2.06. Настройка сервера

В РАЗРАБОТКЕНЕ ДЛЯ НОВИЧКОВНЕ ОБЯЗАТЕЛЬНО

Разработчику Архитектору Инженеру

Настройка сервера

Сервер представляет собой центральную точку управления ресурсами, идентификации пользователей, хранения данных и обеспечения служб в рамках информационной инфраструктуры. Настройка сервера — это комплексная задача, требующая понимания технических деталей конфигурации и логики построения всей системы: от сетевых параметров до политики управления доступом и жизненного цикла учётных записей.

Данная глава рассматривает типичный сценарий развёртывания первого сервера в небольшой локальной сети (офис, учебный кабинет, небольшая компания), базирующийся на ОС Windows Server. Выбор платформы обусловлен её широким распространением в государственных и коммерческих структурах СНГ, а также наличием встроенного стека инструментов централизованного управления, прежде всего — службы Active Directory.

1. Сервер как основа инфраструктуры

Когда системному администратору поручают «настроить сервер», подразумевается создание рабочей единицы, интегрированной в существующую или вновь формируемую информационную среду. Это означает, что перед началом физической настройки необходимо чётко определить:

• Цель сервера — будет ли он выполнять функции контроллера домена, файлового хранилища, почтового шлюза, приложения, бэкап-сервера или их комбинации;
• Требования к доступности и отказоустойчивости — один сервер или кластер, резервирование питания и сетевых интерфейсов;
• Политики безопасности — какие данные обрабатываются, какие нормативные требования применимы (например, ФСТЭК, ФСБ, GDPR);
• Масштабируемость — планируется ли рост числа пользователей, объёма данных или числа сервисов.

В данном сценарии мы исходим из того, что перед нами — первичный сервер, который будет выполнять функцию контроллера домена и одновременно обеспечивать базовые сетевые службы: DNS, централизованную аутентификацию пользователей и общий доступ к файлам. Это типовая архитектура для небольшой организации, где нет необходимости разделять роли по физическим машинам.

---

2. Авторизация

Первый вход в систему после установки Windows Server всегда осуществляется под встроенной учётной записью Administrator (локального администратора). Эта учётная запись существует до настройки домена и не зависит от Active Directory. Она обладает полными правами на локальном компьютере и необходима для выполнения первоначальных настроек: изменения имени компьютера, назначения статического IP-адреса, установки компонентов ОС.

Важно:

• Пароль локального администратора должен соответствовать корпоративной политике сложности (минимум 12 символов, буквы, цифры, специальные символы).
• После развёртывания домена рекомендуется отключить или строго ограничить использование локального администратора на контроллерах домена — его функции заменяются учётными записями группы Domain Admins в Active Directory.
• Никогда не используйте учётную запись Administrator для повседневной работы — это нарушает принцип минимальных привилегий.

---

3. Сетевая конфигурация

Сетевые параметры — первое, что требует внимания после входа. От их корректности зависит доступность сервера в локальной сети и корректность работы всех зависимых служб: DNS, DHCP, Active Directory.

Статический IP-адрес

В корпоративной среде контроллер домена всегда должен иметь статический IP-адрес. Причина проста: клиентские компьютеры и другие серверы должны надёжно находить контроллер по фиксированному адресу. Если IP будет динамическим (полученным от DHCP), возможны следующие сценарии:

• После перезагрузки сервер получит новый адрес — клиенты не смогут найти домен;
• Записи в DNS (которые создаются автоматически службой Netlogon) устареют, что приведёт к сбоям аутентификации;
• Политики групповой обработки (GPO) перестанут применяться.

