Открыть сервис

Active Directory

Active Directory — это служба каталогов корпорации Microsoft, предназначенная для централизованного управления идентификацией, аутентификацией и авторизацией пользователей, компьютеров и других ресурсов в среде доменной сети. Active Directory (AD) реализует протоколы LDAP (Lightweight Directory Access Protocol), Kerberos и DNS, обеспечивая единую точку входа для доступа к сетевым службам, приложениям и данным. Служба входит в состав операционных систем семейства Windows Server и является основой инфраструктуры многих организаций, включая государственные учреждения, корпорации и образовательные учреждения в России и за рубежом.

История

Предшественники

До появления Active Directory в среде Windows NT использовалась модель доменов, основанная на протоколе NTLM (NT LAN Manager) и плоской базе данных SAM (Security Account Manager). Эта архитектура имела ограничения по масштабируемости и не поддерживала иерархическую структуру. В середине 1990-х годов Microsoft начала разработку новой службы каталогов, ориентированной на стандарты интернета и способной конкурировать с продуктами Novell Directory Services (NDS) и LDAP-серверами.

Разработка и выпуск

Active Directory была впервые представлена в 1999 году как часть бета-версии Windows 2000 Server. Официальный выпуск состоялся 17 февраля 2000 года вместе с релизом Windows 2000 Server. Служба базировалась на технологиях, разработанных в рамках проекта «Cairo» (1993—1996), который предусматривал создание объектно-ориентированной файловой системы и каталога. Впоследствии AD была значительно расширена в Windows Server 2003, 2008, 2012, 2016, 2019 и 2022, получив поддержку дополнительных схем, групповых политик, федеративных служб и облачной интеграции.

Версии и обновления

Архитектура и компоненты

Основные элементы

Active Directory организована как иерархическая база данных, хранящая объекты (пользователи, компьютеры, группы, принтеры, общие папки) и их атрибуты. Ключевые компоненты:

Схема и пространство имён

Схема AD определяет классы объектов (например, user, computer, group) и их обязательные и опциональные атрибуты. Пространство имён организовано по принципу LDAP-путей (например, CN=Иванов,OU=Отдел,DC=example,DC=local). Каждый объект имеет уникальный идентификатор — Security Identifier (SID).

Протоколы и службы

Классификация и виды

Локальные и облачные версии

Традиционная Active Directory (on-premises) устанавливается на серверы Windows в локальной сети организации. В 2014 году Microsoft представила Azure Active Directory (Azure AD) — облачную службу каталогов, интегрированную с Microsoft 365 и другими облачными сервисами. Azure AD не является полным аналогом AD: она не поддерживает групповые политики, Kerberos и LDAP в классическом виде, но предоставляет возможности управления идентификацией для SaaS-приложений. В России Azure AD доступен через партнёров, однако с 2022 года наблюдаются ограничения в связи с санкционной политикой.

Функциональные уровни

Функциональные уровни домена и леса определяют, какие возможности AD доступны. Например, уровень Windows Server 2016 включает Privileged Access Management, а уровень Windows Server 2008 — поддержку RODC. Повышение уровня требует обновления всех контроллеров домена до соответствующей версии Windows Server.

Применение

Централизованное управление

Active Directory используется для:

Интеграция с другими продуктами

AD интегрируется с Microsoft Exchange, SharePoint, SQL Server, Skype for Business, а также с продуктами сторонних вендоров (например, Citrix, VMware, SAP). В российских организациях AD часто используется совместно с системами электронного документооборота и СУБД.

Использование в России

Active Directory является стандартом де-факто для управления инфраструктурой в государственных органах, банках, промышленных предприятиях и образовательных учреждениях. С 2022 года в связи с усилением импортозамещения обсуждается переход на альтернативные решения, такие как FreeIPA (на базе Linux), Samba DC (реализация AD с открытым исходным кодом) или продукты российских разработчиков (например, «Альт Домен» от «Базальт СПО»). Однако полный отказ от AD в крупных организациях пока не произошёл из-за сложности миграции и совместимости.

Безопасность и уязвимости

Основные риски

Меры защиты

Для снижения рисков применяются:

Альтернативы и конкуренты

Открытые и кроссплатформенные решения

Российские разработки

В рамках импортозамещения в России создаются продукты, способные заменить AD:

Эти продукты проходят сертификацию ФСТЭК России и используются в государственных информационных системах.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →