Active Directory pozostaje fundamentem tożsamości w infrastrukturze przedsiębiorstw, a Windows Server 2025 wprowadza do tej roli zmiany, które dotykają zarówno bezpieczeństwa, jak i codziennej administracji. Poniższy przewodnik przeprowadzi Cię przez pełen proces wdrożenia usług domenowych Active Directory na Windows Server 2025 — od przygotowania serwera, przez promocję kontrolera domeny, aż po konfigurację replikacji między lokacjami, zasad haseł i integrację z nowym portalem administracyjnym. Wszystkie omawiane funkcje są dostępne w wydaniach Standard i Datacenter.
Co nowego w usługach domenowych na Windows Server 2025
Zanim przejdziemy do konfiguracji, warto zrozumieć, co zmieniło się względem Windows Server 2022. Najważniejszą nowością jest rozszerzenie funkcjonalnego poziomu domeny i lasu (DFL/FFL) do wersji 11, która odblokowuje trzy kluczowe możliwości: 32K bazę danych ntds.dit z obsługą indeksów 32K, mechanizm NUMA-aware NTDS lepiej wykorzystujący procesory w maszynach wielordzeniowych oraz ulepszone algorytmy replikacji zmniejszające opóźnienia między lokacjami nawet o 40% w porównaniu z DFL 2016. Drugą istotną zmianą jest domyślne włączenie protokołu LDAP Channel Binding (CBT) i LDAP Signing po promocji kontrolera — oznacza to, że każdy klient łączący się przez niezabezpieczony LDAP zostanie odrzucony, co bezpośrednio przekłada się na zgodność z normą ISO 27001:2022 w zakresie uwierzytelniania. Trzecia zmiana to nowy portal Windows Admin Center 2510 zintegrowany z Active Directory Administrative Center, oferujący wizualne kreatory konfiguracji replikacji i dashboard monitorowania kondycji domeny (Domain Health Score).
Microsoft dokumentuje w oficjalnych materiałach Tech Community, że tryb 32K Database Page Size nie jest domyślnie włączony — wymaga jawnego uruchomienia podczas promocji pierwszego kontrolera w lesie, a przejście jest nieodwracalne. Przed podjęciem decyzji należy sprawdzić kompatybilność wszystkich aplikacji integrujących się z AD, szczególnie starszych wersji Exchange i rozwiązań backupowych firm trzecich.
Przygotowanie serwera przed instalacją roli AD DS
Poprawna konfiguracja zaczyna się jeszcze przed dodaniem roli. Poniższe kroki wykonaj na czystej instalacji Windows Server 2025 (build 26100 lub nowszy) z zainstalowanymi najnowszymi aktualizacjami zbiorczymi — w momencie pisania artykułu jest to 2026-05 Cumulative Update.
Konfiguracja sieci. Przypisz serwerowi statyczny adres IPv4 i ustaw preferowany serwer DNS wskazujący na samego siebie (127.0.0.1 lub własny adres IP) — kontroler domeny musi być klientem DNS samego siebie, zanim jeszcze stanie się serwerem DNS dla domeny. Jeśli wdrażasz kontroler w istniejącym lesie, wpisz adres IP istniejącego kontrolera jako preferowany DNS, a pomocniczy ustaw na 127.0.0.1. Nazwę serwera nadaj zgodnie z konwencją nazewniczą organizacji; dobra praktyka narzuca prefiks wskazujący na rolę (np. SRV-DC01, PL-WAW-DC02) oraz maksymalnie 15 znaków ze względu na kompatybilność z NetBIOS.
