Active Directory Domain Services (AD DS) to wbudowana usługa katalogowa Microsoftu, która przechowuje informacje o wszystkich obiektach w sieci — użytkownikach, komputerach, drukarkach, udziałach plikowych — i umożliwia centralne zarządzanie nimi z jednego miejsca. Jeśli w firmowej sieci logujesz się tym samym hasłem na kilku komputerach, a dział IT zdalnie instaluje Ci oprogramowanie — za tym wszystkim stoi właśnie Active Directory.
W skrócie
- Active Directory to hierarchiczna baza danych przechowująca obiekty sieciowe (użytkownicy, grupy, komputery, zasoby) i udostępniająca je autoryzowanym użytkownikom oraz administratorom
- Główny komponent to AD DS (Active Directory Domain Services) — usługa działająca na kontrolerach domeny (DC) z systemem Windows Server
- Każdy kontroler domeny przechowuje pełną kopię danych katalogu dla swojej domeny; zmiany są automatycznie replikowane między wszystkimi DC
- AD integruje się ściśle z DNS, Kerberos, LDAP i Group Policy — to fundament uwierzytelniania i zarządzania w sieciach Windows
- Obsługiwane systemy na kontrolerach domeny (2026): Windows Server 2025, 2022, 2019, 2016 — nowszy functional level = więcej funkcji
- Nowość w Windows Server 2025: 32k database pages (zamiast dotychczasowego limitu 8k), szyfrowanie LDAP domyślnie, TLS 1.3, Kerberos bez RC4
- Active Directory nie wymaga osobnych licencji na usługę — potrzebujesz licencji na Windows Server i odpowiednie CAL-e (Client Access Licenses)
Czym jest Active Directory — pełna definicja
Active Directory (AD) to nie pojedynczy program, lecz kompletna usługa katalogowa wbudowana w systemy Windows Server od wersji Windows 2000 (2000 rok). Jej podstawowym zadaniem jest przechowywanie informacji o tożsamościach i zasobach w sieci oraz udostępnianie ich w kontrolowany sposób.
AD DS opiera się na ustrukturyzowanym magazynie danych (bazie ESE — Extensible Storage Engine), który organizuje informacje w logiczną, hierarchiczną strukturę przypominającą drzewo. W tej strukturze znajdują się obiekty — każdy użytkownik, komputer, grupa, drukarka czy folder udostępniony to osobny obiekt z zestawem atrybutów (np. imię, nazwisko, adres e-mail, numer telefonu, ścieżka do katalogu domowego).
Trzy filary działania Active Directory
| Filary AD | Co robi | Przykład praktyczny |
|---|---|---|
| Uwierzytelnianie (Authentication) | Sprawdza, czy użytkownik jest tym, za kogo się podaje | Logowanie do Windows — zamiast konta lokalnego używasz konta domenowego; AD potwierdza Twoją tożsamość przez Kerberos |
| Autoryzacja (Authorization) | Określa, do czego dany użytkownik ma dostęp | Przynależność do grupy Księgowość daje Ci dostęp do folderu Finanse, ale nie do HR |
| Zarządzanie politykami (Group Policy) | Centralnie konfiguruje ustawienia komputerów i użytkowników | Jedno kliknięcie wymusza złożoność haseł, tapetę pulpitu, mapowanie dysków sieciowych i instalację drukarek na 500 komputerach jednocześnie |
Kluczowe komponenty AD DS
- Domena (Domain) — podstawowa jednostka organizacyjna; grupa obiektów (użytkownicy, komputery) zarządzanych wspólnie, z własną bazą danych i politykami
- Drzewo domen (Domain Tree) — kilka domen połączonych relacjami zaufania, współdzielących ciągłą przestrzeń nazw DNS (np.
firma.localioddzial.firma.local) - Las (Forest) — najwyższy poziom; zbiór jednego lub więcej drzew domen, które współdzielą wspólny schemat, wykaz globalny i konfigurację
- Kontroler domeny (Domain Controller, DC) — serwer z Windows Server, na którym działa AD DS; przechowuje kopię bazy katalogu i obsługuje żądania logowania
- Wykaz globalny (Global Catalog) — częściowa replika wszystkich obiektów ze wszystkich domen w lesie; umożliwia szybkie wyszukiwanie obiektów bez odpytywania każdej domeny osobno
- Schemat (Schema) — zestaw reguł definiujących, jakie obiekty i atrybuty mogą istnieć w katalogu (np. obiekt
Userma atrybutygivenName,sAMAccountName,mail) - OU (Organizational Unit) — jednostka organizacyjna wewnątrz domeny; kontener do grupowania obiektów w celu delegowania uprawnień i stosowania Group Policy (np. OU
Sprzedaż, OUIT)
Poziomy funkcjonalne — dlaczego są ważne
Poziom funkcjonalny (functional level) domeny i lasu określa, jakie funkcje AD są dostępne i jakie wersje Windows Server mogą działać jako kontrolery domeny. Nowy las Active Directory w 2026 roku wymaga minimum Windows Server 2016 functional level.
