A

Active Directory

Active Directory (AD) — co to jest i jak działa? Usługa katalogowa Microsoftu do zarządzania użytkownikami, grupami i uprawnieniami w sieci Windows. Poznaj strukturę (domeny, lasy, OU), różnice AD vs Entra ID (Azure AD) i najlepsze praktyki zabezpieczeń.

Co to jest Active Directory?

Active Directory (AD) to usługa katalogowa opracowana przez Microsoft dla sieci opartych na systemach Windows. Jest to kluczowy element infrastruktury IT w wielu organizacjach, umożliwiający centralne zarządzanie użytkownikami, komputerami, grupami, politykami i innymi obiektami sieciowymi. 

Na skróty

Definicja Active Directory

Active Directory to hierarchiczna baza danych i zestaw usług, które przechowują informacje o obiektach w sieci i udostępniają te informacje użytkownikom oraz administratorom. Główne funkcje AD obejmują:

Centralne zarządzanie tożsamościami i dostępem

  • Organizację obiektów sieciowych w strukturę hierarchiczną

  • Uwierzytelnianie i autoryzację użytkowników

  • Wdrażanie polityk grupowych

  • Replikację danych między kontrolerami domeny

Historia i rozwój Active Directory

Active Directory zostało po raz pierwszy wprowadzone wraz z systemem Windows 2000 Server w 1999 roku. Jego korzenie sięgają jednak wcześniejszych projektów Microsoft, w tym:

  • Wczesne prace nad usługą katalogową w 3Com w latach 80.

  • Projekt Cairo, który miał zintegrować usługę katalogową z systemem plików

  • Usługa katalogowa Exchange, która stała się podstawą AD

Przez lata AD ewoluowało, dodając nowe funkcje i usprawnienia w kolejnych wersjach Windows Server. Dziś, mimo wzrostu popularności rozwiązań chmurowych, AD pozostaje kluczowym elementem infrastruktury IT dla około 90% firm z listy Fortune 1000.

Struktura i hierarchia Active Directory

Active Directory organizuje obiekty sieciowe w hierarchiczną strukturę:

  • Las (Forest) - najwyższy poziom struktury, zawierający jedno lub więcej drzew

  • Drzewo (Tree) - grupa domen połączonych relacjami zaufania

  • Domena (Domain) - podstawowa jednostka administracyjna

  • Jednostka organizacyjna (Organizational Unit, OU) - kontener wewnątrz domeny grupujący obiekty

Ta struktura pozwala na efektywne zarządzanie nawet bardzo dużymi i złożonymi środowiskami IT.

Usługi katalogowe

Active Directory Domain Services (AD DS) to główna usługa w ramach AD, ale nie jedyna. Inne usługi obejmują:

  • AD Lightweight Directory Services (AD LDS)

  • AD Certificate Services

  • AD Federation Services

  • AD Rights Management Services

Każda z tych usług pełni specyficzną rolę w zarządzaniu tożsamościami i dostępem w środowisku Windows.

Autoryzacja i uwierzytelnianie

Active Directory pełni kluczową rolę w procesach uwierzytelniania i autoryzacji użytkowników:

  • Uwierzytelnianie - weryfikacja tożsamości użytkownika, najczęściej poprzez logowanie

  • Autoryzacja - określanie, do jakich zasobów uwierzytelniony użytkownik ma dostęp

AD wykorzystuje protokoły takie jak Kerberos do bezpiecznego uwierzytelniania użytkowników w sieci.

Zarządzanie użytkownikami i grupami

Jedną z głównych funkcji AD jest centralne zarządzanie kontami użytkowników i grup. Administratorzy mogą:

  • Tworzyć i modyfikować konta użytkowników

  • Przypisywać użytkowników do grup

  • Definiować uprawnienia dla użytkowników i grup

  • Zarządzać hasłami i politykami haseł

Centralne zarządzanie znacząco upraszcza administrację w dużych środowiskach IT.

Polityki grupowe (Group Policies)

Polityki grupowe to potężne narzędzie do centralnego zarządzania konfiguracją komputerów i użytkowników w domenie AD. Umożliwiają one:

  • Wdrażanie standardowych konfiguracji

  • Egzekwowanie zasad bezpieczeństwa

  • Instalację oprogramowania

  • Konfigurację ustawień systemu i aplikacji

Polityki grupowe są kluczowym elementem w utrzymaniu spójności i bezpieczeństwa środowiska IT.

