Active Directory: основные понятия, архитектура, настройка


Active Directory (AD) – это иерархическая служба каталога от компании Microsoft, которая используется в доменной среде Windows для организации и централизованного управления различными типами объектов: компьютерами, пользователями, серверами, принтерами. AD является центральным элементом управления и аутентификации в сетях Windows. Active Directory тесно связана и интегрирована о множеством служб и приложений Microsoft, таких как DNS, DHCP, почтовая служба Exchange Server, и т.д. Благодаря тому, что все учетные записи пользователи хранятся в единой базе AD, пользователь может войти под своей учетной записью и паролем на любой компьютер в домене AD (в отличии от workgroup, где на каждом компьютере хранится собственная база пользователей).

Архитектуры и основные понятия Active Directory

AD организована в иерархическую структуру. В архитектуре AD есть следующие элементы:

  • Лес AD (forest) – самый высокий уровень иерархии Active Directory. Он представляет собой набор связанных доменов, которые разделяют общую схему, структуру и глобальный каталог
  • Домен – отдельная область внутри леса AD, со своей границу безопасности и репликацией. Содержит пользователей, компьютеры, группы и другие объекты.
  • Организационная единица (OU) – контейнеры внутри домена для логической группировки объектов (аналог – папки на диске). OU является точки назначения GPO и делегирования полномочий.
  • Для установки домена Active Directory нужно установить роль Active Directory Domain Services (ADDS) на компьютере с Windows Server. Такой сервер называется контроллер домена Active Directory (DC). В домене может быть один или несколько контроллеров домена, в зависимости от потребностей и размера домена. Контроллеры домена выполняют аутентификацию пользователей и обслуживают запросы на доступ к ресурсам сети (используется как logon server);
  • На контроллере домена хранится база Active Directory (NTDS.DIT). Каждый контроллер домена хранит свою копию базы AD и реплицирует новые/измененные данный с другим DC.
  • Сайт AD – объекты AD, представляющие собой одну или несколько физических IP подсетей, связанных быстрыми каналами. Обычно сайты AD отражают физические географические или логические границы в вашей корпоративной сети. Клиенты выполняют аутентификацию, получают политики с контроллеров домена в своих сайтах. В каждом сайте может находится один или несколько контроллеров домена. Между сайтами можно настроить интервалы репликации для уменьшения нагрузки на WAN каналы.
  • Global Catalog (GC) – эта роль может быть назначена любому контроллеру домена. Такой DC будет хранить краткую информацию о всем лесе и использоваться для выполнения поиска и аутентификации в разных доменах;
  • Групповые политики (GPO) — позволяют администраторам настраивать параметры компьютеров и пользователей в сети с использованием централизованных политик
  • Схема AD – определяет структуру и возможные атрибуты объектов в Active Directory.

Установка и настройка контроллеров домена Active Directory

Рассмотрим типовые операции по установке, настройке и обслуживанию контроллеров домена AD:

Контроллеры домена Active Directory являются равноправными и выполняют одинаковые функции. Некоторые операции в AD для предотвращение конфликтующих обновлений требуют уникальности контроллера-источника изменений.

Однако для предотвращения конфликтующих обновлений в AD, есть некоторые операции, которые требуют обязательно уникальности контроллера-источника изменений. Такие операции называются Flexible singlemaster operations (FSMO), а контроллеры домена, выполняющие FSMO роли, называются хозяевами операций.

Есть пять FSMO ролей:

  • Schema Master
  • Domain Naming Master
  • Infrastructure Master
  • RID Master
  • PDC Emulator

Список DC-владельцев FSMO ролей можно вывести с помощью команды:

netdom query fsmo

FSMO роли можно передавать с одного контроллера домена на другой.

Инструменты администрирования Active Directory

В среде Windows доступны несколько инструментов администрирования Active Directory. Вы можете использовать для управления AD как графические MMC оснастки, так и утилиты командной строки и командлеты PowerShell:

  • ADUC — MMC консоль Active Directory Users and Computers ( dsa.msc ) – один из самый часто используемых инструментов администрирования AD. Позволяет создавать, редактировать атрибуты, удалять, и перемещать различные объекты AD: пользователей, компьютеры, группы, структуру OU
  • ADAC (Active Directory Administrative Center) – во многом функционал похож на ADUC, но предоставляет более широкие возможности для управления дочерними доменами.
  • ADSS (Active Directory Sites and Services) — управления сайтами AD, подсетями, топологией и расписанием репликации
  • ADDT (Active Directory Domains and Trusts) управление доверительными отношениями между домена и установка междоменных связей
  • AD Schema – управление схемой AD
  • GPMC (Group Policy Management, gpmc.msc ) консоль для управления групповыми политиками (GPO) в домене Active Directory
  • ADSIEdit – mmc оснастка, которая позволяет подключаться к LDAP каталогу AD, редактировать атрибуты и конфигурацию на более низком уровне
  • Модуль Active Directory для Windows PowerShell – содержит все необходимые командлеты для управления объектами, настройками, политиками AD из консоли PowerShell.
[alert]Инструменты управления AD можно использовать не только непосредственно с Windows Server с ролью контроллера домена, но и с обычной рабочей станции. Для этого нужно установить пакет администрирования RSAT. В Windows 10/11 это можно сделать командой:

Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

[/alert]

Управление пользователями, группами и компьютерами в Active Directory

На нашем сайте доступно множество подробных инструкций по настройки и администрированию Active Directory. Ниже перечислены типовые операции с различными типами объектов:

Учетные записи компьютеров в домене AD:

Пользователи в домене AD:

Группы в домене Active Directory:

Другие возможности и сценарии использования Active Directory:

Active Directory: поиск пользователей без пароля (PasswordNotRequired)

Неочевидная возможность создать учетные записи пользователей Active Directory без пароля (с пустым паролем) является одной из угроз безопасности домена. В этой статье мы рассмотрим, можно ли создать в домене пользователей без пароля, как найти и отключить таких пользователей....

Запретить стандартные (простые) пароли в Active Directory

Стандартная политика паролей Active Directory позволяет включить только самые простые требования к длине, повторяемости и сложности паролей пользователей в домене. Однако, даже если вы включите опцию обязательной сложности пароля (минимум 3 типа символов из четырех: символы в верхнем регистре, нижнем регистре,...

Ошибка: Учетная запись с таким именем существует при добавлении компьютера в AD

При попытке добавить компьютер в домен Active Directory может появиться ошибка: Учетная запись с таким именем существует в Active Directory. Повторное использование этой учётной записи заблокирована политикой безопасности. Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: An account with the same name exists in Active...

Продлить срок действия пароля пользователя в AD

По умолчанию в Active Directory включена парольная политика, которая устанавливает максимальный срок действия пароля пользователя. Когда срок жизни пароля превышает это значение, пароль считается просроченным и при следующем входе в систему пользователь должен будет его сменить....

Проверка учетных данных пользователя AD из скрипта PowerShell

В скриптах PowerShell, в которых у пользователя запрашиваются его имя и пароль, прежде чем приступать к выполнению действий иногда нужно сначала протестировать валидность введенных учетных данных. Если пользователь ввел неверные имя пользователя и пароль, нужно определить это и запросить их еще...

Сбор журналов событий Windows и Active Directory в Graylog

В предыдущей статье мы рассмотрели, как развернуть собственный централизованный сервер сбора лога с различных типов сетевых устройства на базе стека Graylog (Graylog + OpenSearch+ MongoDB). В этой статье мы покажем, как настроить отправку журналов событий с серверов Windows (включая события Active...

PowerShell скрипт для проверки совместимости компьютеров с Windows 11

В этой статье мы рассмотрим, как массово проверить ваши компьютеры на совместимость с Windows 11 с помощью PowerShell скрипта. За основу можно взять официальный скрипт HardwareReadiness.ps1 от Microsoft (https://aka.ms/HWReadinessScript)....

Изменить IP адрес контроллера домена Active Directory

Смена IP адреса контроллера домена — это не совсем штатная процедура, которая потенциально может вызвать проблемы с доступностью доменных сервисов для клиентов. Но при надлежащем планировании и реализации, смена IP адреса контроллера домена, не вызовет проблем с инфраструктурой AD....

Ошибка синхронизации Azure AD Connect: Stopped Deletion Threshold Exceeded

Если вы удалили большое количество объектов в Active Directory DS, то при следующей синхронизации с Azure AD Connect (Entra Cloud Sync) покажет ошибку stopped-deletion-threshold-exceeded. По умолчанию AD Connect останавливает синхронизацию с облаком, если вы удалили более 500 объектов в течении 30...

Указанный домен не существует, или к нему невозможно подключиться

Причиной ошибки “The specified domain either does not exist or could not be contacted/ Указанный домен не существует, или к нему невозможно подключиться” в Windows чаще всего являются некорректные сетевые настройки (IP адрес, DNS сервера, шлюз по умолчанию) на клиентском компьютере,...

Добавляем дополнительный контроллер домена в Active Directory

Для построение отказоустойчивой инфраструктуры Active Directory и распределения нагрузки необходимо иметь как минимум два контроллера домена. Также рекомендуется создавать дополнительные контроллеры домена на удаленных площадках. В этой статье мы рассмотрим, как развернуть дополнительный контроллер домена в существующем домене AD....

Разблокировать пользователя в Active Directory

Блокировка учетной записи пользователя в домене – одна из наиболее частых причин обращений пользователей в техподдержку. В подавляющем большинстве случае причиной блокировки является забытый пользователем пароль или приложение, которое пытается использовать предыдущий (сохраненный) пароль для аутентификации, после того как пользователь сменил...