Active Directory (AD) — служба каталогов (directory service) корпорации Microsoft, внедрённая в Windows Server 2000. Хранит информацию об объектах сети (пользователях, компьютерах, группах, принтерах) в иерархической базе данных и предоставляет механизмы аутентификации, авторизации и применения групповых политик. Стандарт корпоративных Windows-сред: по данным Entra Microsoft (2023), AD используют более 90% компаний из списка Fortune 1000.
Как работает
Основная единица AD — домен (domain). Домен — это административная граница: объекты внутри домена подчиняются единым политикам. Несколько доменов объединяются в дерево (tree), несколько деревьев — в лес (forest). Физическое подразделение — сайт (site), соответствующий сегменту сети с быстрым соединением.
Аутентификация работает через Kerberos (RFC 4120): клиент запрашивает тикет у контроллера домена (KDC — Key Distribution Center), получает TGT (Ticket Granting Ticket) и с его помощью запрашивает тикеты доступа к конкретным ресурсам. Пароль не передаётся по сети — только зашифрованные тикеты. Для интеграции с Linux/Unix и сторонними приложениями AD поддерживает LDAP (порт 389, LDAPS — порт 636 с TLS) и SAML.
Групповые политики (Group Policy Objects, GPO) — ключевой инструмент управления: автоматически настраивают параметры безопасности, устанавливают ПО, конфигурируют браузеры на всех компьютерах домена без посещения каждого устройства. Политика применяется при входе в систему и с заданной периодичностью.
Active Directory Domain Services (AD DS) — основная роль, реализующая хранение объектов. Смежные роли: AD Certificate Services (PKI-инфраструктура), AD Federation Services (ADFS, SSO с внешними системами), AD Rights Management Services (защита документов).
История
Служба каталогов Novell Directory Services (NDS) появилась в 1993 году — первая коммерческая реализация X.500 для корпоративных сетей. Microsoft разрабатывала AD с середины 1990-х и выпустила первую версию вместе с Windows 2000 Server в феврале 2000 года. Windows Server 2003 добавил лесовые доверия и Schema Master. Windows Server 2008 — Read-Only Domain Controllers (RODC) для филиалов. В 2012 году Microsoft выпустила Azure Active Directory (Azure AD, с 2023 года — Microsoft Entra ID) — облачный сервис идентификации для SaaS-приложений и гибридных сред.
Связь с хостингом
В контексте хостинга AD актуален в нескольких сценариях. VPS Windows Server (VPS Windows) может быть поднят как контроллер домена для небольшой организации. LDAP-интеграция — корпоративные панели управления хостингом (VMware vCenter, Proxmox, cPanel Enterprise) поддерживают аутентификацию через AD. RDP-доступ к серверам на базе Windows Server управляется через AD-политики.
Для Linux-серверов интеграция с AD возможна через Samba или sssd (System Security Services Daemon) + realmd: сервер входит в домен и получает возможность использовать AD-аккаунты для SSH-аутентификации.
На что обращать внимание
Контроллер домена (Domain Controller, DC) — критически важный компонент: при его недоступности пользователи не смогут войти в систему. Для отказоустойчивости развертывают минимум 2 DC (Primary + Secondary). DC требует стабильного DNS-сервера — AD жёстко привязан к DNS-инфраструктуре.
Безопасность AD — частая цель атак (Pass-the-Hash, Kerberoasting, DCSync). Аудит привилегированных учётных записей, регулярный анализ событий Syslog и принцип минимальных привилегий — базовые меры защиты.
Active Directory интегрируется с SSH-авторизацией через LDAP. IIS на Windows VPS использует AD для аутентификации. Microsoft 365 — облачная версия AD (Azure AD). VPN обеспечивает безопасный доступ к AD из интернета. SFTP-авторизация через LDAP для единой учётной записи.