Active Directory

10.1 System State

ntds.dit — только часть состояния DC. Простая копия файла на работающем контроллере не является согласованной поддерживаемой backup copy и не включает SYSVOL, registry, boot files, service configuration и AD-aware metadata. Восстановление такой копии может создать неясное состояние репликации.

System State backup использует поддерживаемый механизм и включает компоненты, которые нужны для восстановления DC как целого. Он должен быть защищён, каталогизирован и регулярно проверен restore-тестом.

raw ntds.dit -> incomplete / inconsistent artifact
System State -> AD DB + SYSVOL + registry + boot + metadata
  |
  v
  supported recovery
Согласованный System State сохраняет не только данные, но и контекст, необходимыйAD-aware восстановлению. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: копировать ntds.dit из файловой системы или считать snapshot VM единственным планом DR.
wbadmin start systemstatebackup -backupTarget:E: -quiet
wbadmin get versions -backupTarget:E:
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

10.2 RPO и RTO

RPO отвечает, сколько изменений AD допустимо потерять; RTO — за какое время сервис должен вернуться. Частота backup должна быть результатом этих чисел, а не настройкой «раз в неделю по умолчанию». Retention учитывает время обнаружения скрытого компрометационного инцидента а не только случайное удаление пользователя.

Следуйте 3-2-1 с отдельными credentials и immutable/offline копией. Если attacker с Domain Admin может удалить backup или переписать retention, этот backup не является надёжным последним рубежом.

production DC -> local backup -> offsite copy -> immutable/offline copy
 RPO availability ransomware resilience
RPO/RTO превращают договорённость с бизнесом в проверяемые параметры расписания ипроцедуры восстановления. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: измерять качество backup только статусом job success и не знать возраст последнейвосстанавливаемой копии.
wbadmin get status
wbadmin get versions -backupTarget:\backupd
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

10.3 Корзина AD

AD Recycle Bin позволяет восстановить удалённый объект с большинством attributes и связей без authoritative restore. Это лучший первый ответ на случайное удаление пользователя, группы или OU в пределах deleted object lifetime. Функцию включают осознанно: включение необратимо для леса.

Recycle Bin не заменяет backup. Он не исправляет повреждённый лес, ransomware, старую ошибку за пределами retention или нужду в восстановлении SYSVOL/GPO.

delete user -> Deleted Objects container -> Restore-ADObject
 |   |
 +---- within retention only -------+
Быстрое object-level восстановление уменьшает необходимость опасного полномасштабногоrestore при обычной административной ошибке. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: восстановить первый совпавший объект без проверки DN, групп и владельца заявки.
Get-ADObject -SearchBase 'CN=Deleted Objects,DC=contoso,DC=com' `
 -IncludeDeletedObjects -Filter 'Name -like "*ivanov*"' |
 Restore-ADObject
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

10.4 Non-Authoritative

Когда другие DC здоровы, восстановленный DC возвращают non-authoritative. После restore он получает актуальные изменения с партнёров: backup — стартовая точка, а не новый источник истины. Это нормальный сценарий ремонта одного контроллера.

AD использует USN, invocation ID и протоколы репликации. Поддерживаемая процедура и правильная виртуализация защищают от опасных rollback-сценариев. Не откатывайте DC дисковым образом, игнорируя рекомендации платформы и AD.

DC1 damaged -> restore System State (non-authoritative)
  |
  v
healthy DC2 -------- replication --------> current DC1
Здоровая реплика остаётся источником последних данных и минимизирует риск распространитьустаревшее состояние. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: выбирать authoritative restore для любого сбоя одного DC, не проверив здоровых партнёров.
repadmin /replsummary
repadmin /showrepl
dcdiag /v
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

10.5 Authoritative

Authoritative restore применяют, когда конкретные объекты или часть SYSVOL из backup должны победить более новые реплицированные изменения. Процедура поднимает версию восстановленных данных, чтобы партнёры приняли их как более новые. Это точный инструмент, а не «более сильная кнопка restore».

До решения определяют scope, здоровые реплики, характер удаления и зависимые объекты. Ошибка может распространить старые данные на весь домен, поэтому необходим согласованный runbook и change authority.

ordinary: backup object version < replicas
authoritative: backup object + raised version > replicas
   |
   v
  replicates outward
Явное ограничение scope сохраняет возможность вернуть именно потерянные данные, а неоткатить неизвестный набор изменений. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: использовать authoritative restore как первую реакцию на panic без анализа USN ирепликации.
# Команды authoritative restore выполняют только по утверждённому runbook.
# Сначала зафиксируйте репликационное состояние:
repadmin /showrepl * /csv > C:\Temp
epl-before.csv
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

10.6 DSRM

Directory Services Restore Mode — специальный режим запуска DC, используемый при восстановлении AD. DSRM password задаётся при promotion, должен быть доступен через защищённый break-glass процесс, а не забыт в старой инструкции. Его хранение и доступ проверяют в контролируемом упражнении.

DSRM — не режим для экспериментов на production. Runbook должен включать консольный доступ, backup target, порядок reboot, сеть, проверку восстановленной службы и безопасный возврат к нормальной репликации.

incident -> console access -> boot DSRM -> restore procedure
   |
   v
  validate -> normal boot -> replication
Подготовленный аварийный доступ предотвращает ситуацию, где backup существует, новосстановить его некому или нечем. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: хранить DSRM password в той же скомпрометированной AD/парольной учётке.
# Identify backup versions before maintenance window
wbadmin get versions -backupTarget:E:
bcdedit /enum
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

10.7 Forest recovery

Forest recovery требуется, когда лес нельзя считать здоровым: DC зашифрованы, компрометация распространилась, репликация несёт разрушительные изменения. Это не набор независимых restore: сначала изолируют инцидент, выбирают доверенную backup точку, затем восстанавливают первый DC корневого домена и следуют топологии.

