10.1 System State
ntds.dit — только часть состояния DC. Простая копия файла на работающем
контроллере не является согласованной поддерживаемой backup copy и не включает SYSVOL,
registry, boot files, service configuration и AD-aware metadata. Восстановление такой
копии может создать неясное состояние репликации.
System State backup использует поддерживаемый механизм и включает компоненты, которые нужны для восстановления DC как целого. Он должен быть защищён, каталогизирован и регулярно проверен restore-тестом.
raw ntds.dit -> incomplete / inconsistent artifact
System State -> AD DB + SYSVOL + registry + boot + metadata
|
v
supported recoverywbadmin start systemstatebackup -backupTarget:E: -quiet
wbadmin get versions -backupTarget:E:| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |
10.2 RPO и RTO
RPO отвечает, сколько изменений AD допустимо потерять; RTO — за какое время сервис должен вернуться. Частота backup должна быть результатом этих чисел, а не настройкой «раз в неделю по умолчанию». Retention учитывает время обнаружения скрытого компрометационного инцидента а не только случайное удаление пользователя.
Следуйте 3-2-1 с отдельными credentials и immutable/offline копией. Если attacker с Domain Admin может удалить backup или переписать retention, этот backup не является надёжным последним рубежом.
production DC -> local backup -> offsite copy -> immutable/offline copy
RPO availability ransomware resiliencewbadmin get status
wbadmin get versions -backupTarget:\backupd| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |
10.3 Корзина AD
AD Recycle Bin позволяет восстановить удалённый объект с большинством attributes и связей без authoritative restore. Это лучший первый ответ на случайное удаление пользователя, группы или OU в пределах deleted object lifetime. Функцию включают осознанно: включение необратимо для леса.
Recycle Bin не заменяет backup. Он не исправляет повреждённый лес, ransomware, старую ошибку за пределами retention или нужду в восстановлении SYSVOL/GPO.
delete user -> Deleted Objects container -> Restore-ADObject
| |
+---- within retention only -------+Get-ADObject -SearchBase 'CN=Deleted Objects,DC=contoso,DC=com' `
-IncludeDeletedObjects -Filter 'Name -like "*ivanov*"' |
Restore-ADObject| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |
10.4 Non-Authoritative
Когда другие DC здоровы, восстановленный DC возвращают non-authoritative. После restore он получает актуальные изменения с партнёров: backup — стартовая точка, а не новый источник истины. Это нормальный сценарий ремонта одного контроллера.
AD использует USN, invocation ID и протоколы репликации. Поддерживаемая процедура и правильная виртуализация защищают от опасных rollback-сценариев. Не откатывайте DC дисковым образом, игнорируя рекомендации платформы и AD.
DC1 damaged -> restore System State (non-authoritative)
|
v
healthy DC2 -------- replication --------> current DC1repadmin /replsummary
repadmin /showrepl
dcdiag /v| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |
10.5 Authoritative
Authoritative restore применяют, когда конкретные объекты или часть SYSVOL из backup должны победить более новые реплицированные изменения. Процедура поднимает версию восстановленных данных, чтобы партнёры приняли их как более новые. Это точный инструмент, а не «более сильная кнопка restore».
До решения определяют scope, здоровые реплики, характер удаления и зависимые объекты. Ошибка может распространить старые данные на весь домен, поэтому необходим согласованный runbook и change authority.
ordinary: backup object version < replicas
authoritative: backup object + raised version > replicas
|
v
replicates outward# Команды authoritative restore выполняют только по утверждённому runbook.
# Сначала зафиксируйте репликационное состояние:
repadmin /showrepl * /csv > C:\Temp
epl-before.csv| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |
10.6 DSRM
Directory Services Restore Mode — специальный режим запуска DC, используемый при восстановлении AD. DSRM password задаётся при promotion, должен быть доступен через защищённый break-glass процесс, а не забыт в старой инструкции. Его хранение и доступ проверяют в контролируемом упражнении.
