對(duì)于管理權(quán)限賬戶提供了較好的安全性，它同樣適用于那些具有即時(shí)管理權(quán)限JIT (Just-in-Time)的普通賬戶。

按照ESAE的要求，既然管理叢（Admin Forest）控制著對(duì)于叢的訪問(wèn)，因而首先需要保證其本身是安全的。為此，Admin Forest不應(yīng)當(dāng)保留那些與本叢無(wú)關(guān)的應(yīng)用或服務(wù)，將Admin Forest的范圍限制在具有管理權(quán)限的特殊賬戶，以避免附加叢之后所造成的復(fù)雜性。對(duì)于 Admin Forest，生 成 的Forest應(yīng)當(dāng)配置為具有叢或域之間的PIM信任機(jī)制，而叢內(nèi)的某些應(yīng)用應(yīng)當(dāng)采用雙重信任機(jī)制。

盡管Admin Forest內(nèi)的Users具有訪問(wèn)其生成叢的權(quán)利，但他們?cè)贏dmin Forest內(nèi)并非屬于特權(quán)型賬戶，也就是說(shuō)對(duì)于Admin Forest的訪問(wèn)必須嚴(yán)格控制為采用manual方式，以此來(lái)確保Admin Forest具有嚴(yán)格的安全性。不僅如此，對(duì) 于Admin Forest還可以采用其他的安保手段，包括BitLocker全盤加密、網(wǎng)絡(luò)隔離、封閉USB端口、多重認(rèn)證、物理加密、防蠕蟲等。

采用Shadow Principals，要求Admin Forest用戶對(duì)生成叢的訪問(wèn)必須采用BUILT-INAdministrators或Domain Admins訪問(wèn)方式，甚至要求這些用戶不能像外部叢的用戶那樣可以修改組策略Group Policy。而作為Global Group的Domain Admins,并不允許外部叢的用戶加入，此即意味著盡管我們可以將一個(gè)Admin Forest用戶加入到具有Domain Admin組的 Shadow Principal當(dāng)中，但是只有當(dāng)Admin Forest用戶登錄到生成的域內(nèi)時(shí)，才會(huì)授予其BUILT-IN Administ rators權(quán)限。當(dāng)然，只要通過(guò)ADSI編輯器修改每個(gè)GPO（Group P o l i c y Objects）所在的AD容器的安全許可，Admin Forest用戶也可以修改當(dāng)前的GPO。

為了控制對(duì)生成叢的特權(quán)式訪問(wèn)，微軟提供了所謂MIM(Microsoft Identity Manager)的工作流方式。MIM允許執(zhí)行部門生成一種具有預(yù)期成員關(guān)系的組，當(dāng)有用戶需要權(quán)限訪問(wèn)生成叢時(shí)，可以通過(guò)MIM為其提供一段限制期限的訪問(wèn)，當(dāng)然MIM屬于Windows Server 2016的一種副產(chǎn)品，在Windows Server 2016中并不提供。

從安全角度而言，活動(dòng)目錄以及服務(wù)器的安全應(yīng)當(dāng)是系統(tǒng)最重要的內(nèi)容，但實(shí)際對(duì)很多企業(yè)而言，復(fù)雜系統(tǒng)的構(gòu)成并不是將安全放在首位。Windows Server 2016的ESAE試圖在二者之間起到一種平衡。毋庸諱言，ESAE為系統(tǒng)帶來(lái)了復(fù)雜度的同時(shí)，也為叢提供了一種有利于安全的“勒馬繩”。所以，ESAE不一定適用于任何公司的系統(tǒng)，比如有些應(yīng)用并非是由叢外的用戶負(fù)責(zé)運(yùn)維，此時(shí)系統(tǒng)只能部分采用ESAE，而無(wú)法推而廣之。