| Poziom funkcjonalny | Dostępne funkcje (kluczowe) | Kontrolery domeny — dozwolone wersje |
|---|---|---|
| Windows Server 2025 | 32k database pages, domyślne szyfrowanie LDAP, TLS 1.3, Kerberos bez RC4, ulepszone wyszukiwanie DC | Tylko Windows Server 2025 |
| Windows Server 2016 | PAM (Privileged Access Management), automatyczne rotowanie haseł NTLM, PKI Authentication | Windows Server 2025, 2022, 2019, 2016 |
| Windows Server 2012 R2 | Protected Users, Authentication Policies, Authentication Policy Silos | Windows Server 2022, 2019, 2016, 2012 R2 |
💡 Zasada praktyczna: zawsze ustawiaj najwyższy możliwy poziom funkcjonalny, jaki obsługują wszystkie Twoje kontrolery domeny. Wyższy poziom odblokowuje więcej funkcji — nie ma wad wydajnościowych.
Jak działa Active Directory — proces logowania krok po kroku
Gdy użytkownik jan.kowalski wpisuje hasło na komputerze służbowym PC-JK01, dzieje się to:
- Żądanie TGT — komputer wysyła do kontrolera domeny żądanie biletu przyznającego bilet (Ticket Granting Ticket, TGT) przez protokół Kerberos. Warunek: zegary klienta i DC muszą być zsynchronizowane (maks. 5 minut różnicy — stąd rola NTP w domenie).
- Uwierzytelnienie wstępne (pre-authentication) — DC sprawdza w swojej bazie, czy konto
jan.kowalskiistnieje, nie jest zablokowane ani wyłączone, a hasło się zgadza. Od Windows Server 2025 domyślnie wymuszane jest szyfrowanie LDAP dla wszystkich operacji po bindzie SASL. - Wydanie TGT — DC odsyła zaszyfrowany bilet TGT. Komputer nie zna klucza sesji, ale może go odszyfrować, bo zna hasło użytkownika (w postaci klucza kryptograficznego).
- Żądanie biletu usługi (Service Ticket) — gdy użytkownik chce otworzyć udział sieciowy
\\serwer\finanse, komputer ponownie kontaktuje się z DC i prosi o bilet do konkretnej usługi na serwerze docelowym, przedstawiając TGT jako dowód tożsamości. - Dostęp do zasobu — komputer przedstawia bilet usługi serwerowi plików. Serwer ufa DC (bo jest w tej samej domenie) i udziela dostępu — lub odmawia, jeśli użytkownik nie ma uprawnień (autoryzacja).
Kluczowa koncepcja: użytkownik wpisuje hasło raz przy logowaniu. Potem Kerberos obsługuje dostęp do wszystkich zasobów sieciowych bez ponownego pytania o hasło — to tzw. Single Sign-On (SSO).
Do czego używa się Active Directory — główne scenariusze
1. Centralne zarządzanie kontami użytkowników
Zamiast tworzyć konto lokalne na każdym z 200 komputerów, tworzysz jedno konto domenowe w AD. Użytkownik loguje się nim na dowolnym komputerze w domenie. Gdy pracownik odchodzi — wyłączasz jedno konto zamiast 200.
2. Group Policy (zasady grupy)
Najpotężniejsze narzędzie w ekosystemie AD. Pozwala centralnie konfigurować każdy aspekt systemu Windows w całej organizacji: od wymuszenia złożoności haseł (min. 12 znaków, wielkie/małe litery, cyfry, znaki specjalne), przez mapowanie dysków sieciowych, po instalację drukarek i blokowanie dostępu do Panelu sterowania.
3. Kontrola dostępu z poziomu grup
Tworzysz grupy: Dział Sprzedaży, Dział Księgowości, Kadra Zarządzająca. Przypisujesz uprawnienia do folderów sieciowych na poziomie grup, nie pojedynczych użytkowników. Nowy pracownik dostaje dostęp do wszystkiego, czego potrzebuje, przez samo dodanie do odpowiednich grup.
4. Wdrożenie usług katalogowych dla aplikacji
Wiele aplikacji firmowych (Exchange, SharePoint, SQL Server, systemy ERP) integruje się z AD i używa go jako źródła autorytatywnych danych o użytkownikach. Integracja LDAP oznacza, że nie musisz tworzyć osobnych kont w każdej aplikacji — jedno źródło prawdy.