Replikacja i synchronizacja danych

Active Directory wykorzystuje mechanizm replikacji do synchronizacji danych między kontrolerami domeny. Zapewnia to:

  • Wysoką dostępność usług katalogowych

  • Odporność na awarie pojedynczych serwerów

  • Możliwość rozproszenia geograficznego infrastruktury IT

Replikacja AD jest zoptymalizowana pod kątem efektywnego wykorzystania pasma sieciowego.

Integracja z innymi systemami

Active Directory może być zintegrowane z wieloma innymi systemami i usługami, w tym:

  • Microsoft Exchange Server

  • Microsoft SharePoint

  • Systemy chmurowe, takie jak Microsoft Azure AD

  • Aplikacje firm trzecich wspierające protokół LDAP

Ta integracja pozwala na wykorzystanie AD jako centralnego punktu zarządzania tożsamościami w całym środowisku IT organizacji.

Bezpieczeństwo i audyt

Active Directory oferuje szereg funkcji związanych z bezpieczeństwem i audytem:

  • Szczegółowe kontrole dostępu do obiektów

  • Szyfrowanie komunikacji między klientami a serwerami

  • Możliwość logowania i audytowania zdarzeń związanych z bezpieczeństwem

  • Integracja z systemami zabezpieczeń, takimi jak firewalle i systemy wykrywania włamań

Właściwe zabezpieczenie AD jest kluczowe dla ogólnego bezpieczeństwa infrastruktury IT organizacji.

Active Directory vs Entra ID (Azure AD) — co wybrać w 2026?

Microsoft oficjalnie przemianował Azure Active Directory na Microsoft Entra ID w lipcu 2023 roku. Zmiana nazwy to nie tylko rebranding — odzwierciedla strategiczną zmianę w podejściu Microsoftu do zarządzania tożsamością, obejmującą teraz cały ekosystem Entra (Entra ID, Entra Permissions Management, Entra Verified ID, Entra Workload Identities).

Porównanie: on-prem AD vs Entra ID vs model hybrydowy

CechaActive Directory (on-prem)Entra ID (chmura)Model hybrydowy
LokalizacjaSerwery lokalne (Windows Server)Chmura Microsoft 365/AzureOba środowiska
Protokoły uwierzytelnianiaKerberos, NTLM, LDAPOAuth 2.0, SAML, OpenID ConnectWszystkie powyższe
Zarządzanie urządzeniamiGroup Policy (GPO)Intune / MDMGPO + Intune
Single Sign-OnKerberos SSO (sieć wewnętrzna)Seamless SSO (aplikacje SaaS)SSO hybrydowy
MFAWymaga dodatkowej infrastruktury (NPS)Wbudowane, Conditional AccessEntra MFA dla obu środowisk
Koszt wejściaWindows Server CAL + sprzętDarmowy plan podstawowyLicencja Server + Entra Connect
SkalowalnośćOgraniczona sprzętemPraktycznie nieograniczonaElastyczna
Dostęp zdalnyVPN wymaganyNatywny dostęp z dowolnego miejscaVPN + dostęp chmurowy

Kiedy migrować, a kiedy zostać w modelu hybrydowym?

Pełna migracja do Entra ID sprawdza się w organizacjach, które:

  • Korzystają wyłącznie z aplikacji SaaS i Microsoft 365
  • Nie posiadają starszych aplikacji zależnych od Kerberos/NTLM
  • Mają rozproszone zespoły pracujące zdalnie
  • Chcą wyeliminować koszty utrzymania serwerów on-premises

Model hybrydowy (AD + Entra ID) pozostaje optymalny, gdy:

  • Organizacja ma aplikacje legacy wymagające uwierzytelniania Kerberos
  • Istnieją wymagania regulacyjne dotyczące przechowywania danych lokalnie
  • Infrastruktura on-premises obsługuje drukarki sieciowe, serwery plików lub inne zasoby lokalne
  • Organizacja przeprowadza stopniową migrację do chmury

Pozostanie przy on-prem AD ma sens, gdy:

