Active Directory (AD) — это служба каталогов от Microsoft, которая является основой корпоративной IT-инфраструктуры. AD позволяет централизованно управлять пользователями, компьютерами, принтерами и другими ресурсами в сети, настраивать политики безопасности и контролировать доступ к данным.
В этой статье разберём, как настроить Active Directory с нуля: от установки роли до настройки политик безопасности. Рассмотрим типичные сценарии и лучшие практики.
Что такое Active Directory и зачем она нужна
Active Directory — это централизованная база данных, которая хранит информацию о всех объектах в сети: пользователях, компьютерах, принтерах, группах, политиках. AD позволяет управлять всем этим из одного места.
Преимущества Active Directory:
- Централизованное управление пользователями и компьютерами
- Единый вход (Single Sign-On) — один пароль для всех систем
- Политики безопасности и групповые политики (GPO)
- Контроль доступа к ресурсам (файлы, принтеры, приложения)
- Автоматизация задач (установка ПО, настройка параметров)
- Масштабируемость (от малого офиса до крупной корпорации)
- Интеграция с другими сервисами Microsoft (Exchange, SharePoint, 1С)
Active Directory особенно важна для компаний от 10+ сотрудников. Для меньших компаний можно обойтись локальными учётными записями, но при росте AD становится необходимостью.
Требования для установки Active Directory
Оборудование
Минимальные требования:
- Процессор: 2+ ядра (рекомендуется 4+)
- Оперативная память: 4 ГБ минимум (рекомендуется 8+ ГБ)
- Диск: 32 ГБ свободного места (рекомендуется SSD)
- Сеть: статический IP-адрес
Программное обеспечение
Что нужно:
- Windows Server 2016 или новее (рекомендуется 2019/2022)
- Статический IP-адрес для сервера
- DNS-сервер (обычно устанавливается вместе с AD)
- Права администратора на сервере
Важно: сервер, на котором устанавливается Active Directory, должен иметь статический IP-адрес. Динамический IP-адрес вызовет проблемы с работой домена.
Пошаговая установка Active Directory
Шаг 1: Подготовка сервера
Что нужно сделать перед установкой:
- Установить Windows Server
- Настроить статический IP-адрес
- Установить все обновления Windows
- Переименовать сервер (если нужно)
- Перезагрузить сервер
Шаг 2: Установка роли Active Directory Domain Services
Установите роль Active Directory Domain Services через Server Manager или PowerShell.
Через Server Manager:
- Откройте Server Manager
- Выберите "Add Roles and Features"
- Выберите "Role-based or feature-based installation"
- Выберите сервер
- Установите флажок "Active Directory Domain Services"
- При запросе установите также "DNS Server" (если его ещё нет)
- Завершите установку
При установке AD обычно автоматически предлагается установить DNS Server. Это правильно — AD требует DNS для работы. Согласитесь с установкой.
Шаг 3: Настройка контроллера домена
После установки роли нужно настроить контроллер домена. Это можно сделать через мастера или PowerShell.
Через мастер настройки:
- В Server Manager нажмите на предупреждение "Promote this server to a domain controller"
- Выберите "Add a new forest" (для первого контроллера)
- Введите имя корневого домена (например, "company.local")
- Выберите функциональный уровень домена (рекомендуется Windows Server 2016 или новее)
- Укажите пароль для режима восстановления служб каталогов (DSRM)
- Настройте DNS (обычно оставляем по умолчанию)
- Настройте пути к файлам базы данных (можно оставить по умолчанию)
- Проверьте параметры и нажмите "Install"
Пароль DSRM — это критически важный пароль для восстановления домена. Сохраните его в надёжном месте. Без этого пароля вы не сможете восстановить домен в случае сбоя.
Шаг 4: Проверка установки
После установки сервер перезагрузится. После перезагрузки проверьте, что всё работает корректно.
Что проверить:
- Откройте "Active Directory Users and Computers" — должна открыться консоль
- Проверьте, что созданы стандартные контейнеры (Users, Computers, Domain Controllers)
- Проверьте DNS — должны быть созданы записи для домена
- Проверьте, что сервер видит себя как контроллер домена
Настройка Active Directory
Создание организационных единиц (OU)
Организационные единицы (OU) — это контейнеры для группировки объектов AD. Рекомендуется создать структуру OU для удобного управления.
Типичная структура OU:
- Users — пользователи
- Computers — компьютеры
- Servers — серверы
- Groups — группы
- Service Accounts — учётные записи служб
Создайте OU через "Active Directory Users and Computers": правый клик на домене → New → Organizational Unit.
Создание пользователей
Создайте учётные записи пользователей в соответствующей OU.
При создании пользователя укажите:
- Имя и фамилию
- Имя для входа (логин)
- Пароль (с требованиями сложности)
- Опции пароля (требовать смену при первом входе, запретить смену и т.д.)
Рекомендуется установить флажок "User must change password at next logon" при создании новых пользователей. Это заставит пользователя установить свой пароль при первом входе.