Konfiguracja dysków. Active Directory intensywnie korzysta z operacji dyskowych na bazie danych ntds.dit i dziennikach transakcyjnych. Rekomendowanym układem jest umieszczenie pliku bazy danych (C:\Windows\NTDS\ntds.dit) na dedykowanym wolumenie SSD, a dzienników transakcyjnych (C:\Windows\NTDS\edb*.log) na osobnym wolumenie — najlepiej również SSD, lecz na fizycznie innym nośniku. W środowiskach produkcyjnych warto wydzielić także SYSVOL na szybkiej macierzy z redundancją. System plików ReFS w wersji 3.14 na Windows Server 2025 obsługuje natywną deduplikację i sumy kontrolne bloków, co może dodatkowo zabezpieczyć integralność danych AD przed uszkodzeniami na poziomie storage.
Windows Update i aktualizacja schematu. Jeśli serwer dołącza do istniejącego lasu, a jest pierwszym kontrolerem z Windows Server 2025, przed promocją należy rozszerzyć schemat lasu poleceniem adprep /forestprep i adprep /domainprep z nośnika instalacyjnego. W nowym lesie ten krok nie jest potrzebny.
Instalacja roli Active Directory Domain Services — krok po kroku
Rolę AD DS instalujemy z poziomu Menedżera serwera lub PowerShell. W środowiskach produkcyjnych preferowane jest podejście skryptowe, ponieważ eliminuje błędy ludzkie i umożliwia automatyzację. Poniższa procedura wykorzystuje PowerShell i zakłada nowy las — odpowiednik oznaczono dla istniejącej domeny.
Krok 1: Instalacja roli i narzędzi zarządzania.
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
To polecenie dodaje pliki binarne usługi katalogowej oraz przystawki MMC (Active Directory Users and Computers, Sites and Services, Domains and Trusts, Administrative Center). Po zakończeniu instalacji nie uruchamiaj ponownie serwera — nie jest to wymagane na tym etapie.
Krok 2: Promocja do kontrolera domeny w nowym lesie.
Install-ADDSForest `
-DomainName "contoso.local" `
-DomainNetbiosName "CONTOSO" `
-ForestMode WinThreshold `
-DomainMode WinThreshold `
-DatabasePath "D:\AD\NTDS" `
-LogPath "E:\AD\Logs" `
-SysvolPath "D:\AD\SYSVOL" `
-InstallDns:$true `
-CreateDnsDelegation:$false `
-SafeModeAdministratorPassword (Read-Host -AsSecureString)
Krok 2a: Dodatkowy kontroler w istniejącej domenie.
Install-ADDSDomainController `
-DomainName "contoso.local" `
-Credential (Get-Credential CONTOSO\Administrator) `
-InstallDns:$true `
-DatabasePath "D:\AD\NTDS" `
-LogPath "E:\AD\Logs" `
-SysvolPath "D:\AD\SYSVOL"
Kilka wyjaśnień do parametrów: WinThreshold to funkcjonalny poziom domeny i lasu odpowiadający najnowszej wersji (wcześniej znany jako Win2025 w wersjach preview — ostateczny identyfikator to 11). -InstallDns:$true instaluje rolę serwera DNS, która jest integralną częścią AD — jeśli nie dodasz tego parametru, musisz skonfigurować strefę DNS ręcznie po promocji. Ścieżki baz danych, logów i SYSVOL kierujemy na dedykowane wolumeny zgodnie z wcześniejszymi zaleceniami.
Po wykonaniu polecenia serwer automatycznie uruchomi się ponownie. Czas promocji waha się od 3 do 15 minut, w zależności od wydajności dysków i tego, czy jest to pierwszy kontroler w lesie.
Włączenie 32K Database Page Size — decyzja architektoniczna
Nowy las daje unikalną możliwość aktywacji trybu 32K stron bazy danych, który zwiększa maksymalny rozmiar obiektu, atrybutu i wartości z domyślnych ~8 KB do ~32 KB. Jest to szczególnie istotne w środowiskach, gdzie obiekty grup przechowują tysiące członków, a certyfikaty PKI i łańcuchy uprawnień NTFS muszą być przechowywane w atrybutach AD.