  • Środowisko jest w pełni odizolowane od internetu (air-gapped)
  • Regulacje branżowe zabraniają przetwarzania tożsamości w chmurze
  • Organizacja nie korzysta z usług Microsoft 365

Conditional Access, MFA i SSO w Entra ID

Conditional Access to silnik polityk dostępowych w Entra ID, pozwalający podejmować decyzje o dostępie na podstawie sygnałów kontekstowych: lokalizacji użytkownika, stanu urządzenia, poziomu ryzyka sesji czy aplikacji docelowej. Przykładowa polityka: “zezwól na dostęp do SharePoint tylko z urządzeń zgodnych z polityką Intune, a z nieznanych lokalizacji wymagaj dodatkowej weryfikacji MFA”.

Multi-Factor Authentication (MFA) w Entra ID oferuje kilka metod weryfikacji: aplikację Microsoft Authenticator (push notification lub kod TOTP), klucze FIDO2, weryfikację SMS lub połączenie telefoniczne. Od 2024 roku Microsoft wymusza MFA dla wszystkich kont administratorskich w Entra ID — jest to obowiązkowe i nie można go wyłączyć.

Single Sign-On (SSO) w Entra ID umożliwia użytkownikom logowanie się raz i uzyskanie dostępu do tysięcy aplikacji SaaS (Salesforce, ServiceNow, Zoom, Slack) bez ponownego podawania poświadczeń. Entra ID obsługuje SSO oparte na SAML, OpenID Connect oraz uwierzytelnianie oparte na nagłówkach HTTP dla starszych aplikacji (przez Application Proxy).

Koszty — porównanie modeli licencyjnych

Active Directory on-premises:

  • Windows Server 2022 Standard: ~$1,069 (licencja na 16 rdzeni)
  • Windows Server CAL: ~$44/użytkownik lub ~$44/urządzenie
  • Koszty sprzętu, energii, administracji

Entra ID:

  • Free — podstawowe zarządzanie tożsamością, SSO dla aplikacji (limit 10 aplikacji/użytkownik)
  • P1 (~$6/użytkownik/miesiąc) — Conditional Access, Self-Service Password Reset, hybrydowa synchronizacja
  • P2 (~$9/użytkownik/miesiąc) — Identity Protection, Privileged Identity Management (PIM), Access Reviews

Dla organizacji z 500 użytkownikami, roczny koszt Entra ID P1 wynosi ~$36,000, podczas gdy porównywalna infrastruktura on-premises (2 kontrolery domeny, licencje, utrzymanie) to $25,000-$40,000 w pierwszym roku i $10,000-$15,000 rocznie w kolejnych latach. Chmura eliminuje jednak koszty sprzętowe, administracyjne i zapewnia SLA na poziomie 99.99%.

Praktyczne wdrożenie Active Directory krok po kroku

Wdrożenie Active Directory wymaga starannego planowania. Błędy popełnione na etapie projektowania struktury mogą generować problemy przez lata. Poniżej przedstawiamy kluczowe kroki prawidłowego wdrożenia.

Przygotowanie i instalacja kontrolera domeny

Kontroler domeny (Domain Controller, DC) to serwer z zainstalowaną rolą AD DS. Minimalne wymagania dla środowiska produkcyjnego:

  • Minimum 2 kontrolery domeny — jeden DC to pojedynczy punkt awarii. W przypadku jego utraty cała domena jest niedostępna. Zalecana konfiguracja to 2 DC w głównej lokalizacji i po jednym w każdym oddziale z ponad 50 użytkownikami.
  • Dedykowany serwer DNS — AD DS wymaga DNS do prawidłowego działania. Najczęściej rola DNS jest instalowana na tym samym serwerze co kontroler domeny.
  • Statyczny adres IP — kontrolery domeny nie mogą używać DHCP.
  • Nazwa domeny — należy wybrać nazwę domeny wewnętrznej. Microsoft zaleca używanie subdomeny publicznej domeny organizacji (np. ad.firma.pl) zamiast domen prywatnych (.local, .internal), które mogą powodować konflikty z certyfikatami SSL.

