Полный гайд по администрированию Active Directory в 2026
· 18 мин чтения · Семёнов Е.С., руководитель ITfresh

Полный гайд по администрированию Active Directory в 2026

Полный гайд по администрированию Active Directory в 2026

Вы только представьте: Active Directory уже 26 лет! Эта технология, появившаяся на свет вместе с Windows 2000, по-прежнему остаётся стандартом де-факто для управления учётными записями и компьютерами — причём как в небольших офисах на десять мест, так и в компаниях с десятками тысяч сотрудников. Я сам веду домены для клиентов с 2010 года, и за это время чего я только не насмотрелся, как одни и те же ошибки повторяются буквально в каждом втором проекте. Именно поэтому я подготовил этот гайд — это такая концентрированная выжимка всего, что сисадмин малого бизнеса должен знать про AD в 2026 году: от базовой концепции леса до сложных шагов по восстановлению после атаки Golden Ticket.

Зачем нужен AD и где он живёт в стеке Microsoft

Active Directory Domain Services (AD DS) — это, по сути, наша центральная база данных. В ней хранятся учётные записи, все компьютеры, группы, политики и, конечно же, настройки безопасности. Каждый компьютер в домене чётко понимает, куда ему обратиться за проверкой пароля, какие политики нужно применить и где найти необходимые ресурсы.

Знаете, в стеке Microsoft есть несколько технологий, которые тесно связаны, но при этом совершенно разные, и их постоянно путают:

Если говорить про офис на 30-50 человек, то я обычно разворачиваю там AD DS, а если есть необходимость — то и AD CS. Всё остальное мы внедряем точечно, строго под конкретные задачи заказчика.

Лес, домены, деревья: иерархия объектов

На самой вершине AD находится так называемый лес (Forest). Внутри этого леса может быть один или несколько доменов, причём каждый домен — это, по сути, независимая административная единица. А деревья (Trees) — это, в свою очередь, группы доменов, объединённых непрерывным DNS-пространством имён, например, corp.company.ru и sales.corp.company.ru. Но в большинстве случаев, в малом и среднем бизнесе, вам хватит одного леса и одного домена — этого обычно вполне достаточно.

Что же живёт внутри домена? Это объекты: пользователи (User), компьютеры (Computer), группы (Group), организационные единицы (OU), сервисные аккаунты (Managed Service Account, MSA), а ещё принтеры и контакты. У каждого такого объекта есть свой distinguished name (DN), guID и SID. И вся эта информация, всё пространство имён, хранится в специальном файле NTDS.dit на каждом контроллере домена, откуда затем и реплицируется между ними.

Сайты (Sites) — это такая отдельная штука, которая описывает физическую топологию нашей сети. Считайте, один сайт — это один офис, а значит, одна или несколько IP-подсетей. Между сайтами AD реплицируется по строгому расписанию и через выбранный нами мост (bridgehead). В офисе, где работает 30 человек, обычно хватает одного сайта Default-First-Site-Name. А вот если у клиента два офиса, да ещё и с медленным каналом связи, то тут мы уже создаём два сайта, грамотно привязываем подсети и настраиваем расписание репликации.

Контроллеры домена и FSMO-роли

Контроллер домена (DC) — это, если просто, сервер, на который мы установили роль AD DS. В нормальной, адекватной инфраструктуре их должно быть минимум два, а в больших компаниях счёт идёт на десятки. Каждый DC хранит у себя полную копию домена и, конечно же, обрабатывает запросы от клиентов.

Но есть нюанс: пять операций требуют, чтобы их выполнял только один исполнитель в каждый конкретный момент времени — это так называемые FSMO-роли (Flexible Single Master Operations):

Команды, которые я держу в шпаргалке:

# Где сейчас FSMO
netdom query fsmo

# Подробная информация о ролях леса и каждого домена
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
Get-ADDomain  | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster

# Запланированный перенос (graceful)
Move-ADDirectoryServerOperationMasterRole -Identity "DC02" `
  -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster

# Аварийный захват (seize) — DC1 умер и не вернётся
Move-ADDirectoryServerOperationMasterRole -Identity "DC02" `
  -OperationMasterRole PDCEmulator -Force

В офисе 30-50 человек я обычно держу все пять ролей на одном DC, чаще на DC01. Это упрощает диагностику. Главное — задокументировать и знать, как переносить.

