Facebook Twitter Linkedin Instagram

Wdrożenia Active Directory

Wdrożenie Active Directory umożliwia scentralizowane zarządzanie użytkownikami i zasobami w Twojej organizacji, zwiększając bezpieczeństwo i upraszczając procesy administracyjne. 

Wdrożenie Active Directory dla firm — domena Windows zgodna z NIS2 i ISO 27001

Active Directory to fundament tożsamości w firmie opartej o stack Microsoft — od logowania użytkowników, przez polityki bezpieczeństwa GPO, po integrację z Microsoft 365 i Azure. Źle zaprojektowana domena generuje codzienne problemy: konflikty replikacji, niespójne uprawnienia, wycieki tożsamości, brak audytowalności logowań. To także blokada wdrożenia NIS2 i ISO/IEC 27001:2023 — bez kontrolowanej, udokumentowanej usługi katalogowej żaden audytor nie zaakceptuje polityki zarządzania dostępem.

Virtline projektuje i wdraża Active Directory na Windows Server 2022 dla organizacji 20-1000+ użytkowników: single-domain forest, multi-forest z trustami, środowiska hybrydowe AD on-premises + Microsoft Entra ID (dawniej Azure AD) z Entra Connect, RODC dla oddziałów, AD Certificate Services (PKI), AD Federation Services dla SSO. Migrujemy z Windows Server 2012/2016/2019 z zachowaniem ciągłości pracy, porządkujemy istniejące OU i GPO, integrujemy z Intune i Defender for Identity. Pracujemy zgodnie z Microsoft Security Compliance Toolkit i wymaganiami NIS2 art. 21.

Co obejmuje wdrożenie Active Directory w Virtline

Realizujemy każdy element kompletnej usługi katalogowej — od kontrolerów domeny po hybrydową tożsamość z chmurą:

Domain Controllers (DC) i schemat lasu — instalacja i promocja kontrolerów domeny na Windows Server 2022 LTSC, dobór poziomu funkcjonalnego (Functional Level 2016 to dziś maksymalna stabilna wartość — Functional Level 2022 nie istnieje formalnie), planowanie ról FSMO (Schema Master, Domain Naming Master, RID Master, PDC Emulator, Infrastructure Master) z odpowiednim podziałem na DC.

Organizational Units (OU) i delegacja — projekt struktury OU odzwierciedlającej organizację (dział, lokalizacja, typ obiektu), delegacja uprawnień administracyjnych (helpdesk osobny od admina domeny), separacja kont użytkownik / komputer / grupa / serwer.

Group Policy Objects (GPO) — projekt i wdrożenie polityk dla użytkowników i komputerów: konfiguracja BitLockera, hardening zgodny z CIS Benchmarks i Microsoft Security Baselines, polityka haseł (długość, złożoność, rotacja zgodna z NIST SP 800-63B), AppLocker / WDAC, polityki firewalla, mapowanie dysków, dystrybucja certyfikatów.

DNS i sites & subnets — integracja DNS z AD (AD-integrated zones), strefy reverse lookup, konfiguracja sites and services dla replikacji między oddziałami, subnet binding (kluczowe dla wyboru najbliższego DC przez klienta), forwardery i conditional forwarders dla integracji z innymi systemami.

DHCP w integracji z AD — instalacja roli DHCP na Windows Server, autoryzacja w AD, rezerwacje, scope options (router, DNS, WINS), DHCP failover (load balancing / hot standby) dla redundancji, dynamic DNS update z DHCP do strefy AD.

Active Directory Certificate Services (AD CS) — własna infrastruktura PKI z Enterprise Root CA i Subordinate CA, autoenrollment certyfikatów komputerów i użytkowników, szablony dla EAP-TLS (802.1X NAC), VPN, S/MIME, code signing.

Kluczowe dla NIS2, gdy wymagana jest uwierzytelnianie certyfikatem zamiast hasłem.

Active Directory Federation Services (AD FS) — Single Sign-On do aplikacji SAML 2.0 / WS-Federation, integracja z aplikacjami SaaS bez przejścia na Entra ID, Web Application Proxy w DMZ, MFA via Azure MFA Server lub partner.

Coraz częściej zastępowany przez Entra ID, ale wciąż używany w środowiskach on-premises.

Microsoft Entra Connect (dawniej Azure AD Connect) — synchronizacja tożsamości on-premises do Entra ID dla Microsoft 365 i Azure.

