Контроллер домена — сердце корпоративной сети Active Directory

Если в компании больше 5-10 компьютеров, рано или поздно встает вопрос: как управлять всеми этими устройствами централизованно? Как быстро создать новому сотруднику учетную запись и сразу дать ему доступ к нужным папкам и принтерам? Как запретить секретарю устанавливать игры, а бухгалтеру — подключать лишние флешки? Решение всех этих задач — внедрение контроллера домена на базе Active Directory (AD). Это фундамент, на котором строится ИТ-инфраструктура среднего и крупного бизнеса.

Контроллер домена (Domain Controller, DC) — это сервер, на котором запущена роль Active Directory Domain Services (AD DS). Он хранит базу данных всех учетных записей пользователей, компьютеров и групп в сети, а также отвечает за их аутентификацию и авторизацию.

Простыми словами, это главный "вахтер" в корпоративной сети. Когда сотрудник включает компьютер и вводит свой логин и пароль, запрос уходит именно на контроллер домена. Если "вахтер" узнал сотрудника — он пускает его, применяет к нему его личные настройки (политики) и предоставляет доступ к разрешенным ресурсам (папкам, программам). Если не узнал — доступ блокируется еще на этапе входа в Windows.

База данных контроллера хранится в файле NTDS.dit (обычно расположена в папке C:\Windows\NTDS). Критически важно, чтобы этот файл был в сохранности и защищен.

В сети без домена (так называемая рабочая группа) каждый компьютер живет своей жизнью. Учетные записи хранятся локально. Это приводит к хаосу при масштабировании.

Внедрение контроллера домена дает бизнесу:

1. Единая точка входа (Single Sign-On). Сотрудник запоминает один пароль для доступа ко всем корпоративным ресурсам: почте, файловому серверу, CRM. Администратор блокирует одну учетку при увольнении, и доступ ко всем системам теряется мгновенно.
2. Централизованное управление политиками (GPO). Через групповые политики можно одним движением настроить сотни компьютеров: установить единые обои рабочего стола, раздать принтеры, запретить доступ к панели управления или настроить политики паролей (сложность, срок действия).
3. Упрощение администрирования. Добавление нового сотрудника занимает 5 минут. Переустановка операционной системы перестает быть проблемой — пользователь входит под своим логином, и его профиль подтягивается автоматически.
4. Безопасность. В домене можно гибко разграничивать доступ к папкам (NTFS-права), вести централизованный аудит событий и требовать смены пароля каждые 30-60 дней.

Рассмотрим создание первого контроллера домена (корневого) на Windows Server 2022/2019.

Прежде чем устанавливать роль, нужно привести сервер в порядок:

1. Назначьте серверу статический IP-адрес. Контроллер домена почти всегда выполняет роль DNS-сервера, и динамический IP ему противопоказан.
2. Задайте понятное имя сервера (например, DC01). Лучше сделать это сразу, до установки роли, так как переименование после повышения сложнее.
3. В настройках сетевой карты в качестве предпочитаемого DNS-сервера пропишите 127.0.0.1 (свой собственный адрес) — так сервер будет использовать себя для разрешения имен.

После установки роли в Диспетчере серверов появится значок с желтым треугольником и уведомление "Настройка Active Directory Domain Services".

1. Нажмите "Повысить роль этого сервера до контроллера домена".
2. Выберите "Добавить новый лес" (если это ваш первый домен с нуля).
3. Укажите имя корневого домена, например, company.local или it.company.ru. Рекомендуется использовать несуществующие публично зоны (не .com или .ru, если у вас нет планов их публиковать), чтобы избежать конфликтов.
4. Выберите уровень функциональности леса и домена (выбирайте максимально возможный, если нет старых серверов).
5. Укажите пароль для восстановления служб каталогов (DSRM).
6. На следующем шаге мастер может предупредить, что делегирование DNS не настроено — это нормально, разрешите создать зону DNS.
7. Мастер проверит конфигурацию и после перезагрузки сервер станет полноценным контроллером домена.

Удаление контроллера — операция не менее ответственная, чем создание. Просто снести сервер через "Удаление ролей" нельзя — в базе AD останутся "мертвые души", что вызовет ошибки репликации.

Если сервер физически сгорел или недоступен, выполнить штатное удаление нельзя. Тогда действуем на оставшемся живом контроллере:

1. Откройте оснастку "Active Directory Users and Computers" (пользователи и компьютеры) и "Active Directory Sites and Services" (сайты и службы).
2. Найдите объект умершего сервера в контейнерах Domain Controllers.
3. Удалите его через контекстное меню. Система предупредит, что это принудительное удаление.
4. Используйте утилиту командной строки ntdsutil для очистки оставшихся метаданных, чтобы в базе не осталось ссылок на несуществующий сервер.

Неправильная настройка контроллера домена может привести к полному параличу работы компании: от невозможности войти в систему до потери доступа к корпоративным данным. Специалисты Net Admin профессионально решают задачи любой сложности по управлению Active Directory: от проектирования структуры леса с нуля до бесшовной миграции контроллеров на новые версии Windows Server. Мы обеспечим надежную репликацию, настроим групповые политики и защитим вашу инфраструктуру от несанкционированного доступа.