Active Directory to fundament tożsamości w sieciach Windows — bez odpowiedniego wdrożenia i utrzymania staje się głównym wektorem ataku ransomware i kradzieży danych. W 2026 roku, przy Windows Server 2025 na rynku i rosnącej liczbie ataków na tożsamość, administratorzy muszą stosować co najmniej sześć kluczowych praktyk: model administracji warstwowej (tiering), grupę Protected Users, konta gMSA zamiast zwykłych kont usługowych, zaawansowany audyt, utwardzanie kontrolerów domeny oraz podniesienie poziomu funkcjonalnego do Windows Server 2016 minimum.
W skrócie
- Model warstwowy (Tier 0/1/2) — rozdzielenie uprawnień: kontrolery domeny (Tier 0), serwery członkowskie (Tier 1), stacje robocze (Tier 2), każda warstwa z własnymi kontami i hostami administracyjnymi.
- Protected Users — wbudowana grupa zabezpieczeń eliminująca NTLM, ograniczająca Kerberos do AES i blokująca cachowanie poświadczeń.
- gMSA — automatycznie rotowane hasła dla kont usługowych; Windows Server sam zarządza cyklem życia.
- Windows Server 2025 — nowy poziom funkcjonalny, 32k strony bazy danych NTDS i pełna zgodność z nowoczesnymi wymaganiami bezpieczeństwa.
- Audyt i monitoring — zaawansowane zasady audytu (Advanced Audit Policy) obowiązkowe; logowanie każdej zmiany w grupach uprzywilejowanych.
- Licencjonowanie — każdy kontroler domeny wymaga licencji Windows Server; wersje Standard i Datacenter różnią się limitami wirtualizacji.
Pełna definicja — czym są "best practices" dla Active Directory
"Best practices" dla Active Directory to zbiór zaleceń Microsoft — popartych doświadczeniami zespołów MSIT, Microsoft Detection and Response Team (DART) oraz ISRM — których celem jest minimalizacja powierzchni ataku na usługę katalogową. Nie są to wymagania "na zaliczenie audytu"; to operacyjny standard przetrwania w środowisku, gdzie przeciętny czas od przełamania pierwszego hosta do przejęcia kontrolera domeny (tzw. breakout time) spadł poniżej 90 minut.
W 2026 roku punkt wyjścia uległ zmianie: Microsoft zakończył wsparcie dla Windows Server 2012 / 2012 R2 (EOL: październik 2023), a środowiska pozostające na poziomie funkcjonalnym 2012 R2 nie korzystają z kluczowych zabezpieczeń — w tym silosów polityki uwierzytelniania, grupy Protected Users w trybie wymuszonym czy 32k stron NTDS dostępnych od Windows Server 2025.
Trzy filary bezpieczeństwa AD w 2026
- Izolacja administracyjna (tiering) — fizyczne i logiczne rozdzielenie ścieżek administracyjnych.
- Ochrona poświadczeń (credential hygiene) — eliminacja NTLM, wymuszenie AES, rotacja haseł, unikanie stałych członkostw w grupach uprzywilejowanych.
- Ciągły audyt i detekcja (assume breach) — założenie, że naruszenie już nastąpiło; monitoring pod kątem anomalii i zmian w newralgicznych obiektach AD.
Model administracji warstwowej — Tier 0, Tier 1, Tier 2
Microsoft zastąpił starszy model "Enterprise Access Model" uproszczoną, ale skuteczniejszą warstwowością. Oto jak ją zastosować:
| Warstwa | Co obejmuje | Przykładowe konta | Host administracyjny |
|---|---|---|---|
| Tier 0 | Kontrolery domeny, las, schemat, PKI, Azure AD Connect | Domain Admins, Enterprise Admins, Schema Admins | PAW (Privileged Access Workstation) — dedykowany, bez poczty, bez przeglądarki |
| Tier 1 | Serwery członkowskie, aplikacje LOB, bazy danych | Server Admins, administratorzy SQL, Exchange | Osobny serwer administracyjny lub PAW Tier 1 |
| Tier 2 | Stacje robocze, urządzenia użytkowników | Helpdesk, lokalni administratorzy stacji | Standardowa stacja robocza (ale nieużywana do prywatnych celów) |
Kluczowa zasada: konto z wyższej warstwy nie może logować się na zasób niższej warstwy. Domain Admin logujący się na stację roboczą użytkownika naraża las na całkowite przejęcie (technika Pass-the-Hash). W praktyce wymaga to GPO uniemożliwiających logowanie kont Tier 0 na hostach Tier 1/2 i odwrotnie — poprzez zasady ograniczania grup (Restricted Groups) oraz przypisanie praw Deny log on locally, Deny access to this computer from the network.
PAW — Privileged Access Workstation
PAW to wydzielona fizycznie lub wirtualnie stacja robocza z Windows 11 Enterprise, z której wykonuje się wyłącznie zadania administracyjne. Nie instaluje się na niej pakietów biurowych, klientów poczty ani przeglądarek do zwykłego surfowania. Microsoft zaleca również stosowanie Application Control (WDAC) na PAW-ach, aby dopuścić tylko podpisane binaria administracyjne i blokować wszystko inne.
Ochrona poświadczeń — Protected Users, gMSA i polityka haseł
Grupa Protected Users
Grupa Protected Users (dobrze znany SID S-1-5-21-<domena>-525) wymusza na swoich członkach kilka nienegocjowalnych ograniczeń:
- Brak NTLM — uwierzytelnianie tylko przez Kerberos z AES (DES i RC4 odrzucane).
- Brak delegacji — niedozwolona delegacja ograniczona i nieograniczona (constrained/unconstrained), kluczowe przy atakach Kerberoasting.
- Brak cachowania poświadczeń — WDigest, CredSSP i NTLM nie przechowują plain-textu ani NTOWF w pamięci.
- TGT ważne maksymalnie 4 godziny — nawet przy dłuższych ustawieniach w polityce domeny.
Uwaga: nie dodawaj do Protected Users kont usługowych ani komputerów — stracą zdolność uwierzytelniania. Wbudowany Administrator (RID 500) jest zawsze wykluczony, nawet jeśli formalnie należy do grupy. Przed dodaniem kont uprzywilejowanych przetestuj w środowisku lab — ograniczenia Protected Users mogą złamać starsze aplikacje polegające na NTLM.
gMSA — Group Managed Service Accounts
W 2026 roku nie ma już usprawiedliwienia dla zwykłych kont użytkowników używanych jako konta usługowe. gMSA wprowadzone w Windows Server 2012 oferują:
- Automatyczną rotację hasła — zarządzaną przez kontrolery domeny (usługa Microsoft Key Distribution Service,
kdssvc.dll); hasło zmienia się co 30 dni domyślnie, bez przestoju usługi. - Współdzielenie tożsamości — to samo konto gMSA działa na wielu serwerach (farmy, NLB), rozwiązując problem synchronizacji haseł.
- Uproszczony SPN — SPN przypisany do gMSA działa niezależnie od liczby instancji usługi.
Konfiguracja przez PowerShell (New-ADServiceAccount, Install-ADServiceAccount) jest prosta, a każdy host korzystający z gMSA musi mieć uprawnienie PrincipalsAllowedToRetrieveManagedPassword. gMSA wymaga poziomu funkcjonalnego domeny co najmniej Windows Server 2012.
Polityka haseł — co się zmieniło
Microsoft w 2025 roku oficjalnie zaktualizował rekomendacje dot. haseł: odejście od wymuszania regularnej zmiany (90 dni) na rzecz długich, unikalnych haseł zmienianych tylko przy podejrzeniu kompromitacji. Minimalna zalecana długość dla kont uprzywilejowanych to 14 znaków. W domenie warto skorzystać z Fine-Grained Password Policies (FGPP), aby ustawić surowsze wymagania dla Tier 0 przy łagodniejszych dla zwykłych użytkowników.