Tryby uwierzytelniania: Password Hash Sync (PHS, najprostszy), Pass-through Authentication (PTA, hasła zostają on-prem), Federation (AD FS). Konfiguracja Seamless SSO, group writeback, device writeback.

Hybrid Identity i Conditional Access — hybrydowy model tożsamości łączący AD on-premises z Entra ID i Microsoft 365.

Hybrid Azure AD Join dla stacji Windows 10/11, Intune Co-management dla MDM, Conditional Access (CA) blokujący ryzykowne logowania, integracja z Defender for Identity (dawniej Azure ATP) wykrywająca ataki na AD (DCSync, Golden Ticket, Pass-the-Hash).

Migracja, audyt i hardening AD — migracja z Windows Server 2012/2016/2019 (in-place upgrade lub side-by-side ADMT), porządkowanie zaniedbanych domen (orphan SID, stale objects, broken GPO), audyt zgodności z CIS / Microsoft Security Baselines, raport BloodHound dla wykrycia ścieżek ataku, Tier Model 0/1/2 dla kont administracyjnych.

Inzynier Virtline konfiguruje kontroler domeny Active Directory przy biurku w biurze

Korzyści z profesjonalnie wdrożonej domeny Active Directory

Dobrze zaprojektowana usługa katalogowa to mierzalne efekty operacyjne i compliance:

Single Sign-On dla całej organizacji — Kerberos (RFC 4120) dla wszystkich aplikacji Windows i sieciowych, LDAP/LDAPS dla aplikacji enterprise (SAP, Oracle, GitLab, Confluence), SAML/OIDC przez AD FS lub Entra ID.

Użytkownik loguje się raz, a uzyskuje dostęp do wszystkich aplikacji firmowych — koniec z 20 hasłami w karteczce pod klawiaturą.

Centralna kontrola dostępu i polityk bezpieczeństwa — GPO wymuszają jednolitą konfigurację BitLocker, blokady ekranu, aktualizacji, polityk haseł, firewalla Windows, AppLocker / WDAC.

Hardening zgodny z CIS Benchmark Level 1/2 dystrybuowany do 1000+ stacji w godziny zamiast tygodni.

Zgodność z NIS2 (art. 21 ust.

2 lit. i, j) — kontrola dostępu i uwierzytelnianie wieloskładnikowe (MFA przez Entra ID + Conditional Access), audyt logowań i zmian (Event ID 4624/4625/4768/4769/4776 w Security log, zbierane do SIEM), polityki haseł zgodne z NIST SP 800-63B. Bez AD audytor NIS2 zażąda kosztownych workaroundów.

ISO/IEC 27001:2023 Annex A.5.15-A.5.18 i A.8.5 — kontrola dostępu, zarządzanie tożsamością, prawa dostępu uprzywilejowanego, bezpieczne logowanie.

Active Directory z GPO + auditing + Defender for Identity to gotowa, udokumentowana implementacja tych kontroli — przyspiesza audyt certyfikacyjny o tygodnie.

Automatyzacja onboardingu i offboardingu — skrypty PowerShell (New-ADUser, Add-ADGroupMember, Enable-ADAccount), integracja z HR (workday, BambooHR, kadry-place) przez Microsoft Identity Manager (MIM) lub Entra ID Connect Sync, automatyczne tworzenie konta, skrzynki M365, dostępu do udziałów, dystrybucja loginu i hasła startowego.

Czas onboardingu spada z 2-3 godzin do 5 minut.

Segmentacja uprawnień i Tier Model — separacja kont administracyjnych na Tier 0 (Domain Admins, DC), Tier 1 (serwery), Tier 2 (stacje robocze).

Administrator domeny nigdy nie loguje się na stację użytkownika — eliminacja klasycznego ataku Pass-the-Hash i Pass-the-Ticket. Privileged Access Workstation (PAW) dla kont krytycznych.

Integracja z aplikacjami enterprise — wszystkie major systemy ERP (SAP, IFS, Comarch ERP XL), CRM (Dynamics 365, Salesforce), HR, finansowe i dokumentacyjne wspierają uwierzytelnianie LDAP/LDAPS lub Kerberos.

Jedna baza tożsamości w AD upraszcza administrację i audyt zamiast zarządzania kontami w 20 osobnych systemach.

Łatwe wsparcie pracy hybrydowej — Hybrid Azure AD Join pozwala stacjom Windows 10/11 logować się przez domenę i jednocześnie korzystać z Entra ID + Conditional Access + Intune.