Структура OU и групп: как не запутаться

Organizational Units (OU) — это такие удобные контейнеры внутри домена, на которые можно «вешать» GPO и делегировать управление. Я, например, никогда не оставляю объекты в дефолтных контейнерах CN=Users и CN=Computers, потому что на них, увы, нельзя привязать никакую политику.

Базовый шаблон, который я разворачиваю у клиентов:

DC=corp,DC=client,DC=ru
├── OU=Sotrudniki
│     ├── OU=Buhgalteria
│     ├── OU=Prodazhi
│     ├── OU=IT
│     └── OU=Rukovodstvo
├── OU=Workstations
│     ├── OU=Buhgalteria
│     ├── OU=Prodazhi
│     └── OU=Mobilnye (для ноутбуков с Always-On VPN)
├── OU=Servers
│     ├── OU=FileServers
│     ├── OU=1C
│     └── OU=Apps
├── OU=Groups
├── OU=ServiceAccounts
└── OU=PrivilegedAccounts
      ├── OU=AdminUsers
      └── OU=AdminWorkstations

Группы безопасности раздаю по модели AGDLP (Account → Global → Domain Local → Permission). Глобальные группы (GG_*) содержат пользователей по подразделениям. Domain Local группы (DL_*) назначаются на ресурсы. Это позволяет менять права на ресурсы, не трогая структуру пользователей.

Давайте приведу пример: бухгалтерии нужен полный доступ к сетевой шаре Buh, а юристам — только чтение определённых папок. Что я делаю? Я создаю DL_Share_Buh_Modify (именно на NTFS я даю им права Modify) и DL_Share_Buh_Read. Затем в DL_Share_Buh_Modify я добавляю группу GG_Buhgalteria, а в DL_Share_Buh_Read — группу GG_Yuristy. И вот, если завтра приходит новый бухгалтер, я просто добавляю его в GG_Buhgalteria, и он автоматически получает все необходимые права — удобно же!

Инструменты администратора AD

Если вам нужны RSAT (Remote Server Administration Tools), их можно установить на Windows 11 всего одной командой PowerShell:

Get-WindowsCapability -Online | Where-Object { $_.Name -like "Rsat*" } |
  Add-WindowsCapability -Online

Основные консоли, которыми я пользуюсь каждый день:

Вдобавок ко всему, я всегда ставлю себе PingCastle — это бесплатный аудитор AD, а ещё Sysinternals Suite (особенно полезны AccessChk, PsExec, Process Monitor), ADRecon для подробных отчётов о состоянии домена и BloodHound Community Edition, чтобы визуализировать возможные цепочки атак. Это мой личный набор маст-хэв инструментов.

Здесь очень важный момент, которым я хочу поделиться: все доменные операции я выполняю исключительно с jump-сервера. Он у меня входит в условный Tier 0 — это такой отдельный, максимально изолированный сегмент сети: без выхода в интернет, без почты, без браузера, и с минимумом софта. Это такая базовая, но крайне эффективная практика, которая страхует меня от того, чтобы учётную запись Domain Admin не скомпрометировали на обычной рабочей станции, например, через фишинг.

Kerberos и протоколы аутентификации

Kerberos — это наш основной протокол аутентификации в современном AD, и его принцип удивительно прост: ваш пароль никогда, повторюсь, никогда не уходит по сети. Клиент сначала один раз получает Ticket Granting Ticket (TGT) у Key Distribution Center (эта роль есть на каждом DC), а потом уже меняет этот TGT на сервисные тикеты (TGS) для доступа к конкретным ресурсам. Срок жизни TGT по умолчанию составляет 10 часов, TGS — тоже 10 часов, а вот обновлять TGT можно в течение 7 дней.