Instalacja roli AD DS na Windows Server odbywa się przez Server Manager lub PowerShell:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName "ad.firma.pl" -DomainNetbiosName "FIRMA"

Projektowanie struktury jednostek organizacyjnych (OU)

Struktura OU powinna odzwierciedlać model zarządzania, a nie strukturę organizacyjną firmy. Zalecana hierarchia:

  • Podział funkcjonalny — osobne OU dla użytkowników, komputerów, serwerów, grup i kont usługowych
  • Podział lokalizacyjny — w organizacjach wielooddziałowych, OU najwyższego poziomu reprezentują lokalizacje
  • Delegacja uprawnień — OU powinny umożliwiać delegowanie zarządzania bez nadawania uprawnień do całej domeny

Przykładowa struktura OU dla organizacji z dwoma oddziałami:

firma.pl/
├── Warszawa/
│   ├── Użytkownicy/
│   ├── Komputery/
│   ├── Grupy/
│   └── Serwery/
├── Kraków/
│   ├── Użytkownicy/
│   ├── Komputery/
│   └── Grupy/
├── Konta usługowe/
├── Grupy globalne/
└── Serwery infrastrukturalne/

Tworzenie użytkowników i grup — workflow

Efektywne zarządzanie kontami wymaga ustalonego procesu:

  1. Konwencja nazewnictwa — ustandaryzowany format (np. imie.nazwisko) zapewnia spójność i ułatwia identyfikację
  2. Grupy oparte na rolach — zamiast przypisywać uprawnienia bezpośrednio do użytkowników, przypisuj je do grup, a użytkowników dodawaj do grup (model AGDLP: Account → Global group → Domain Local group → Permission)
  3. Automatyzacja — dla organizacji z ponad 100 użytkownikami, ręczne tworzenie kont jest niepraktyczne. PowerShell lub narzędzia provisioningu (np. Microsoft Identity Manager) automatyzują cykl życia konta
  4. Przegląd uprawnień — kwartalne audyty członkostwa w grupach zapobiegają rozrostowi uprawnień (privilege creep)

Relacje zaufania między domenami

Relacje zaufania (trusts) umożliwiają użytkownikom jednej domeny dostęp do zasobów w innej. Typy relacji zaufania w AD:

  • Zaufanie wewnątrz lasu (parent-child) — tworzone automatycznie między domenami w tym samym lesie. Są dwukierunkowe i przechodnie.
  • Zaufanie między lasami (forest trust) — łączy dwa osobne lasy AD. Może być jednokierunkowe lub dwukierunkowe.
  • Zaufanie zewnętrzne (external trust) — łączy domenę AD z domeną spoza lasu (np. starą domeną NT 4.0). Nie jest przechodnie.
  • Zaufanie skrótowe (shortcut trust) — optymalizuje ścieżkę uwierzytelniania w złożonych hierarchiach domen wewnątrz lasu.

Przy konfigurowaniu relacji zaufania należy stosować zasadę minimalnych uprawnień — przyznawać dostęp tylko do niezbędnych zasobów i preferować zaufanie jednokierunkowe tam, gdzie dwukierunkowe nie jest wymagane.

Zabezpieczanie Active Directory — hardening w praktyce

Active Directory jest jednym z najczęściej atakowanych komponentów infrastruktury IT. Kompromitacja AD oznacza przejęcie kontroli nad całą siecią. Skuteczny hardening wymaga podejścia wielowarstwowego.

Ataki na Kerberos — pass-the-hash, golden ticket, kerberoasting

Protokół Kerberos, choć bezpieczniejszy od NTLM, jest podatny na kilka klas ataków:

Pass-the-Hash (PtH) — atakujący przechwytuje skrót (hash) hasła użytkownika i używa go do uwierzytelnienia bez znajomości hasła w postaci jawnej. Obrona: wyłączenie NTLMv1, ograniczenie NTLMv2 do niezbędnego minimum, wdrożenie Windows Credential Guard na stacjach roboczych.

Golden Ticket — atakujący, który przejął hash konta KRBTGT (konto usługowe Kerberos), może generować dowolne bilety Kerberos z dowolnymi uprawnieniami. Taki bilet jest ważny domyślnie przez 10 lat. Obrona: regularna zmiana hasła KRBTGT (dwukrotna, ponieważ AD przechowuje bieżące i poprzednie hasło), monitoring Event ID 4769 z nietypowymi parametrami.

