Источник: https://github.com/AnaktaCTF/CTF/blob/main — Misc/Active_Directory.md

• 1. Что такое Active Directory?
  • 1.1 Определение
  • 1.2 Назначение и функции
  • 1.3 Краткая история и развитие
  • 1.4 Роль Active Directory в инфраструктуре Windows
• 2. Основные компоненты Active Directory
  • 2.1 Домены, деревья и леса
    • Домены (Domains)
    • Деревья (Trees)
    • Леса (Forests)
  • 2.2 Контроллеры домена (Domain Controllers, DC)
  • 2.3 Объекты в Active Directory
  • 2.4 Схема (Schema) и глобальный каталог (Global Catalog)
    • Схема AD
    • Global Catalog (GC)
• 3. Принципы работы Active Directory
  • 3.1 Аутентификация и авторизация
    • Аутентификация (Authentication)
    • Процесс аутентификации в общих чертах:
    • Авторизация (Authorization)
  • 3.2 Протоколы, используемые в Active Directory
    • LDAP (Lightweight Directory Access Protocol)
    • Kerberos
    • DNS (Domain Name System)
  • 3.3 Репликация данных между контроллерами
    • Ключевые особенности репликации:
    • Конфликт разрешения:
  • 3.4 Каталоги и роли FSMO
    • Глобальный каталог (Global Catalog)
    • FSMO-роли (Flexible Single Master Operations)
• 4. Инструменты и управление Active Directory
  • 4.1 Графические инструменты администрирования
    • 1. Active Directory Users and Computers (ADUC)
    • 2. Active Directory Domains and Trusts
    • 3. Active Directory Sites and Services
    • 4. Group Policy Management Console (GPMC)
  • 4.2 Утилиты командной строки и PowerShell
    • 1. Командная строка (CLI):
    • 2. PowerShell для Active Directory
  • 4.3 Безопасность и делегирование прав
  • 4.4 Мониторинг и аудит
    • Инструменты мониторинга:
• Заключение

1.1 Определение

Active Directory (AD) — это служба каталогов, разработанная корпорацией Microsoft. Она используется для централизованного хранения, организации и управления информацией о пользователях, компьютерах, серверах, ресурсах сети и политике безопасности в рамках корпоративной IT-инфраструктуры. Active Directory позволяет администраторам управлять правами доступа, безопасностью и политиками пользователей в масштабах всей организации.

Проще говоря, Active Directory — это база данных, которая помогает организовать и контролировать доступ к сетевым ресурсам.

1.2 Назначение и функции

Основное предназначение Active Directory — централизованное управление. Это означает, что администратор может управлять всеми пользователями, компьютерами и настройками из одного места. Вот ключевые функции AD:

• Хранение информации об объектах в сети (пользователях, устройствах, группах и пр.)

• Аутентификация пользователей (проверка личности)

• Авторизация (предоставление доступа к ресурсам на основе прав)

• Управление групповой политикой (GPO)

• Интеграция с другими службами (например, DNS, DHCP, Exchange)

1.3 Краткая история и развитие

Active Directory была впервые представлена в Windows 2000 Server. До этого Microsoft использовала модель "рабочих групп", которая не обеспечивала централизованного управления.

С течением времени AD эволюционировала:

• В Windows Server 2003 были добавлены новые функции безопасности и улучшена репликация данных.

• В Windows Server 2008 и 2012 появилась возможность восстановления объектов, а также введены "Fine-Grained Password Policies" — точечные политики паролей.

• Современные версии, такие как Windows Server 2016, 2019 и 2022, добавили возможности интеграции с облачными решениями (например, Azure Active Directory), повысили отказоустойчивость и упростили администрирование.

1.4 Роль Active Directory в инфраструктуре Windows

В организациях с десятками, сотнями или тысячами пользователей AD становится краеугольным камнем IT-инфраструктуры. Она позволяет:

• Упростить регистрацию новых сотрудников (создание учётной записи, предоставление доступа, установка политик)

• Управлять безопасностью и соответствием требованиям

• Централизованно обновлять и администрировать рабочие станции и серверы

• Быстро реагировать на инциденты, связанные с безопасностью

2. Основные компоненты Active Directory

Active Directory основана на объектной модели и иерархической структуре. Понимание её основных компонентов — ключ к эффективному управлению корпоративной сетью.