Технические детали, которые важны на практике:

NTLM — это, конечно, устаревший протокол, но мы до сих пор его поддерживаем ради совместимости. NTLMv1, честно говоря, откровенно опасен (его хеши ломаются на GPU очень быстро), NTLMv2 уже получше, терпим, но всё равно уязвим к relay-атакам. Мой совет: включите аудит NTLM через GPO (путь: Network Security: Restrict NTLM: Audit NTLM authentication in this domain), внимательно изучите логи и постепенно отключайте всех этих legacy-клиентов.

Групповые политики (GPO)

GPO — это наш главный инструмент для централизованной настройки. Мы можем привязать его к сайту, домену или организационной единице (OU). Применяется он в определённом порядке: сначала Local, потом Site, затем Domain и, наконец, OU (это классическая схема LSDOU), и что важно, более поздняя политика всегда переопределяет более раннюю.

Типовые GPO в моём проекте под малый бизнес:

  1. Password Policy на корне домена. Длина 12, сложность, история 12, срок 180 дней, блокировка после 10 неудач.
  2. AD Hardening Baseline на корне. Отключение SMBv1, NTLMv1, LLMNR, NetBIOS, включение SMB Signing.
  3. Workstation Baseline на OU=Workstations. SmartScreen, Defender Tamper Protection, BitLocker (для ноутбуков), AppLocker для рабочих станций бухгалтерии.
  4. Server Baseline на OU=Servers. Жёсткий аудит, RDP только из административной подсети, отключение Print Spooler там, где он не нужен (профилактика PrintNightmare).
  5. Mapped Drives через GPP. Item-Level Targeting по группам безопасности.
  6. Printers через GPP с фильтром по группам.
  7. LAPS Settings — Windows LAPS в режиме Active Directory.
  8. Audit Policy — Advanced Audit Policy Configuration с подкатегориями.

Политики я тестирую через моделирование (GPMC → Group Policy Modeling) и применение на тестовой OU перед привязкой к боевой. Принудительное обновление:

Invoke-GPUpdate -Computer "PC-TEST-01" -RandomDelayInMinutes 0 -Force

# С локальной машины
gpupdate /force /sync

# Получить отчёт RSoP
gpresult /h C:\rsop.html /scope computer
gpresult /h C:\rsop_user.html /scope user

Не забываем: GPO применяется к компьютеру при загрузке и каждые 90 минут (с jitter), к пользователю — при логоне и каждые 90 минут. Loopback Processing нужен, когда хотим политики «как для пользователя из этой OU» применять ко всем, кто залогинился на этот компьютер (актуально для терминальных серверов).

Репликация: как DC синхронизируются

Внутри одного сайта репликация запускается буквально каждые 15 секунд после любого изменения и идёт по топологии, которую генерирует KCC (Knowledge Consistency Checker). А вот между сайтами она происходит по расписанию (по умолчанию это каждые 180 минут) и всегда через так называемый bridgehead.

Команды для контроля:

# Сводка по репликации
repadmin /replsummary

# Подробно по каждому DC
repadmin /showrepl
repadmin /showrepl * /csv > replication.csv

# Принудительная репликация на конкретный DC
repadmin /syncall DC01 /AdeP

# Полная диагностика
dcdiag /e /v /c

Ключевая ошибка, которую вижу в практике, — Tombstone Lifetime. Если DC отключён больше Tombstone Lifetime (по умолчанию 180 дней в современных AD), его уже нельзя вернуть в репликацию — только metadata cleanup и переподнятие. Поэтому DC, которые не используются, либо корректно демотируем (Uninstall-ADDSDomainController), либо метим в календарь на удаление.

