Подробный гайд: Типы компьютеров в домене Windows (Active Directory)
Важно:
В контексте домена Windows под «типами компьютеров» понимаются не аппаратные различия (ноутбук/сервер), а роли и классификация объектов компьютеров в Active Directory.
Основная классификация компьютерных объектов в домене
В домене Active Directory существует три основных типа компьютерных объектов:
| Тип | Описание | Примеры |
|---|---|---|
| Domain Controllers (Контроллеры домена) | Серверы, хранящие базу данных AD, обрабатывающие аутентификацию и применяющие политики | DC01, DC02 |
| Domain Computers / Workstations (Рабочие станции) | Персональные компьютеры пользователей, присоединённые к домену | PC-IVANOV, LAPTOP-01 |
| Member Servers (Членские серверы) | Серверы, выполняющие прикладные роли, но не являющиеся контроллерами домена | FILE-SRV, SQL-01, EXCHANGE |
1. Контроллеры домена (Domain Controllers)
Характеристики:
- Хранят копию базы данных Active Directory
- Обрабатывают запросы аутентификации пользователей и компьютеров
- Применяют групповые политики (GPO)
- Участвуют в репликации между другими контроллерами домена
Типы контроллеров домена:
| Подтип | Назначение | Особенности |
|---|---|---|
| Writable DC | Стандартный контроллер домена с возможностью записи | Полноценное управление доменом |
| RODC (Read-Only Domain Controller) | Контроллер только для чтения | Идеален для филиалов с низкой физической безопасностью; кэширует учётные данные, но не позволяет вносить изменения в AD |
Технические особенности:
- Учётная запись компьютера заканчивается на $ (например, DC01$)
- Автоматически добавляются в группу безопасности Domain Controllers (SID: S-1-5-21-domain-516)
- Размещаются в контейнере OU=Domain Controllers
2. Рабочие станции (Domain Computers / Workstations)
Что относится:
- Настольные ПК, ноутбуки, тонкие клиенты
- Любые устройства с ОС Windows 10/11, Linux (с поддержкой домена), macOS (через интеграцию)
Особенности:
- Присоединяются к домену через Settings > Accounts > Access work or school или System Properties
- При присоединении автоматически создаётся объект компьютера в контейнере CN=Computers (если не настроено перенаправление через redircmp)
- Автоматически становятся членами глобальной группы Domain Computers (SID: S-1-5-21-domain-515)
Применение:
- Получение групповых политик (настройки безопасности, скрипты входа, маппинг дисков)
- Аутентификация пользователей домена
- Управление через централизованные инструменты (SCCM, Intune, GPO)
3. Членские серверы (Member Servers)
Назначение:
Серверы, выполняющие прикладные функции, но не являющиеся контроллерами домена:
| Роль | Примеры служб |
|---|---|
| Файловый сервер | Общие папки, DFS, квоты |
| Веб-сервер | IIS, Apache, Nginx |
| БД-сервер | Microsoft SQL Server, PostgreSQL |
| Почтовый сервер | Exchange, Postfix |
| Сервер приложений | 1C, SAP, кастомные решения |
Особенности:
- Могут работать под управлением Windows Server или Linux
- Присоединяются к домену как обычные компьютеры
- Не хранят копию AD, но могут использовать доменные учётные данные для доступа к ресурсам
- Управляются через те же механизмы: групповые политики, делегирование прав, аудит
Группы безопасности, связанные с компьютерами
| Группа | Область | Кто входит | Назначение |
|---|---|---|---|
| Domain Computers | Global | Все рабочие станции и членские серверы | Применение политик к обычным компьютерам |
| Domain Controllers | Global | Только контроллеры домена | Специфичные политики безопасности для DC |
| Enterprise Read-only Domain Controllers | Universal | RODC во всём лесу | Управление правами для контроллеров только для чтения |
| BUILTIN\Administrators (на DC) | Domain Local | Domain Admins, Enterprise Admins | Локальные права на контроллере домена |
Важно:
Встроенные группы из контейнера Builtin (например, BUILTIN\Administrators) имеют ограниченную область действия — они работают только на контроллерах домена, где локальная база SAM недоступна.
Практические советы по управлению
1. Организация объектов в структуре подразделений (OU)
Domain
├── _Computers
│ ├── Workstations
│ │ ├── Finance
│ │ ├── HR
│ │ └── IT
│ ├── Servers
│ │ ├── FileServers
│ │ ├── SQLServers
│ │ └── WebServers
│ └── Domain Controllers (автоматически)
2. Поиск и фильтрация компьютеров через PowerShell
# Все компьютеры в домене
Get-ADComputer -Filter * -Properties OperatingSystem, Enabled | Select Name, OperatingSystem, Enabled
# Только рабочие станции (исключая серверы и DC)
Get-ADComputer -Filter {OperatingSystem -like "*Windows 10*"} -Properties *
# Только контроллеры домена
Get-ADDomainController | Select Name, Site, IsGlobalCatalog
# Неактивные компьютеры (не входили в домен >90 дней)
Search-ADAccount -ComputersOnly -AccountInactive -TimeSpan 90.00:00:00
3. Автоматическое заполнение атрибутов компьютеров
Используйте скрипты PowerShell для заполнения полей Description, Location, ManagedBy при присоединении к домену — это упрощает инвентаризацию и делегирование.
Дополнительные классификации (по атрибутам)
Помимо ролевой классификации, компьютеры можно группировать по:
| Критерий | Примеры значений |
|---|---|
| ОС | Windows 10/11, Windows Server 2019/2022, Linux |
| Статус | Enabled/Disabled, PasswordLastSet, LastLogonDate |
| Местоположение | Location="Moscow-Office-3F" |
| Ответственный | ManagedBy="CN=Ivanov,OU=IT,DC=corp,DC=local" |
| Защита | Включено ли требование подписи SMB, BitLocker, LAPS |
Частые ошибки и рекомендации
- Не размещайте компьютеры в контейнере CN=Computers по умолчанию — на него сложно применять тонкие групповые политики. Создавайте структуру подразделений (OU).
- Не добавляйте пользователей в BUILTIN\Administrators через политику, применяемую ко всему домену — это может случайно дать права на контроллерах домена.
- Регулярно очищайте устаревшие объекты компьютеров — они могут стать вектором атак (Golden Ticket, Kerberoasting).
- Используйте LAPS для управления локальными паролями администраторов на рабочих станциях и серверах.
Полезные команды для аудита
# Экспорт всех компьютеров с атрибутами
Get-ADComputer -Filter * -Properties * | Export-Csv "C:\AD_Computers.csv" -NoTypeInformation -Encoding UTF8
# Проверка, кто входит в группу "Контроллеры домена"
Get-ADGroupMember "Domain Controllers" | Select Name, ObjectClass
# Поиск компьютеров без описания
Get-ADComputer -Filter {Description -notlike "*"} -Properties Description | Select Name
# Проверка последнего входа компьютера в домен
Get-ADComputer PC-IVANOV -Properties LastLogonDate | Select Name, LastLogonDate
Итог:
Понимание типов компьютерных объектов в домене — основа грамотного проектирования безопасности, делегирования прав и автоматизации управления инфраструктурой. Всегда разделяйте роли: контроллеры домена ≠ серверы приложений ≠ рабочие станции, и применяйте к ним соответствующие политики.
Мы делимся этой технической информацией, чтобы помочь вам в решении задач — используйте её с пониманием. Статья носит рекомендательный характер, поэтому, пожалуйста, применяйте описанные методы осмотрительно.