Active Directory для небольшого офиса: когда доменная инфраструктура оправдана, а когда это лишние расходы

Лет пять назад ко мне обратился владелец небольшой юридической фирмы — 12 сотрудников, все в одном кабинете. «Нам говорят, что без Active Directory мы работаем неправильно». Я спросил: какие конкретно проблемы вы хотите решить? Оказалось — никаких. Просто «так надо у солидных компаний». Развернули мы им AD или нет — расскажу ближе к концу.

Что такое Active Directory и почему вокруг неё столько споров

Active Directory — это служба каталогов от Microsoft. Один сервер, который знает всё о пользователях, компьютерах и правах в вашей сети. Заводите сотрудника один раз — он входит с любого компьютера в офисе под своим логином. Уволили человека — заблокировали в одном месте, доступ закрыт везде и сразу. Сменился пароль — обновился на всех машинах. Групповые политики позволяют централизованно настраивать всё: от обоев рабочего стола до полного запрета USB-флешек. Звучит хорошо. И это действительно хорошо — когда нужно.

Споры начинаются, когда малый бизнес начинает копировать корпоративные практики без понимания зачем. Сисадмин прочитал, что «у нормальных компаний есть домен» — и пошёл убеждать руководство. Или аутсорсер хочет развернуть AD, потому что это отдельный хороший проект с хорошим чеком. Я ни в коем случае не говорю, что AD плохая. Она отличная. Но инструмент должен решать задачу, а не создавать видимость технической зрелости. Платить 400 тысяч рублей за инфраструктуру, которая ничего принципиально не меняет в вашей работе, — это не развитие. Это просто расход.

Я работаю с небольшими компаниями уже больше десяти лет. Юрфирмы, бухгалтерские конторы, медицинские клиники, небольшое производство, розничные магазины. У каждого свои задачи, свои бюджеты, свои болячки. И мой главный вывод: вопрос «нужна ли нам Active Directory» не имеет универсального ответа. Зависит от того, что у вас болит прямо сейчас.

До 15 компьютеров: когда рабочая группа вполне справляется

Если у вас 10–15 ПК, все сидят в одном офисе и нет специфических требований к безопасности — рабочая группа (Workgroup) работает. Нормально работает. Windows спокойно шарит папки и принтеры, подключается к серверу 1С, открывает общие ресурсы по сети. У меня есть клиенты, которые работают в рабочей группе с 8–12 компьютерами уже много лет и ни на что не жалуются. Это не «неправильно». Это просто другой подход с другим набором компромиссов.

Что реально нужно небольшому офису без домена, чтобы всё работало нормально? Во-первых, приличный NAS — сетевое хранилище Synology или QNAP за 35–60 тысяч рублей. Это ваш файловый сервер, который не требует Windows Server и вообще не требует CAL. Во-вторых, нормальный антивирус с централизованной консолью — тот же Kaspersky Endpoint Security с KSC управляется с одного места и стоит разумных денег. В-третьих, резервное копирование — обязательно вне зависимости от наличия домена. Veeam Agent, даже бесплатная версия, спасёт от потери данных в самый неожиданный момент.

Главная боль рабочей группы — ручное управление. Добавить нового пользователя на 12 машин? Нужно зайти на каждую. Сменить пароль? На каждую. Поставить политику блокировки экрана через 10 минут? На каждую. Пока машин десять — это часа три работы раз в месяц. Неприятно, но терпимо. Когда их становится 25 — это уже системная проблема, которая регулярно жрёт рабочее время.

От 20 ПК: когда без домена начинается настоящая головная боль

Двадцать компьютеров — примерно та черта, где рабочая группа из «неудобства» превращается в реальный тормоз. Не потому что она архитектурно неправильная, а потому что на администрирование тратится непропорционально много времени. У одного нашего клиента — торговая компания, 28 рабочих мест в Москве — был аутсорс-администратор, который тратил 3–4 часа каждый раз, когда кто-то уходил. Надо было вручную убрать доступ к каждому ресурсу: папки на NAS, принтеры, RDP на сервер 1С, почтовый клиент. После перехода на AD вся процедура увольнения заняла 10 минут: заблокировал учётку, вышел из домена. Всё.

Есть несколько ситуаций, где домен становится практически обязательным — независимо от числа машин. Первое: если вы работаете с персональными данными и должны соответствовать 152-ФЗ, AD даёт полноценный журнал аудита — кто, когда, с какого компьютера обращался к каким данным. Второе: если у вас есть удалённые сотрудники на RDP. Настроить нормальную терминальную службу без домена технически можно, но это велосипед с квадратными колёсами. Третье: если нужно жёсткое разграничение прав — бухгалтер видит только своё, юрист только своё, менеджер вообще только CRM. В домене это политика за час. Без домена — постоянная ручная работа.