Kerberoasting — atakujący żąda biletów TGS (Ticket Granting Service) dla kont usługowych z ustawionym SPN (Service Principal Name), a następnie łamie je offline. Obrona: używanie kont usługowych z długimi, losowymi hasłami (minimum 25 znaków), korzystanie z Group Managed Service Accounts (gMSA), monitoring nietypowych żądań TGS.

Silver Ticket — podobny do Golden Ticket, ale ograniczony do konkretnej usługi. Atakujący potrzebuje hashu konta usługowego. Obrona: regularna rotacja haseł kont usługowych, stosowanie gMSA.

LAPS — zarządzanie hasłami administratora lokalnego

Local Administrator Password Solution (LAPS) to narzędzie Microsoftu rozwiązujące jeden z najczęstszych problemów bezpieczeństwa AD — identyczne hasło administratora lokalnego na wszystkich stacjach roboczych (często ustawiane podczas wdrażania obrazu systemu).

LAPS automatycznie:

  • Generuje losowe, unikalne hasło administratora lokalnego na każdym komputerze
  • Przechowuje hasło w chronionym atrybucie obiektu komputera w AD
  • Rotuje hasło zgodnie z polityką (np. co 30 dni)
  • Umożliwia odczyt hasła tylko uprawnionym administratorom

W 2023 roku Microsoft wprowadził Windows LAPS (wbudowany w Windows 11 23H2 i Windows Server 2025), zastępujący starszy Microsoft LAPS. Nowa wersja oferuje: szyfrowanie haseł w AD, backup haseł do Entra ID, obsługę kont DSRM na kontrolerach domeny oraz historię haseł.

Model tiered administration — separacja uprawnień

Model tiered administration (administracja warstwowa) dzieli środowisko AD na trzy warstwy z ścisłą separacją:

  • Tier 0 (kontrola tożsamości) — kontrolery domeny, konta Enterprise Admin i Domain Admin, PKI, ADFS. Zarządzane wyłącznie z dedykowanych stacji Tier 0.
  • Tier 1 (serwery i aplikacje) — serwery członkowskie, bazy danych, aplikacje biznesowe. Administratorzy Tier 1 nie mogą logować się na kontrolery domeny.
  • Tier 2 (stacje robocze i urządzenia) — komputery użytkowników, drukarki, urządzenia mobilne. Helpdesk i administratorzy stacji roboczych nie logują się na serwery.

Kluczowa zasada: konto z wyższej warstwy nigdy nie loguje się na maszynę niższej warstwy. Administrator domeny nigdy nie otwiera sesji RDP na stacji roboczej użytkownika — poświadczenia zostałyby zbuforowane i mogłyby zostać przechwycone.

Polityki haseł i blokady kont

Active Directory domyślnie wymusza jedną politykę haseł dla całej domeny (Default Domain Policy). Od Windows Server 2008 dostępne są Fine-Grained Password Policies (FGPP), pozwalające definiować różne wymagania dla różnych grup:

ParametrKonta standardoweKonta uprzywilejowaneKonta usługowe
Minimalna długość12 znaków16 znaków25+ znaków
Maksymalny wiek90 dni60 dni365 dni (gMSA: automatycznie)
Historia haseł12 ostatnich24 ostatnieN/A
Blokada po próbach5 prób / 15 min3 próby / 30 minNie blokować (monitoring)
ZłożonośćWymaganaWymagana + MFALosowe generowanie

Blokada kont (Account Lockout) chroni przed atakami brute-force, ale źle skonfigurowana może stać się narzędziem ataku denial-of-service. Zalecany próg to 5-10 nieudanych prób z automatycznym odblokowaniem po 15-30 minutach.

Privileged Access Workstations (PAW)

Stacje robocze z uprzywilejowanym dostępem (PAW) to dedykowane, zahardowane komputery używane wyłącznie do zadań administracyjnych. PAW minimalizuje ryzyko przechwycenia poświadczeń administratora przez malware na zwykłej stacji roboczej.

Wymagania PAW:

  • Czysty obraz systemu Windows z najnowszymi aktualizacjami
  • Wyłączony dostęp do internetu (lub ograniczony do portali zarządzania)
  • Pełne szyfrowanie dysków (BitLocker)
  • Windows Credential Guard włączony
  • Logowanie wyłącznie kontami administracyjnymi odpowiedniej warstwy
  • Regularne odświeżanie obrazu (co 6-12 miesięcy)

W mniejszych organizacjach, gdzie dedykowane stacje PAW są zbyt kosztowne, alternatywą jest użycie maszyn wirtualnych z Hyper-V na stacji administratora — maszyna wirtualna pełni rolę PAW, a host służy do codziennej pracy.