Рекомендуемые параметры для контроллера домена:

Параметр	Рекомендуемое значение	Пояснение
IP-адрес	192.168.0.2 (пример)	Выбирается из зарезервированного диапазона (например, 192.168.0.2–192.168.0.20 для серверов). Не должен конфликтовать с DHCP-пулом.
Маска подсети	255.255.255.0	Соответствует префиксу /24, типичному для небольших сетей до 254 хостов.
Основной шлюз	192.168.0.1	Адрес маршрутизатора/межсетевого экрана, обеспечивающего выход в Интернет или другие подсети.
DNS-сервер	127.0.0.1 (сам сервер)	Контроллер домена обязан быть первичным DNS-сервером для домена. Служба DNS устанавливается вместе с Active Directory и хранит SRV-записи, критичные для поиска доменных служб. Допускается указание вторичного DNS (например, 8.8.8.8) только для резолвинга внешних имён, но основной должен быть локальный.
DNS-суффикс подключения	ourcabinet.ru	Это не обязательный параметр для внутренней работы, но полезен для упрощения разрешения имён. Например, при запросе hostserver система автоматически попробует разрешить hostserver.ourcabinet.ru.

Примечание. Внешний IP-адрес (публичный IPv4/IPv6) определяется маршрутизатором на границе сети и не настраивается на сервере напрямую. Сервер работает во внутреннем адресном пространстве (RFC 1918: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16).

Настройка через PowerShell

Для автоматизации и документирования рекомендуется использовать PowerShell. Пример конфигурации основного сетевого интерфейса:

# Получаем имя активного сетевого адаптера
$adapter = Get-NetAdapter | Where-Object Status -eq 'Up'

# Присваиваем статический IP
New-NetIPAddress `
  -InterfaceIndex $adapter.ifIndex `
  -IPAddress 192.168.0.2 `
  -PrefixLength 24 `
  -DefaultGateway 192.168.0.1

# Устанавливаем DNS-серверы
Set-DnsClientServerAddress `
  -InterfaceIndex $adapter.ifIndex `
  -ServerAddresses 127.0.0.1, 8.8.8.8

# Настраиваем DNS-суффикс
Set-DnsClient `
  -InterfaceIndex $adapter.ifIndex `
  -ConnectionSpecificSuffix ourcabinet.ru `
  -RegisterThisConnectionsAddress $true

Эти команды настраивают сеть и регистрируют запись A в DNS (если служба DNS активна), что упрощает обнаружение сервера по имени.

---

4. Имя компьютера

Имя компьютера (NetBIOS-имя) — это уникальный идентификатор устройства в рамках сети NetBIOS (устаревшей, но всё ещё используемой для совместимости) и DNS. Оно должно соответствовать следующим требованиям:

• Длина — до 15 символов (ограничение NetBIOS);
• Только латинские буквы, цифры и дефисы (-);
• Не должно совпадать с именем домена (например, имя CABINET и домен CABINET.local — допустимо; имя CABINET и домен CABINET — конфликт);
• Рекомендуется использовать семантическую нотацию: SERV-APP-01, FILESRV-MAIN, DC-PRIMARY.

Имя влияет на:

• Путь к общим ресурсам: \\HOSTSERVER\Shared;
• Разрешение имён в старых приложениях;
• Логирование событий (в системных журналах указывается имя источника).

Изменение имени требует перезагрузки. После неё система будет доступна по новому имени как в локальной сети, так и в DNS (если включена автоматическая регистрация).

Важно: на контроллере домена имя компьютера не должно меняться после повышения до DC. Это нарушает целостность Active Directory и требует сложных восстановительных процедур.

---

5. Установка компонентов

Active Directory Domain Services (AD DS) — это роль Windows Server, обеспечивающая централизованное хранение информации об объектах инфраструктуры: пользователях, компьютерах, группах, принтерах, политиках и т.д.

Для установки:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Флаг -IncludeManagementTools добавляет графические (например, Active Directory Users and Computers) и командлеты PowerShell (Get-ADUser, New-ADGroup и др.), необходимые для последующего управления.

После установки роль ещё не активна — требуется инициализация леса и домена.