Runbook должен учитывать FSMO, DNS, SYSVOL, trusts, дочерние домены, AD CS, синхронизацию идентичностей и приложения. После возврата DC нельзя автоматически считать окружение доверенным —

  • нужен review identities
  • секретов
  • политик
contain -> trusted backup -> first root-domain DC
 -> DNS/SYSVOL -> other DCs -> validate AD health
 -> reset secrets -> staged service reconnect
Строгий порядок не позволяет заражённой сети или повреждённой реплике снова испортитьвосстановленный control plane. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: подключить первый восстановленный DC к прежней сети и сразу включить все сервисы.
repadmin /replsummary
dcdiag /test:DNS /v
netdom query fsmo
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

10.8 Ransomware

Ransomware обычно виден на фазе шифрования, но до неё attacker мог получить привилегии, отключить защиту, создать persistence и уничтожить backups. При компрометации AD предполагайте риск для Domain Admins, service accounts, GPO, сертификатов и интеграционных секретов.

Восстановление должно идти с clean management host, изолированной сетью и проверенной копией. Подключение восстановленных DC к заражённой сети раньше containment может заново импортировать вредоносную policy или credential.

initial access -> escalation -> AD control -> backup sabotage
   |
visible encryption <---------------------+
recovery: isolate -> restore -> rotate -> validate -> reconnect
Подход «restore trust first» признаёт, что данные без надёжной identity plane не даютбезопасного возврата бизнеса. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: считать инцидент закрытым после расшифровки файлов и не менять привилегированные секреты.
Get-ADUser -LDAPFilter '(adminCount=1)' -Properties WhenChanged |
 Select SamAccountName,WhenChanged
Get-GPO -All | Select DisplayName,ModificationTime
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

10.9 Чеклист DR

Качественный DR измеряется упражнением, а не наличием документа. Команда должна подтвердить возраст backup, доступ к immutable copy, DSRM/break-glass, шаги restore, контакты владельцев систем, критерии health и порядок credential reset. Результаты упражнения превращают в улучшения runbook.

КонтрольДоказательство
System StateСвежая копия и успешный isolated restore
ДокументацияOffline доступна, актуальна и назначены владельцы
БезопасностьОтдельные backup credentials и immutable copy
ГотовностьТабличное упражнение и техническая тренировка
plan -> exercise -> findings -> update runbook -> next exercise
 ^    |
 +------------------- continuous resilience --------+
Тест превращает assumptions о backup, времени и полномочиях в наблюдаемый факт. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: писать DR plan один раз, не тестировать его и считать документ доказательством готовности.
wbadmin get versions
repadmin /replsummary
Get-ADDomainController -Filter * | Select HostName,Site,IsGlobalCatalog
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

10.10 Итоги курса

Active Directory — не просто набор DC. Модули курса образуют одну систему: логическая структура и DNS задают основу; sites и replication определяют доступность; OU/GPO формируют управляемость; identities и groups выражают доступ. Сервисные account не должны превращаться в постоянные секреты, tiering не допускает смешения доверия, PKI строит проверяемую криптографическую идентичность, а DR доказывает способность восстановить control plane.

Зрелость — это не отсутствие инцидентов, а способность объяснить каждое доверительное отношение, обнаружить отклонение, восстановить сервис без импровизации. Улучшайте архитектуру итерациями: сначала самые опасные paths, затем автоматизация, мониторинг и регулярные упражнения.

1–3 Foundation: AD design, DNS, replication
4–6 Operations: OU/GPO, identities, delegation
7 Service accounts: managed secrets, least privilege
8 Tiering: protect credential paths
9 PKI: cryptographic trust
10 DR: recover the identity control plane
Связь всех модулей предотвращает локальную оптимизацию: удобный сервисный пароль,широкая админская сессия или нетестируемая копия способны перечеркнуть хороший дизайностальных уровней. Архитектурное решение должно быть понятно следующему администратору без устного контекста: кто владелец, какой объект защищается, откуда допустимо управление и как проверить результат.
Не делай так: рассматривать AD, PKI, endpoint security и backup как независимые команды без общеймодели доверия и общего incident runbook.
# Финальная регулярная проверка базового health
dcdiag /q
repadmin /replsummary
Get-ADGroupMember 'Domain Admins' -Recursive | Select Name
Любое изменение сначала проходит инвентаризацию зависимостей, тест в ограниченной области, наблюдение за журналами и план отката. Удобство разовой настройки не равно безопасности жизненного цикла. В production фиксируют дату ревизии, владельца и доказательство проверки, а не только саму команду.
Проверь себя. Что произойдёт при компрометации этого объекта? Какие системы перестанут работать при ротации секрета или отзыве доступа? Кто заметит отказ и за какое время? Ответы превращают набор технических параметров в эксплуатируемый сервис. Если на эти вопросы нет ответа, решение ещё не готово к масштабированию.
Для DR это означает: упражнение должно доказывать способность восстановитьдоверие, а не только наличие файла резервной копии.
ЭтапДоказательство качества
ПроектированиеОбоснование, владелец, граница доступа и rollback
ВнедрениеPilot, журнал изменений и контрольный тест
ЭксплуатацияМониторинг, review прав и актуальная документация
ИнцидентПонятный runbook, контакты и безопасный путь восстановления

Настройки

Цветовая схема

Тема