Active Directory
Active Directory (AD) je adresářová služba Microsoftu určená k centrální správě identit, přístupů a prostředků v prostředí Windows. Poskytuje jednotné úložiště objektů (uživatelé, skupiny, počítače, služby), autentizaci, autorizaci, politiku konfigurací a integrační body pro aplikace a cloud. Správná architektura a správa AD jsou klíčové pro bezpečnost, dostupnost i provozní efektivitu organizace.
Logická architektura: forest, doména a OU
- Forest: nejvyšší hranice důvěry a schématu; sdílí globální katalog, konfiguraci a schéma. Obvykle 1 forest na organizaci kvůli bezpečnostní a provozní jednoduchosti.
- Doména: hranice politik hesel, replikace a správy. Oddělení domén zvažujte pouze z důvodů právních, geografických či bezpečnostních.
- OU (Organizational Unit): logická struktura pro delegaci práv a aplikaci zásad skupiny (GPO). OU návrh kopíruje model správy (kdo co spravuje), nikoli nutně organizační schéma na papíře.
Fyzická architektura: lokality, replikace a DC
- Domain Controller (DC): server hostující roli AD DS a DNS; uchovává zapisovatelnou kopii databáze
NTDS.dit(příp. RODC jen pro čtení). - Lokality (Sites): mapují IP podsítě na fyzickou topologii; optimalizují replikaci i přihlašování (blízký DC, distribuované DFS).
- Replikační model: multi-master s plánovačem a kompresí. SYSVOL musí replikovat DFSR (nahrazuje historický FRS).
- Globální katalog (GC): částečná replikace atributů všech objektů ve forestu; vyžadován pro přihlašování uživatelů s univerzálními skupinami.
Schéma a třídy objektů
Schéma definuje typy objektů a atributů. Rozšíření schématu je nevratná operace a mělo by být prováděno řízeně (test, change management). Aplikace (např. e-mailové systémy či správa identit) často přidávají vlastní třídy/atributy – nutné je posoudit dopady na replikaci a bezpečnost.
DNS integrace
AD úzce závisí na DNS. Zóny jsou často „AD-integrated“ s více-master zápisem a bezpečnou dynamickou aktualizací. DC publikuje SRV záznamy (_ldap._tcp.dc._msdcs apod.), které klienti využívají pro nalezení služeb. Nekonzistence DNS je častou příčinou přihlašovacích potíží a chyb replikace.
Autentizace a autorizace
- Kerberos: výchozí protokol přihlášení; podporuje delegaci (KCD, RBCD), vzájemné ověření i jednotné přihlášení.
- NTLM: udržujte jen pro legacy; vhodné je auditovat a postupně omezovat.
- LDAP/LDAPS: adresářový protokol pro čtení/zápis; vynucujte TLS a moderní šifry.
- Autorizace: ACL na objektech AD, skupinové členství a GPO; používejte nejnižší nutná oprávnění a děděné delegace.
Skupiny a rozsahy
- Typ: bezpečnostní (ACL) vs. distribuční (pošta).
- Rozsah: Global (členství z domény, využití napříč forestem), Domain Local (ACL v doméně), Universal (napříč forestem – vyžaduje GC a zvyšuje replikaci).
- Doporučený model AGDLP/AGUDLP: účty → globální skupiny → (univerzální) → doménové lokální → oprávnění na prostředku.
Role FSMO (operační mistři)
| Role | Úroveň | Účel | Doporučení |
|---|---|---|---|
| Schema Master | Forest | Změny schématu | Izolovat, chránit, málo používaná |
| Domain Naming Master | Forest | Správa domén a partitions | Blízko Schema Masteru |
| PDC Emulator | Doména | Čas, hesla, kompatibilita, uzly GPO | Výkonný DC, zálohovat |
| RID Master | Doména | Přiděluje RID pooly | Monitoring spotřeby RID |
| Infrastructure Master | Doména | Aktualizace referencí | Nebýt GC (pokud ne všechny DC jsou GC) |
Skupinové zásady (GPO) a jejich zpracování
- Hierarchie LSDOU: Local → Site → Domain → OU (pořadí aplikace, pozdější vyhrává), s možností Enforce a Block Inheritance.
- Loopback: Merge/Replace pro kiosky a terminálové servery.
- GPP a cílení: jemnozrnná konfigurace (mapování tiskáren, registry, naplánované úlohy) s item-level targetingem.
- Správa: verzování, change control, testovací OU a postupné nasazování.
Identitní hygiena a privilegovaná správa
- Tiering model a PAW: oddělení správcovských stanic a účtů (Tier 0/1/2), zákaz přihlašování admin účtů na běžné stanice.
- LAPS / Windows LAPS: unikátní lokální admin hesla na stanicích/servech, uložena v AD s ACL ochranou.
- gMSA: skupinové spravované servisní účty s automatickou rotací klíčů.
- Protected Users a AdminSDHolder: ochrana vysoce privilegovaných účtů před cerstvě přidělenými delegacemi.
- Zákaz „domain users“ v lokálních admin skupinách: minimalizace laterálního pohybu.
Delegace a správa práv
Delegujte správu na úrovni OU (např. HR spravuje účty v OU „Zaměstnanci“). Používejte zabudované role, vlastní skupiny a least privilege. Vyvarujte se přímých oprávnění na jednotlivé objekty – preferujte dědičnost a skupiny.
Bezpečnost doménových vztahů (trusty)
- Typy: v rámci forestu (transitivní), externí (NTLM/Kerberos), forest-to-forest, realm (Kerberos). Vždy posuzujte selective authentication.