---

6. Повышение до контроллера домена

Контроллер домена (Domain Controller, DC) — это сервер, на котором запущена служба AD DS и хранится копия базы данных каталога (файл ntds.dit). Он отвечает за:

• Аутентификацию и авторизацию пользователей и компьютеров;
• Хранение и репликацию данных каталога (в многосерверных средах);
• Предоставление DNS-записей, необходимых для обнаружения доменных служб (например, _ldap._tcp.dc._msdcs.cabinet.local).

Лес (Forest) — это самая высокая граница доверия и административного разделения в Active Directory. Внутри одного леса могут быть несколько доменов (деревьев), но все они разделяют схему, конфигурацию и глобальный каталог. Для небольшой организации достаточно одного домена в лесу.

Команда инициализации леса:

Install-ADDSForest `
  -DomainName "CABINET.local" `
  -DomainNetbiosName "CABINET" `
  -InstallDNS `
  -Force

Разбор параметров:

• -DomainName "CABINET.local" — полное доменное имя (FQDN). Суффикс .local исторически использовался для внутренних доменов, хотя сегодня рекомендуют использовать поддомен публичного домена (например, ad.ourcabinet.ru). Однако .local допустим, если он не конфликтует с mDNS (используется в macOS/iOS) и не требует интеграции с внешним DNS.
• -DomainNetbiosName "CABINET" — имя домена в формате NetBIOS (до 15 символов). Используется устаревшими приложениями и для совместимости.
• -InstallDNS — автоматическая установка и настройка DNS-сервера с зонами прямого и обратного просмотра, а также добавление необходимых SRV-записей.
• -Force — подавление интерактивных запросов. В продакшене лучше опускать этот флаг и проходить wizard для проверки предварительных требований.

После выполнения система перезагружается и становится контроллером домена. Учётная запись локального администратора больше не используется для управления доменом — вместо неё создаётся учётная запись администратора домена.

---

7. Учётные записи и группы

После завершения установки Active Directory и перезагрузки сервер автоматически создаёт базовую иерархию объектов. В частности, появляются:

• Встроенные учётные записи домена, включая Administrator (SID: S-1-5-21-*-500) — учётная запись администратора домена, а не локального администратора;
• Встроенные группы безопасности, такие как Domain Admins, Enterprise Admins, Domain Users, Domain Computers;
• Контейнеры Users, Computers, Domain Controllers.

Создание пользователей домена

Пользователь домена — это централизованная учётная запись, действующая на всех компьютерах, присоединённых к домену. Для входа используется формат CABINET\Ivanov или Ivanov@CABINET.local.

Создать пользователя можно через графический интерфейс (Active Directory Users and Computers) или PowerShell:

New-ADUser `
  -Name "Иванов Иван Иванович" `
  -GivenName "Иван" `
  -Surname "Иванов" `
  -SamAccountName "Ivanov" `
  -UserPrincipalName "Ivanov@CABINET.local" `
  -AccountPassword (ConvertTo-SecureString "TempPass123!" -AsPlainText -Force) `
  -Enabled $true `
  -Path "OU=Staff,DC=CABINET,DC=local"

Важные замечания:

• -SamAccountName — имя для входа в формате CABINET\Ivanov. Ограничено 20 символами, без пробелов и спецсимволов (кроме _, -, ., @);
• -UserPrincipalName — аналог электронной почты, используется в современных средах (например, при входе в Office 365 в гибридной конфигурации);
• -AccountPassword должен соответствовать политике сложности домена (по умолчанию — минимум 8 символов, три категории: буквы верхнего/нижнего регистра, цифры, спецсимволы);
• -Enabled $true — без этого флаг пользователя заблокирован;
• -Path указывает организационный подраздел (OU), в который помещается пользователь. По умолчанию — CN=Users,DC=..., но это контейнер, а не OU — в нём нельзя назначать групповые политики. Рекомендуется заранее создать структуру OU: Staff, IT, Managers, DisabledUsers.

Группы

Группы в Active Directory — это инструмент управления доступом. Принцип: назначать права следует группам, а не отдельным пользователям. Это упрощает администрирование и аудит.

