Услуга · идентификация

Восстановление и развёртывание Active Directory заново

Домен — сердце корпоративной инфраструктуры: учётные записи, права, политики, доступ к сервисам. Мы восстанавливаем AD из резервных копий или строим новый домен с чистой моделью прав, миграцией пользователей и защищённым администрированием.

Новый домен или восстановлениеTiered-модельМиграция пользователей

01Восстановить старый домен или построить новый?

Первый стратегический вопрос проекта. Если есть актуальные резервные копии AD и доступ к ним — восстановление технически возможно и сохраняет SID-ы, права на файловые ресурсы, привязки приложений. Но вы наследуете всё: годами копившиеся мёртвые учётки, хаотичные GPO, избыточные права, группы, в которых никто не помнит членов, скомпрометированные пароли. Часто «восстановление» старого домена — это восстановление старых проблем.

Для «холодного старта» мы обычно рекомендуем новый домен: чистая структура OU, осмысленная модель групп, современные политики, tiered-администрирование с первого дня. Пользователи и группы мигрируют по списку, согласованному с руководителями подразделений, — заодно проводится ревизия прав, которая годами откладывалась.

КритерийВосстановление старого ADНовый домен
СкоростьБыстрее при наличии бэкапов2–4 недели с миграцией
Гигиена безопасностиНаследует все проблемыЧистый старт
СовместимостьSID-ы, старые привязки сохраняютсяПрава переназначаются
Условие применимостиНужны читаемые бэкапы и доверие к нимВсегда доступен

02Что входит в работы

  • Проект домена. Структура OU, схема именования, модель групп (ролевая), план делегирования прав.
  • Развёртывание контроллеров домена. Минимум два DC на разных площадках/узлах, корректные DNS и NTP, резервирование.
  • Миграция пользователей и групп. По согласованным спискам; пароли — через первичную установку с обязательной сменой.
  • Групповые политики. Базовый набор GPO: парольная политика, блокировки, маппинг дисков, параметры безопасности рабочих станций, ограничения по ролям.
  • Tiered-администрирование. Разделение админов Tier 0 (домен), Tier 1 (серверы), Tier 2 (рабочие станции); отдельные админские учётки; защита привилегированных групп.
  • MFA и защита администраторов. MFA для привилегированных доступов, админские рабочие станции (PAW) или jump-сервер, запрет интерактивного входа админов на рядовые машины.
  • Интеграции. Почта, файловые сервисы, VPN, Wi-Fi (RADIUS), приложения с LDAP/SSO, при необходимости — федерация с глобальным IdP головного офиса.
  • Бэкап и восстановление AD. System State, корзина AD, документированная процедура восстановления объектов и леса.

03Безопасность домена — не опция

AD — цель №1 для атакующих: скомпрометированный домен означает скомпрометированную компанию. Поэтому в проект сразу закладываем: отключение устаревших протоколов (NTLMv1, неподписанный LDAP), защиту от перехвата учётных данных (Credential Guard, ограничение делегирования), регулярный аудит привилегированных групп, журналирование критичных событий. Если домен восстанавливается после инцидента — сначала расследование и карантин, потом восстановление, иначе восстановите и атакующего тоже.

Практический совет: заведите правило — ни один человек не знает пароль встроенного администратора домена «на память». Пароль в сейфе/менеджере секретов, доступ журналируется, ежедневная работа — под именными админскими учётками.

04Сроки

Новый домен базовой конфигурации для офиса на 20–50 человек — 1–2 недели. Домен с миграцией пользователей, tiered-моделью, интеграциями и федерацией с головным офисом — 3–6 недель. Восстановление из бэкапа — от 2–3 дней (если бэкапы в порядке) плюс время на проверку безопасности.

05Частые вопросы

У нас есть старый бэкап AD трёхлетней давности. Есть смысл восстанавливать?

Скорее всего — нет, кроме как источника данных: из него можно извлечь списки пользователей, групп, структуру прав для анализа. Разворачивать такой бэкап как рабочий домен — значит вернуть все устаревшие доступы и уязвимости. Правильнее построить новый домен, используя старый как справочник.

Можно ли связать новый российский домен с глобальным AD/Entra ID головного офиса?

Да, через федерацию или доверительные отношения — с учётом политик безопасности головного офиса. Часто выбирают модель «отдельный лес + федерация для SSO»: российский контур автономен, но пользователи проходят единый вход.

Что такое tiered-модель и зачем она?

Разделение административных прав по уровням: администратор домена (Tier 0) не может управлять рабочими станциями, администратор рабочих станций (Tier 2) — серверами. Это резко снижает ущерб при компрометации одной учётки. Стандарт де-факто для безопасного AD.

Сколько контроллеров домена нужно?

Минимум два — на разных физических узлах или площадках. Для филиальной сети — по два на крупные площадки плюс RODC (контроллер только для чтения) в небезопасных точках. Один DC — это отсутствие домена при первой же аварии.

Восстановление и развёртывание Active Directory заново — обсудим вашу задачу

Опишите ситуацию: масштаб, сроки, что уже есть. Ответим в течение нескольких часов с планом и ориентиром по бюджету. Первая консультация бесплатна.

Обсудить проект

Связанные услуги и материалы

Обсудим ваш проект

Опишите задачу — ответим в течение нескольких часов. Первая консультация бесплатна.