Active Directory: основные понятия, архитектура, настройка


Active Directory (AD) – это иерархическая служба каталога от компании Microsoft, которая используется в доменной среде Windows для организации и централизованного управления различными типами объектов: компьютерами, пользователями, серверами, принтерами. AD является центральным элементом управления и аутентификации в сетях Windows. Active Directory тесно связана и интегрирована о множеством служб и приложений Microsoft, таких как DNS, DHCP, почтовая служба Exchange Server, и т.д. Благодаря тому, что все учетные записи пользователи хранятся в единой базе AD, пользователь может войти под своей учетной записью и паролем на любой компьютер в домене AD (в отличии от workgroup, где на каждом компьютере хранится собственная база пользователей).

Архитектуры и основные понятия Active Directory

AD организована в иерархическую структуру. В архитектуре AD есть следующие элементы:

  • Лес AD (forest) – самый высокий уровень иерархии Active Directory. Он представляет собой набор связанных доменов, которые разделяют общую схему, структуру и глобальный каталог
  • Домен – отдельная область внутри леса AD, со своей границу безопасности и репликацией. Содержит пользователей, компьютеры, группы и другие объекты.
  • Организационная единица (OU) – контейнеры внутри домена для логической группировки объектов (аналог – папки на диске). OU является точки назначения GPO и делегирования полномочий.
  • Для установки домена Active Directory нужно установить роль Active Directory Domain Services (ADDS) на компьютере с Windows Server. Такой сервер называется контроллер домена Active Directory (DC). В домене может быть один или несколько контроллеров домена, в зависимости от потребностей и размера домена. Контроллеры домена выполняют аутентификацию пользователей и обслуживают запросы на доступ к ресурсам сети (используется как logon server);
  • На контроллере домена хранится база Active Directory (NTDS.DIT). Каждый контроллер домена хранит свою копию базы AD и реплицирует новые/измененные данный с другим DC.
  • Сайт AD – объекты AD, представляющие собой одну или несколько физических IP подсетей, связанных быстрыми каналами. Обычно сайты AD отражают физические географические или логические границы в вашей корпоративной сети. Клиенты выполняют аутентификацию, получают политики с контроллеров домена в своих сайтах. В каждом сайте может находится один или несколько контроллеров домена. Между сайтами можно настроить интервалы репликации для уменьшения нагрузки на WAN каналы.
  • Global Catalog (GC) – эта роль может быть назначена любому контроллеру домена. Такой DC будет хранить краткую информацию о всем лесе и использоваться для выполнения поиска и аутентификации в разных доменах;
  • Групповые политики (GPO) — позволяют администраторам настраивать параметры компьютеров и пользователей в сети с использованием централизованных политик
  • Схема AD – определяет структуру и возможные атрибуты объектов в Active Directory.

Установка и настройка контроллеров домена Active Directory

Рассмотрим типовые операции по установке, настройке и обслуживанию контроллеров домена AD:

Контроллеры домена Active Directory являются равноправными и выполняют одинаковые функции. Некоторые операции в AD для предотвращение конфликтующих обновлений требуют уникальности контроллера-источника изменений.

Однако для предотвращения конфликтующих обновлений в AD, есть некоторые операции, которые требуют обязательно уникальности контроллера-источника изменений. Такие операции называются Flexible singlemaster operations (FSMO), а контроллеры домена, выполняющие FSMO роли, называются хозяевами операций.

Есть пять FSMO ролей:

  • Schema Master
  • Domain Naming Master
  • Infrastructure Master
  • RID Master
  • PDC Emulator

Список DC-владельцев FSMO ролей можно вывести с помощью команды:

netdom query fsmo

FSMO роли можно передавать с одного контроллера домена на другой.

Инструменты администрирования Active Directory

В среде Windows доступны несколько инструментов администрирования Active Directory. Вы можете использовать для управления AD как графические MMC оснастки, так и утилиты командной строки и командлеты PowerShell:

  • ADUC — MMC консоль Active Directory Users and Computers ( dsa.msc ) – один из самый часто используемых инструментов администрирования AD. Позволяет создавать, редактировать атрибуты, удалять, и перемещать различные объекты AD: пользователей, компьютеры, группы, структуру OU
  • ADAC (Active Directory Administrative Center) – во многом функционал похож на ADUC, но предоставляет более широкие возможности для управления дочерними доменами.
  • ADSS (Active Directory Sites and Services) — управления сайтами AD, подсетями, топологией и расписанием репликации
  • ADDT (Active Directory Domains and Trusts) управление доверительными отношениями между домена и установка междоменных связей
  • AD Schema – управление схемой AD
  • GPMC (Group Policy Management, gpmc.msc ) консоль для управления групповыми политиками (GPO) в домене Active Directory
  • ADSIEdit – mmc оснастка, которая позволяет подключаться к LDAP каталогу AD, редактировать атрибуты и конфигурацию на более низком уровне
  • Модуль Active Directory для Windows PowerShell – содержит все необходимые командлеты для управления объектами, настройками, политиками AD из консоли PowerShell.
[alert]Инструменты управления AD можно использовать не только непосредственно с Windows Server с ролью контроллера домена, но и с обычной рабочей станции. Для этого нужно установить пакет администрирования RSAT. В Windows 10/11 это можно сделать командой:

Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

[/alert]

Управление пользователями, группами и компьютерами в Active Directory

На нашем сайте доступно множество подробных инструкций по настройки и администрированию Active Directory. Ниже перечислены типовые операции с различными типами объектов:

Учетные записи компьютеров в домене AD:

Пользователи в домене AD:

Группы в домене Active Directory:

Другие возможности и сценарии использования Active Directory:

Продлить срок действия пароля пользователя в AD

По умолчанию в Active Directory включена парольная политика, которая устанавливает максимальный срок действия пароля пользователя. Когда срок жизни пароля превышает это значение, пароль считается просроченным и при следующем входе в систему пользователь должен будет его сменить....

Проверка учетных данных пользователя AD из скрипта PowerShell

В скриптах PowerShell, в которых у пользователя запрашиваются его имя и пароль, прежде чем приступать к выполнению действий иногда нужно сначала протестировать валидность введенных учетных данных. Если пользователь ввел неверные имя пользователя и пароль, нужно определить это и запросить их еще...

Сбор журналов событий Windows и Active Directory в Graylog

В предыдущей статье мы рассмотрели, как развернуть собственный централизованный сервер сбора лога с различных типов сетевых устройства на базе стека Graylog (Graylog + OpenSearch+ MongoDB). В этой статье мы покажем, как настроить отправку журналов событий с серверов Windows (включая события Active...

PowerShell скрипт для проверки совместимости компьютеров с Windows 11

В этой статье мы рассмотрим, как массово проверить ваши компьютеры на совместимость с Windows 11 с помощью PowerShell скрипта. За основу можно взять официальный скрипт HardwareReadiness.ps1 от Microsoft (https://aka.ms/HWReadinessScript)....

Изменить IP адрес контроллера домена Active Directory

Смена IP адреса контроллера домена — это не совсем штатная процедура, которая потенциально может вызвать проблемы с доступностью доменных сервисов для клиентов. Но при надлежащем планировании и реализации, смена IP адреса контроллера домена, не вызовет проблем с инфраструктурой AD....

Ошибка синхронизации Azure AD Connect: Stopped Deletion Threshold Exceeded

Если вы удалили большое количество объектов в Active Directory DS, то при следующей синхронизации с Azure AD Connect (Entra Cloud Sync) покажет ошибку stopped-deletion-threshold-exceeded. По умолчанию AD Connect останавливает синхронизацию с облаком, если вы удалили более 500 объектов в течении 30...

Указанный домен не существует, или к нему невозможно подключиться

Причиной ошибки “The specified domain either does not exist or could not be contacted/ Указанный домен не существует, или к нему невозможно подключиться” в Windows чаще всего являются некорректные сетевые настройки (IP адрес, DNS сервера, шлюз по умолчанию) на клиентском компьютере,...

Добавляем дополнительный контроллер домена в Active Directory

Для построение отказоустойчивой инфраструктуры Active Directory и распределения нагрузки необходимо иметь как минимум два контроллера домена. Также рекомендуется создавать дополнительные контроллеры домена на удаленных площадках. В этой статье мы рассмотрим, как развернуть дополнительный контроллер домена в существующем домене AD....

Разблокировать пользователя в Active Directory

Блокировка учетной записи пользователя в домене – одна из наиболее частых причин обращений пользователей в техподдержку. В подавляющем большинстве случае причиной блокировки является забытый пользователем пароль или приложение, которое пытается использовать предыдущий (сохраненный) пароль для аутентификации, после того как пользователь сменил...

Получить список локальных администраторов на компьютерах Windows


Управление политикой паролей в Azure AD

В политике паролей Azure Active Directory определяются требования к паролям пользователей тенанта, такие как: сложность пароля, длина, срок действия паролей, настройки блокировки учетных записей и некоторые другие параметры. В этой статье мы рассмотрим, как управлять политикой паролей в Azure AD. По...

GPMC: Консоль управления групповыми политиками в Active Directory

Групповые политики Active Directory позволяют централизованно применять одинаковые настройки ко множеству компьютеров и/или пользователей домена и существенно упрощают управление конфигурацией в доменной среде. Консоль Group Policy Management Console (GPMC.msc) – это основной инструмент для управления групповыми политиками (Group Policy Object, GPO)...