AD в Windows
Active Directory в Windows
1. Определение
Active Directory (AD) — это служба каталогов, разработанная Microsoft для управления сетевыми ресурсами в Windows Server. Она предоставляет централизованное управление и хранение информации о пользователях, компьютерах, группах, политик безопасности и других объектах в корпоративной сети.
Active Directory Domain Services (AD DS) — наиболее распространённый компонент AD, который позволяет создавать домены, управлять контроллерами домена и обеспечивать аутентификацию и авторизацию пользователей и устройств.
2. Основные компоненты Active Directory в Windows
| Компонент | Описание |
|---|---|
| Домен (Domain) | Логическая группа объектов под общим именем и политикой |
| Лес (Forest) | Совокупность связанных доменов с общей схемой и глобальным каталогом |
| Сайт (Site) | Физическое расположение сети (офис, филиал), используется для оптимизации репликации |
| Организационная единица (OU) | Контейнер для группировки объектов внутри домена |
| Контроллер домена (Domain Controller, DC) | Сервер, на котором работает роль AD DS и который отвечает за аутентификацию |
| DNS-сервер | Обязательный компонент для работы AD — обеспечивает разрешение имён |
| Групповые политики (Group Policy, GPO) | Механизм применения политик безопасности и конфигураций к объектам AD |
3. Роли сервера Active Directory в Windows
| Роль | Описание |
|---|---|
| AD DS (Domain Services) | Основная роль для создания и управления доменом |
| AD LDS (Lightweight Directory Services) | Облегчённая версия AD для приложений без необходимости полного домена |
| AD CS (Certificate Services) | Выпуск и управление цифровыми сертификатами |
| AD RMS (Rights Management Services) | Защита документов и данных через политики доступа |
| AD FS (Federation Services) | Предоставляет единый вход (SSO) между организациями и в облако |
| AD DS + DNS | Стандартная комбинация для большинства организаций |
4. Установка Active Directory в Windows
Этапы установки:
- Установка роли AD DS
- Открыть "Server Manager"
- Перейти в "Add Roles and Features"
-
Выбрать "Active Directory Domain Services"
-
Промоушен сервера в контроллер домена
- Запустить мастер повышения привилегий:
powershell Install-ADDSForest -DomainName "corp.example.com" -
Либо использовать GUI-мастер после установки роли
-
Настройка параметров
- Имя домена
- Уровень функциональности леса и домена
-
Пароль режима восстановления директории (DSRM)
-
Перезагрузка сервера
- После завершения установки сервер перезагружается и становится контроллером домена
5. Архитектура Active Directory в Windows
[Пользователь/Компьютер]
↓
[Клиентский запрос аутентификации]
↓
[DNS-сервер → _ldap._tcp.dc._msdcs.<домен>]
↓
[Контроллер домена (Kerberos/TGT)]
↓
[Проверка учетных данных в AD DS]
↓
[Доступ разрешён / запрещён]
6. Групповые политики (GPO) в Windows AD
Групповая политика (Group Policy Object, GPO) — это набор настроек, которые применяются к пользователям и компьютерам в домене.
Возможности GPO:
- Настройка безопасности (парольные политики, права доступа)
- Конфигурация рабочего стола (разрешение USB, запуск скриптов)
- Развертывание программного обеспечения
- Настройка обновлений Windows (через WSUS)
- Ограничение доступа к сайтам и приложениям
Инструменты:
- Group Policy Management Console (GPMC) — основной инструмент для работы с политиками
- Resultant Set of Policy (RSoP) — анализ применяемых политик
- Policy Modeling — тестирование политик без применения
7. FSMO-роли в Windows AD
FSMO (Flexible Single Master Operations) — это пять ключевых ролей, которые не могут быть распределены между несколькими контроллерами домена одновременно.
| Роль | Описание |
|---|---|
| PDC Emulator | Обработка изменений паролей, эмуляция NT4 PDC |
| RID Master | Распределение RID-пулов для создания уникальных SID |
| Infrastructure Master | Обновление ссылок между объектами разных доменов |
| Schema Master | Управление схемой AD |
| Domain Naming Master | Управление добавлением/удалением доменов в лесу |
8. Безопасность Active Directory в Windows
Меры безопасности:
| Мера | Описание |
|---|---|
| Ограниченный доступ к FSMO-ролям | Только доверенные администраторы |
| Шифрование дисков (BitLocker) | Защита от физического доступа |
| Мониторинг событий безопасности | Использование Event Viewer и SIEM-систем |
| Регулярные бэкапы системного состояния | Восстановление AD при сбое |
| Обновление ОС и KB | Устранение уязвимостей |
| Изоляция контроллеров домена | Не запускать сторонние приложения |
| Защита от Pass-the-Hash атак | Использование Credential Guard, LSA Protection |
9. Диагностика и мониторинг Active Directory в Windows
| Инструмент | Назначение |
|---|---|
| dcdiag | Проверка здоровья контроллеров домена |
| repadmin | Анализ репликации между контроллерами |
| nltest | Диагностика связи с контроллерами |
| Event Viewer | Просмотр событий безопасности и ошибок |
| PowerShell (Get-ADForest, Get-ADDomain, Get-ADReplicationPartnerMetadata) | Автоматизация диагностики |
| Azure AD Connect Health | Для гибридных сред с Azure AD |
10. Интеграция с Azure AD
| Сценарий | Описание |
|---|---|
| Azure AD Connect | Синхронизация локального AD с Azure AD |
| Pass-through Authentication | Аутентификация напрямую из локального AD |
| Password Hash Sync | Синхронизация хэшей паролей в облако |
| Seamless SSO | Единый вход без повторного ввода пароля |
| Hybrid Join | Присоединение устройств к Azure AD и локальному AD одновременно |
11. Лучшие практики использования AD в Windows
| Практика | Описание |
|---|---|
| Использовать минимум два контроллера домена | Для отказоустойчивости |
| Регулярно проверять репликацию | Чтобы избежать рассинхронизации |
| Не использовать контроллеры домена как универсальные серверы | Это снижает безопасность |
| Резервировать FSMO-роли | Не допускать их потерю при выходе из строя |
| Использовать минимальные привилегии | Избегать наделения пользователями избыточных прав |
| Регулярно обновлять Windows Server | Для устранения уязвимостей |
| Интегрировать с Azure AD при необходимости | Использовать Azure AD Connect |