В небольшом офисе компьютеры работают сами по себе. У каждого свой локальный администратор. Пароли записаны на стикерах. Общие папки открыты «на всех» без разграничения доступа. Когда приходит новый сотрудник, системный администратор бегает по всем машинам и создаёт учётные записи вручную. Когда нужно поменять пароль, опять беготня.
Рано или поздно такая хаотичная модель перестаёт работать. Теряются файлы. Доступы перекрываются. Учётки множатся. Безопасность стремится к нулю. Нужна централизованная система управления пользователями и компьютерами. Другими словами, домен Active Directory.
Active Directory (сокращённо AD) это служба каталогов от Microsoft. Она хранит информацию об объектах сети (пользователи, компьютеры, группы) и управляет доступом к ресурсам. Контроллер домена (Domain Controller) это сервер с AD, который аутентифицирует пользователей и применяет политики.
В этой статье мы развернём контроллер домена на Windows Server. Настроим DNS (неотъемлемая часть AD). Научим клиентские машины (Windows 10/11) входить в домен. В результате получим централизованное управление с единым входом для всех пользователей.
Шаг 1. Подготовка сервера
Прежде чем устанавливать роль AD DS, сервер должен соответствовать требованиям.
Статический IP адрес. Правильно настроенное имя (желательно осмысленное, например DC01). Установлены все обновления.
Если вы уже прошли предыдущую статью «Начальная настройка Windows Server», сервер уже готов. Если нет, выполните базовые шаги.
Назначьте статический IP в подсети, где будут клиенты. Укажите в качестве предпочитаемого DNS сервера свой собственный IP (пока это ещё не контроллер, но после установки AD DNS будет работать на нём). Дайте серверу понятное имя (например SRV-DC01) и перезагрузитесь.
Шаг 2. Установка роли AD DS и DNS
Откройте Диспетчер серверов (Server Manager). Нажмите «Управление», «Добавить роли и компоненты». В мастере выберите тип установки: «Установка ролей или компонентов». Выберите целевой сервер (текущий).
В списке ролей отметьте «Доменные службы Active Directory». Появится окно с предложением добавить компоненты, нажмите «Добавить компоненты». На следующем шаге также отметьте «DNS-сервер» (AD тесно связан с DNS, и мастер предложит установить его). Пройдите до конца мастера, нажмите «Установить». Установка займёт несколько минут.
Шаг 3. Настройка контроллера домена (повышение роли)
После установки роли в Диспетчере серверов появится уведомление с жёлтым треугольником: «Настройка целевого сервера». Нажмите на него и выберите «Повысить роль этого сервера до контроллера домена».
Выберите «Добавить новый лес» (если вы создаёте домен с нуля). Введите имя корневого домена, например company.local. Желательно использовать домен, который не занят в интернете (не company.com, если у вас есть внешний сайт). В учебных целях подойдёт .local.
Выберите функциональный уровень леса и домена. Для современных сред выбирайте последнюю доступную версию (например Windows Server 2016/2019/2022). Укажите пароль для режима восстановления служб каталогов (DSRM). Этот пароль пригодится, если придётся восстанавливать AD из резервной копии.
На странице «Параметры DNS» появится предупреждение о делегировании. Его можно игнорировать (для первого контроллера домена делегирование не требуется). Проверьте NetBIOS имя (обычно совпадает с первой частью домена, например COMPANY). Укажите пути к базе данных AD, логам и папке SYSVOL (лучше оставить по умолчанию, если нет отдельных дисков). Проверьте параметры и нажмите «Далее», затем «Установить».
Сервер перезагрузится автоматически. После перезагрузки войдите под учётной записью администратора домена в формате COMPANY\Administrator.
Шаг 4. Проверка работы DNS и AD
После повышения роль контроллера установлена, и DNS сервер настроен автоматически. Проверим.
Откройте командную строку и выполните:
text
nslookup company.local
Должен вернуться IP адрес вашего сервера.