SYSVOL реплицируется отдельно — через DFSR (или, если домен очень старый, то через FRS, если он мигрировал с совсем древних версий). Проверить состояние DFSR можно так:

Get-DfsrState
Get-DfsrMembership -GroupName "Domain System Volume"
dfsrdiag PollAD
dfsrdiag SyncNow /partner:DC02 /RGName:"Domain System Volume"

DNS как нервная система AD

AD без правильного DNS не работает. Все клиенты находят DC через SRV-записи в зоне домена (_ldap._tcp.dc._msdcs.corp.company.ru и др.). Базовые правила, которые я внедряю:

Диагностика — через nslookup и Resolve-DnsName:

Resolve-DnsName -Name corp.company.ru -Server DC01 -Type A
Resolve-DnsName -Name "_ldap._tcp.dc._msdcs.corp.company.ru" -Type SRV
nslookup -type=ALL _msdcs.corp.company.ru

Делегирование прав без раздачи Domain Admin

Самая частая ошибка, которую я лечу у клиентов: «эникею выдали Domain Admin, потому что иначе он не мог сбрасывать пароли пользователям». Это категорически неправильно. Делегирование позволяет дать права на конкретные операции в конкретных OU.

Вот как я это делаю через ADUC: правый клик на нужной OU → выбираю Delegate Control → затем выбираю группу (например, SG_HelpDesk) → и отмечаю нужные действия (Reset user passwords and force password change at next logon). После этого мой помощник, не имея вообще никаких прав в Domain Admins, может спокойно сбрасывать пароли пользователям, но только в той OU, которую я ему указал. Это очень удобно и безопасно.

Стандартные роли, которые я выделяю в офисе на 50 человек:

Что касается Доменных администраторов (Domain Admins) — мой строгий лимит: максимум две учётки. А Enterprise Admins — эту группу я использую только для фактических лесных операций, ну, например, для повышения FFL или добавления нового домена. Всё остальное время эта группа должна быть, по моему убеждению, пустой.

Аудит и расследование инцидентов

Расширенный аудит мы обязательно включаем через GPO. Путь такой: Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration. И вот минимальный набор подкатегорий, который я всегда рекомендую:

Размер журнала Security я всегда увеличиваю до 1-2 GB на каждом сервере. Иначе он, поверьте, переполняется за считанные часы, и все важные события просто теряются — а это нам совсем не нужно.

Ключевые Event ID, на которые я настраиваю алертинг в Wazuh:

Защита от Golden Ticket и компрометации krbtgt

Учётная запись krbtgt — это, по сути, корень доверия Kerberos. Именно её хеш используется для подписи всех TGT. А теперь представьте: если злоумышленник получит доступ к контроллеру домена и снимет дамп, он сможет создать Golden Ticket с правами Domain Admin на абсолютно любой срок (инструменты вроде mimikatz по умолчанию ставят аж 10 лет!). Это очень опасно.

Защита и реакция:

И ещё один важный момент: AdminSDHolder — это такой специальный объект, который каждые 60 минут восстанавливает дескрипторы безопасности на критичных встроенных группах, таких как Domain Admins, Enterprise Admins и других. То есть, если кто-то вдруг нелегально расширил права, система сама их откатит. Работает это на уровне ACL объектов, а не самих учёток в группах, но это создаёт дополнительный, очень надёжный барьер.

Резервное копирование и восстановление

System State Backup на каждом DC ежесуточно — через Windows Server Backup или Veeam B&R на выделенный бэкап-сервер за пределами домена:

wbadmin start systemstatebackup -backupTarget:\\backup-srv\ad-backup -quiet

Раз в квартал — тестовое восстановление в изолированной сети. Это единственный способ убедиться, что бэкап рабочий. Видел много случаев, когда бэкапы делались годами, а при попытке восстановить выяснялось, что они невалидные.

AD Recycle Bin включаем один раз и навсегда:

Enable-ADOptionalFeature -Identity "Recycle Bin Feature" `
  -Scope ForestOrConfigurationSet -Target "corp.company.ru"

# Восстановление случайно удалённого пользователя
Get-ADObject -Filter 'SamAccountName -eq "ivanov"' -IncludeDeletedObjects -Properties * |
  Restore-ADObject

Authoritative Restore (форсированное восстановление с приоритетом над репликацией) делается только в режиме DSRM (Directory Services Restore Mode). Это ситуация, когда у вас откатили нужное состояние на одном DC, а оно реплицировалось на остальные, и нужно силой пересинхронизировать всех на «правильную» версию.