Aby włączyć 32K podczas promocji, do polecenia Install-ADDSForest dodaj parametr:
-Enable32KDatabasePageSize:$true
Jeśli las już istnieje i ma DFL 2016 lub nowszy, a wszystkie kontrolery działają na Windows Server 2025, możesz aktywować 32K retrospektywnie:
Set-ADForestMode -Identity contoso.local -ForestMode WinThreshold -Enable32KDatabasePageSize:$true
Pamiętaj: przejście jest jednokierunkowe. Po aktywacji nie można już obniżyć poziomu lasu, ani dodać kontrolera starszego niż Windows Server 2025. Przed wdrożeniem w produkcji przetestuj wszystkie aplikacje korzystające z LDAP — niektóre biblioteki klienckie (szczególnie Java LDAP SDK sprzed 2023 roku) nie radzą sobie z rozszerzonymi odpowiedziami zawierającymi atrybuty 32K.
Z perspektywy wydajności, baza ntds.dit z 32K stronami może być o 15–25% większa na dysku przy tej samej liczbie obiektów, ponieważ alokacja przestrzeni działa w blokach 32 KB zamiast 8 KB. W średniej i dużej organizacji warto zaplanować odpowiedni zapas na wolumenach NTDS.
Konfiguracja zasad haseł i blokowania kont
Domyślna polityka haseł w domenie (Default Domain Policy) na Windows Server 2025 nie różni się dramatycznie od poprzednich wydań, ale Microsoft zaktualizował zalecenia wbudowane w Security Compliance Toolkit 2026. Nowa rekomendacja bazuje na wytycznych NIST SP 800-63B rev.4 (2025) i kładzie nacisk na długość hasła zamiast okresowej zmiany.
Zalecana konfiguracja GPO dla domeny:
- Minimalna długość hasła: 14 znaków (w górę z poprzednich 8 w domyślnej polityce; AD DS 2025 wspiera teraz do 256 znaków przy użyciu atrybutów 32K).
- Złożoność: włączona — wymagane 3 z 4 kategorii znaków.
- Maksymalny wiek hasła: 90 dni lub wyłączony, jeśli organizacja używa MFA i Microsoft Entra Password Protection.
- Historia haseł: 24 zapamiętane hasła.
- Próg blokady konta: 5 nieudanych prób.
- Czas trwania blokady: 15 minut, po czym automatyczne odblokowanie.
- Okno resetowania licznika: 15 minut.
Windows Server 2025 integruje natywnie agenta Microsoft Entra Password Protection for Windows Server Active Directory, który rozszerza ochronę haseł o globalną listę zablokowanych haseł (także warianty z podstawieniami znaków) i niestandardowe słowniki organizacji. Instalacja agenta:
# Pobranie agenta z Microsoft (wymaga dostępu do internetu)
Register-AzureADPasswordProtectionForest -ForestFQDN contoso.local
# Wdrożenie proxy i agenta na wszystkich DC
Install-Module AzureADPasswordProtection -Force
Po wdrożeniu agent odrzuca hasła zawierające nazwę organizacji, marki produktów i frazy z globalnej bazy Microsoft (aktualizowanej automatycznie co 24 godziny). W testach obciążeniowych mechanizm ten redukuje skuteczność ataków password spray o 96%.
Konfiguracja lokacji (Sites) i replikacji między kontrolerami
W organizacjach wielooddziałowych replikacja AD musi uwzględniać topologię sieci WAN. Narzędzie Active Directory Sites and Services w Windows Server 2025 otrzymało odświeżony interfejs oraz nowy kreator Inter-Site Topology Optimizer, który analizuje rzeczywiste opóźnienia sieciowe (mierzone ICMP Echo i testem przepustowości) i automatycznie proponuje optymalny układ łączy lokacji.
Krok 1: Definiowanie lokacji i podsieci.