Существует два типа групп:

Тип группы	Область применения	Рекомендуемое использование
Глобальная	В пределах одного домена	Группировка пользователей по роли или подразделению: GG_IT_Admins, GG_Managers_Moscow
Локальная домена	В пределах одного домена	Назначение прав ресурсам: DL_FileServer_Admins, DL_Shared_Read

Рекомендуется придерживаться модели AGDLP (Accounts → Global groups → Domain Local groups → Permissions):

1. Пользователи (Ivanov, Petrov) добавляются в глобальные группы (GG_Cabinet_Users);
2. Глобальные группы вкладываются в локальные домена (DL_Shared_FullControl);
3. Локальные домена группы получают права на ресурс (например, полный доступ к папке Shared);
4. Если позже появится второй сервер — можно создать DL_FileSrv2_Admins и повторно использовать те же глобальные группы.

Пример создания и вложения:

# Создаём глобальную группу
New-ADGroup -Name "GG_Cabinet_Admins" -GroupScope Global -Path "OU=Groups,DC=CABINET,DC=local"

# Добавляем пользователя
Add-ADGroupMember -Identity "GG_Cabinet_Admins" -Members "Ivanov"

# Создаём локальную домена группу для ресурса
New-ADGroup -Name "DL_HostServer_AdminAccess" -GroupScope DomainLocal -Path "OU=Groups,DC=CABINET,DC=local"

# Вкладываем глобальную в локальную
Add-ADGroupMember -Identity "DL_HostServer_AdminAccess" -Members "GG_Cabinet_Admins"

Теперь, чтобы дать права на что-либо (например, RDP-доступ к серверу), достаточно добавить DL_HostServer_AdminAccess в локальную группу Remote Desktop Users на целевом компьютере — без привязки к конкретным именам.

---

8. Общие папки и права доступа

Общий доступ к файлам — одна из самых частых, но и самых рискованных операций. Ошибки в настройке прав приводят к утечкам данных, конфликтам редактирования и потере файлов.

Этапы настройки общей папки

1. Физическое размещение
   Папка размещается на NTFS-томе (FAT32/exFAT не поддерживают ACL — списки контроля доступа). Рекомендуется выделять отдельный диск (например, D:\) для данных — это упрощает резервное копирование и изоляцию от системного диска.

2. Создание папки и базовые NTFS-права
   Права в Windows разделяются на:

   • Разрешения на общую папку (Share Permissions) — работают только при доступе по сети, через SMB. Имеют приоритет ниже, чем NTFS;
   • Разрешения NTFS (Security tab) — применяются всегда, локально и по сети. Имеют более тонкую настройку (например, «чтение атрибутов», «запуск файлов»).

   Рекомендуемая практика:

   • На уровне общего доступа оставить только Everyone — Full Control;
   • Весь контроль осуществлять через NTFS-права.

3. Настройка NTFS
   Права наследуются от родительской папки. Чтобы избежать неожиданных разрешений, следует:

   • Отключить наследование («Disable inheritance» → «Convert inherited permissions into explicit permissions»);
   • Удалить ненужные записи (особенно Users, Authenticated Users, если не требуется общий доступ);
   • Добавить только необходимые группы (например, DL_Shared_Read, DL_Shared_Write);
   • Использовать права минимально достаточные:
     • Read & execute — просмотр и запуск;
     • Modify — чтение, запись, удаление своих файлов;
     • Full control — только для администраторов или специфических задач.

4. Создание общего ресурса
   Через Проводник: ПКМ на папке → Общий доступ → Расширенный общий доступ → ввести имя (например, Shared), установить квоту (опционально), включить кэширование («Автоматически» — для документации; «Только для программ» — для исполняемых файлов).

   Через PowerShell:

   New-SmbShare `
     -Name "Shared" `
     -Path "D:\Shared" `
     -FullAccess "CABINET\Domain Admins" `
     -ChangeAccess "DL_Shared_Write" `
     -ReadAccess "DL_Shared_Read"

   Путь для подключения: \\HOSTSERVER\Shared.