Narzędzia administratora Active Directory

Efektywne zarządzanie Active Directory wymaga znajomości narzędzi graficznych i wiersza poleceń. Poniżej przedstawiamy najważniejsze z nich.

Narzędzia graficzne (GUI)

Active Directory Users and Computers (ADUC) — klasyczna konsola MMC do zarządzania użytkownikami, grupami, komputerami i jednostkami organizacyjnymi. Mimo swojego wieku pozostaje najczęściej używanym narzędziem do codziennych operacji.

Active Directory Administrative Center (ADAC) — nowocześniejsza alternatywa dla ADUC, oparta na PowerShell. Oferuje ten sam zakres funkcji plus: dynamiczne listy kontroli dostępu, kosz AD (odzyskiwanie usuniętych obiektów), Fine-Grained Password Policies GUI oraz generowanie poleceń PowerShell odpowiadających wykonywanym operacjom.

ADSIEdit — zaawansowany edytor atrybutów obiektów AD. Daje bezpośredni dostęp do wszystkich atrybutów LDAP, w tym tych niewidocznych w ADUC. Używany do rozwiązywania problemów i operacji, które nie są dostępne w standardowych konsolach. Wymaga szczególnej ostrożności — nieprawidłowa edycja może uszkodzić obiekty AD.

Group Policy Management Console (GPMC) — centralna konsola do tworzenia, edycji i zarządzania obiektami Group Policy. Umożliwia modelowanie polityk (Resultant Set of Policy), backup/restore GPO, delegację uprawnień i raportowanie.

PowerShell dla Active Directory

Moduł ActiveDirectory dla PowerShell to najpotężniejsze narzędzie do zarządzania AD. Najczęściej używane polecenia:

Zarządzanie użytkownikami:

  • Get-ADUser -Filter * -Properties LastLogonDate — lista wszystkich użytkowników z datą ostatniego logowania
  • New-ADUser -Name "Jan Kowalski" -SamAccountName "jan.kowalski" -Path "OU=Użytkownicy,DC=firma,DC=pl" — tworzenie konta
  • Set-ADUser -Identity "jan.kowalski" -Department "IT" — modyfikacja atrybutów
  • Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 — wyszukiwanie nieaktywnych kont

Zarządzanie grupami:

  • Get-ADGroupMember -Identity "Domain Admins" -Recursive — rekurencyjne wylistowanie członków grupy
  • Add-ADGroupMember -Identity "VPN-Users" -Members "jan.kowalski" — dodanie do grupy

Audyt i raportowanie:

  • Get-ADUser -Filter {PasswordLastSet -lt (Get-Date).AddDays(-90)} — użytkownicy z hasłami starszymi niż 90 dni
  • Get-ADComputer -Filter {LastLogonDate -lt (Get-Date).AddDays(-60)} — komputery nieaktywne ponad 60 dni

Narzędzia diagnostyczne wiersza poleceń

dcdiag — kompleksowe narzędzie diagnostyczne kontrolera domeny. Wykonuje szereg testów: replikacja, DNS, topologia, rola FSMO, łączność sieciowa. Uruchomienie dcdiag /v /c /d daje pełny obraz stanu zdrowia kontrolera.

repadmin — narzędzie do monitorowania i rozwiązywania problemów z replikacją AD. Kluczowe polecenia:

  • repadmin /replsummary — podsumowanie stanu replikacji wszystkich DC
  • repadmin /showrepl — szczegóły replikacji dla konkretnego DC
  • repadmin /syncall /AdeP — wymuszenie synchronizacji z wszystkimi partnerami

nltest — narzędzie do weryfikacji relacji zaufania i łączności z kontrolerem domeny:

  • nltest /dsgetdc:firma.pl — pobranie informacji o kontrolerze domeny
  • nltest /sc_verify:firma.pl — weryfikacja bezpiecznego kanału

gpresult — wyświetla wynikowy zestaw polityk (RSoP) dla użytkownika lub komputera:

  • gpresult /R — podsumowanie zastosowanych polityk
  • gpresult /H raport.html — szczegółowy raport w formacie HTML

Active Directory Sites and Services

Active Directory Sites and Services to komponent AD odpowiedzialny za zarządzanie topologią fizyczną sieci. Prawidłowa konfiguracja witryn (sites) ma bezpośredni wpływ na wydajność uwierzytelniania, replikację danych i doświadczenie użytkowników w organizacjach wielooddziałowych.

Projektowanie topologii wielooddziałowej

Witryna (site) w AD reprezentuje lokalizację fizyczną połączoną szybką siecią (zazwyczaj LAN). Między witrynami istnieją łącza (site links) reprezentujące połączenia WAN. Zasady projektowania:

  • Jedna witryna na lokalizację fizyczną — każdy oddział z własną podsiecią powinien mieć dedykowaną witrynę
  • Podsieci przypisane do witryn — AD używa adresów IP klientów do ustalenia ich witryny
  • Kontroler domeny w każdej dużej witrynie — lokalizacje z ponad 50 użytkownikami powinny mieć własny DC, aby uwierzytelnianie nie zależało od łącza WAN
  • Read-Only Domain Controller (RODC) — dla oddziałów z ograniczonym bezpieczeństwem fizycznym (np. brak serwerowni) RODC przechowuje kopię AD tylko do odczytu

Replikacja — harmonogram i optymalizacja

Replikacja wewnątrz witryny (intra-site) odbywa się natychmiast po zmianie i korzysta z mechanizmu powiadamiania (notification). Replikacja między witrynami (inter-site) jest planowana i kompresowana:

  • Domyślny interwał — 180 minut (3 godziny). Można skrócić do 15 minut, ale zwiększy to obciążenie łączy WAN.
  • Harmonogram — można określić godziny, w których replikacja jest dozwolona (np. wyłączenie w godzinach szczytu)
  • Kompresja — dane replikowane między witrynami są kompresowane (oszczędność ~40-60% pasma)
  • Bridgehead server — w każdej witrynie jeden DC pełni rolę serwera przyczółkowego, obsługującego replikację z innymi witrynami. KCC (Knowledge Consistency Checker) wybiera go automatycznie, ale można wskazać preferowany serwer ręcznie.

Optymalizacja logowania klientów

Prawidłowa konfiguracja witryn zapewnia, że klienci uwierzytelniają się u najbliższego kontrolera domeny:

  • Klient podczas logowania wysyła zapytanie DNS o rekordy SRV kontrolerów domeny
  • DNS zwraca listę DC, a klient kontaktuje się z DC w swojej witrynie
  • Jeśli w witrynie nie ma DC, klient łączy się z DC z najbliższej witryny (na podstawie kosztu łączy)
  • Ważne: nieprawidłowe przypisanie podsieci do witryn powoduje logowanie do odległego DC, co skutkuje opóźnieniami i obciążeniem łączy WAN

Łącza WAN — koszt i priorytetyzacja

Każdy site link w AD ma przypisany koszt (domyślnie 100). Algorytm replikacji i lokalizacji DC używa tych kosztów do wyznaczania optymalnych tras:

  • Niższy koszt = preferowane łącze — szybkie łącze (np. 1 Gbps) powinno mieć niższy koszt niż wolne (np. VPN 10 Mbps)
  • Site link bridges — domyślnie AD traktuje wszystkie łącza jako przechodnie. Wyłączenie tej opcji i ręczne tworzenie mostów jest przydatne w sieciach hub-and-spoke.
  • Failover — gdy preferowane łącze jest niedostępne, AD automatycznie kieruje replikację i logowanie przez łącza alternatywne (o wyższym koszcie)
  • Monitoring — regularne sprawdzanie repadmin /replsummary pozwala wcześnie wykryć problemy z replikacją między witrynami

Active Directory pozostaje fundamentalnym elementem infrastruktury IT w wielu organizacjach, zapewniając centralne zarządzanie tożsamościami, dostępem i politykami w środowiskach opartych na systemach Windows. Mimo rosnącej popularności rozwiązań chmurowych, AD nadal odgrywa kluczową rolę w zapewnianiu bezpieczeństwa i efektywności operacji IT.

Najczęściej zadawane pytania

Czym jest Active Directory?