Pracownik pracujący z domu otrzymuje takie same polityki GPO co w biurze (przez Azure VPN Gateway, Always-On VPN lub Microsoft Tunnel).

Audytowalność krytyczna dla incydentów — każde logowanie, każda zmiana grupy, każda modyfikacja GPO jest logowana w Security Event Log na DC.

Logi spływają do SIEM (Wazuh, Splunk, Sentinel, Elastic, Graylog) z retencją 6-24 miesięcy. Po incydencie ransomware odpowiedź na pytanie „kto, kiedy, skąd” to minuty, nie tygodnie.

Skalowalność na lata — domena Active Directory skalowała się od 5 do 500 000 obiektów u największych korporacji świata.

Architektura projektowana dla firmy 50-osobowej z marginesem na wzrost do 500+ osób wytrzymuje 10-15 lat bez przebudowy. Dodanie kolejnego DC, oddziału, OU lub grupy to kwestia godzin.

Modele wdrożenia — od single-domain do hybrid identity

Architektura Active Directory zależy od skali, geografii i integracji z chmurą. Dobieramy model adekwatny do potrzeb:

Single-domain forest — najczęstszy scenariusz dla firm 20-500 użytkowników w jednej lokalizacji lub kilku oddziałach. Jeden las (forest), jedna domena, 2-4 kontrolery domeny w klastrze, jednolita polityka GPO.

Najprostszy w utrzymaniu i najtańszy — to domyślny wybór, jeśli nie ma silnych argumentów za podziałem.

Multi-domain forest — wiele domen w jednym lesie połączonych automatycznymi trustami (transitive trust).

Stosowany w grupach kapitałowych lub międzynarodowych firmach z wymogiem oddzielenia administracyjnego (np. corp.firma.pl i prod.firma.pl). Każda domena ma własne polityki haseł i własnych Domain Admins, ale ufają sobie nawzajem.

Multi-forest z manual trusts — dwa niezależne lasy z explicit trust (one-way lub two-way). Typowo po fuzjach i przejęciach (M&A), gdy dwie organizacje muszą współpracować, ale chcą zachować autonomię.

Trust może być selektywny — tylko wybrane grupy mają dostęp do zasobów drugiego lasu.

Hybrid AD + Microsoft Entra ID — flagowy model dla firm korzystających z Microsoft 365.

AD on-premises pozostaje master directory, Entra Connect synchronizuje konta i grupy do chmury, Entra ID obsługuje SSO do M365, Azure, Salesforce, ServiceNow, Slack, Atlassian. Hybrid Azure AD Join dla stacji Windows łączy GPO on-prem z Conditional Access w chmurze.

Read-Only Domain Controller (RODC) dla oddziałów — DC w oddziale z lokalnym uwierzytelnianiem, ale tylko read-only do replikacji.

Korzyść: nawet jeśli ktoś ukradnie serwer z oddziału, nie ma dostępu do hashy haseł całej domeny (cached tylko wybrana grupa). Idealne dla oddziałów bez fizycznego zabezpieczenia serwerowni i dla branż regulowanych.

Disaster Recovery + Forest Recoverybackup System State na każdym DC codziennie (Windows Server Backup, Veeam, Commvault), procedura recovery zgodna z Microsoft Active Directory Forest Recovery Guide, test rocznego forest recovery w środowisku odizolowanym.

Recovery Time Objective (RTO) typowo 4-8 godzin dla pełnej odbudowy lasu.

Azure-only — Microsoft Entra Domain Services — managed AD w chmurze Azure, bez utrzymywania własnych DC on-premises.

Wybór dla firm w pełni cloud-first lub przy migracji legacy aplikacji wymagających Kerberos/LDAP do Azure VMs. Ograniczenia: brak rozszerzania schematu, brak GPO w pełnym zakresie, brak trust do innych lasów.

Samba 4 jako alternatywa OSS — w wąskich scenariuszach (budżet 0 zł, Linux-centric IT) można rozważyć Sambę 4 jako kompatybilny zamiennik AD. Wspiera Kerberos, LDAP, GPO (ograniczone), DNS.

W praktyce dla firmy 50+ osób Microsoft AD i tak wychodzi taniej w TCO (kompatybilność z aplikacjami, mniejszy nakład administracyjny, wsparcie producenta).

