Active Directory
Active Directory — это служба каталогов корпорации Microsoft, предназначенная для централизованного управления идентификацией, аутентификацией и авторизацией пользователей, компьютеров и других ресурсов в среде доменной сети. Active Directory (AD) реализует протоколы LDAP (Lightweight Directory Access Protocol), Kerberos и DNS, обеспечивая единую точку входа для доступа к сетевым службам, приложениям и данным. Служба входит в состав операционных систем семейства Windows Server и является основой инфраструктуры многих организаций, включая государственные учреждения, корпорации и образовательные учреждения в России и за рубежом.
История
Предшественники
До появления Active Directory в среде Windows NT использовалась модель доменов, основанная на протоколе NTLM (NT LAN Manager) и плоской базе данных SAM (Security Account Manager). Эта архитектура имела ограничения по масштабируемости и не поддерживала иерархическую структуру. В середине 1990-х годов Microsoft начала разработку новой службы каталогов, ориентированной на стандарты интернета и способной конкурировать с продуктами Novell Directory Services (NDS) и LDAP-серверами.
Разработка и выпуск
Active Directory была впервые представлена в 1999 году как часть бета-версии Windows 2000 Server. Официальный выпуск состоялся 17 февраля 2000 года вместе с релизом Windows 2000 Server. Служба базировалась на технологиях, разработанных в рамках проекта «Cairo» (1993—1996), который предусматривал создание объектно-ориентированной файловой системы и каталога. Впоследствии AD была значительно расширена в Windows Server 2003, 2008, 2012, 2016, 2019 и 2022, получив поддержку дополнительных схем, групповых политик, федеративных служб и облачной интеграции.
Версии и обновления
- Windows 2000 Server — первая версия AD с поддержкой доменов, лесов, деревьев и групповых политик.
- Windows Server 2003 — введены функциональные уровни доменов и лесов, улучшена работа с LDAP.
- Windows Server 2008 — добавлены службы Active Directory Federation Services (AD FS), Read-Only Domain Controller (RODC) и модуль Active Directory для PowerShell.
- Windows Server 2012 — внедрена архитектура виртуализации доменных контроллеров (Virtualization-Based Security), улучшена интеграция с Azure.
- Windows Server 2016 — поддержка Privileged Access Management (PAM), Azure AD Connect и улучшенная безопасность.
- Windows Server 2019 и 2022 — оптимизация производительности, поддержка временных групп, улучшенное управление через Windows Admin Center.
Архитектура и компоненты
Основные элементы
Active Directory организована как иерархическая база данных, хранящая объекты (пользователи, компьютеры, группы, принтеры, общие папки) и их атрибуты. Ключевые компоненты:
- Домен — административная единица, объединяющая объекты с общей политикой безопасности и базой данных. Домен идентифицируется DNS-именем (например,
example.local). - Дерево доменов — набор доменов, связанных доверительными отношениями и образующих непрерывное пространство имён DNS.
- Лес (forest) — верхний уровень иерархии, включающий одно или несколько деревьев доменов. Лес имеет общую схему, конфигурацию и глобальный каталог.
- Контроллер домена — сервер, хранящий копию базы данных AD и обрабатывающий запросы аутентификации. В лесе может быть несколько контроллеров для обеспечения отказоустойчивости.
- Глобальный каталог — частичная реплика всех объектов леса, используемая для быстрого поиска и аутентификации между доменами.
Схема и пространство имён
Схема AD определяет классы объектов (например, user, computer, group) и их обязательные и опциональные атрибуты. Пространство имён организовано по принципу LDAP-путей (например, CN=Иванов,OU=Отдел,DC=example,DC=local). Каждый объект имеет уникальный идентификатор — Security Identifier (SID).
Протоколы и службы
- LDAP — основной протокол доступа к каталогу (порт 389 для незащищённого, 636 для LDAPS).
- Kerberos — протокол аутентификации (порт 88), обеспечивающий единый вход (Single Sign-On) в домене.
- DNS — служба, необходимая для разрешения имён контроллеров домена и клиентов.
- NTLM — устаревший протокол, поддерживаемый для обратной совместимости.
- Group Policy — механизм централизованного применения настроек к пользователям и компьютерам.
Классификация и виды
Локальные и облачные версии
Традиционная Active Directory (on-premises) устанавливается на серверы Windows в локальной сети организации. В 2014 году Microsoft представила Azure Active Directory (Azure AD) — облачную службу каталогов, интегрированную с Microsoft 365 и другими облачными сервисами. Azure AD не является полным аналогом AD: она не поддерживает групповые политики, Kerberos и LDAP в классическом виде, но предоставляет возможности управления идентификацией для SaaS-приложений. В России Azure AD доступен через партнёров, однако с 2022 года наблюдаются ограничения в связи с санкционной политикой.