Отдельно про 1С, потому что вопрос возникает постоянно. Если у вас больше 10–12 активных пользователей 1С, особенно в тяжёлых конфигурациях — Управление предприятием, ЗУП, ERP — домен начинает себя оправдывать. Не потому что 1С без домена не работает: работает, и хорошо. Но аутентификация Windows, разграничение прав на базы, управление сессиями — всё это настраивается в разы проще и надёжнее в доменной среде. Плюс типовая история: пользователь 1С уволился, его сессия висит активной несколько дней. В домене решается политикой за пять минут.

Сколько реально стоит развернуть Active Directory в московском офисе

Давайте честно про деньги, без маркетинговых округлений. Вам нужен сервер. Физический или виртуальный — зависит от того, что уже есть. Новый физический сервер начального уровня для небольшого офиса — Dell PowerEdge T150 или HPE ProLiant ML30 — обойдётся в 180–280 тысяч рублей в зависимости от конфигурации. Если у вас уже есть мощная машина под 1С или файловый сервер с запасом ресурсов — контроллер домена можно поднять как виртуальную машину прямо там. Hyper-V входит в Windows Server бесплатно, дополнительного гипервизора покупать не нужно.

Лицензии — отдельная больная тема. Windows Server 2022 Standard лицензируется по ядрам: базовая лицензия покрывает 16 ядер, дополнительные пары докупаются отдельно. На практике для небольшого сервера это выходит в 60–80 тысяч рублей. И это ещё не всё. Каждый пользователь, обращающийся к серверу с AD, должен иметь клиентскую лицензию CAL. Пользовательский CAL для Windows Server 2022 стоит примерно 2 500–4 000 рублей. На 30 пользователей — ещё 75–120 тысяч рублей сверху. Итого только на лицензии: 135–200 тысяч рублей. Без работы по внедрению.

Внедрение — отдельная статья. Развернуть AD «для галочки» за два часа — это одно. Сделать правильно: спроектировать структуру подразделений OU, настроить групповые политики под реальные задачи бизнеса, поднять второй контроллер домена (об этом ниже), настроить резервное копирование System State через Veeam или Windows Server Backup, перевести рабочие станции в домен, проверить, что КриптоПро и СКЗИ работают нормально в новой среде — это 2–4 рабочих дня плотной работы. Мы берём за такой проект от 80 до 150 тысяч рублей в зависимости от числа машин и сложности. Итого для офиса на 30 человек с нуля: 350–550 тысяч рублей.

Ошибки при развёртывании, которые я вижу постоянно

Ошибка номер один, самая опасная — один контроллер домена. Убедить заказчика, что нужен второй DC, всегда сложно. «Зачем платить за второй сервер, если первый работает?» Объясняю так: если единственный DC выходит из строя — весь офис встаёт намертво. Не замедляется. Не работает в урезанном режиме. Просто никто никуда не войдёт — ни в компьютер, ни в папки, ни в 1С через доменную аутентификацию. У меня был такой случай с клиентом из производственного сектора: один DC, отказ системного диска в пятницу вечером. Восстанавливали из резервной копии всё выходные. В понедельник утром завод не работал три часа. После этого клиент про второй сервер больше не спрашивал.

Ошибка два — хаотичная структура подразделений. Организационные единицы (OU) в AD — это как папки для пользователей и компьютеров. Если складывать всё в корень домена без структуры, настроить избирательные политики потом практически невозможно. Видел компании, где все 40 пользователей лежат прямо в домене, ни одного OU нет. Хочешь применить политику только к бухгалтерии — не можешь, потому что некуда её привязать. Приходится чинить прямо в процессе работы, с неизбежными плясками вокруг живой системы.

Ошибка три — мёртвые учётные записи. Уволился сотрудник три месяца назад, а его аккаунт в AD живёт и дышит: пароль тот же, группы те же, доступ к папкам тот же. Это не просто беспорядок — реальная дыра в безопасности. Особенно если человек ушёл не по-хорошему. В правильно выстроенном процессе правило простое: в день увольнения HR пишет в IT, учётка блокируется немедленно, через 30 дней удаляется. Звучит банально, но в половине компаний этого нет. Без домена такой процесс организовать вообще крайне сложно — в домене это вопрос регламента и одной кнопки.

Azure Active Directory и гибридные схемы: модно, но не всегда нужно

Microsoft активно продвигает Entra ID — так теперь называется Azure Active Directory. Облачная служба каталогов: никаких серверов, никаких CAL в традиционном смысле, управление через браузер, подписочная модель. Звучит соблазнительно. И для определённых сценариев — действительно хорошо работает. Если ваша компания работает преимущественно в облаке, основные инструменты — Microsoft 365, SharePoint Online, Teams — и у вас есть сотрудники в разных городах или работающие полностью удалённо, Entra ID может оказаться правильным выбором.

Но здесь важно не путать тёплое с мягким. Azure AD — это не замена классическому on-premise AD. Другой продукт с другим набором возможностей и другой логикой. Привычные групповые политики GPO в Azure AD не работают в том виде, к которому все привыкли — там используется Intune, настройка другая и в целом сложнее. Вход в компьютер без интернета, работа с локальным файловым сервером через SMB, 1С с доменной аутентификацией — всё это либо работает иначе, либо требует дополнительных настроек. Если у вас обычный московский офис с файловым сервером, 1С и принтерами — классический on-premise AD проще, понятнее и дешевле в обслуживании.

