💡 Полезные Советы

Это централизованная система управления сетевыми ресурсами, разработанная Microsoft. Она предоставляет инструменты для управления пользователями, компьютерами, группами, политиками безопасности и другими объектами в доменной сети. Основные компоненты AD включают:

1 . Организационное подразделение (Organization Unit, OU):

• Определение: Логическая единица внутри домена, которая группирует объекты (пользователей, компьютеры, принтеры) для удобства администрирования.

Роль:

• Отражает структуру компании (например, отделы: "Финансы", "IT", "Маркетинг").
• Позволяет делегировать управление (например, передать права администраторам подразделения).
• Упрощает применение групповых политик (GPO) к определенным группам объектов.

Пример: text Домен: company.local ├─ OU: Финансы ├─ OU: IT └─ OU: Продажи

2 . Домен (Domain)

Определение: Группа компьютеров и устройств, объединенных общей базой данных каталога (на контроллере домена).

Роль:

• Централизованное управление учетными записями и политиками.
• Обеспечение безопасности через единую аутентификацию (Kerberos).
• Хранение данных в базе данных NTDS.dit.

Пример: Домен company.local включает все рабочие станции, серверы и пользователей компании.

3 . Дерево доменов (Domain Tree)

Определение: Иерархия доменов, связанных доверительными отношениями и образующих непрерывное пространство имен DNS.

Особенности:

• Родительские и дочерние домены (например, europe.company.local и asia.company.local).
• Общая схема и глобальный каталог.

Пример:

text Дерево: company.local (корневой домен) ├─ europe.company.local └─ asia.company.local

4 . Лес (Forest)

Определение: Набор доменных деревьев, объединенных общими схемой, конфигурацией и глобальным каталогом.

Роль:

• Максимальная граница безопасности в AD.
• Домены в лесу автоматически связаны двусторонними транзитивными доверительными отношениями.

Пример:

text Лес: Дерево 1: company.local Дерево 2: partner.org

5 . Подсеть (Subnet)

Определение: Логическое разделение сети с уникальным диапазоном IP-адресов и маской (например, 192.168.1.0/24).

Роль:

Управление сетевым трафиком через маршрутизацию.

Определение физической локации устройств для AD.

Пример: Подсеть 10.10.0.0/16 для главного офиса, 172.16.0.0/12 для филиала.

6 . Сайт (Site)

Определение: Группа подсетей, объединенных для оптимизации репликации данных и аутентификации.

Роль:

Управление репликацией между контроллерами домена (например, уменьшение трафика между географически удаленными офисами).

Клиенты обращаются к ближайшему контроллеру домена в своем сайте.

Пример:

text Сайт "Москва": Подсети: 192.168.1.0/24, 192.168.2.0/24 Сайт "Санкт-Петербург": Подсети: 10.10.1.0/24

Взаимосвязь компонентов

• OU структурируют объекты внутри домена, отражая бизнес-логику.
• Домены объединяются в деревья, а деревья — в лес для масштабирования.
• Сайты настраиваются на основе подсетей, чтобы оптимизировать сетевой трафик и репликацию.

Пример использования:

Компания с офисами в Москве и Берлине создает:

• Лес globalcorp.net.
• Дерево доменов: msk.globalcorp.net, berlin.globalcorp.net.
• Сайты "Москва" и "Берлин" с соответствующими подсетями.
• В каждом домене — OU по отделам (IT, HR), где применяются свои GPO.

Токен доступа (Access Token) — это объект безопасности Windows, который система создает при входе пользователя. Он содержит всю информацию, необходимую для проверки прав доступа к ресурсам: идентификаторы безопасности (SID) пользователя и групп, а также список привилегий (например, "Управление системой" или "Резервное копирование"). Токен "привязывается" к каждому процессу, запущенному пользователем, и используется для авторизации операций.

При изменении членства пользователя в группах Windows (добавление, удаление) новые права вступят в силу только после повторного входа в систему (log off → log on). Это связано с механизмом работы токена доступа — ключевого элемента безопасности Windows.

При входе в систему Windows генерирует для пользователя уникальный токен, который содержит:

SID пользователя — идентификатор безопасности.

Список SID групп, в которых состоит пользователь.

Привилегии (например, установка драйверов, доступ к ресурсам).

Этот токен проверяется при каждом обращении к файлам, сетевым ресурсам, реестру и другим объектам.

Почему изменения не применяются сразу?

• Токен создается только при входе и не обновляется в реальном времени.
• Если изменить членство в группах, текущий токен пользователя останется прежним.
• Система продолжит использовать старые данные до повторного входа, который сгенерирует новый токен.

Примеры из практики

1. Добавление в группу "Администраторы": Пользователь не сможет устанавливать программы или выполнять админские задачи, пока не перезайдет в систему.

2. Доступ к сетевой папке: Даже если права выданы, без повторного входа токен не будет содержать SID новой группы → доступ запрещен.

3. Исключение из группы: Пользователь сохранит доступ к ресурсам старой группы до следующего входа — токен еще содержит устаревший SID.

Операционная система "различает" пользователя не по их имени (полному или сокращенному), а по специальному уникальному номеру (идентификатору безопасности – Security Identifier, SID), который формируется в момент создания новой учетной записи.

Важно: Если удалить пользователя и создать нового с тем же именем, его SID будет другим. Поэтому права доступа, выданные старому пользователю, не перейдут новому.

SID (Security Identifier) — это структура данных переменной длины, которая уникально идентифицирует субъекта безопасности в системе Windows. В отличие от имени пользователя (например, ivan.petrov), SID:

• Не изменяется при переименовании учетной записи.
• Не повторяется даже при создании новой учетной записи с тем же именем.
• Используется для привязки прав доступа к ресурсам (файлам, папкам, реестру и т.д.).

