Active Directory, GPO, ADFS: основа корпоративной IT-инфраструктуры
Active Directory — каталог пользователей и компьютеров в сети Windows. GPO — групповые политики, которые управляют настройками сразу для тысячи рабочих мест. ADFS — служба федеративной аутентификации для входа во внешние сервисы по корпоративному логину.
Зачем это нужно бизнесу
Когда в компании десять сотрудников, можно вручную заводить учётки на каждом ноутбуке. Когда их сто — это превращается в хаос. Уволенный сотрудник продолжает иметь доступ к корпоративным шарам, новый — не может зайти в почту, политики паролей у всех разные, антивирус ставится «когда вспомнили». Active Directory решает эту проблему централизацией: один логин и пароль на все корпоративные ресурсы, единые правила, единый журнал доступа.
С точки зрения безопасности AD — обязательная инфраструктура. Без неё невозможно нормально применить требования ФЗ-152 о персональных данных, политики ИБ, аудит доступа. Уход сотрудника закрывается одной кнопкой «отключить учётку» — и человек больше нигде в инфраструктуре войти не может: ни в почту, ни в файловые шары, ни на компьютер.
GPO добавляет второй уровень управляемости: настройки рабочих станций. Можно одной политикой запретить установку стороннего ПО на все компьютеры бухгалтерии, включить шифрование диска BitLocker, настроить корпоративные принтеры, запретить USB-носители в отделе R&D. Без GPO эти задачи решаются хождением к каждому компьютеру.
ADFS отвечает за интеграцию с внешними сервисами: SaaS-системы, корпоративный портал, облачные приложения. Сотрудник вводит логин один раз и заходит во все системы без повторного ввода пароля — это и удобство, и контроль.
Как это работает
Active Directory — это распределённая база данных, работающая на серверах с ролью Domain Controller. В ней хранятся учётные записи пользователей, групп, компьютеров, принтеров, серверов. Все они объединены в логическую структуру: домены, организационные подразделения (OU), сайты. При входе на любой компьютер домена пользователь аутентифицируется по протоколу Kerberos, и контроллер выдаёт ему билеты доступа к ресурсам.
Для отказоустойчивости в любой компании развёртывают минимум два контроллера домена — они синхронизируются между собой и работают активно-активно. Падение одного не останавливает вход сотрудников.
Group Policy Objects (GPO) — это контейнеры с правилами, которые применяются к компьютерам или пользователям в определённых OU. Через GPO настраивается:
- Сложность и срок действия паролей.
- Установка корпоративного ПО и обновлений.
- Запрет/разрешение запуска приложений (AppLocker).
- Сетевые настройки, прокси, VPN-профили.
- Шифрование дисков BitLocker.
- Аудит безопасности и сбор событий.
ADFS (Active Directory Federation Services) — служба, которая принимает запросы аутентификации от внешних сервисов и подтверждает им: «да, этот пользователь действительно сотрудник вашей компании, ему можно зайти». Работает по стандартам SAML и WS-Federation. Это первый шаг к Single Sign-On.
Когда нужно компании
- Сотрудников 30 и более, парк рабочих мест растёт.
- Появляются требования к ИБ: контроль доступа, аудит, реагирование на увольнения.
- Развёрнут Microsoft-стек: Exchange, MS SQL, RDS, файловые серверы.
- Нужна централизованная настройка рабочих станций — антивирус, обновления, политика паролей.
- Подключаются облачные сервисы, которые поддерживают SAML/OIDC — нужен единый вход.
- Компания работает с регулятором (ФСТЭК, ФСБ) и должна показать управляемую среду.
Современная альтернатива или дополнение для облачных сценариев — Keycloak и SSO. Для гибридных архитектур AD и Keycloak часто работают в связке.
Что включает наша услуга
- Проектирование структуры AD: домены, OU, сайты, репликация между офисами.
- Развёртывание контроллеров домена на физических или виртуальных серверах с обеспечением отказоустойчивости.
- Настройка GPO под политики ИБ заказчика: пароли, аудит, ограничения ПО, BitLocker.
- Внедрение ADFS для федеративного входа во внешние SaaS-сервисы.
- Миграция с устаревшего AD или объединение доменов при M&A.
- Сопровождение: бэкап AD, восстановление, реагирование на инциденты, плановые обновления.
Связанные термины
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «AD / GPO / ADFS» и получите ориентир по проекту корпоративной идентификации. Финальная смета — после обследования и согласования архитектуры домена.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП