Главная Вики Виртуализация и серверы

Active Directory, GPO, ADFS: основа корпоративной IT-инфраструктуры

Active Directory — каталог пользователей и компьютеров в сети Windows. GPO — групповые политики, которые управляют настройками сразу для тысячи рабочих мест. ADFS — служба федеративной аутентификации для входа во внешние сервисы по корпоративному логину.

Зачем это нужно бизнесу

Когда в компании десять сотрудников, можно вручную заводить учётки на каждом ноутбуке. Когда их сто — это превращается в хаос. Уволенный сотрудник продолжает иметь доступ к корпоративным шарам, новый — не может зайти в почту, политики паролей у всех разные, антивирус ставится «когда вспомнили». Active Directory решает эту проблему централизацией: один логин и пароль на все корпоративные ресурсы, единые правила, единый журнал доступа.

С точки зрения безопасности AD — обязательная инфраструктура. Без неё невозможно нормально применить требования ФЗ-152 о персональных данных, политики ИБ, аудит доступа. Уход сотрудника закрывается одной кнопкой «отключить учётку» — и человек больше нигде в инфраструктуре войти не может: ни в почту, ни в файловые шары, ни на компьютер.

GPO добавляет второй уровень управляемости: настройки рабочих станций. Можно одной политикой запретить установку стороннего ПО на все компьютеры бухгалтерии, включить шифрование диска BitLocker, настроить корпоративные принтеры, запретить USB-носители в отделе R&D. Без GPO эти задачи решаются хождением к каждому компьютеру.

ADFS отвечает за интеграцию с внешними сервисами: SaaS-системы, корпоративный портал, облачные приложения. Сотрудник вводит логин один раз и заходит во все системы без повторного ввода пароля — это и удобство, и контроль.

Как это работает

Active Directory — это распределённая база данных, работающая на серверах с ролью Domain Controller. В ней хранятся учётные записи пользователей, групп, компьютеров, принтеров, серверов. Все они объединены в логическую структуру: домены, организационные подразделения (OU), сайты. При входе на любой компьютер домена пользователь аутентифицируется по протоколу Kerberos, и контроллер выдаёт ему билеты доступа к ресурсам.

Для отказоустойчивости в любой компании развёртывают минимум два контроллера домена — они синхронизируются между собой и работают активно-активно. Падение одного не останавливает вход сотрудников.

Group Policy Objects (GPO) — это контейнеры с правилами, которые применяются к компьютерам или пользователям в определённых OU. Через GPO настраивается:

ADFS (Active Directory Federation Services) — служба, которая принимает запросы аутентификации от внешних сервисов и подтверждает им: «да, этот пользователь действительно сотрудник вашей компании, ему можно зайти». Работает по стандартам SAML и WS-Federation. Это первый шаг к Single Sign-On.

Когда нужно компании

Современная альтернатива или дополнение для облачных сценариев — Keycloak и SSO. Для гибридных архитектур AD и Keycloak часто работают в связке.

Что включает наша услуга

Связанные термины

Получить расчёт

Зайдите в калькулятор, отметьте чекбокс «AD / GPO / ADFS» и получите ориентир по проекту корпоративной идентификации. Финальная смета — после обследования и согласования архитектуры домена.

Связанные термины
Расчёт стоимости

Хотите оценить стоимость под свою инфраструктуру?

Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).

Открыть калькулятор Получить КП