Предупреждение. Права Full Control на уровне общего доступа не означают полного контроля, если NTFS запрещает запись. Обратное также верно: если NTFS разрешает полный доступ, но общий доступ ограничен Read, — запись невозможна. Итоговое право — пересечение двух наборов.

---

9. Active Directory

Active Directory — это не просто «база пользователей». Это распределённая, реплицируемая, иерархическая служба каталогов, построенная на стандартах X.500 и LDAP. Её ключевые функции:

• Единая точка аутентификации (Single Sign-On, SSO)
  Пользователь входит один раз в домен — и получает доступ ко всем ресурсам, для которых у него есть права (файлы, принтеры, приложения).

• Централизованное управление политиками (Group Policy)
  Через Объекты групповой политики (GPO) можно настраивать тысячи параметров на клиентах: запрет USB, установка программ, настройка брандмауэра, обновления Windows.

• Делегирование административных полномочий
  Можно дать права на сброс паролей только HR-отделу, на управление принтерами — инженерам, без предоставления полного доступа к AD.

• Интеграция с другими службами
  Почтовые серверы (Exchange), системы мониторинга (SCOM), облачные платформы (Azure AD Connect) используют AD как источник идентификации.

Логическая структура Active Directory

• Лес (Forest) — граница безопасности. Внутри леса единая схема, конфигурация и глобальный каталог.
• Домен (Domain) — единица репликации. Все контроллеры в домене хранят копию ntds.dit.
• Организационное подразделение (OU) — контейнер для объектов, к которому можно привязывать GPO и делегировать управление.
• Сайт (Site) — логическая группа подсетей с высокой пропускной способностью (например, один офис). Используется для оптимизации репликации и поиска ближайшего DC.

---

10. Архитектура инфраструктуры

Начинать с одного сервера — нормально. Но важно проектировать инфраструктуру так, чтобы она могла развиваться.

Типовая эволюция:

Этап	Конфигурация	Риски	Рекомендации
1. Единый сервер	DC + DNS + файловый сервер + резервное копирование на диск	Одна точка отказа. Сбой диска = потеря домена и данных	Использовать RAID 1/10, ежедневные бэкапы AD (ntdsutil), хранить резервную копию вне сервера
2. Два контроллера домена	DC1 (основной) + DC2 (резервный, в другом помещении)	Отказ одного DC — пользователи работают, но нет резервирования файлов	Настроить репликацию SYSVOL (через DFS-R), переместить файловые службы на отдельный сервер
3. Разделение ролей	DC1/DC2 (только AD+DNS), FS1 (файлы), APP1 (приложения), BK1 (резервное копирование)	Сложность управления	Внедрить централизованную систему мониторинга (Zabbix, PRTG), автоматизацию развёртывания (Ansible, DSC)

Принципы проектирования:

• Принцип наименьших привилегий — пользователи и службы получают только те права, которые необходимы.
• Разделение ответственности — учётные записи для служб (например, svc_sql) не должны совпадать с учётными записями администраторов.
• Документирование — каждое изменение (создание OU, GPO) должно фиксироваться: кто, когда, зачем.
• Тестирование изменений — перед применением GPO к производственным OU — проверить на тестовой группе.

---

11. Управление сервером

Настройка — это только начало. Поддержка сервера включает:

• Мониторинг состояния
  Проверка дискового пространства (Get-PSDrive C), оперативной памяти (Get-CimInstance Win32_OperatingSystem), служб (Get-Service | Where Status -ne Running), событий (Get-WinEvent -LogName System -MaxEvents 50).

• Управление обновлениями
  Windows Server обновляется через Центр обновления Windows (WSUS в крупных сетях). Критически важно:

  • Устанавливать обновления безопасности в течение 30 дней;
  • Перед установкой — проверять совместимость с ролью DC (некоторые обновления требуют перезагрузки в безопасном режиме).

• Резервное копирование Active Directory
  Полная резервная копия системы (с помощью Windows Server Backup или Veeam) позволяет восстановить контроллер «как есть». Но для точечного восстановления объектов («я случайно удалил OU») требуется авторитетное восстановление через ntdsutil или корзина удалённых объектов (включается командой Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target 'CABINET.local').

• Проверка репликации
  На многосерверных установках: repadmin /showrepl, dcdiag /v.

---

12. Дополнительные службы

Почтовая инфраструктура

Windows Server не включает почтовый сервер «из коробки». Для организации корпоративной почты необходимо:

• Установить Microsoft Exchange Server (требует отдельной лицензии, сложен в настройке);
• Использовать открытые решения: hMailServer, MailEnable (ограниченная функциональность);
• Перейти на облачные сервисы: Microsoft 365, Яндекс 360, Почта Mail.ru для бизнеса.

Если почта внешняя, но требуется интеграция с AD — настраивается единый вход (SSO) через SAML или синхронизация учётных записей (например, Azure AD Connect).

Локальное и сетевое хранилище

• Локальное хранилище — диски, подключённые напрямую к серверу. Просто в настройке, но не масштабируемо.
• Сетевое хранилище (NAS) — отдельное устройство (Synology, QNAP), предоставляющее общий доступ по SMB/NFS. Сервер может монтировать его как диск (New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\nas01\archive").
• Хранилище уровня SAN (iSCSI) — блочное устройство, которое сервер видит как локальный диск. Используется для кластеров и высоконагруженных баз данных.

Для резервного копирования рекомендуется использовать отдельное физическое устройство — не тот же сервер и не тот же NAS, где хранятся рабочие данные.

---

13. Групповые политики (Group Policy)

Групповая политика (Group Policy Object, GPO) — это механизм, позволяющий системному администратору применять единые настройки к множеству компьютеров и пользователей без ручного вмешательства. Это фундаментальный инструмент управления масштабируемой инфраструктурой. Без GPO нельзя обеспечить единообразие, безопасность и соответствие требованиям регуляторов.

Как работает групповая политика

1. Администратор создаёт объект групповой политики (GPO) в консоли Group Policy Management (gpmc.msc).
2. GPO связывается с контейнером — доменом, сайтом или (чаще всего) организационным подразделением (OU).
3. При входе пользователя и запуске компьютера клиентская часть обрабатывает все связанные GPO (в порядке: Local → Site → Domain → OU, сверху вниз), объединяя настройки по правилу наиболее специфичное перекрывает общее.
4. Результат кэшируется и применяется — даже при отсутствии связи с контроллером домена (например, ноутбук вне офиса).

Важно: групповые политики применяются асинхронно и постепенно. Полная обработка может занять до 90 минут. Принудительное обновление — gpupdate /force на клиенте.

Категории настроек

GPO содержит два основных раздела:

Раздел	Применяется к	Примеры
Конфигурация компьютера	Компьютеру, независимо от пользователя	Настройка брандмауэра, запуск служб, установка программ через MSI, политики безопасности (например, запрет автозапуска USB), параметры RDP
Конфигурация пользователя	Учётной записи пользователя	Запрет доступа к панели управления, настройка стартовой страницы браузера, перенаправление папок («Рабочий стол», «Документы» на сетевой диск), параметры Office

Пример: безопасная настройка клиентских станций

Типичный сценарий — запретить пользователям устанавливать ПО, подключать внешние носители и изменять сетевые параметры.

1. Создаём OU Workstations и перемещаем в неё все компьютеры-клиенты.
2. Создаём GPO Security_Baseline и связываем с Workstations.
3. В разделе Конфигурация компьютера → Политики Windows → Параметры безопасности:
   • Локальные политики → Параметры безопасности:
     • Учётные записи: Администратор — Переименовать → LocalAdmin (защита от перебора);
     • Учётные записи: Гость — Отключить → Включено;
     • Контроль учётных записей: Режим одобрения для встроенной учётной записи администратора → Включено.
   • Безопасность Windows → Ограничения ПО:
     • Запретить выполнение указанных приложений → добавляем cmd.exe, powershell.exe для обычных пользователей (через фильтрацию безопасности — только группа Domain Admins имеет право на обход);
     • Правила пути: запрещаем запуск из %AppData% и %Temp%.
4. В Конфигурация компьютера → Административные шаблоны → Система → Удалённый рабочий стол:
   • Разрешить подключение к удалённому рабочему столу → Отключено (если не требуется).