Active Directory (AD) to usługa katalogowa Microsoftu wbudowana w Windows Server. Przechowuje informacje o użytkownikach, komputerach i zasobach sieciowych, umożliwia centralne zarządzanie tożsamością, autoryzację i uwierzytelnianie w sieci firmowej.

Jaka jest różnica między Active Directory a Entra ID (Azure AD)?

Active Directory działa on-premises na Windows Server. Entra ID (dawniej Azure AD) to chmurowa usługa tożsamości Microsoftu. AD używa Kerberos/LDAP, Entra ID — OAuth/SAML. Większość firm stosuje model hybrydowy z synchronizacją między nimi (Entra Connect).

Czy Active Directory jest darmowy?

AD DS (Domain Services) jest częścią Windows Server, więc wymaga licencji Windows Server + CAL (Client Access License) dla każdego użytkownika/urządzenia. Entra ID ma darmowy plan podstawowy, ale funkcje enterprise (Conditional Access, PIM) wymagają licencji P1/P2.

Co to jest Group Policy (GPO) w Active Directory?

Group Policy Object (GPO) to zestaw reguł konfiguracyjnych stosowanych centralnie do użytkowników i komputerów w domenie AD. Pozwala wymuszać polityki haseł, instalować oprogramowanie, konfigurować ustawienia zabezpieczeń i wiele innych — bez ręcznej konfiguracji każdej maszyny.

Jak zabezpieczyć Active Directory przed atakami?

Kluczowe kroki: wdrożenie LAPS (losowe hasła administratora lokalnego), model tiered administration (separacja kont admin), monitoring logów (Event ID 4625, 4768, 4771), MFA dla kont uprzywilejowanych, regularne audyty uprawnień i wyłączenie starych protokołów (NTLMv1, SMBv1).

Powiązane szkolenia

Powiązane terminy

Inne hasła na literę A

Adaptacyjność

Adaptacyjność — zdolność jednostki lub organizacji do dostosowywania się do zmieniających się warunków otoczenia. Poznaj kluczowe cechy (elastyczność, odporność, innowacyjność, proaktywność), strategie budowania adaptacyjności w firmie i znaczenie w zarządzaniu zmianą

Agile

Agile — zbiór zasad i praktyk zwinnego zarządzania projektami opartych na Manifeście Agile z 2001 roku. Poznaj metodologie (Scrum, Kanban, XP), 4 wartości i 12 zasad Agile, korzyści wdrożenia oraz zastosowania w IT, finansach, marketingu i edukacji

Agile Planning

Agile Planning — iteracyjne podejście do planowania projektów oparte na Manifeście Agile. Poznaj proces (backlog, sprinty, stand-upy, retrospektywy), role (Product Owner, Scrum Master) i narzędzia (Jira, Trello, Asana) wspierające zwinne zarządzanie projektami

AgilePM® Foundation

AgilePM® Foundation — certyfikacja APMG International z podstaw zwinnego zarządzania projektami w metodyce DSDM. Poznaj zakres egzaminu (50 pytań, próg 50%), kluczowe elementy (filozofia DSDM, priorytetyzacja MoSCoW, role, procesy) i ścieżkę do poziomu Practitioner

AgilePM® Practitioner

AgilePM® Practitioner — zaawansowana certyfikacja z praktycznego stosowania metodyki DSDM w projektach Agile. Poznaj wymagania (wymagany Foundation), format egzaminu (4 pytania, 2,5h, open book), techniki (MoSCoW, timeboxing) i korzyści dla menedżerów projektów

AIX

AIX (Advanced Interactive eXecutive) — system operacyjny UNIX od IBM dla serwerów Power Systems. Poznaj kluczowe cechy (LPAR, DLPAR, WPAR, Trusted AIX), wersje (7.1–7.3), komponenty (SMIT, LVM, JFS, NIM) i zastosowania w finansach, telekomunikacji i opiece zdrowotnej
Zobacz wszystkie hasła na A

Rozwiń kompetencje ze szkoleniem

Polecane szkolenie:

Active Directory dla administratorów - zaawansowane techniki

Porozmawiaj z nami o szkoleniu dla siebie lub zespołu.

Zapytaj o szkolenie +48 22 487 84 90
Katalog szkoleń
Zapytaj o szkolenie
Zadzwoń do nas +48 22 487 84 90