Active Directory (AD) — это основа инфраструктуры ИТ в большинстве компаний, обеспечивающая управление пользователями, устройствами и ресурсами. Даже небольшие компании, имеющие 10–50 сотрудников, сталкиваются с необходимостью грамотной настройки AD для удобного администрирования, повышения безопасности и автоматизации процессов.
В этой статье мы подробно разберем, как правильно развернуть и настроить Active Directory в небольшой компании, чтобы избежать распространенных ошибок и обеспечить надежную работу сети.
1. Планирование структуры Active Directory
Перед тем как приступить к установке, необходимо спланировать структуру AD, которая будет отвечать требованиям бизнеса.
1.1. Определение доменного имени
Выбор доменного имени — критически важный шаг. Оно должно быть:
✅ Лаконичным и понятным (например, company.local вместо company-AD.local)
✅ Не конфликтовать с интернет-доменами (не используйте company.com, чтобы избежать проблем с DNS)
1.2. Планирование организационных единиц (OU)
Организационные единицы (Organizational Units, OU) помогают разграничивать пользователей и устройства, а также применять групповые политики.
Пример структуры для небольшой компании:
📂 Company.local
📂 Users (Пользователи)
📂 Managers (Руководители)
📂 IT (ИТ-отдел)
📂 Employees (Остальные сотрудники)
📂 Computers (Компьютеры)
📂 Workstations (Рабочие станции)
📂 Servers (Серверы)
2. Установка и развертывание Active Directory
2.1. Подготовка сервера
Перед установкой AD необходимо:
🖥 Установить Windows Server 2022 (или 2019)
💾 Выделить минимум 8 ГБ ОЗУ и 100 ГБ дискового пространства
🌐 Настроить статический IP-адрес
2.2. Установка роли контроллера домена
1️ Открываем Server Manager → Add roles and features
2️ Выбираем Active Directory Domain Services (AD DS)
3️ После установки нажимаем Promote this server to a domain controller
4 Создаем новый лес с доменным именем (например, company.local)
5️ Настраиваем пароль для Directory Services Restore Mode (DSRM)
6️ Дожидаемся завершения установки и перезагружаем сервер
3. Настройка пользователей и групп
Правильное управление учетными записями пользователей повышает безопасность и упрощает администрирование.
3.1. Создание учетных записей пользователей
Лучше всего добавлять пользователей с помощью PowerShell:
powershell:
New-ADUser -Name "Ivan Petrov" -GivenName "Ivan" -Surname "Petrov" -SamAccountName "ipetrov" -UserPrincipalName "ipetrov@company.local" -Path "OU=Employees,DC=company,DC=local" -AccountPassword (ConvertTo-SecureString "Pa$$w0rd" -AsPlainText -Force) -Enabled $true
3.2. Создание групп безопасности
Создаем группы для управления доступом:
powershell:
New-ADGroup -Name "Finance Team" -GroupScope Global -Path "OU=Users,DC=company,DC=local"
Добавляем пользователя в группу:
powershell:
Add-ADGroupMember -Identity "Finance Team" -Members "ipetrov"
3.3. Политика паролей
Настроим политику паролей через Group Policy Management:
🔹 Минимальная длина пароля — 12 символов
🔹 Срок действия пароля — 90 дней
🔹 Запрет на повторение последних 5 паролей
4. Настройка групповых политик (GPO)
Групповые политики позволяют централизованно управлять настройками пользователей и компьютеров.
4.1. Запрещаем установку программ
Включаем политику в User Configuration -> Administrative Templates -> System:
🚫 "Don’t run specified Windows applications" (запрещаем запуск setup.exe, install.exe)
4.2. Настраиваем автоматическое монтирование сетевых дисков
Используем GPO для подключения сетевых папок:
powershell:
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\server\shared"
4.3. Блокируем USB-накопители
Защищаем сеть от утечек данных через USB-носители:
🚫 Computer Configuration -> Policies -> Administrative Templates -> System -> Removable Storage Access
📌 Deny all access
5. Настройка резервного копирования AD
Настроим резервное копирование через Windows Server Backup:
1️ Устанавливаем Windows Server Backup:
powershell:
Install-WindowsFeature -Name Windows-Server-Backup
2️ Создаем резервную копию AD:
powershell:
wbadmin start backup -backupTarget:D: -include:C:\Windows\NTDS -allCritical -quiet
3️ Восстанавливаем AD в случае сбоя:
powershell:
wbadmin start systemstaterecovery -backupTarget:D:
6. Мониторинг и аудит
6.1. Включаем аудит событий безопасности
🔹 Audit logon events — отслеживание попыток входа
🔹 Audit account management — изменения учетных записей
Настроим аудит через PowerShell:
powershell:
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
6.2. Уведомления о блокировке учетных записей
Настроим автоматическое уведомление при блокировке пользователей:
powershell:
Get-EventLog -LogName Security -InstanceId 4740 | Format-List
Заключение
Правильная настройка Active Directory даже в небольшой компании повышает безопасность, упрощает управление пользователями и минимизирует ошибки.
📌 Основные выводы:
✔️ Продумайте структуру AD перед установкой
✔️ Настройте пользователей и группы заранее
✔️ Используйте групповые политики для управления настройками
✔️ Обязательно настройте резервное копирование AD
✔️ Следите за логами и аудитом для предотвращения угроз
Хотите больше полезных инструкций по настройке корпоративных систем? Подписывайтесь на канал! 🚀