Создание групп
Группы используются для управления правами доступа и применения политик. Создайте группы для разных ролей и отделов.
Типы групп:
- Security Groups — для управления доступом
- Distribution Groups — для рассылок (обычно не используются)
Типичные группы:
- IT_Admins — администраторы IT
- Accounting — бухгалтерия
- Sales — отдел продаж
- Managers — руководители
- Domain Users — все пользователи домена
Присоединение компьютеров к домену
После настройки AD нужно присоединить компьютеры к домену. Это можно сделать через настройки системы.
Процесс присоединения:
- Откройте "System Properties" на клиентском компьютере
- Нажмите "Change" в разделе "Computer name"
- Выберите "Domain" и введите имя домена
- Введите учётные данные администратора домена
- Перезагрузите компьютер
После присоединения к домену пользователи смогут входить в систему, используя свои учётные записи AD. Все настройки и политики будут применяться автоматически.
Групповые политики (GPO)
Групповые политики — это мощный инструмент для управления настройками компьютеров и пользователей. Через GPO можно настраивать параметры безопасности, устанавливать ПО, ограничивать доступ и многое другое.
Создание групповой политики
Процесс создания:
- Откройте "Group Policy Management"
- Правый клик на домене или OU → "Create a GPO in this domain"
- Введите имя политики
- Нажмите "Edit" для настройки политики
Типичные настройки GPO
Политики безопасности:
- Требования к сложности паролей
- Блокировка учётных записей после неудачных попыток входа
- Ограничение доступа к сменным носителям
- Настройки файрвола Windows
- Ограничение установки программ
Политики рабочего стола:
- Фон рабочего стола
- Скринсейвер
- Ограничение доступа к панели управления
- Настройки браузера
Будьте осторожны с групповыми политиками. Неправильные настройки могут заблокировать доступ пользователей к системе. Тестируйте политики на тестовой группе перед применением ко всем пользователям.
Безопасность Active Directory
Защита учётных записей администраторов
Учётная запись администратора домена — это ключ ко всей инфраструктуре. Её нужно защищать особенно тщательно.
Рекомендации по безопасности:
- Переименуйте учётную запись Administrator
- Создайте отдельные учётные записи для каждого администратора
- Используйте сложные пароли (минимум 14 символов)
- Включите аудит входа администраторов
- Ограничьте доступ к контроллерам домена
- Используйте двухфакторную аутентификацию (если возможно)
Политики паролей
Настройте политики паролей через групповые политики или локальные политики безопасности.
Рекомендуемые настройки:
- Минимальная длина пароля: 12-14 символов
- Требование сложности: включено
- История паролей: 12 последних паролей
- Максимальный срок действия: 90 дней
- Минимальный срок действия: 1 день
Мониторинг и аудит
Включите аудит событий безопасности для отслеживания подозрительной активности.
Что нужно аудировать:
- Успешные и неудачные попытки входа
- Изменения в AD (создание, удаление, изменение объектов)
- Доступ к критичным ресурсам
- Использование привилегированных учётных записей
Резервное копирование Active Directory
Резервное копирование AD критически важно. Потеря контроллера домена без резервной копии может привести к полной потере инфраструктуры.
Что нужно копировать:
- База данных AD (автоматически при резервном копировании системы)
- Состояние системы (System State)
- Файлы SYSVOL (политики и скрипты)
Резервное копирование AD должно выполняться регулярно (ежедневно). Храните копии в безопасном месте и регулярно тестируйте восстановление.
Типичные проблемы и их решение
Проблема 1: Компьютеры не могут присоединиться к домену
Возможные причины:
- Неправильное имя домена
- Проблемы с DNS (компьютер не может найти контроллер домена)
- Проблемы с сетью (файрвол блокирует трафик)
- Недостаточно прав у учётной записи
Проблема 2: Пользователи не могут войти в систему
Что проверить:
- Активна ли учётная запись
- Не истёк ли срок действия пароля
- Не заблокирована ли учётная запись
- Правильно ли указано имя домена при входе
- Работает ли контроллер домена
Проблема 3: Групповые политики не применяются
Что проверить:
- Правильно ли привязана политика к OU
- Не блокируется ли наследование политик
- Выполните "gpupdate /force" на клиентском компьютере
- Проверьте логи групповых политик
Резюме
Active Directory — это мощный инструмент для управления корпоративной IT-инфраструктурой. Правильная настройка AD обеспечивает безопасность, удобство управления и масштабируемость системы.
Ключевые моменты: правильная структура OU, безопасные пароли, групповые политики, резервное копирование, мониторинг. Если вы не уверены в своих силах — лучше доверить настройку AD профессионалам.
Мы в MITPro выполняем установку и настройку Active Directory: от планирования структуры до настройки политик безопасности и резервного копирования. Гарантируем стабильную работу и безопасность инфраструктуры. Закажите бесплатную консультацию, чтобы обсудить вашу ситуацию.