Что нового в Windows Server 2022 и 2025

Функциональный уровень леса не повышался с Windows Server 2016 — все новые фичи едут отдельно. Windows Server 2022 принёс secured-core server и SMB encryption AES-256. Windows LAPS встроен в 22H2/2019/2022/2025. Server 2025 даёт SMB over QUIC, AES-256 в Kerberos по умолчанию, hot-patching, dMSA. Новые домены я ставлю на Windows Server 2022 как самый стабильный выбор; Server 2025 — точечно, под клиентов с конкретными новыми фичами.

Регулярные операции администратора

Вот что я и моя команда ITfresh делаем каждую неделю, месяц или квартал в любом домене, который находится у нас на обслуживании:

FAQ

Какие инструменты администратору AD просто обязательно нужно поставить на свою рабочую станцию? Конечно же, это RSAT (Remote Server Administration Tools) для Windows 11 — его можно установить через Optional Features или командой Add-WindowsCapability. В минимальный комплект, который я считаю необходимым, входят ADUC, ADAC, GPMC, DNS Manager, DHCP Manager и Sites and Services. Дополнительно я всегда ставлю PingCastle для аудита, ADRecon для генерации отчётов и, конечно, Sysinternals Suite. И да, важный момент: все доменные операции я выполняю только с jump-сервера, который находится в Tier 0, а не с обычной рабочей станции — это моя золотая правило безопасности.

Часто спрашивают: а чем же отличаются ADUC и ADAC? Смотрите, ADUC (Active Directory Users and Computers, dsa.msc) — это такая классическая консоль, она с нами ещё с эпохи Windows 2000. Она привычна и очень быстра для рутинных задач. А вот ADAC (Active Directory Administrative Center, dsac.exe) — это уже современная консоль, которая поддерживает Recycle Bin, позволяет работать с Fine-Grained Password Policies и, что очень удобно, сохраняет историю PowerShell-команд для каждой операции. Я, признаюсь, пользуюсь обеими: ADUC — когда нужна скорость, а ADAC — для FGPP и восстановления случайно удалённых объектов. Каждая хороша по-своему.

Как часто нужно проверять репликацию AD? В малом офисе с двумя-тремя контроллерами автоматический мониторинг через Wazuh, Zabbix или PRTG обязателен — алерт на ошибки реплики и на расхождение по USN. Вручную раз в неделю я прогоняю repadmin /replsummary и dcdiag /e /v. А перед любыми изменениями (повышение FFL, добавление DC) обязательно проверяю, что репликация в норме.

Что такое FSMO-роли и зачем их знать? Flexible Single Master Operations — пять ролей, которые в каждый момент времени принадлежат только одному DC: Schema Master, Domain Naming Master, RID Master, PDC Emulator, Infrastructure Master. PDC Emulator отвечает за синхронизацию времени и обработку изменений паролей, RID Master выдаёт пулы SID под новые объекты. Умрёт держатель FSMO — часть операций встанет. Знать, кто что держит, и уметь перенести (Move-ADDirectoryServerOperationMasterRole) — обязательный навык.

Стоит ли в 2026 году продолжать пользоваться Active Directory или пора переходить на Entra ID? Моё мнение таково: для российского малого бизнеса в 2026-м on-premise AD всё ещё остаётся базой. Облачные сервисы Microsoft работают у нас с определёнными ограничениями, да и законодательство по локализации данных прямо требует локального хранения. Так что, AD никуда не денется и активно поддерживается — вот Windows Server 2025, например, принёс ряд отличных улучшений в Kerberos, LAPS и групповой политике. Гибридные же сценарии с Entra ID — это пока точечное решение, скорее для отдельных клиентов, у которых есть международное присутствие.

Передайте администрирование AD профессионалам

Мы, Семёнов Е.С. и команда ITfresh, предлагаем полный аутсорсинг IT для юридических лиц с числом рабочих мест до 50 в Москве. Мы берём на сопровождение уже существующие домены, разворачиваем совершенно новые, а также с удовольствием чиним «наследие», оставшееся от предыдущих подрядчиков.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.