- SID filtering a SIDHistory: zabraňuje zneužití migračních identit; používat konzervativně a auditovat.
Auditing a detekce anomálií
- Pokročilá auditní politika: kategorie Logon/Logoff, Account Management, DS Access, Object Changes.
- Důležité události: 4624/4625 (přihlášení), 4720/4722/4726 (správa účtů), 4732/4733 (členství ve skupinách), 5136 (změny v adresáři).
- SIEM integrace: centralizované logy, korelace, detekce abnormálního chování (např. tvorba shadow adminů, DC Sync/DC Shadow pokusy).
Údržba, monitoring a zdraví AD
- Pravidelné kontroly:
dcdiag,repadmin /replsummary, kontrola backlogu replik, SYSVOL stavu (DFSR), konzistence DNS. - Zdraví času: PDC Emulator synchronizuje čas (W32Time) a je referencí pro doménu; nastavte spolehlivý externí zdroj pro forest root.
- Kapacitní plánování: velikost
NTDS.dit, indexy, počet objektů, rozložení GC/DC podle lokalit.
Zálohování a obnova
- System State backup: pravidelně ze všech DC (alespoň z každé lokality). Ověřujte obnovitelnost.
- Obnova AD: neautoritativní vs. autoritativní (povýšení objektů/OU), využití DSRM. AD Recycle Bin pro rychlou obnovu bez autoritativní obnovy.
- Katastrofické scénáře: ztráta PDC, obnova forestu, offline obnova DC se seize FSMO rolí podle potřeby.
Politiky hesel a ověřování
- Fine-Grained Password Policies (FGPP): diferencované požadavky na délku/komplexitu/lockout pro vybrané skupiny.
- MFA a smart card: integrace s ADFS či cloudovými službami, PKI (AD CS) pro vydávání certifikátů, vynucení smart-card logonu pro vysoce privilegované účty.
- Kerberos preauthentication a AES šifry: vynucujte moderní šifrování, postupný útlum RC4/NTLM.
RODC a pobočkové kanceláře
Read-Only Domain Controller (RODC) snižuje rizika v méně zabezpečených lokalitách. Umožňuje Password Replication Policy (PRP) – definujte, které hash-e mohou být kešovány lokálně. Delegujte lokální správu bez plných doménových práv.
Správa pomocí PowerShell a automatizace
- Moduly: ActiveDirectory, GroupPolicy, DFSR, DnsServer.
- Procesy: provisioning/deprovisioning účtů, rotace klíčů (gMSA), hromadné změny atributů, exporty do SIEM/CMDB.
- Change management: verzování skriptů (Git), schvalování, testovací prostředí, „just-enough“ a „just-in-time“ administrace (JEA/JIT).
Hybridní identity a cloud
- Synchronizace identit: Microsoft Entra Connect (dříve Azure AD Connect) s režimy PHS (Password Hash Sync) či PTA (Pass-Through Authentication) a volitelným ADFS.
- Hybridní přístup: SSO s Entra ID (dříve Azure AD), Conditional Access, integrace s MDM/MAM (Intune), synchronizace skupin a atributů.
- Governance: životní cyklus účtů mezi on-prem a cloudem, správné mapování UPN, routovatelné domény a filtrování OU/atributů.
Typické chyby a jak se jim vyhnout
- Další DC bez správně nastaveného DNS a času → chyby replikace a přihlašování.
- Příliš ploché OU a absence delegace → ruční správa, riziko chyb.
- „Všichni jsou lokální admin“ → laterální pohyb a eskalace práv.
- Absence LAPS/gMSA a SD holding → rizikové servisní účty a privilegia.
- Nemonitorované GPO a nekontrolované linkování → konflikty a dlouhé logony.
Doporučené postupy (best practices)
- Jeden forest, jedna doména (pokud to dává smysl), jasný OU design podle správy a GPO.
- Minimálně dva DC na doménu a lokalitu, alespoň jeden s rolí GC; SYSVOL na DFSR.
- Tiered admin, PAW, LAPS/Windows LAPS, gMSA; audit privilegovaných akcí.
- Pravidelné zálohy System State, testy obnovy, zapnutý AD Recycle Bin.
- Audit a detekce: centralizace logů, baseline pravidel, alerty na změny privilegovaných skupin.
- Plánovaný lifecycle: onboarding/offboarding, rotace hesel/klíčů, recerty v PKI.
Metriky a provozní ukazatele
| Metrika | Popis | Cíl |
|---|---|---|
| Dostupnost DC | Procento času, kdy jsou DC a DNS dostupné | > 99,9 % podle SLA |
| Replikační backlog | Počet neaplikovaných změn a stáří poslední replikace | < 15 min v rámci lokality |
| Doba přihlášení | Průměrný čas logonu uživatele | < 30 s (bez roaming profilů) |
| Integrita GPO | Počet konfliktů/„orphaned“ GPO a neplatných odkazů | 0 konfliktů |
| Audit pokrytí | Podíl monitorovaných kritických událostí | > 95 % kritických toků |
Závěr
Active Directory je páteří identity v on-prem prostředí a často i v hybridním modelu s Microsoft Entra ID. Stabilní a bezpečný provoz vyžaduje promyšlenou architekturu, kvalitní DNS/čas, důslednou správu práv, řízené GPO a pravidelné zálohy s testy obnovy. Dodržování principů least privilege, segmentace správy a systematický monitoring s auditem významně snižují rizika a náklady na provoz. Investice do automatizace a standardizace procesů (PowerShell, CI/CD pro konfigurace) pak umožňují škálovat a udržet kvalitu služeb v čase.