Эти настройки применяются автоматически ко всем новым компьютерам, помещённым в OU Workstations.

Фильтрация безопасности и WMI-фильтры

GPO можно сделать условными:

• Фильтрация безопасности — через права на сам GPO: по умолчанию «Применить групповую политику» имеют Authenticated Users. Чтобы политика применялась только к IT-отделу — удаляем Authenticated Users, добавляем группу GG_IT_Staff.
• WMI-фильтр — выполнение политики при выполнении условия на уровне системы. Например:
  SELECT * FROM Win32_ComputerSystem WHERE Model LIKE "%Virtual%" — применять только на виртуальных машинах.

Перенаправление папок

Перенаправление папок (Folder Redirection) — это не просто «положить Документы на сервер». Это стратегия обеспечения:

• Доступности — пользователь заходит с любого ПК — его файлы там же;
• Резервного копирования — данные хранятся на сервере, а не на локальном диске;
• Безопасности — предотвращает утечку при краже ноутбука.

Настройка:

1. В GPO, связанной с OU пользователей:
   Конфигурация пользователя → Политики Windows → Перенаправление папок.
2. Выбираем папку (например, Документы), указываем путь:
   \\HOSTSERVER\Users\%USERNAME%\Documents.
3. Важные опции:
   • Основной целевой папкой является сетевое расположение — да;
   • Предоставить пользователям исключительные права на перенаправленную папку — да (иначе другие пользователи могут читать);
   • Создавать папку при первом входе — автоматически.

После применения при первом входе пользователя создаётся структура:

D:\Users\
├── Ivanov\
│   ├── Desktop\
│   ├── Documents\
│   └── Pictures\

Права назначаются через NTFS: владелец — Ivanov, полный доступ — Ivanov и Domain Admins.

Внимание: не перенаправлять AppData — это нарушает работу многих приложений. Для профилей целиком используйте роуминговые профили (устаревшее, но иногда необходимо) или современные решения: FSLogix (для VDI).

---

14. Резервное копирование Active Directory и сервера

Утрата контроллера домена без резервной копии эквивалентна уничтожению инфраструктуры. Восстановление «с нуля» потребует перевыпуска всех сертификатов, пересоздания всех учётных записей и повторного присоединения всех компьютеров к домену.

Типы резервного копирования

Тип	Что сохраняется	Когда использовать
Полная резервная копия системы	Состояние дисков, включая ntds.dit, SYSVOL, реестр	Ежедневно. Позволяет восстановить сервер «как есть» на том же или новом железе
Авторитетное восстановление AD	Только база данных каталога	При удалении OU, пользователей — восстанавливает объекты с сохранением SID
Системное состояние (System State)	Только критичные компоненты: AD, DNS, реестр, загрузчик	Минималистичный бэкап для быстрого восстановления DC

Практическая реализация на Windows Server

1. Устанавливаем Windows Server Backup (входит в роли и компоненты).
2. Настраиваем расписание:
   • Ежедневно — полная резервная копия на внешний диск или сетевую папку (\\BKPSRV\AD_Backup);
   • Еженедельно — копия системного состояния с меткой авторитетного восстановления.
3. Проверяем целостность:
   wbadmin get versions → wbadmin validate backup -version:07/10/2025-22:00.

Пример PowerShell-скрипта для ежедневного бэкапа:

# Создаём папку с датой
$backupPath = "\\BKPSRV\AD_Backup\$(Get-Date -Format 'yyyy-MM-dd')"
New-Item -ItemType Directory -Path $backupPath -Force

# Запускаем резервное копирование системного состояния
Start-Process -FilePath "wbadmin" -ArgumentList `
  "start systemstatebackup -backupTarget:$backupPath -quiet" -Wait

Хранение резервных копий:

• Правило 3-2-1: три копии, два носителя, одна вне помещения (например, внешний диск в сейфе или облако с шифрованием).
• Тестирование восстановления — хотя бы раз в квартал. Практика показывает: 30% бэкапов оказываются нерабочими при первом же восстановлении.

---

15. Мониторинг и диагностика

Реактивное устранение сбоев — признак незрелой инфраструктуры. Профессиональный администратор выявляет проблемы до того, как они повлияют на пользователей.

Встроенные инструменты Windows Server

• Просмотр событий (Event Viewer) — централизованное хранилище логов. Ключевые журналы:

  • System — сбои драйверов, питания, дисков;
  • Application — ошибки служб и приложений;
  • Directory Service — события Active Directory (репликация, аутентификация);
  • DNS Server — ошибки разрешения имён.

  Фильтрация по уровню (Ошибка, Предупреждение) и источнику ускоряет анализ.

• Репликация AD:
  dcdiag /v — полная диагностика контроллера;
  repadmin /showrepl — проверка состояния репликации с другими DC.

• Производительность:
  Get-Counter '\Processor(_Total)\% Processor Time' — загрузка CPU;
  Get-Counter '\Memory\Available MBytes' — свободная память;
  Get-Counter '\LogicalDisk(C:)\% Free Space' — место на диске.

Внешние системы мониторинга

Для инфраструктуры из нескольких серверов необходима централизованная система:

Система	Преимущества	Особенности
Zabbix	Открытый код, гибкость, поддержка Windows-агентов	Требует отдельного сервера, настройки шаблонов
PRTG Network Monitor	Простота развёртывания, визуализация	Бесплатно до 100 датчиков
Checkmk	Автоматическое обнаружение служб, мощные триггеры	Коммерческая версия для enterprise

Минимальный набор метрик для контроллера домена:

• Свободное место на системном и AD-дисках (менее 15% — предупреждение);
• Время ответа LDAP-запросов (>200 мс — индикатор перегрузки);
• Число неудачных попыток входа (возможна атака брутфорсом);
• Состояние репликации (задержка > 1 час — критично).

---

16. Безопасность контроллера домена

Контроллер домена — самая ценная мишень в инфраструктуре. Компрометация DC означает полный контроль над сетью.

Основные векторы атак

Угроза	Описание	Меры защиты
Pass-the-Hash	Использование хеша пароля вместо самого пароля для аутентификации	Запретить NTLM (только Kerberos), включить Protected Users для администраторов
Golden Ticket	Подделка билета TGT с помощью компрометации krbtgt	Регулярная смена пароля учётной записи krbtgt (раз в 180 дней), мониторинг аномальных TGT
DCShadow	Регистрация фиктивного контроллера для внедрения изменений в AD	Ограничить права на регистрацию SPN, контролировать события 4929 (репликация AD)
Атака на SYSVOL	Извлечение GPO-скриптов с паролями в открытом виде	Отключить хранение паролей в GPO, использовать Group Policy Preferences только с зашифрованными паролями (ограниченно безопасно)

Рекомендации по жёсткой защите

1. Физическая безопасность — контроллер домена должен находиться в закрытом серверном помещении с контролем доступа.
2. Ограничение входа — на DC запрещены:
   • Вход обычных пользователей;
   • Доступ по RDP, кроме группы Domain Admins;
   • Установка несистемных приложений (браузеров, мессенджеров).
3. Разделение привилегий — использовать учётные записи только для администрирования (например, adm_Ivanov), не совпадающие с учётными записями для почты и входа в домен.
4. Аудит — включить политики аудита:
   • Учётные записи: Аудит изменения объектов каталога — Включено;
   • Политика аудита: Аудит попыток входа в систему — Успех и Ошибка;
   • Журналы перенаправлять в SIEM-систему (например, ELK Stack, Graylog).

---