Polski zespol IT planuje migracje uzytkownikow do Entra ID na spotkaniu w sali konferencyjnej

Technologie i licencjonowanie — co dobrać do skali

Dobór sprzętu, licencji i komponentów ekosystemu Microsoft to integralna część projektu AD:

Windows Server 2022 LTSC (Standard / Datacenter) — preferowany system dla nowych wdrożeń (wsparcie do października 2031, ESU do 2034).

Standard wystarcza dla większości firm; Datacenter dla scenariuszy z wieloma maszynami wirtualizowanymi na hyper-V (nielimitowane VM-y) lub klastrów. Cena: Standard ~5 tys. zł netto/serwer (16 core), Datacenter ~30 tys. zł netto/serwer.

Schema versions i Functional Levels — Windows Server 2022 ma Schema Version 88 (objectVersion=88 w CN=Schema).

Forest i Domain Functional Level: 2016 to maksymalna i stabilna wartość — Microsoft nie wprowadził Functional Level 2019/2022. Podniesienie poziomu odblokowuje funkcje (np. Privileged Access Management features), ale jest jednokierunkowe — wymaga analizy ryzyka.

Microsoft Entra ID (P1 / P2 / Free) — chmurowa tożsamość dla M365 i Azure.

Wersja Free wystarcza dla podstawowej synchronizacji z Entra Connect; P1 (~6 USD/user/mc) dodaje Conditional Access, MFA, Self-Service Password Reset z writeback, dynamiczne grupy; P2 (~9 USD/user/mc) — Identity Protection, PIM (Privileged Identity Management). Często zawarte w licencjach M365 E3/E5.

Microsoft Entra Connect / Entra Cloud Sync — narzędzie do synchronizacji on-prem AD do Entra ID. Klasyczny Entra Connect (dawniej Azure AD Connect) — pełen zakres funkcji, instalowany na dedykowanym serwerze Windows.

Entra Cloud Sync (lekki agent) — prostsza alternatywa dla multi-forest i scenariuszy konsolidacji. Wybór zależy od liczby obiektów, kompleksności filtrów i wymogu group/device writeback.

Microsoft Intune i Endpoint Manager — MDM/MAM dla stacji i urządzeń mobilnych z chmury. Co-management łączy GPO (on-prem) z Intune policies (chmura) — stopniowa migracja zarządzania z SCCM/MEMCM do Intune.

Workload sliders pozwalają sterować, które polityki przyznawane są przez Intune, a które przez GPO/SCCM.

Microsoft Defender for Identity — sensor instalowany na DC, wykrywa ataki na AD: DCSync, DCShadow, Golden Ticket, Silver Ticket, Pass-the-Hash, Pass-the-Ticket, Kerberoasting, AS-REP roasting, brute force.

Integracja z Sentinel i Defender XDR. Wymaga licencji EMS E5, M365 E5 Security lub samodzielnej Defender for Identity. Strongly recommended dla firm w NIS2.

Sprzęt — DC w wirtualizacji vs bare-metal — DC na Windows Server uruchamiamy zwykle w wirtualizacji (Hyper-V, VMware vSphere, Proxmox) — szybkie snapshoty i recovery.

2-4 vCPU, 8-16 GB RAM, 80-120 GB SSD wystarcza dla domeny 200-500 użytkowników. Zalecenie: dwa DC na różnych hostach (anti-affinity), w idealnym scenariuszu w różnych lokalizacjach fizycznych.

Backup i monitoring AD — Veeam Backup & Replication z plug-in Microsoft AD recovery (granular restore obiektów z backupu), Commvault, Acronis Cyber Protect.

Monitoring: Microsoft System Center Operations Manager (SCOM), Quest Active Directory Health Checker, PingCastle (free) dla raportu zdrowia AD i poziomu zagrożeń, BloodHound dla wizualizacji uprawnień i ścieżek ataku.

Dla kogo wdrażamy Active Directory — segmenty i scenariusze

Skalę i model dopasowujemy do organizacji, modelu pracy i wymogów branżowych:

Małe firmy (10-50 użytkowników) — przejście z workgroup na pierwszą domenę.

Single-domain forest, 2 wirtualne DC na różnych hostach, podstawowe GPO (BitLocker, hasła, blokada ekranu), integracja z Microsoft 365 przez Entra Connect (Password Hash Sync). Czas wdrożenia: 1-2 tygodnie, koszt 15-30 tys. zł netto.