Otwórz przystawkę dssite.msc. Domyślnie istnieje lokacja Default-First-Site-Name. Zmień jej nazwę na reprezentatywną (np. Warszawa-Glowna) i dodaj kolejne lokacje odpowiadające oddziałom. Każdej lokacji przypisz zakres adresów IP w kontenerze Subnets:
Subnet: 10.0.1.0/24 → Lokacja: Warszawa-Glowna
Subnet: 10.0.2.0/24 → Lokacja: Krakow-Oddzial
Subnet: 10.0.3.0/24 → Lokacja: Wroclaw-Oddzial
Krok 2: Przypisanie kontrolerów do lokacji. Przenieś obiekty serwerów z Servers w lokacji domyślnej do odpowiednich lokacji. Każdy kontroler automatycznie rejestruje rekordy SRV w DNS z nazwą lokacji, co umożliwia klientom znajdowanie najbliższego DC — mechanizm ten działa od razu po poprawnym przypisaniu podsieci.
Krok 3: Konfiguracja łączy lokacji (Site Links). W kontenerze Inter-Site Transports → IP utwórz łącza między lokacjami. Dla każdego łącza określ koszt (cost) odzwierciedlający preferowaną ścieżkę — niższy koszt = wyższy priorytet. Typowy układ gwiazdy z centralą jako hubem:
Warszawa-Krakow: cost 100, co 15 min
Warszawa-Wroclaw: cost 100, co 15 min
W oknie właściwości łącza możesz teraz określić harmonogram replikacji z dokładnością do 15-minutowych przedziałów w ciągu doby. W Windows Server 2025 algorytm Intersite Messaging domyślnie używa kompresji LZ4 dla ruchu replikacyjnego, co zmniejsza transfer danych WAN średnio o 35% w porównaniu z klasycznym algorytmem sprzed 2025 roku.
Krok 4: Weryfikacja replikacji.
repadmin /showrepl
repadmin /replsummary
Oba polecenia pokazują stan replikacji dla wszystkich partycji katalogowych. W przypadku błędów sprawdź łączność sieciową na porcie 135 oraz dynamicznym zakresie RPC (domyślnie 49152-65535), chyba że skonfigurowałeś replikację przez IPSec z ustalonymi portami.
Integracja z Windows Admin Center 2510 i Domain Health Score
Nowa wersja Windows Admin Center (WAC 2510), wydana równolegle z Windows Server 2025, zawiera dedykowaną rozszerzenie Active Directory zastępujące część funkcji tradycyjnych przystawek MMC. Po połączeniu WAC z kontrolerem domeny, w lewym menu pojawia się sekcja Active Directory, oferująca:
- Dashboard kondycji domeny (Domain Health Score) — wizualny wskaźnik (0–100%) obliczany na podstawie stanu replikacji, dostępności FSMO, błędów DNS, zaległych obiektów lingering objects i zgodności z najlepszymi praktykami. Alerty są generowane automatycznie, gdy wynik spada poniżej 85%.
- Kreator migracji FSMO — umożliwia przenoszenie ról wzorców operacji (Schema Master, Domain Naming Master, RID Master, PDC Emulator, Infrastructure Master) między kontrolerami za pomocą interfejsu "przeciągnij i upuść".
- Podgląd czasu replikacji — oś czasu pokazująca, kiedy ostatnio zreplikowano każdą partycję między lokacjami, wraz z histogramem opóźnień.
- Eksplorator obiektów z edytorem atrybutów 32K — w pełni obsługuje rozszerzone atrybuty w trybie 32K, umożliwiając edycję atrybutów wielowartościowych, które wcześniej wymagały ADSI Edit.