Гибридная схема — когда одновременно есть и локальный AD, и Entra ID, синхронизированные через Azure AD Connect — это уровень компаний с несколькими офисами, 50–100+ пользователями или специфическими требованиями к безопасности. Для типичного клиента этой статьи — юрфирма на 20 человек, торговая компания на 35 рабочих мест — гибрид избыточен и создаёт ненужную сложность. Хотя если вы уже платите за Microsoft 365 Business Premium, там Entra ID включён в подписку, и базовое управление устройствами через Intune вполне может быть разумным дополнением к инфраструктуре.

Как мы развёртываем Active Directory: порядок работ и что получает клиент

Начинаем всегда с обследования. Смотрим, что есть: сколько машин, какие серверы, какие версии Windows на рабочих станциях. Windows 10 Pro и 11 Pro поддерживают ввод в домен, а вот Home — нет. Это иногда становится неприятным сюрпризом прямо в процессе работы. Отдельно разбираемся с бизнес-требованиями: есть ли удалённый доступ, какие требования регуляторов, как организована работа с ЭЦП и КриптоПро. На выходе — техническое задание и смета, которые клиент читает и подписывает до начала работ. Никаких сюрпризов на финише.

Первый рабочий день — разворачиваем Primary DC. Устанавливаем Windows Server 2022, поднимаем роль AD DS, создаём домен. Проектируем структуру OU: три верхних уровня — Пользователи, Компьютеры, Группы — и внутри разбивка по отделам. Бухгалтерия, Юристы, Менеджеры, IT, Руководство. Настраиваем базовые политики: парольная политика (минимум 8 символов, срок жизни 90 дней, история паролей), блокировка экрана через 10–15 минут, базовые настройки безопасности браузера. Начинаем вводить рабочие станции в домен — по отделам, чтобы не ломать всё сразу.

Второй-третий день — второй контроллер домена, тестирование, резервное копирование. DC2 поднимаем обязательно, настраиваем репликацию, проверяем, что роли FSMO корректно распределены. Потом симулируем отказ первого DC — выключаем его и смотрим, что пользователи продолжают работать через второй. Настраиваем резервное копирование System State: Veeam Agent или Windows Server Backup ежедневно, хранение минимум две недели, с проверкой, что из этого бэкапа реально можно восстановиться. КриптоПро устанавливаем заново уже в доменной среде, проверяем ЭЦП. Сдаём клиенту с документацией: схема сети, пароли в защищённом хранилище, инструкция по базовым операциям. Кстати, той юридической фирме из начала мы AD не развернули. Взяли нормальный Synology, настроили резервное копирование и локальные политики безопасности. Работают уже четыре года, никаких проблем. Иногда правильный ответ — не усложнять.

Частые вопросы

Нужна ли Active Directory, если у нас 15 компьютеров в одном офисе?
Скорее нет. При 15 ПК в одном помещении рабочая группа Windows справляется с повседневными задачами вполне нормально. Исключение — если у вас строгие требования к аудиту доступа по 152-ФЗ, несколько конфигураций 1С с большим числом пользователей или удалённые сотрудники на RDP. В остальных случаях лучше вложить деньги в хороший NAS и нормальное резервное копирование — это даст больше реальной пользы прямо сейчас.

Сколько стоит полноценное развёртывание AD под ключ для офиса на 30 человек?
Если считать всё — сервер, лицензии Windows Server 2022 и CAL, работу по внедрению — для офиса на 25–30 человек это 350–550 тысяч рублей единовременно плюс ежегодное обслуживание. Цифра серьёзная, но если посчитать, сколько рабочих часов уходит на ручное администрирование без домена и во сколько обходится простой офиса при инциденте безопасности — всё встаёт на место. Мы всегда делаем расчёт под конкретную ситуацию до начала работ.

Можно ли поднять контроллер домена на виртуальной машине?
Да, это абсолютно нормальная практика. Если у вас уже есть сервер с запасом ресурсов — например, под 1С или файловый сервер — DC можно развернуть как виртуальную машину на Hyper-V. Минимальные требования скромные: 2 vCPU, 4 ГБ RAM, 60 ГБ диска. Главное правило: никогда не размещайте оба контроллера домена на одном физическом хосте. Если хост падает — теряете оба DC разом и весь смысл резервирования исчезает.

Что произойдёт, если единственный контроллер домена выйдет из строя?
Весь офис встанет. Ни один пользователь не сможет войти в систему, не откроется ни одна доменная папка, 1С через доменную аутентификацию тоже не запустится. Восстановление из резервной копии — несколько часов минимум, в сложных случаях сутки. Второй контроллер домена — не опция и не роскошь, это обязательный элемент любой нормальной доменной инфраструктуры. Без него затевать AD вообще не имеет смысла.