Średnie firmy (50-250 użytkowników) — single-domain forest z 2-4 DC, rozbudowane OU per dział, polityki GPO oparte o Microsoft Security Baselines, AD CS dla 802.1X i VPN, hybrid identity z Entra ID + Conditional Access.

Wdrożenie: 3-6 tygodni, koszt 30-80 tys. zł netto.

Duże organizacje (250-1000+ użytkowników) — multi-domain forest lub multi-forest z trustami, multi-site z RODC w oddziałach, dedykowany zespół Tier 0/1/2, AD FS lub pełne Entra ID, Defender for Identity, integracja z SIEM (Sentinel, Splunk).

Wdrożenia 3-9 miesięcy z dedykowanym project managerem.

Firmy wielooddziałowe — sites and services dla replikacji między lokalizacjami, RODC w mniejszych oddziałach (bez przechowywania hashy haseł), site-aware DNS, dedykowane subnety per lokalizacja, optymalizacja replikacji (KCC, ISTG).

Standardowy scenariusz dla retail, produkcji rozproszonej, edukacji.

Branże regulowane — finanse, healthcare, sektor publiczny, energetyka — Tier Model 0/1/2 bezwzględnie egzekwowany, Privileged Access Workstation, Just-In-Time admin (PIM), AD CS dla certyfikatów Smart Card / FIDO2, Defender for Identity, retencja logów 12-24 miesiące, audyt zgodności NIS2 / DORA / KSC kwartalnie.

Firmy z pracą hybrydową — silny nacisk na Hybrid Azure AD Join, Conditional Access (urządzenie zarządzane + MFA + lokalizacja), Intune dla MDM, Microsoft Tunnel lub Always-On VPN dla zdalnego dostępu, Entra ID Application Proxy dla wewnętrznych aplikacji bez VPN.

Greenfield — nowa firma, nowa domena — projekt od zera, bez technicznego długu starych GPO i orphan SID-ów. Możliwość wybrania optymalnej topologii, naming convention, schematu OU, Tier Model od pierwszego dnia.

Czas wdrożenia: 2-4 tygodnie zależnie od skali.

Audyt i naprawa istniejącej AD — raport PingCastle (typowy wynik nowych klientów: 70-90 pkt zagrożenia na 100 — bardzo źle), BloodHound dla ścieżek ataku, audyt orphan SID, broken trusts, stale objects (komputery niezalogowane 6+ miesięcy), unused GPO, źle ustawione delegacje.

Naprawcze 4-12 tygodni, koszt 10-50 tys. zł zależnie od skali zaniedbań.

Serwerownia z kontrolerami domeny Active Directory, niebieskie diody LED w szafie rack

Etapy współpracy — od audytu środowiska do SLA

Każde wdrożenie Active Directory prowadzimy w 6 udokumentowanych etapach z punktami akceptacji klienta:

1.

Audyt środowiska i inwentaryzacja tożsamości — analiza istniejącej infrastruktury (workgroup / domena legacy / inny katalog), inwentaryzacja użytkowników, grup, komputerów, GPO, aplikacji wymagających LDAP/Kerberos, integracji z M365. Skanowanie PingCastle, BloodHound, ldp.exe dla obecnego AD. Raport ryzyk i rekomendacji.

2.

Projekt logiczny — forest, domena, OU, GPO — schemat lasu i domen, naming convention (DNS, NetBIOS, UPN suffixes), projekt OU per dział/lokalizacja, projekt grup (security vs distribution, global vs domain local vs universal — model AGDLP/AGUDLP), projekt GPO z kategoryzacją (security, configuration, mapping), projekt Tier Model 0/1/2.

3.

Projekt fizyczny — DC, sites, replikacja, DR — liczba i lokalizacja DC, role FSMO, sites and services (subnet binding, site links, replication interval), DNS topology, integracja z DHCP, plan backupu System State i forest recovery, plan klastra / anti-affinity dla DC w wirtualizacji.

4.

Wdrożenie i konfiguracja w środowisku produkcyjnym — instalacja Windows Server 2022, promocja DC, podniesienie poziomów funkcjonalnych, konfiguracja DNS/DHCP, utworzenie struktury OU, import użytkowników (CSV / PowerShell / IDM), konfiguracja GPO etapami, instalacja AD CS, opcjonalnie AD FS, instalacja Entra Connect.

5.