Функциональные уровни
Функциональные уровни домена и леса определяют, какие возможности AD доступны. Например, уровень Windows Server 2016 включает Privileged Access Management, а уровень Windows Server 2008 — поддержку RODC. Повышение уровня требует обновления всех контроллеров домена до соответствующей версии Windows Server.
Применение
Централизованное управление
Active Directory используется для:
- Управления учётными записями пользователей и компьютеров (создание, блокировка, сброс паролей).
- Назначения прав доступа к файлам, принтерам, приложениям через группы безопасности.
- Развёртывания программного обеспечения через групповые политики.
- Настройки параметров рабочего стола, безопасности и сети (например, политики паролей, блокировка USB-портов).
- Аудит событий входа и изменений объектов.
Интеграция с другими продуктами
AD интегрируется с Microsoft Exchange, SharePoint, SQL Server, Skype for Business, а также с продуктами сторонних вендоров (например, Citrix, VMware, SAP). В российских организациях AD часто используется совместно с системами электронного документооборота и СУБД.
Использование в России
Active Directory является стандартом де-факто для управления инфраструктурой в государственных органах, банках, промышленных предприятиях и образовательных учреждениях. С 2022 года в связи с усилением импортозамещения обсуждается переход на альтернативные решения, такие как FreeIPA (на базе Linux), Samba DC (реализация AD с открытым исходным кодом) или продукты российских разработчиков (например, «Альт Домен» от «Базальт СПО»). Однако полный отказ от AD в крупных организациях пока не произошёл из-за сложности миграции и совместимости.
Безопасность и уязвимости
Основные риски
- Атаки на контроллеры домена — компрометация контроллера позволяет злоумышленнику получить доступ ко всем учётным записям.
- Kerberoasting — атака на сервисные учётные записи, использующие слабые пароли.
- Pass-the-Hash — использование хэшей паролей для аутентификации без знания пароля.
- Golden Ticket — подделка билета Kerberos для получения неограниченного доступа.
- DCSync — извлечение хэшей паролей из репликации AD.
Меры защиты
Для снижения рисков применяются:
- Многофакторная аутентификация (MFA) через Azure AD или сторонние решения.
- Минимизация привилегированных учётных записей (Privileged Access Workstations).
- Регулярное обновление контроллеров домена и применение патчей безопасности.
- Использование RODC в филиалах.
- Мониторинг событий безопасности через SIEM-системы (например, Splunk, QRadar, MaxPatrol).
Альтернативы и конкуренты
Открытые и кроссплатформенные решения
- Samba DC — реализация Active Directory на базе Linux, совместимая с клиентами Windows. Поддерживает групповые политики, Kerberos и LDAP. Используется в средах, где требуется замена AD без лицензирования Microsoft.
- FreeIPA — интегрированная служба каталогов на основе 389 Directory Server, MIT Kerberos, DNS и PKI. Ориентирована на Linux-окружения.
- OpenLDAP — легковесный LDAP-сервер, часто используемый в связке с отдельными службами аутентификации.
Российские разработки
В рамках импортозамещения в России создаются продукты, способные заменить AD:
- «Альт Домен» (компания «Базальт СПО») — реализация доменной службы на базе Samba DC, входящая в дистрибутив «Альт Линукс».
- «РЕД Домен» (компания «РЕД СОФТ») — решение для централизованного управления на основе OpenLDAP и Kerberos.
- «Astra Linux Directory» (компания «РусБИТех») — компонент операционной системы Astra Linux Special Edition, поддерживающий AD-совместимые функции.
Эти продукты проходят сертификацию ФСТЭК России и используются в государственных информационных системах.
Интересные факты
- Название «Active Directory» было выбрано в противовес «пассивным» каталогам, не поддерживающим динамическое обновление.
- Максимальный размер базы данных AD (файл
ntds.dit) теоретически не ограничен, но на практике для леса с миллионами объектов рекомендуется использовать несколько доменов. - В Windows Server 2022 Microsoft добавила поддержку SMB over QUIC для удалённого доступа к файловым ресурсам, что также интегрируется с AD.
Источники
- Microsoft Docs: «Active Directory Domain Services Overview»
- «Windows Server 2019 Inside Out» — Orin Thomas, Microsoft Press, 2020.
- «Active Directory: Designing, Deploying, and Running Active Directory» — Brian Desmond, Joe Richards, Robbie Allen, O'Reilly Media, 2013.
- Документация компании «Базальт СПО» по продукту «Альт Домен» (2023).
- Материалы ФСТЭК России по сертификации средств защиты информации (2022).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →