Windows Server 2016中的ESAE技術

近年來有個問題一直困擾著很多管理員，就是如何對活動目錄 AD（Active Directory）的生成叢（Forests）進行有效的安全監控。其原因主要有兩個：一是在現實系統中，這些叢多屬歷史積累所成，如果出于安全考慮徹底取消，重新構建，往往成本巨大而不現實；其二，那么，在這樣的叢基礎上構建的更高級別的域賬號安全就難以保障。

為此，在Windows Server 2016中所出現的Shadow Principals和短期活動目錄AD組，目的便是有效地控制AD叢的安全性，由此便形成了ESAE（Enhanced Security Administrative Environment）解 決 方 案。ESAE不僅對于管理權限賬戶提供了較好的安全性，它同樣適用于那些具有即時管理權限JIT (Just-in-Time)的普通賬戶。

按照ESAE的要求，既然管理叢（Admin Forest）控制著對于叢的訪問，因而首先需要保證其本身是安全的。為此，Admin Forest不應當保留那些與本叢無關的應用或服務，將Admin Forest的范圍限制在具有管理權限的特殊賬戶，以避免附加叢之后所造成的復雜性。對于 Admin Forest，生 成 的Forest應當配置為具有叢或域之間的PIM信任機制，而叢內的某些應用應當采用雙重信任機制。

盡管Admin Forest內的Users具有訪問其生成叢的權利，但他們在Admin Forest內并非屬于特權型賬戶，也就是說對于Admin Forest的訪問必須嚴格控制為采用manual方式，以此來確保Admin Forest具有嚴格的安全性。不僅如此，對 于Admin Forest還可以采用其他的安保手段，包括BitLocker全盤加密、網絡隔離、封閉USB端口、多重認證、物理加密、防蠕蟲等。

采用Shadow Principals，要求Admin Forest用戶對生成叢的訪問必須采用BUILT-INAdministrators或Domain Admins訪問方式，甚至要求這些用戶不能像外部叢的用戶那樣可以修改組策略Group Policy。而作為Global Group的Domain Admins,并不允許外部叢的用戶加入，此即意味著盡管我們可以將一個Admin Forest用戶加入到具有Domain Admin組的 Shadow Principal當中，但是只有當Admin Forest用戶登錄到生成的域內時，才會授予其BUILT-IN Administ rators權限。當然，只要通過ADSI編輯器修改每個GPO（Group P o l i c y Objects）所在的AD容器的安全許可，Admin Forest用戶也可以修改當前的GPO。

為了控制對生成叢的特權式訪問，微軟提供了所謂MIM(Microsoft Identity Manager)的工作流方式。MIM允許執行部門生成一種具有預期成員關系的組，當有用戶需要權限訪問生成叢時，可以通過MIM為其提供一段限制期限的訪問，當然MIM屬于Windows Server 2016的一種副產品，在Windows Server 2016中并不提供。

從安全角度而言，活動目錄以及服務器的安全應當是系統最重要的內容，但實際對很多企業而言，復雜系統的構成并不是將安全放在首位。Windows Server 2016的ESAE試圖在二者之間起到一種平衡。毋庸諱言，ESAE為系統帶來了復雜度的同時，也為叢提供了一種有利于安全的“勒馬繩”。所以，ESAE不一定適用于任何公司的系統，比如有些應用并非是由叢外的用戶負責運維，此時系統只能部分采用ESAE，而無法推而廣之。