Migracja i testy akceptacyjne (UAT) — migracja użytkowników z legacy AD przez ADMT (Active Directory Migration Tool) lub przeniesienie obiektów skryptem, dołączenie stacji do nowej domeny, testy logowania per dział, testy aplikacji wymagających Kerberos/LDAP, testy failover DC (wyłączenie głównego DC w godzinach pracy), test forest recovery.

6.

SLA, monitoring, ciągłe doskonalenie — outsourcing administracji AD z SLA, monitoring DC i replikacji 24/7 (Zabbix, SCOM), kwartalny health-check (PingCastle, repadmin /replsummary, dcdiag, Microsoft Health Service), roczny audyt zgodności NIS2/ISO. Reakcja na alert krytyczny w 15 minut, helpdesk po polsku.

Dlaczego Active Directory z Virtline

Łączymy 15+ lat wdrożeń Microsoft z odpowiedzialnością za bezpieczeństwo tożsamości Twojej organizacji:

Certyfikat ISO/IEC 27001:2023 — wystawiony przez TÜV NORD, nr AC090 121/2469/6137/2026 (ważny do 02.2029).

Pracujemy zgodnie z udokumentowanym Systemem Zarządzania Bezpieczeństwem Informacji — dla klienta to gwarancja, że nasi administratorzy mają NDA, procedury dostępu i regularne szkolenia.

Certyfikowani inżynierowie Microsoft — MCSE / MCSA Windows Server, Microsoft 365 Certified: Identity and Access Administrator Associate (MS-100/MS-101, SC-300), Azure Solutions Architect Expert (AZ-305), Security Operations Analyst (SC-200).

Realne wdrożenia AD dla firm 20-2000 użytkowników w finansach, healthcare, produkcji i sektorze publicznym.

Doświadczenie z migracjami — migrowaliśmy domeny z Windows Server 2003/2008/2012/2016/2019 do 2022, przejścia z Samba na AD, fuzje multi-forest, wdrożenia hybrid identity z M365 dla organizacji 100-1000+ użytkowników.

Każda migracja ma plan rollbacku i okno serwisowe poza godzinami pracy biznesu.

Hardening i Tier Model w standardzie — każde nasze wdrożenie kończy się PingCastle score < 30 (bardzo dobry) i wdrożonym Tier Model 0/1/2 z Privileged Access Workstation.

Domyślnie wyłączamy NTLMv1, włączamy LDAP signing/channel binding, wymuszamy SMB signing — atakujący nie znajdują u nas low-hanging fruit.

SLA 24/7 z gwarantowanym czasem reakcji — monitoring DC, replikacji, FSMO, kont uprzywilejowanych 24/7/365. Reakcja na alert krytyczny w 15 minut, eskalacja do inżyniera w 30 minut, helpdesk po polsku.

Raporty miesięczne stanu domeny, kwartalny PingCastle, roczny audyt zgodności.

FAQ: Wdrożenie Active Directory — najczęstsze pytania

Active Directory on-premises czy Microsoft Entra ID — kiedy co wybrać?

Active Directory on-premises to wciąż serce zarządzania stacjami Windows, aplikacjami legacy wymagającymi Kerberos/LDAP, drukarkami sieciowymi, udziałami plików, GPO. Microsoft Entra ID (dawniej Azure AD) to katalog chmurowy dla Microsoft 365, Azure, aplikacji SaaS (Salesforce, Slack, Atlassian) z mocnymi mechanizmami Conditional Access, MFA i Identity Protection. W praktyce 95% firm 50+ użytkowników korzystających z Microsoft 365 potrzebuje obu — model hybrid identity z Entra Connect to dziś standard. Pełna migracja do Entra-only (bez AD on-prem) ma sens dla firm cloud-first, bez aplikacji legacy i bez serwerów plików on-prem. Microsoft Entra Domain Services to managed AD w chmurze dla wąskich scenariuszy lift-and-shift.

Ile kontrolerów domeny potrzebne dla 100-osobowej firmy?

Minimum 2 DC dla redundancji — pojedynczy DC to klasyczny SPOF. Dla 100 użytkowników typowy projekt: 2 wirtualne DC na różnych hostach Hyper-V/VMware z konfiguracją anti-affinity (nie na tym samym hoście fizycznym), Windows Server 2022 Standard, 2 vCPU + 8 GB RAM + 80 GB SSD każdy. Jeden DC trzyma role FSMO (PDC Emulator zwykle współlokowany z infrastrukturą RID), drugi jest jego repliką. Idealnie: trzeci DC w drugiej lokalizacji (DR site lub główne biuro), aby przeżyć awarię całej serwerowni. Dla 100 osób trzeci DC nie jest obowiązkowy, ale rekomendowany dla biznesu krytycznego.

Schema migration z Windows Server 2016 do 2022 — jak długo?

Sama operacja podniesienia schematu (adprep /forestprep i /domainprep) trwa minuty na małej domenie, do 1-2 godzin na dużej. Cały proces zaplanowany prawidłowo: 1) audyt obecnej domeny (PingCastle, dcdiag, repadmin) — 1 tydzień, 2) test podniesienia w środowisku lab (klon DC z backupu) — 1 tydzień, 3) podniesienie schematu w produkcji — 1 godzina w oknie serwisowym, 4) instalacja DC z Windows Server 2022, replikacja — 2-4 godziny, 5) przeniesienie ról FSMO i wycofanie starych DC — 1 dzień. Razem typowo 2-3 tygodnie kalendarzowo z odpowiednią ostrożnością. Functional Level można podnieść (do 2016 — wyższy nie istnieje formalnie) po stabilizacji wszystkich DC.

Czy potrzebny RODC w oddziale firmowym?

Read-Only Domain Controller ma sens, gdy: 1) oddział ma 10+ użytkowników z regularnym logowaniem, 2) link WAN do centrali bywa zawodny (uwierzytelnianie via cache lokalny), 3) serwerownia w oddziale nie jest fizycznie zabezpieczona (alarm, kontrola dostępu, monitoring). RODC nie przechowuje hashy haseł całej domeny — tylko wybranej grupy użytkowników i komputerów (Password Replication Policy). Nawet jeśli ktoś ukradnie serwer, atakujący nie wyciągnie hashy adminów domeny ani CEO. Dla oddziałów z dobrym łączem i wszystkimi zasobami w chmurze (M365) RODC nie jest konieczny — wystarcza logowanie via WAN do DC w centrali.

Kerberos vs NTLM — które jest secure?

Kerberos (RFC 4120) to obecnie standard uwierzytelniania w AD — używa biletów (TGT, TGS) zamiast przesyłania hashy haseł, wspiera mutual authentication (klient weryfikuje serwer), jest odporny na replay attacks (timestamp w bilecie). NTLM (Windows NT LAN Manager) to legacy protokół zachowany dla kompatybilności — wersja NTLMv1 jest podatna na ataki Pass-the-Hash i Pass-the-Ticket, NTLMv2 jest lepszy, ale wciąż słabszy od Kerberos. W bezpiecznej domenie wyłączamy NTLMv1 całkowicie przez GPO (Network security: LAN Manager authentication level = Send NTLMv2 response only. Refuse LM & NTLM), a NTLMv2 ograniczamy tylko do aplikacji wymagających (Network security: Restrict NTLM).

AD Certificate Services — kiedy potrzebne własne PKI w domenie?

AD CS warto wdrożyć, gdy potrzebujemy certyfikatów wewnątrz organizacji bez kupowania od publicznych CA: 1) 802.1X NAC z EAP-TLS dla logowania do sieci LAN/WiFi przez certyfikat zamiast hasła, 2) VPN site-to-site i remote access (IKEv2, Always-On VPN), 3) Smart Card login do stacji roboczych dla branż regulowanych (sektor publiczny, healthcare), 4) S/MIME dla podpisywania i szyfrowania maili, 5) code signing dla skryptów wewnętrznych, 6) HTTPS dla wewnętrznych aplikacji (Confluence, GitLab, Jenkins) bez kupowania certów od Let’s Encrypt. Standardowa architektura: offline Enterprise Root CA (uruchamiana raz na rok do podpisywania CRL) + online Subordinate CA wystawiający certyfikaty użytkowników i komputerów.

Czy Active Directory wystarczy do spełnienia wymogów NIS2?

AD to fundament, ale nie wystarczy sam. NIS2 (art. 21) wymaga: 1) kontroli dostępu (AD: GPO + Tier Model + delegacja OU), 2) MFA dla kont uprzywilejowanych (AD: integracja z Entra ID + Conditional Access lub samodzielne MFA jak Microsoft MFA Server / Duo / RSA), 3) zarządzania tożsamością (AD: tak, ale wymaga procedur joiner-mover-leaver), 4) logowania i monitoringu (AD: Security Event Log + zbieranie do SIEM — wymaga osobnego rozwiązania jak Sentinel, Splunk, Wazuh), 5) zarządzania incydentami (wymaga SOC lub Defender for Identity). Sam Windows Server out-of-the-box nie spełnia NIS2 — wymaga skonfigurowanego AD + GPO + MFA + SIEM + dokumentacji + procedur.

Hybrid AD + Microsoft 365 — jak skonfigurować Entra Connect?

Entra Connect (dawniej Azure AD Connect) instalujemy na dedykowanym serwerze Windows (nie na DC) z dostępem do AD i Internetu. Kluczowe decyzje: 1) Tryb uwierzytelniania — Password Hash Sync (PHS, najprostszy i najbardziej resilient — rekomendowany domyślnie), Pass-through Authentication (PTA, gdy hasła nie mogą opuścić środowiska on-prem), Federation z AD FS (legacy, dziś rzadko stosowany), 2) Filtr OU/grupowy — kogo synchronizujemy (typowo nie konta serwisowe i konta uprzywilejowane), 3) Seamless SSO — transparentne logowanie z domeny do M365 bez monitów, 4) Writeback — passwords (Self-Service Password Reset), groups, devices. Konfiguracja zajmuje 1-2 dni; sama synchronizacja inicjalna 1-4 godziny dla 1000 użytkowników.

Disaster Recovery dla Active Directory — best practices?

Disaster Recovery dla AD opieramy o: 1) Backup System State na każdym DC codziennie (Windows Server Backup minimum, lepiej Veeam/Commvault z plug-inem AD recovery), 2) Replikacja w wielu lokalizacjach (minimum 2 DC w głównej lokalizacji + 1 DC w DR site), 3) Procedura forest recovery udokumentowana zgodnie z Microsoft Active Directory Forest Recovery Guide (krok po kroku, kto co robi, w jakiej kolejności wyłącza DC, jak czyści metadane), 4) Test forest recovery rocznie w środowisku izolowanym (lab odizolowany od produkcji, restore z backupu, weryfikacja replikacji i logowań), 5) Kontrola FSMO — kto trzyma role i jak je przenosić w razie awarii (ntdsutil), 6) Backup szablonów AD CS i kluczy CA (HSM lub bezpieczny offline backup).

Audyt Active Directory — co sprawdzać i czym?

Standardowy zestaw narzędzi audytu AD: 1) PingCastle (free, raport zdrowia AD z scoringiem 0-100 — niższy lepszy, dobry < 30, krytyczny > 70) — sprawdza tysiące kontroli bezpieczeństwa, 2) BloodHound (free, wizualizacja ścieżek ataku — pokazuje, jak z konta zwykłego użytkownika dojść do Domain Admin), 3) Microsoft Security Compliance Toolkit (LGPO + Policy Analyzer) — porównanie z Microsoft Security Baselines, 4) dcdiag / repadmin / netdiag — natywne narzędzia Windows do diagnostyki DC, 5) Microsoft Defender for Identity — runtime detection of attacks na AD, 6) ldp.exe / Active Directory Users and Computers — manualna inspekcja obiektów.

Audyt powinien obejmować: orphan SID, stale objects, broken trusts, niezalogowane komputery 90+ dni, GPO bez przypisania (unlinked), nadmiernie szerokie uprawnienia (np. Authenticated Users z GenericAll na OU).

Certyfikacja ISO/IEC 27001:2023

Active Directory wdrażamy zgodnie z normą ISO 27001

Virtline posiada certyfikat PN-EN ISO/IEC 27001:2023-08 wydany przez TÜV NORD. Numer certyfikatu: AC090 121/2469/6137/2026, ważny do 02.2029. Nasze wdrożenia AD pokrywają wymagania Annex A.5.15-A.5.18 (kontrola dostępu, zarządzanie tożsamością) oraz A.8.5 (bezpieczne uwierzytelnianie), wspierają zgodność z dyrektywą NIS2 i rozporządzeniem DORA.

Sprawdź certyfikat ISO 27001 →

Skontaktuj się z ekspertem Virtline

Zdefiniujemy zakres projektu, zaproponujemy architekturę i przygotujemy stałą wycenę w ciągu 5 dni roboczych. Bez zobowiązań — od pierwszej rozmowy rozmawiasz z inżynierami, nie ze sprzedawcami.

Skontaktuj się z nami →

Polecane usługi i artykuły