Active Directory (AD) — это не просто каталог пользователей, а фундамент безопасности и управления в корпоративной IT-инфраструктуре Windows. Правильная настройка AD определяет, насколько защищённой, управляемой и эффективной будет ваша сеть. Это руководство проведёт вас через ключевые этапы развёртывания и тонкой настройки, от установки ролей до реализации передовых политик безопасности.
Фундамент: Установка и начальная конфигурация
Процесс начинается с добавления роли "Доменные службы Active Directory" на сервер Windows Server через "Диспетчер серверов". После установки роли запускается мастер настройки, где принимаются критически важные решения.
Создание нового леса и домена
При первом развёртывании вы создаёте новый лес. Лес — это высший контейнер в иерархии AD, содержащий один или несколько доменов. Имя корневого домена (например, corp.yourcompany.local) должно быть тщательно продумано, так как его изменение впоследствии крайне сложно.
Важно: Используйте внутреннее доменное имя (например, .local или .internal), отличное от вашего публичного домена в интернете. Это повышает безопасность и избегает конфликтов с DNS.
Настройка функциональных уровней
Функциональные уровни леса и домена определяют доступные функции AD. Устанавливайте самый высокий уровень, поддерживаемый всеми вашими серверами Windows Server в лесу/домене. Это разблокирует современные функции безопасности и управления.
Структурирование: Организационные подразделения (OU) и группы
Сила AD — в логической организации объектов. Не размещайте пользователей и компьютеры непосредственно в контейнере "Computers" или "Users". Создавайте иерархию организационных подразделений (OU), отражающую структуру компании.
- По отделам: OU для "Финансы", "IT", "Отдел продаж".
- По географическому признаку: OU для "Москва", "Санкт-Петербург".
- По типу устройств: Отдельные OU для пользовательских ПК, серверов, принтеров.
Группы используются для назначения прав доступа. Следуйте модели AGDLP (Accounts -> Global Groups -> Domain Local Groups -> Permissions): пользователей (Accounts) добавляют в глобальные группы (Global Groups), которые затем включают в локальные доменные группы (Domain Local Groups), которым уже назначаются разрешения (Permissions).
Сердце управления: Групповые политики (GPO)
Групповые политики — мощнейший инструмент централизованного управления. Они применяются к сайтам, доменам или, что наиболее часто, к OU.
- Создание GPO: В "Управление групповой политикой" создайте новый объект политики с понятным именем (например, "Базовые настройки безопасности для ПК").
- Связывание: Свяжите GPO с нужной OU. Помните о наследовании политик сверху вниз.
- Настройка: Отредактируйте политику, задав тысячи параметров: от запрета доступа к USB-накопителям до настройки параметров экрана блокировки.
Совет: Всегда используйте фильтры безопасности (Security Filtering) или блокировку наследования (Enforce) для точного контроля применения GPO. Избегайте прямого редактирования политик по умолчанию "Default Domain Policy" и "Default Domain Controllers Policy".
Ключевые политики для безопасности
- Политика паролей: Установите минимальную длину (12+ символов), сложность, срок действия и историю паролей.
- Политика блокировки учётных записей: Настройте порог неудачных попыток входа для защиты от брутфорса.
- Ограничение прав пользователей: Через GPO можно запретить локальный вход в систему для обычных пользователей на критически важных серверах.
Интеграция и мониторинг
AD не существует в вакууме. Интегрируйте её с DNS (они неразрывно связаны), DHCP-сервером и службами сертификатов (AD CS). Для мониторинга используйте "Журналы событий" Windows (особенно разделы "Безопасность" и "Каталог служб") и такие средства, как Repadmin для проверки репликации между контроллерами домена.
Резервное копирование и аварийное восстановление
Регулярно создавайте резервные копии состояния системы (System State) ваших контроллеров домена с помощью Windows Server Backup или сторонних решений. Знайте процедуру восстановления контроллера домена из резервной копии и процесс принудительного удаления вышедшего из строя контроллера домена из леса (ntdsutil).
FAQ: Часто задаваемые вопросы
Сколько контроллеров домена мне нужно?
Минимум два для отказоустойчивости и балансировки нагрузки. Для крупных распределённых компаний с филиалами рекомендуется размещать контроллер домена в каждом крупном офисе.
Что такое RODC (Read-Only Domain Controller)?
Контроллер домена только для чтения. Используется в филиалах с низким уровнем физической безопасности. Он кэширует учётные данные, но не позволяет вносить изменения, что снижает риски.
Как часто реплицируются данные между контроллерами домена?
Внутрисайтовая репликация происходит каждые 15 секунд для критичных изменений (пароли) и каждые 3 часа для всех остальных. Межсайтовая репликация настраивается по расписанию (например, каждые 15 минут).
Что делать, если пользователь забыл пароль?
Администратор может сбросить пароль в оснастке "Пользователи и компьютеры Active Directory" (dsa.msc) или "Центр администрирования Active Directory". Для самообслуживания пользователей можно развернуть службу сброса паролей (Active Directory Federation Services или сторонние решения).