2.1 Домены, деревья и леса

Домены (Domains)

Домен — это логическая группа объектов (пользователей, компьютеров, групп), объединённых под одним именем и управляемых централизованно. Домены служат основным элементом безопасности и администрирования в AD.

Пример доменного имени: company.local или corp.example.com.

Каждый домен имеет:

• Уникальное имя (DNS-совместимое)

• Собственную базу данных (копия Active Directory)

• Контроллеры домена (серверы, отвечающие за хранение и обслуживание AD)

Деревья (Trees)

Дерево — это структура, включающая один или несколько доменов, связанных между собой иерархически и доверительными отношениями. Все домены в дереве используют общее пространство имён.

Пример:

• Корневой домен: example.com

• Поддомены: sales.example.com, it.example.com

Леса (Forests)

Лес (Forest) — это самая верхняя структура в архитектуре AD. Он может включать одно или несколько деревьев. Все деревья в лесу:

• Имеют общую схему (schema)

• Делят глобальный каталог (Global Catalog)

• Могут взаимодействовать по доверительным отношениям

Лес создаётся при установке первого контроллера домена.

2.2 Контроллеры домена (Domain Controllers, DC)

Контроллер домена — это сервер, на котором установлена служба Active Directory Domain Services (AD DS). Он выполняет следующие функции:

• Обслуживает запросы аутентификации (логин пользователей)

• Управляет объектами в домене

• Реплицирует данные другим DC

• Хранит копию базы данных AD (NTDS.dit)

В крупных организациях рекомендуется иметь несколько DC для надёжности и отказоустойчивости.

2.3 Объекты в Active Directory

Все элементы, управляемые через AD, представлены в виде объектов. Каждый объект имеет уникальный идентификатор (GUID) и атрибуты.

Основные типы объектов:

• Пользователи (User) — индивидуальные учётные записи с паролем, правами и настройками.

• Группы (Group) — логическое объединение пользователей (например, "Бухгалтерия", "Администраторы").

• Компьютеры (Computer) — представляют устройства, подключённые к домену.

• Контейнеры и организационные единицы (OU) — логическая структура для организации объектов (например, по отделам или локациям).

Пример структуры:

- company.local
   └── OU: IT
         ├── User: Ivanov
         ├── Computer: WS-IT01
         └── Group: IT_Admins

2.4 Схема (Schema) и глобальный каталог (Global Catalog)

Схема AD

Схема определяет типы объектов и допустимые атрибуты. Это своего рода "чертёж" базы данных AD.

Пример: объект типа "User" имеет атрибуты: имя, фамилия, пароль, e-mail.

Global Catalog (GC)

Глобальный каталог — это частичная реплика всей AD-базы данных из всех доменов в лесу. Он нужен для:

• Поиска объектов в других доменах

• Аутентификации при входе пользователей

• Обеспечения кросс-доменных запросов

3. Принципы работы Active Directory

Active Directory — это не просто база данных, а целая система, в которой заложены важные механизмы взаимодействия между пользователями, устройствами и сервисами. Чтобы эффективно её использовать и администрировать, необходимо понимать, как она функционирует "под капотом".

3.1 Аутентификация и авторизация

Аутентификация (Authentication)

Аутентификация — это процесс подтверждения личности пользователя. Когда вы вводите имя пользователя и пароль, AD проверяет, действительно ли вы тот, за кого себя выдаёте.

Active Directory использует для этого протокол Kerberos, который:

• Основан на билетах (tickets)

• Позволяет единоразово аутентифицироваться и затем использовать разные сервисы (SSO — Single Sign-On)

• Более безопасен, чем классическая проверка пароля

Процесс аутентификации в общих чертах:

1. Пользователь вводит логин/пароль.

2. Клиент обращается к контроллеру домена.

3. Контроллер выдаёт билет (TGT — Ticket Granting Ticket).

4. Пользователь с этим билетом может получать доступ к ресурсам без повторного ввода пароля.