SID имеет формат:

S-R-I-S-S..., где:

• S — префикс, обозначающий SID.
• R — версия (обычно 1).
• I — идентификатор authority (например, 5 для NT Authority).
• S-S... — подавторитеты и RID (Relative Identifier).

Пример SID локального администратора: text S-1-5-21-3623811015-3361044348-30300820-500

• S-1-5 — префикс и authority (NT Authority).
• 21-3623811015-3361044348-30300820 — уникальный идентификатор домена/компьютера.
• 500 — RID (идентификатор администратора).

Как создается SID?

Для локальных пользователей: При создании учетной записи на компьютере система генерирует уникальный SID, используя идентификатор компьютера и RID.

Для доменных пользователей: Контроллер домена генерирует SID на основе уникального идентификатора домена и RID.

Как посмотреть SID?

cmd whoami /user Вывод: cmd Имя пользователя SID ====================== ============================================== домен\ivan.petrov S-1-5-21-3623811015-3361044348-30300820-1001 В реестре SID храниться:

text HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

В отличии от Windows:

Linux/Unix: Использует UID (User Identifier) и GID (Group Identifier) — числовые идентификаторы, аналогичные SID.

А в Active Directory: SID домена включается в SID пользователя (например, S-1-5-21-домен-1001).

Типичные проблемы и рекомендации по из решению:

Потеря доступа при удалении/создании пользователя: Всегда назначайте права группам, а не отдельным пользователям (группы имеют свои SID, которые не меняются при изменении состава).

Ошибки "Access Denied": Проверьте, не изменился ли SID пользователя (например, после восстановления из резервной копии).

Откройте командную строку и выполните: cmd whoami /all Если в выводе есть доменное имя (например, DOMAIN\username), вход выполнен через кешированные доменные данные.

Если указано только имя компьютера (например, COMPUTERNAME\username), используется локальная учетная запись.

При входе пользователей домена на рабочую станцию система использует данные учетных записей( имя, пароль, установленные ограничения и тд.), хранимые на контролерах домена. Обычно политикой безопасности разрешено кэширование нескольких паролей пользователя, что позволяет последнему войти в систему даже при отсутствии связи с контроллером домена, используя параметры последнего входа. Если работу начинает локальный пользователь, то данные берутся из локальной базы учетных записей.

Пример: Сотрудник берет ноутбук домой. Если он ранее входил на этот ноутбук в офисе, то дома сможет войти в систему через кэшированные данные. Однако доступ к сетевым ресурсам (например, общим папкам) будет недоступен, пока ноутбук не подключится к корпоративной сети.

Как это работает:

• При первом входе в доменную сеть данные пользователя сохраняются в локальном кеше (файл text C:\Windows\System32\config\SECURITY ).
• При последующих входах вне сети система сверяет введенные данные с кешированной версией.

Локальные пользователи

• Учетные записи локальных пользователей хранятся в базе SAM (Security Account Manager) на самом компьютере (файл text C:\Windows\System32\config\SAM ).
• Эти данные не зависят от домена, но имеют ограниченные права (например, доступ только к локальным ресурсам).

Кэширование доменных учетных данных — это удобный механизм для мобильных пользователей, но он имеет ограничения:

• Нет доступа к сетевым ресурсам без подключения к домену.
• Политики и пароли не синхронизируются.
• Для критически важных задач рекомендуется использовать VPN для подключения к корпоративной сети

В сетях среднего и большого размера (от 20 компьютеров) принято использовать систему централизованного управления. В Windows службой каталогов является Active Directory, в Linux – LDAP

LDAP - Lightweight Directory Access Protocol – облегченный протокол доступа к каталогам – позволяет получать, изменять и аутентифицировать данные в иерархически организованных базах данных (каталогах), которые часто используются для хранения информации о пользователях, устройствах, ресурсах и правах доступа в сетях. LDAP появился как упрощенная версия протокола X.500 DAP (Directory Access Protocol). "Lightweight" ("облегченный") означает, что он требует меньше ресурсов и проще в реализации, работая поверх TCP/IP.

Linux может работать в составе домена Active Directory и даже быть контроллером домена Active Directory.

При использовании Active Directory каждый компьютер может управляться не только локальным администратором, но и администратором домена.

MX (Mail Exchange) — указывает серверы для приёма электронной почты. Содержит приоритет (чем меньше число, тем выше приоритет). Пример: example.com. MX 10 mail.example.com example.com. MX 50 backup-mail.example.com

SOA (Start of Authority) - содержит серийный номер зоны, который увеличивается при любом изменении записей зоны. На практике этот номер формируется в формате год-месяц-день – например 20241005.

NS (Name Server) – содержит "официальные" серверы DNS текущей зоны. Пример: example.com. NS ns1.example.com.

RP (Responsible Person) – содержит e-mail лица, ответственного за внесение изменений в записи зоны. Желательно поддерживать этот адрес всегда в актуальном состоянии. Помните, что символ @ в нём заменяется точкой. Например, если admin@example.com, то admin.example.com

A (Host Address) – содержит информацию об имени системы и ее IP-адресе. Эта запись добавляется в DNS-сервер при регистрации узла.

PTR (Pointer, указатель) – запись обратной зоны. Обычно DNS-сервер автоматически создает или изменяет эту запись при создании или изменении записи А в прямой зоне.

CNAME (Canonical NAME) - создаёт псевдоним для другого доменного имени. Пример: www.example.com. CNAME example.com.

SRV (Service) — указывает серверы для определённых сервисов (например, SIP, LDAP). Пример: text _sip._tcp.example.com. SRV 10 60 5060 sipserver.example.com.