5. Wsparcie dla infrastruktury hybrydowej (on-premises + chmura)
Active Directory w wersji on-premises współpracuje z Microsoft Entra ID (dawniej Azure AD) przez narzędzie Entra Connect Sync. Użytkownicy mają to samo hasło do logowania na komputerze firmowym i do Microsoft 365 — model tożsamości hybrydowej.
Active Directory a Microsoft Entra ID (Azure AD) — to nie to samo
Częste pytanie początkujących: "AD w chmurze to Azure AD?" — nie do końca. Oto porównanie:
| Cecha | Active Directory (AD DS) | Microsoft Entra ID (dawniej Azure AD) |
|---|---|---|
| Gdzie działa | Na serwerach Windows Server w Twojej serwerowni | W chmurze Microsoft Azure (SaaS) |
| Protokół uwierzytelniania | Kerberos, NTLM, LDAP | OAuth 2.0, SAML, OpenID Connect, WS-Federation |
| Organizacja danych | Las → Drzewo → Domena → OU | Tenant → Katalog (flat structure) |
| Group Policy | ✅ Tak (GPO) | ❌ Nie (intune MDM dla klientów) |
| Zarządzanie komputerami | Domain-joined (przyłączone do domeny) | Azure AD Joined / Registered |
| Doskonałe dla… | Firm z własną infrastrukturą serwerową, sieci LAN | Firm chmurowych, aplikacji SaaS, pracy zdalnej |
| Potrzebujesz Windows Server? | ✅ Tak | ❌ Nie (subskrypcja chmurowa) |
W praktyce większość średnich i dużych firm używa modelu hybrydowego: AD DS on-premises zsynchronizowany z Microsoft Entra ID. Daje to SSO do zasobów lokalnych (serwer plików, drukarki) i chmurowych (Teams, SharePoint, Exchange Online) za pomocą jednego hasła.
Wymagania i planowanie pierwszego wdrożenia
Minimalne wymagania dla pierwszego kontrolera domeny (Windows Server 2025):
- Windows Server 2025 Standard lub Datacenter (wersja z Desktop Experience lub Server Core)
- Statyczny adres IP
- Serwer DNS — AD DS wymaga DNS, który zwykle instaluje się razem z usługą katalogową na tym samym serwerze
- Minimum 4 GB RAM (zalecane 8+ GB w produkcji), 32 GB wolnego miejsca na dysku dla bazy NTDS
- Porty sieciowe otwarte między DC a klientami: TCP/UDP 53 (DNS), TCP/UDP 88 (Kerberos), TCP 135 (RPC), TCP/UDP 389 (LDAP), TCP 636 (LDAPS), TCP 3268-3269 (Global Catalog), TCP 445 (SMB), dynamiczny zakres portów RPC
- Synchronizacja czasu — najlepiej aby DC był serwerem NTP dla całej domeny
Uproszczona ścieżka pierwszego wdrożenia
- Zainstaluj Windows Server, skonfiguruj statyczny adres IP i nazwę serwera (np.
DC01). - Zainstaluj rolę AD DS — przez Server Manager → Add Roles and Features → Active Directory Domain Services (możesz też użyć PowerShell:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools). - Promuj serwer na kontroler domeny — kreator post-installacyjny poprowadzi Cię przez utworzenie nowego lasu: nazwa domeny (np.
firma.localdla środowisk testowych; w produkcji używaj prawdziwej domeny DNS jakad.firma.pl), poziom funkcjonalny lasu i domeny, hasło trybu przywracania usług katalogowych (DSRM). - Zweryfikuj działanie — po restarcie zaloguj się jako administrator domeny (
FIRMA\Administrator), otwórz konsolę Active Directory Users and Computers (dsa.msc) i sprawdź strukturę katalogu. - Skonfiguruj DNS — zweryfikuj, że rekordy SRV dla usług domenowych (
_ldap._tcp.dc._msdcs.firma.local,_kerberos._tcp.dc._msdcs.firma.local) zostały utworzone automatycznie.
Active Directory w Windows Server 2025 — co nowego
Wersja 2025 wprowadza przełomowe zmiany w architekturze bazy danych:
- 32k database pages — dotychczasowy limit 8k na stronę bazy ESE był wąskim gardłem od 25 lat (Windows 2000). Nowy, opcjonalny format 32k usuwa wiele ograniczeń skalowalności — atrybuty wielowartościowe mogą teraz pomieścić do ~3200 wartości (2,6× więcej niż dotychczas). Wymaga podniesienia lasu do functional level Windows Server 2025.
- Domyślne szyfrowanie LDAP — wszystkie nowe wdrożenia AD DS wymuszają podpisywanie (sealing) LDAP po bindzie SASL. Żadna komunikacja z klientem nie przechodzi już czystym tekstem.
- TLS 1.3 dla LDAPS — najnowszy standard szyfrowania eliminuje przestarzałe algorytmy i przyspiesza handshake.