DSRM — не режим для экспериментов на production. Runbook должен включать консольный доступ, backup target, порядок reboot, сеть, проверку восстановленной службы и безопасный возврат к нормальной репликации.
incident -> console access -> boot DSRM -> restore procedure
|
v
validate -> normal boot -> replication# Identify backup versions before maintenance window
wbadmin get versions -backupTarget:E:
bcdedit /enum| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |
10.7 Forest recovery
Forest recovery требуется, когда лес нельзя считать здоровым: DC зашифрованы, компрометация распространилась, репликация несёт разрушительные изменения. Это не набор независимых restore: сначала изолируют инцидент, выбирают доверенную backup точку, затем восстанавливают первый DC корневого домена и следуют топологии.
Runbook должен учитывать FSMO, DNS, SYSVOL, trusts, дочерние домены, AD CS, синхронизацию идентичностей и приложения. После возврата DC нельзя автоматически считать окружение доверенным —
- нужен review identities
- секретов
- политик
contain -> trusted backup -> first root-domain DC
-> DNS/SYSVOL -> other DCs -> validate AD health
-> reset secrets -> staged service reconnectrepadmin /replsummary
dcdiag /test:DNS /v
netdom query fsmo| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |
10.8 Ransomware
Ransomware обычно виден на фазе шифрования, но до неё attacker мог получить привилегии, отключить защиту, создать persistence и уничтожить backups. При компрометации AD предполагайте риск для Domain Admins, service accounts, GPO, сертификатов и интеграционных секретов.
Восстановление должно идти с clean management host, изолированной сетью и проверенной копией. Подключение восстановленных DC к заражённой сети раньше containment может заново импортировать вредоносную policy или credential.
initial access -> escalation -> AD control -> backup sabotage
|
visible encryption <---------------------+
recovery: isolate -> restore -> rotate -> validate -> reconnectGet-ADUser -LDAPFilter '(adminCount=1)' -Properties WhenChanged |
Select SamAccountName,WhenChanged
Get-GPO -All | Select DisplayName,ModificationTime| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |
10.9 Чеклист DR
Качественный DR измеряется упражнением, а не наличием документа. Команда должна подтвердить возраст backup, доступ к immutable copy, DSRM/break-glass, шаги restore, контакты владельцев систем, критерии health и порядок credential reset. Результаты упражнения превращают в улучшения runbook.
| Контроль | Доказательство |
|---|---|
| System State | Свежая копия и успешный isolated restore |
| Документация | Offline доступна, актуальна и назначены владельцы |
| Безопасность | Отдельные backup credentials и immutable copy |
| Готовность | Табличное упражнение и техническая тренировка |
plan -> exercise -> findings -> update runbook -> next exercise
^ |
+------------------- continuous resilience --------+wbadmin get versions
repadmin /replsummary
Get-ADDomainController -Filter * | Select HostName,Site,IsGlobalCatalog| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |
10.10 Итоги курса
Active Directory — не просто набор DC. Модули курса образуют одну систему: логическая структура и DNS задают основу; sites и replication определяют доступность; OU/GPO формируют управляемость; identities и groups выражают доступ. Сервисные account не должны превращаться в постоянные секреты, tiering не допускает смешения доверия, PKI строит проверяемую криптографическую идентичность, а DR доказывает способность восстановить control plane.
Зрелость — это не отсутствие инцидентов, а способность объяснить каждое доверительное отношение, обнаружить отклонение, восстановить сервис без импровизации. Улучшайте архитектуру итерациями: сначала самые опасные paths, затем автоматизация, мониторинг и регулярные упражнения.
1–3 Foundation: AD design, DNS, replication
4–6 Operations: OU/GPO, identities, delegation
7 Service accounts: managed secrets, least privilege
8 Tiering: protect credential paths
9 PKI: cryptographic trust
10 DR: recover the identity control plane# Финальная регулярная проверка базового health
dcdiag /q
repadmin /replsummary
Get-ADGroupMember 'Domain Admins' -Recursive | Select Name| Этап | Доказательство качества |
|---|---|
| Проектирование | Обоснование, владелец, граница доступа и rollback |
| Внедрение | Pilot, журнал изменений и контрольный тест |
| Эксплуатация | Мониторинг, review прав и актуальная документация |
| Инцидент | Понятный runbook, контакты и безопасный путь восстановления |