Windows Server 2025 — co nowego dla Active Directory
Premiera Windows Server 2025 (listopad 2024) przyniosła nowy poziom funkcjonalności lasu i domeny — Windows Server 2025 functional level. Najważniejsze dodatki:
| Funkcja | Opis | Wymaganie |
|---|---|---|
| 32k stron NTDS | Opcjonalna funkcja zwiększająca rozmiar strony bazy danych AD z 8 KB do 32 KB — poprawia wydajność przy dużych katalogach (>500 tys. obiektów) | Windows Server 2025 FL + ręczne włączenie |
| Kerberos PKInit Freshness Extension | Ulepszone uwierzytelnianie z użyciem kluczy publicznych i świeżości sesji — utrudnia ataki typu Pass-the-Certificate | Windows Server 2016 FL+ |
| Nuova architektura zabezpieczeń LSASS | Izolacja procesu LSASS na poziomie hypervisora (technologia VBS — Virtualization-Based Security) | Windows Server 2025 |
Praktyczna uwaga: podniesienie poziomu funkcjonalnego do Windows Server 2025 wymaga, aby wszystkie kontrolery domeny działały na Windows Server 2025. Dopóki w środowisku jest choć jeden kontroler na starszym systemie, blokuje to zmianę. Wiele organizacji w 2026 roku nadal pozostaje na poziomie Windows Server 2016 — funkcjonalnie wystarczającym, bo aktywującym Protected Users i PAM, ale pozbawionym 32k stron.
Audyt i monitoring — nie opcjonalny, a obowiązkowy
Zasada assume breach (zakładaj, że już cię złamano) wymaga, aby każde zdarzenie w Active Directory podlegało logowaniu i analizie. Minimalny zestaw do włączenia przez GPO:
| Kategoria audytu (Advanced Audit Policy) | Podkategoria | Cel |
|---|---|---|
| Account Logon | Audit Credential Validation | Śledzenie prób logowania NTLM/Kerberos pod konkretne konta |
| Account Management | Audit User Account Management, Audit Security Group Management | Każda zmiana członkostwa w Domain Admins, Enterprise Admins, Administratorzy |
| DS Access | Audit Directory Service Changes | Modyfikacje obiektów w AD (np. zmiana atrybutu adminCount) |
| Detailed Tracking | Audit Process Creation | Procesy tworzone na kontrolerach domeny — wraz z linią poleceń (enable Include command line) |
| Logon/Logoff | Audit Logon, Audit Special Logon | Logowania interaktywne i sieciowe na kontrolerach domeny |
Zdarzenia należy przekazywać do rozwiązania SIEM (Microsoft Sentinel, Splunk, Elastic Security) z alertami dla konkretnych Event ID: 4728 (dodanie do grupy globalnej), 4732 (dodanie do grupy lokalnej domeny), 4662 (operacja na obiekcie AD z uprawnieniami), 4740 (blokada konta — może wskazywać na brute-force).
Częste pytania
Czy mogę podnieść poziom funkcjonalny domeny bez reinstalacji kontrolerów?
Tak. Podniesienie poziomu funkcjonalnego (Set-ADDomainMode / Set-ADForestMode) to operacja nieodwracalna, ale nie wymaga reinstalacji — jedynie upewnienia się, że wszystkie kontrolery domeny działają na systemie równym lub nowszym od docelowego poziomu. Przed operacją wykonaj pełny backup stanu systemu (System State) każdego kontrolera.
Co się stanie, jeśli dodam Domain Admina do grupy Protected Users bez testów?
Domain Admin straci możliwość uwierzytelniania NTLM — wiele starszych narzędzi (stare wersje MMC, niektóre skrypty PowerShell z WinRM) przestanie działać. Ponadto TGT wygasa po 4 godzinach, co może przerwać długo działające sesje administracyjne. Microsoft zaleca etapowe dodawanie — najpierw konta testowe, później rzeczywiste, z pełnym monitoringiem Event ID 100 i 304.
Ile kosztuje licencja Windows Server na kontroler domeny?
Każdy fizyczny lub wirtualny kontroler domeny potrzebuje licencji Windows Server. Wersja Standard obsługuje do 2 maszyn wirtualnych na jednym hoście, Datacenter — nieograniczoną liczbę. Orientacyjne ceny w 2026 roku: Windows Server 2025 Standard od ~900 zł, Datacenter od ~4500 zł. W praktyce wiele mniejszych firm kupuje licencje na rynku wtórnym (tzw. second-hand), co jest legalne w UE zgodnie z wyrokiem TSUE C-128/11 — pozwala obniżyć koszt nawet o 40-60% względem cennika Microsoft.
Czy potrzebuję oddzielnego lasu administracyjnego (ESAE)?
Microsoft wycofał rekomendację ESAE (Enhanced Security Administrative Environment) w 2023 roku na rzecz modelu warstwowego z PAW. Oddzielny las administracyjny to ogromny koszt i złożoność — dla 95% organizacji wystarczy konsekwentny tiering z izolacją hostów administracyjnych i Protected Users. ESAE pozostaje opcją tylko dla instytucji finansowych, operatorów infrastruktury krytycznej i dostawców usług chmurowych.
Jak szybko wykryć, że ktoś dodał konto do Domain Admins?
Przy włączonym audycie Audit Security Group Management, zdarzenie 4728 (dla grup globalnych) lub 4732 (dla Domain Local) jest logowane natychmiast. W połączeniu z alertem SIEM i regułą korelacyjną (np. "dodanie do Domain Admins poza godzinami pracy"), czas detekcji spada do kilku sekund. Dobrą praktyką jest też cykliczny skrypt PowerShell (Get-ADGroupMember) wysyłający raport różnicowy co 15–30 minut na skrzynkę administratora bezpieczeństwa.
Czy gMSA działa na Windows Server 2016?
Tak, gMSA działa od poziomu funkcjonalnego domeny Windows Server 2012. Na hoście z Windows Server 2016 należy zainstalować moduł AD PowerShell (Install-WindowsFeature RSAT-AD-PowerShell) i utworzyć konto gMSA przez New-ADServiceAccount. Kluczowe: host musi mieć uprawnienie do pobrania hasła — kontrolowane przez atrybut PrincipalsAllowedToRetrieveManagedPassword obiektu gMSA.
Jaka jest minimalna liczba kontrolerów domeny dla małej firmy?
Dwa — nigdy jeden. Pojedynczy kontroler to pojedynczy punkt awarii (SPOF): jeśli padnie, użytkownicy nie zalogują się do domeny, usługi przestaną działać, a przy braku backupu stanu systemu odzyskanie AD jest ekstremalnie trudne. Dwa kontrolery — fizyczne, wirtualne na osobnych hostach, lub fizyczny + wirtualny — zapewniają redundancję. Dla małych firm (do 50 użytkowników) Windows Server 2025 Standard + 2× licencja to rozsądny budżet startowy.
Jak zdobyć legalne licencje Windows Server w dobrej cenie?
Wdrożenie Active Directory zgodnie z powyższymi praktykami zaczyna się od legalnego oprogramowania. W sklepie KluczeSoft.pl znajdziesz licencje Windows Server 2025 i 2022 — zarówno Standard, jak i Datacenter — w cenach niższych niż bezpośrednio z Microsoft Store. Każda transakcja jest potwierdzona fakturą VAT, a klucze pochodzą z legalnego obrotu wtórnego w UE (zgodnie z zasadą wyczerpania prawa autorskiego, wyrok TSUE C-128/11). To szczególnie przydatne dla sektora MŚP, gdzie budżet IT musi pracować na każdą złotówkę.