01Восстановить старый домен или построить новый?
Первый стратегический вопрос проекта. Если есть актуальные резервные копии AD и доступ к ним — восстановление технически возможно и сохраняет SID-ы, права на файловые ресурсы, привязки приложений. Но вы наследуете всё: годами копившиеся мёртвые учётки, хаотичные GPO, избыточные права, группы, в которых никто не помнит членов, скомпрометированные пароли. Часто «восстановление» старого домена — это восстановление старых проблем.
Для «холодного старта» мы обычно рекомендуем новый домен: чистая структура OU, осмысленная модель групп, современные политики, tiered-администрирование с первого дня. Пользователи и группы мигрируют по списку, согласованному с руководителями подразделений, — заодно проводится ревизия прав, которая годами откладывалась.
| Критерий | Восстановление старого AD | Новый домен |
|---|---|---|
| Скорость | Быстрее при наличии бэкапов | 2–4 недели с миграцией |
| Гигиена безопасности | Наследует все проблемы | Чистый старт |
| Совместимость | SID-ы, старые привязки сохраняются | Права переназначаются |
| Условие применимости | Нужны читаемые бэкапы и доверие к ним | Всегда доступен |
02Что входит в работы
- Проект домена. Структура OU, схема именования, модель групп (ролевая), план делегирования прав.
- Развёртывание контроллеров домена. Минимум два DC на разных площадках/узлах, корректные DNS и NTP, резервирование.
- Миграция пользователей и групп. По согласованным спискам; пароли — через первичную установку с обязательной сменой.
- Групповые политики. Базовый набор GPO: парольная политика, блокировки, маппинг дисков, параметры безопасности рабочих станций, ограничения по ролям.
- Tiered-администрирование. Разделение админов Tier 0 (домен), Tier 1 (серверы), Tier 2 (рабочие станции); отдельные админские учётки; защита привилегированных групп.
- MFA и защита администраторов. MFA для привилегированных доступов, админские рабочие станции (PAW) или jump-сервер, запрет интерактивного входа админов на рядовые машины.
- Интеграции. Почта, файловые сервисы, VPN, Wi-Fi (RADIUS), приложения с LDAP/SSO, при необходимости — федерация с глобальным IdP головного офиса.
- Бэкап и восстановление AD. System State, корзина AD, документированная процедура восстановления объектов и леса.
03Безопасность домена — не опция
AD — цель №1 для атакующих: скомпрометированный домен означает скомпрометированную компанию. Поэтому в проект сразу закладываем: отключение устаревших протоколов (NTLMv1, неподписанный LDAP), защиту от перехвата учётных данных (Credential Guard, ограничение делегирования), регулярный аудит привилегированных групп, журналирование критичных событий. Если домен восстанавливается после инцидента — сначала расследование и карантин, потом восстановление, иначе восстановите и атакующего тоже.
04Сроки
Новый домен базовой конфигурации для офиса на 20–50 человек — 1–2 недели. Домен с миграцией пользователей, tiered-моделью, интеграциями и федерацией с головным офисом — 3–6 недель. Восстановление из бэкапа — от 2–3 дней (если бэкапы в порядке) плюс время на проверку безопасности.
05Частые вопросы
У нас есть старый бэкап AD трёхлетней давности. Есть смысл восстанавливать?
Скорее всего — нет, кроме как источника данных: из него можно извлечь списки пользователей, групп, структуру прав для анализа. Разворачивать такой бэкап как рабочий домен — значит вернуть все устаревшие доступы и уязвимости. Правильнее построить новый домен, используя старый как справочник.
Можно ли связать новый российский домен с глобальным AD/Entra ID головного офиса?
Да, через федерацию или доверительные отношения — с учётом политик безопасности головного офиса. Часто выбирают модель «отдельный лес + федерация для SSO»: российский контур автономен, но пользователи проходят единый вход.
Что такое tiered-модель и зачем она?
Разделение административных прав по уровням: администратор домена (Tier 0) не может управлять рабочими станциями, администратор рабочих станций (Tier 2) — серверами. Это резко снижает ущерб при компрометации одной учётки. Стандарт де-факто для безопасного AD.
Сколько контроллеров домена нужно?
Минимум два — на разных физических узлах или площадках. Для филиальной сети — по два на крупные площадки плюс RODC (контроллер только для чтения) в небезопасных точках. Один DC — это отсутствие домена при первой же аварии.