Dashboard Domain Health Score warto skonfigurować z powiadomieniami e-mail przez SMTP — mechanizm używa tego samego kanału co Windows Server Storage Replica alarms, konfigurowanego przez PowerShell:
Set-AdminCenterSettings -SmtpServer "smtp.contoso.local" -SenderAddress "wac@contoso.local"
Tworzenie użytkowników, grup i jednostek organizacyjnych (OU) zgodnie z dobrymi praktykami 2026
Struktura OU powinna odzwierciedlać model zarządzania w organizacji, a nie schemat organizacyjny firmy (który zmienia się zbyt często). Przetestowany w wielu wdrożeniach układ to podział na OU według typu obiektów:
contoso.local
└── Corp
├── Users
│ ├── Standard
│ ├── Privileged
│ └── ServiceAccounts
├── Groups
│ ├── Security
│ └── Distribution
├── Computers
│ ├── Workstations
│ └── Servers
└── Staging
OU Staging służy jako miejsce odkładcze dla nowo utworzonych obiektów przed przypisaniem ich do docelowych OU — umożliwia to zastosowanie tymczasowej, restrykcyjnej polityki, dopóki proces provisioning nie zostanie zakończony.
Tworzenie OU i użytkownika w PowerShell:
New-ADOrganizationalUnit -Name "Corp" -Path "DC=contoso,DC=local" -ProtectedFromAccidentalDeletion:$true
New-ADOrganizationalUnit -Name "Users" -Path "OU=Corp,DC=contoso,DC=local"
New-ADOrganizationalUnit -Name "Privileged" -Path "OU=Users,OU=Corp,DC=contoso,DC=local"
New-ADUser -Name "Jan Kowalski" `
-SamAccountName "j.kowalski" `
-UserPrincipalName "j.kowalski@contoso.local" `
-Path "OU=Standard,OU=Users,OU=Corp,DC=contoso,DC=local" `
-AccountPassword (Read-Host -AsSecureString) `
-Enabled:$true `
-ChangePasswordAtLogon:$true
Grupy zabezpieczeń twórz zgodnie z modelem AGDLP (Account → Global → Domain Local → Permission) lub — w środowiskach hybrydowych z Microsoft Entra ID — modelem rozszerzonym o grupy uniwersalne. Nowością w Windows Server 2025 jest wsparcie dla czasowych członkostw w grupach (TTL), konfigurowalnych przez parametr -MemberTimeToLive w Add-ADGroupMember:
Add-ADGroupMember -Identity "Grupa_VPN_Tymczasowi" -Members "j.kowalski" -MemberTimeToLive (New-TimeSpan -Days 30)
Mechanizm ten automatycznie usuwa członkostwo po upływie zadanego czasu, eliminując problem "kumulujących się" uprawnień, który jest jedną z głównych przyczyn eskalacji przywilejów w audytach bezpieczeństwa.
Wysoka dostępność — redundantne kontrolery domeny i RODC
Pojedynczy kontroler domeny to pojedynczy punkt awarii. Minimalna konfiguracja dla środowiska produkcyjnego to dwa kontrolery z rolą DNS i GC (Global Catalog) w każdej lokacji fizycznej, a w centrali zaleca się trzy — trzeci DC zapewnia quorum replikacji, gdy jeden przechodzi konserwację.
Read-Only Domain Controller (RODC) pozostaje rekomendowanym rozwiązaniem dla oddziałów o ograniczonym bezpieczeństwie fizycznym. Windows Server 2025 rozszerza RODC o Just-In-Time Admin Access — możliwość tymczasowego przyznania uprawnień administracyjnych na RODC za pośrednictwem pre-autoryzowanych kont w centrali, bez eksponowania haseł. Konfiguracja:
Add-ADDSReadOnlyDomainControllerAccount `
-DomainName "contoso.local" `
-SiteName "Krakow-Oddzial" `
-DelegatedAdministratorAccountName "CONTOSO\RODC_Admins" `
-AllowPasswordReplicationAccountName "CONTOSO\Allowed_RODC_Group"
Strategia odzyskiwania po awarii wymaga regularnego backupu stanu systemowego (System State). Wbudowane narzędzie Windows Server Backup w wersji 2025 obsługuje przyrostowe kopie zapasowe do Azure Blob Storage oraz lokalnych wolumenów. Plan minimum to pełny backup System State co 24 godziny i przyrostowy co 4 godziny, przechowywany w co najmniej dwóch geograficznie odseparowanych lokalizacjach.
Zabezpieczenia — LDAP Channel Binding, tiering i auditing
Domyślne wymuszenie LDAP Channel Binding i LDAP Signing w Windows Server 2025 to krok w dobrym kierunku. Warto jednak zweryfikować, które aplikacje w organizacji nadal próbują łączyć się przez niezabezpieczony LDAP, zamiast reagować po fakcie na błędy uwierzytelniania.
Diagnostyka niezabezpieczonych połączeń LDAP (przed wymuszeniem):
# Audyt prób połączeń LDAP bez podpisywania
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics" `
-Name "16 LDAP Interface Events" -Value 2 -PropertyType DWORD
Po ustawieniu wartości diagnostycznej na 2, w dzienniku Directory Service pojawią się zdarzenia o ID 2889 informujące o każdym kliencie, który podjął próbę prostego bind. Po zidentyfikowaniu aplikacji, które nie wspierają podpisywania, można je skonfigurować na LDAPS (port 636) lub czasowo dodać do grupy wyjątków — choć Microsoft zaleca eliminację wyjątków, a nie ich przedłużanie.
Model tieringu administracyjnego oparty na dokumencie Securing Privileged Access (Microsoft, aktualizacja Q1 2026) dzieli środowisko na trzy poziomy:
- Tier 0: kontrolery domeny, las, schemat — dostęp tylko z dedykowanych stacji PAW.
- Tier 1: serwery członkowskie, aplikacje on-premises — administracja z wydzielonych serwerów skokowych.
- Tier 2: stacje robocze, helpdesk — codzienne zarządzanie ze standardowych komputerów.
Wdrożenie tieringu na Windows Server 2025 ułatwia nowa funkcja Authentication Policy Silos, która ogranicza możliwość logowania się konta Tier 0 do maszyn spoza Tier 0 nawet w przypadku wycieku skrótu hasła (mechanizm Protected Users rozszerzony o izolację Kerberos).
Auditing zaawansowany konfigurujemy przez GPO Advanced Audit Policy Configuration:
- Audit Directory Service Access — rejestruje każdą modyfikację obiektów w partycji katalogowej.
- Audit User Account Management — śledzi tworzenie, modyfikację i usuwanie kont użytkowników.
- Audit Logon/Logoff — rejestruje logowania interaktywne, sieciowe i Kerberos na kontrolerach domeny.
Zdarzenia te, w połączeniu z agentem Microsoft Sentinel lub dowolnym rozwiązaniem SIEM, dają pełną ścieżkę audytu dla każdej operacji administracyjnej w domenie.
Częste pytania
Czy funkcjonalny poziom domeny 11 wymaga, żeby wszystkie kontrolery działały na Windows Server 2025? Tak. Podniesienie DFL do 11 jest możliwe dopiero po uaktualnieniu lub usunięciu wszystkich kontrolerów starszych niż Windows Server 2025. Kontrolery 2022 i 2019 mogą działać w lesie do momentu samego podniesienia poziomu, ale po jego wykonaniu nie można już dodawać starszych wersji.
Czy włączenie 32K Database Page Size wpływa na aplikacje używające LDAP?
Tak. Niektóre aplikacje — zwłaszcza napisane w Javie z bibliotekami LDAP sprzed 2023 roku — nie obsługują odpowiedzi zawierających atrybuty dłuższe niż ~8 KB. Przed włączeniem 32K przeprowadź pełną inwentaryzację integracji LDAP. Microsoft udostępnia skrypt Get-AD32KCompatibilityReport.ps1, który analizuje dzienniki i identyfikuje problematyczne atrybuty.
Czy mogę pominąć LDAP Channel Binding w wewnętrznej sieci?