Авторизация (Authorization)

Авторизация — это процесс определения прав пользователя после аутентификации. Active Directory использует группы, политики и ACL (списки контроля доступа), чтобы определить:

• Какие файлы и папки доступны пользователю

• Какие действия он может выполнять в системе

• К каким устройствам или приложениям он имеет доступ

3.2 Протоколы, используемые в Active Directory

LDAP (Lightweight Directory Access Protocol)

LDAP — основной протокол, используемый для доступа и взаимодействия с данными AD. Он позволяет:

• Читать/изменять данные о пользователях, группах, устройствах

• Производить поиск объектов

• Использовать AD как источник аутентификации для других сервисов

Стандартный порт:

• 389 (LDAP)

• 636 (LDAPS — защищённый)

Kerberos

Как уже упоминалось, Kerberos — это протокол аутентификации, основанный на криптографии с использованием третьей доверенной стороны (контроллера домена).

Преимущества:

• Повышенная безопасность

• Поддержка SSO

• Быстрая проверка без постоянной передачи пароля

DNS (Domain Name System)

AD тесно интегрирован с DNS. Он необходим для:

• Поиска контроллеров домена

• Разрешения имён в сети

• Правильной работы служб входа в систему

Без корректной настройки DNS Active Directory не будет функционировать должным образом.

3.3 Репликация данных между контроллерами

В домене может быть несколько контроллеров домена (DC), и все они должны иметь актуальные данные. Для этого используется механизм репликации, который обеспечивает синхронизацию изменений между DC.

Ключевые особенности репликации:

• Модель нескольких мастеров: изменения можно вносить на любом контроллере, и они будут переданы другим.

• Асинхронная репликация: данные передаются не мгновенно, а через определённые интервалы времени.

• Сайт-сайт репликация: в случае наличия удалённых офисов AD использует топологию сайтов для оптимизации трафика (междугородние/международные соединения).

Конфликт разрешения:

Если один и тот же объект был изменён на разных DC, используется принцип "наибольшего номера версии" + "время изменения", чтобы определить, какое изменение сохранить.

3.4 Каталоги и роли FSMO

Глобальный каталог (Global Catalog)

Уже упомянутый ранее GC обеспечивает возможность поиска объектов по всему лесу. Один из DC в каждом домене может быть назначен как GC.

FSMO-роли (Flexible Single Master Operations)

Несмотря на модель нескольких мастеров, в AD есть 5 специальных ролей, которые должны исполняться только одним контроллером в лесу или домене:

Лесные роли (Forest-wide):

1. Schema Master — управляет изменениями схемы.

2. Domain Naming Master — отвечает за добавление/удаление доменов в лесу.

Доменные роли (Domain-wide):
3. RID Master — раздаёт уникальные идентификаторы объектам.
4. PDC Emulator — "эмулятор" главного контроллера (важен для совместимости, синхронизации времени, изменения паролей).
5. Infrastructure Master — отслеживает ссылки на объекты из других доменов.

4. Инструменты и управление Active Directory

Эффективное администрирование Active Directory невозможно без специализированных инструментов. Microsoft предоставляет как графические, так и командные средства управления AD — от простого создания пользователей до тонкой настройки политик безопасности.

4.1 Графические инструменты администрирования

1. Active Directory Users and Computers (ADUC)

Один из самых часто используемых интерфейсов. Позволяет управлять объектами AD в удобной форме.

Функциональность:

• Создание и удаление пользователей, групп, компьютеров

• Назначение членства в группах

• Управление учетными записями (блокировка, смена пароля и др.)

• Организация объектов по OU (организационным единицам)

Запуск:
Start > Administrative Tools > Active Directory Users and Computers
или команда: dsa.msc

2. Active Directory Domains and Trusts

Используется для управления:

• Доверительными отношениями между доменами

• Структурой дерева доменов

• Расширением домена с альтернативными UPN-суффиксами

Запуск:
Start > Administrative Tools > Active Directory Domains and Trusts
или команда: domain.msc

3. Active Directory Sites and Services

Позволяет управлять физической структурой сети и репликацией между контроллерами.

