近年来有个问题一直困扰着很多管理员，就是如何对活动目录 AD（Active Directory）的生成丛（Forests）进行有效的安全监控。其原因主要有两个：一是在现实系统中，这些丛多属历史积累所成，如果出于安全考虑彻底取消，重新构建，往往成本巨大而不现实；其二，那么，在这样的丛基础上构建的更高级别的域账号安全就难以保障。

为此，在Windows Server 2016中所出现的Shadow Principals和短期活动目录AD组，目的便是有效地控制AD丛的安全性，由此便形成了ESAE（Enhanced Security Administrative Environment）解 决 方 案。ESAE不仅对于管理权限账户提供了较好的安全性，它同样适用于那些具有即时管理权限JIT (Just-in-Time)的普通账户。

按照ESAE的要求，既然管理丛（Admin Forest）控制着对于丛的访问，因而首先需要保证其本身是安全的。为此，Admin Forest不应当保留那些与本丛无关的应用或服务，将Admin Forest的范围限制在具有管理权限的特殊账户，以避免附加丛之后所造成的复杂性。对于 Admin Forest，生 成 的Forest应当配置为具有丛或域之间的PIM信任机制，而丛内的某些应用应当采用双重信任机制。

尽管Admin Forest内的Users具有访问其生成丛的权利，但他们在Admin Forest内并非属于特权型账户，也就是说对于Admin Forest的访问必须严格控制为采用manual方式，以此来确保Admin Forest具有严格的安全性。不仅如此，对 于Admin Forest还可以采用其他的安保手段，包括BitLocker全盘加密、网络隔离、封闭USB端口、多重认证、物理加密、防蠕虫等。

采用Shadow Principals，要求Admin Forest用户对生成丛的访问必须采用BUILT-INAdministrators或Domain Admins访问方式，甚至要求这些用户不能像外部丛的用户那样可以修改组策略Group Policy。而作为Global Group的Domain Admins,并不允许外部丛的用户加入，此即意味着尽管我们可以将一个Admin Forest用户加入到具有Domain Admin组的 Shadow Principal当中，但是只有当Admin Forest用户登录到生成的域内时，才会授予其BUILT-IN Administ rators权限。当然，只要通过ADSI编辑器修改每个GPO（Group P o l i c y Objects）所在的AD容器的安全许可，Admin Forest用户也可以修改当前的GPO。

为了控制对生成丛的特权式访问，微软提供了所谓MIM(Microsoft Identity Manager)的工作流方式。MIM允许执行部门生成一种具有预期成员关系的组，当有用户需要权限访问生成丛时，可以通过MIM为其提供一段限制期限的访问，当然MIM属于Windows Server 2016的一种副产品，在Windows Server 2016中并不提供。

从安全角度而言，活动目录以及服务器的安全应当是系统最重要的内容，但实际对很多企业而言，复杂系统的构成并不是将安全放在首位。Windows Server 2016的ESAE试图在二者之间起到一种平衡。毋庸讳言，ESAE为系统带来了复杂度的同时，也为丛提供了一种有利于安全的“勒马绳”。所以，ESAE不一定适用于任何公司的系统，比如有些应用并非是由丛外的用户负责运维，此时系统只能部分采用ESAE，而无法推而广之。