Проверьте, что в DNS зоне созданы необходимые записи. Откройте Диспетчер DNS (dnsmgmt.msc). Разверните зону прямого просмотра company.local. Там должны быть записи типа A для вашего контроллера и записи _tcp, _udp. Они нужны для работы AD.
Проверьте оснастку AD. Откройте «Пользователи и компьютеры Active Directory» (dsa.msc). Убедитесь, что отображаются встроенные контейнеры (Builtin, Computers, Users, Domain Controllers).
Шаг 5. Создание первых пользователей и групп
Для тестирования создадим тестового пользователя.
В оснастке «Active Directory пользователи и компьютеры» выберите контейнер Users. Нажмите правой кнопкой «Создать», «Пользователь». Заполните имя, фамилию, логин (например ivanov). Задайте пароль. Рекомендуется снять галочку «Требовать смену пароля при следующем входе» (для теста) и поставить «Срок действия пароля не ограничен» (только для теста).
Теперь у нас есть тестовый пользователь в домене.
Шаг 6. Присоединение клиента Windows 10/11 к домену
Возьмём любой клиентский компьютер с Windows 10 Pro или Enterprise (Домашняя версия не может входить в домен).
На клиенте настройте сетевой адаптер так, чтобы предпочитаемый DNS сервер указывал на IP вашего контроллера домена (например 192.168.1.10). Это критически важно: клиент должен находить домен через DNS.
Откройте «Параметры», «Система», «О системе», «Сведения о системе», «Переименование этого компьютера (расширенные)». Нажмите «Изменить». Выберите «Член домена» и введите имя домена company.local. Нажмите ОК. Система запросит учётные данные пользователя, имеющего право добавлять компьютеры в домен. Можно ввести данные администратора домена (COMPANY\Administrator).
После успешного входа в домен появится приветствие. Потребуется перезагрузка. После перезагрузки на экране входа выберите «Другой пользователь» и войдите под доменной учёткой (например COMPANY\ivanov и пароль). Поздравляю, компьютер в домене.
Шаг 7. Проверка. Где виден компьютер
Вернитесь на контроллер домена. Откройте оснастку «Active Directory пользователи и компьютеры». В контейнере Computers должен появиться ваш клиентский компьютер. Теперь вы можете управлять им через групповые политики.
Шаг 8. Первые групповые политики (необязательно, но полезно)
Чтобы сразу ощутить мощь AD, создадим простую политику. Например, положим ярлык на рабочий стол всем пользователям.
На контроллере откройте «Управление групповой политикой» (gpmc.msc). Разверните лес, домен company.local. Правой кнопкой на «Default Domain Policy», «Изменить» (или создайте новую политику). В редакторе перейдите: «Конфигурация пользователя», «Параметры», «Конфигурация Windows», «Ярлыки». Создайте новый ярлык (например, ссылка на сайт). Закройте редактор. Политика применится при следующем входе пользователя в систему (или можно выполнить gpupdate /force на клиенте).
Возможные проблемы и их решение
ПроблемаПричинаРешениеКлиент не видит домен при вводеНеправильный DNS на клиентеПроверьте, что клиент использует DNS сервер контроллера домена. Выполните nslookup company.local на клиенте.Ошибка «Домена не существует» или «Контроллер домена не найден»Неправильное имя домена или проблемы с сетьюПроверьте сетевое подключение (ping до контроллера). Убедитесь, что на контроллере работает служба DNS.Не удаётся войти доменной учёткой на клиенте после ввода в доменВремя на клиенте и контроллере рассинхронизированоНастройте синхронизацию времени. На клиенте выполните w32tm /resync. Или настройте клиент на использование времени контроллера.При попытке установки AD DS ошибка «Требуется статический IP»Сервер использует DHCPНазначьте статический IP через сетевые подключения.
Развернув контроллер домена и настроив DNS, вы получили централизованную систему аутентификации. Теперь все пользователи могут заходить на любом компьютере домена под своими учётными записями. Администратору достаточно один раз создать учётку в AD. Следующий шаг: настройка групповых политик, развёртывание файловых серверов и внедрение профилей roaming.