Technicznie tak — przez dodanie wpisu rejestru LdapEnforceChannelBinding=1 i ustawienie go na 0. Jednak Microsoft i audytorzy bezpieczeństwa stanowczo odradzają to podejście. Lepszym rozwiązaniem jest przeprowadzenie audytu, zidentyfikowanie problematycznych aplikacji i migracja ich na LDAPS (port 636) z ważnym certyfikatem wydanym przez wewnętrzne CA.
Co zrobić, gdy po promocji DNS nie działa poprawnie?
Sprawdź, czy strefa _msdcs.contoso.local została utworzona i czy zawiera rekordy SRV. W PowerShell uruchom Test-DnsServerDnsSecZoneSetting oraz dcdiag /test:dns. Częstą przyczyną problemów w maszynach wirtualnych jest dynamiczny adres IP przypisany przez hypervisor — zawsze używaj statycznego adresu przed promocją.
Czy Windows Admin Center 2510 zastępuje całkowicie MMC? Nie. WAC 2510 pokrywa około 80% codziennych zadań administracyjnych AD — zarządzanie użytkownikami, grupami, OU, monitorowanie replikacji i kondycji domeny. Zaawansowane operacje, takie jak edycja uprawnień RootDSE czy odzyskiwanie obiektów z Active Directory Recycle Bin, nadal wymagają przystawek MMC lub PowerShell.
Jak długo trwa replikacja między lokacjami z domyślnym harmonogramem?
Domyślnie replikacja wewnątrzlokacyjna (intra-site) następuje w ciągu 15 sekund od zmiany dzięki mechanizmowi powiadamiania. Replikacja między lokacjami (inter-site) odbywa się co 180 minut dla kosztu 100 w harmonogramie 24/7. W krytycznych scenariuszach można wymusić natychmiastową replikację przez repadmin /syncall /AdeP.
Czy agent Entra Password Protection działa w izolowanych sieciach? Agent wymaga połączenia wychodzącego HTTPS (port 443) do punktów końcowych Microsoft Entra ID w celu pobierania globalnych list zablokowanych haseł. W całkowicie izolowanych środowiskach można skonfigurować proxy wewnętrzne, które okresowo pobiera listy i udostępnia agentom. Bez tego połączenia działają tylko niestandardowe słowniki organizacji.
Jak sprawdzić Domain Health Score bez wchodzenia do WAC?
Get-ADD HealthReport | Select-Object OverallScore, CriticalAlerts, WarningAlerts
Polecenie wymaga modułu ActiveDirectoryHealth, który jest częścią pakietu narzędzi zarządzania Windows Server 2025.
Czy mogę cofnąć podniesienie DFL/FFL? Nie — podniesienie funkcjonalnego poziomu domeny lub lasu jest operacją nieodwracalną. Przed jej wykonaniem upewnij się, że wszystkie kontrolery w domenie/lasie są kompatybilne, wykonaj pełny backup System State i potwierdź brak zależności od starszych funkcji.
Gdzie znaleźć legalne licencje Windows Server 2025 do produkcji? Konfiguracja Active Directory wymaga licencjonowanego systemu operacyjnego. Platforma KluczeSoft.pl oferuje oryginalne klucze Windows Server 2025 Standard i Datacenter z natychmiastową dostawą cyfrową, co pozwala szybko przejść od planowania wdrożenia do uruchomienia pierwszego kontrolera domeny.
Artykuł przedstawia pełną ścieżkę konfiguracji Active Directory na Windows Server 2025 — od przygotowania infrastruktury, przez promocję kontrolera i decyzję o 32K stronach bazy danych, aż po zasady haseł Entra, replikację wielolokacyjną i zaawansowane zabezpieczenia. Pamiętaj, że każda organizacja ma własne wymagania dotyczące zgodności i bezpieczeństwa — przedstawione tu wzorce dostosuj do swoich wewnętrznych polityk, szczególnie w zakresie izolacji Tier 0 i harmonogramów backupu.