- Kerberos bez RC4 — centrum dystrybucji Kerberos (KDC) nie wydaje już Ticket Granting Tickets szyfrowanych RC4-HMAC(NT). Tylko AES.
- Ulepszone wyszukiwanie kontrolera domeny — algorytm DC Locator nie używa już mailslotów (WINS został wycofany), zamiast tego korzysta z ulepszonego mapowania nazw NetBIOS→DNS.
- NUMA-aware AD DS — usługa wykorzystuje procesory we wszystkich grupach procesorów, nie tylko w grupie 0. AD może skalować się poza 64 rdzenie.
Częste pytania
Czy Active Directory jest darmowe?
Sama usługa AD DS jest częścią systemu Windows Server — nie płacisz osobno za jej uruchomienie. Potrzebujesz jednak licencji na Windows Server (Standard lub Datacenter) oraz CAL-i (Client Access Licenses) dla każdego użytkownika lub urządzenia korzystającego z usług serwera — w tym z AD. To osobny koszt, który należy uwzględnić przy planowaniu wdrożenia.
Ile kontrolerów domeny potrzebuję w firmie?
Absolutne minimum to 2 kontrolery domeny — zapewniają wysoką dostępność i chronią przed utratą jedynego DC (po utracie wszystkich DC nie da się odzyskać domeny bez backupu). W praktyce: mała firma (do 50 użytkowników) może działać na 2 DC, średnia (50–500) potrzebuje 2–4 DC, duże organizacje rozmieszczają DC w każdej lokalizacji geograficznej dla szybkiego logowania.
Czym różni się konto lokalne od domenowego?
Konto lokalne istnieje tylko na jednym komputerze — nie możesz się nim zalogować na innym stanowisku, nie ma dostępu do zasobów sieciowych (chyba że znasz hasło administratora tamtego komputera). Konto domenowe jest przechowywane centralnie na kontrolerze domeny — logujesz się nim na dowolnym komputerze przyłączonym do domeny i masz dostęp do wszystkich zasobów, do których masz uprawnienia.
Czy mogę uruchomić Active Directory bez Windows Server?
Nie. AD DS jest nierozerwalnie związane z Windows Server. Alternatywy open-source dla podstawowych funkcji (uwierzytelnianie, zarządzanie użytkownikami) to FreeIPA (Linux), Samba 4 jako DC, OpenLDAP — żadna nie oferuje jednak pełnej funkcjonalności Group Policy ani integracji z ekosystemem Microsoftu.
Jak przenieść Active Directory do chmury?
Nie można "przenieść" tradycyjnego AD DS do chmury w sensie migracji — to usługa, która działa na serwerach Windows. Możesz natomiast: (1) postawić kontrolery domeny na maszynach wirtualnych w Azure (IaaS) i połączyć je VPN z siecią firmową, (2) użyć Microsoft Entra Domain Services (zarządzana usługa w chmurze, która emuluje AD DS — bez Group Policy, bez pełnego dostępu administracyjnego), albo (3) przejść na model nowoczesny z Microsoft Entra ID + Intune, rezygnując z tradycyjnego AD.
Czy Active Directory działa tylko w sieci lokalnej?
Fizycznie AD DS wymaga łączności sieciowej między klientami a kontrolerami domeny — może to być LAN, WAN, VPN, a nawet połączenie przez internet (z VPN lub DirectAccess/Always On VPN). Bez kontaktu z DC nie zalogujesz się do domeny (chyba że masz zapisane w cache poświadczenia — domyślnie Windows przechowuje 10 ostatnich logowań offline).
Co oznaczają skróty OU, DN, CN, DC w Active Directory?
To notacja LDAP opisująca położenie obiektu w katalogu. OU = Organizational Unit (jednostka organizacyjna), CN = Common Name (nazwa zwyczajowa obiektu), DC = Domain Component (składnik domeny), DN = Distinguished Name (pełna ścieżka). Przykład: CN=Jan Kowalski,OU=Sprzedaż,DC=firma,DC=local oznacza użytkownika Jan Kowalski w jednostce Sprzedaż w domenie firma.local.
Potrzebujesz licencji na Windows Server do swojego Active Directory?
Każdy kontroler domeny wymaga aktywowanej instancji Windows Server. Jeśli planujesz postawić własne środowisko laboratoryjne, testowe lub produkcyjne — w KluczeSoft znajdziesz legalne, wtórne licencje Microsoft w przystępnej cenie, zgodne z orzecznictwem Trybunału Sprawiedliwości UE (sprawa C-128/11 UsedSoft):
→ Licencje Windows Server — sprawdź dostępne wersje
KluczeSoft.pl jest niezależnym sprzedawcą i nie jest powiązany z Microsoft Corporation. Microsoft, Windows Server, Active Directory i Windows są znakami towarowymi Microsoft Corporation.