Функции:

• Настройка сайтов (Sites), подсетей (Subnets)

• Назначение контроллеров к конкретным сайтам

• Контроль графика и топологии репликации

Запуск:
Start > Administrative Tools > Active Directory Sites and Services
или команда: dssite.msc

4. Group Policy Management Console (GPMC)

GPO (Group Policy Objects) — это мощный механизм централизованного управления настройками пользователей и компьютеров в домене.

Что можно делать:

• Назначать политики безопасности (например, запрет USB)

• Управлять скриптами входа/выхода

• Назначать параметры рабочего стола, сетевого доступа и пр.

• Разграничивать политики по подразделениям (OU)

Запуск:
gpmc.msc
или через Server Manager > Tools > Group Policy Management

4.2 Утилиты командной строки и PowerShell

1. Командная строка (CLI):

Некоторые базовые инструменты:

• dsquery — поиск объектов

• dsadd, dsmod, dsrm — добавление, модификация, удаление

• net user, net group — базовая работа с учетными записями

• nltest, repadmin, dcdiag — диагностика AD

Пример:

dsquery user -name Ivanov*

Найдёт всех пользователей с фамилией Иванов.

2. PowerShell для Active Directory

PowerShell предлагает гораздо больше гибкости и автоматизации. Для работы с AD нужно установить модуль ActiveDirectory.

Подключение модуля:

Import-Module ActiveDirectory

Примеры команд:

• Создание пользователя:

New-ADUser -Name "Ivan Ivanov" -SamAccountName i.ivanov -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) -Enabled $true -Path "OU=Users,DC=company,DC=local"

• Добавление в группу:

Add-ADGroupMember -Identity "IT_Admins" -Members i.ivanov

• Получение списка всех компьютеров:

Get-ADComputer -Filter *

Преимущества PowerShell:

• Автоматизация массовых операций

• Удалённое управление

• Интеграция со скриптами и задачами

4.3 Безопасность и делегирование прав

В больших организациях администратор не может выполнять всё самостоятельно, поэтому используется механизм делегирования прав.

Примеры делегирования:

• Отдел кадров может управлять паролями сотрудников

• IT-отдел может создавать учетные записи в конкретной OU

Инструмент:
"Delegation of Control Wizard" в ADUC позволяет настраивать такие права пошагово и безопасно.

4.4 Мониторинг и аудит

Инструменты мониторинга:

• Event Viewer (Просмотр событий): отслеживание входов, ошибок репликации, изменений объектов.

  

• dcdiag: диагностика состояния контроллера домена.

• repadmin: отслеживание репликации между DC.

• Audit Policies и Advanced Audit Policy Configuration: позволяют регистрировать важные действия (например, кто удалил пользователя).

Заключение

Active Directory — это фундаментальный компонент инфраструктуры Windows-сетей, играющий ключевую роль в управлении пользователями, компьютерами, доступом и безопасностью внутри организации. Несмотря на кажущуюся сложность, AD основана на чёткой и логичной архитектуре, которую можно освоить поэтапно.

Мы рассмотрели:

• Что такое Active Directory и зачем она нужна;

• Как устроена её структура: домены, деревья, леса, объекты;

• Принципы её работы: от аутентификации и репликации до FSMO-ролей;

• Какие инструменты существуют для администрирования — как графические, так и командные.

Active Directory позволяет централизованно управлять всей сетевой средой, что особенно важно в условиях быстро растущих организаций, где безопасность и стандартизация процессов играют первостепенную роль.

Грамотная реализация и сопровождение AD дают бизнесу ряд серьёзных преимуществ:

• Повышенную безопасность за счёт единого контроля доступа;

• Снижение затрат времени на рутинные операции благодаря автоматизации;

• Гибкость в управлении правами и ресурсами;

• Масштабируемость под любые потребности — от малого офиса до глобальной корпорации.

Для начинающего администратора важно начать с понимания базовых компонентов и инструментов, постепенно переходя к более продвинутым аспектам — таким как групповые политики, аудит, резервное копирование и интеграция с облачными решениями (например, Azure Active Directory).

Active Directory — это не просто технология, это основа цифрового порядка в организации. И чем глубже вы её понимаете, тем увереннее управляете вашей IT-средой.