惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
Check Point Blog
GbyAI
GbyAI
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
U
Unit 42
美团技术团队
NISL@THU
NISL@THU
C
Cisco Blogs
SecWiki News
SecWiki News
N
Netflix TechBlog - Medium
Forbes - Security
Forbes - Security
Cloudbric
Cloudbric
雷峰网
雷峰网
T
Tailwind CSS Blog
博客园 - 司徒正美
The Register - Security
The Register - Security
L
LangChain Blog
S
Security Affairs
Hacker News - Newest:
Hacker News - Newest: "LLM"
B
Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
T
Threat Research - Cisco Blogs
I
InfoQ
S
Schneier on Security
L
Lohrmann on Cybersecurity
量子位
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Martin Fowler
Martin Fowler
Schneier on Security
Schneier on Security
F
Fortinet All Blogs
TaoSecurity Blog
TaoSecurity Blog
K
Kaspersky official blog
Google DeepMind News
Google DeepMind News
Cisco Talos Blog
Cisco Talos Blog
PCI Perspectives
PCI Perspectives
Attack and Defense Labs
Attack and Defense Labs
WordPress大学
WordPress大学
Microsoft Azure Blog
Microsoft Azure Blog
H
Help Net Security
Project Zero
Project Zero
The GitHub Blog
The GitHub Blog
D
Docker
N
News | PayPal Newsroom
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
H
Hacker News: Front Page
云风的 BLOG
云风的 BLOG
Microsoft Security Blog
Microsoft Security Blog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
博客园 - 聂微东
Webroot Blog
Webroot Blog
MongoDB | Blog
MongoDB | Blog

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
В чем разница между доменными и локальными учетными записями
seberditbase · 2026-05-18 · via Все публикации подряд на Хабре

В чем разница между доменными и локальными учетными записями

Время на прочтение7 мин

Охват и читатели321

Локальные учётки - про автономию и прямой контроль над одной машиной. Домен - про централизацию, политики и единую точку входа для всей сети. Понимание разницы между ними не просто теория, а основа для построения безопасной и управляемой ИТ-инфраструктуры, особенно в свете требований регуляторов.

Классический on-premises Active Directory остаётся базовым решением для управления доступом в большинстве российских организаций. Entra ID сохраняет применение в коммерческом секторе при работе с международными сервисами. Но их доля постепенно сокращается, особенно в системах, попадающих под жёсткие регуляторные требования ФСТЭК, ФСБ и Банка России.


Локальные учётные записи: основа автономной работы

При установке Windows создаётся первый профиль. Сегодня важно понимать, что локальные учётные записи делятся на два принципиально разных типа:

  1. Классические локальные (Local SAM) — хранятся исключительно в локальной базе данных Security Account Manager.

  2. Учётные записи Microsoft — привязаны к облачному идентификатору. Даже при выборе «офлайн-учётки» Windows 10/11 активно предлагает связать профиль с аккаунтом Microsoft для синхронизации настроек, лицензий и параметров безопасности.

В системе изначально присутствуют две встроенные записи: Администратор и Гость. По умолчанию обе отключены, и это не случайность.

Принцип наименьших привилегий остаётся золотым правилом. Для повседневной работы следует использовать стандартную учётную запись. Если приложению или системному компоненту требуются повышенные права, срабатывает механизм контроля учётных записей (UAC). Для административных аккаунтов рекомендуется уровень UAC Всегда уведомлять, что исключает фоновое повышение прав без явного подтверждения.

Встроенную запись Администратор не следует активировать для регулярной работы. Её роль — аварийный доступ на случай потери управления основными администраторами. Для рабочих задач лучше создать отдельную административную учётку с понятным назначением и строгим контролем использования.

Важное уточнение по записи Гость: в современных версиях Windows она отключена не просто так. Даже при принудительном включении она не обеспечивает автоматической очистки профиля после выхода. «Стирание» сессии достигается только через обязательные профили (mandatory profiles) и групповые политики. Использовать встроенного гостя в рабочих средах категорически не рекомендуется: его анонимность и слабая изоляция создают дополнительный вектор атак. Для временного доступа лучше создать ограниченную учётку с явным сроком действия и автоматическим отключением.

https://seberd.ru/1851

https://seberd.ru/1851


Группы и тонкости управления правами

Назначать разрешения каждому пользователю вручную — путь к хаосу. Windows использует группы как контейнеры прав: пользователь, добавленный в группу, наследует все её разрешения. Один пользователь может входить в несколько групп, но здесь есть технические ограничения и нюансы.

Практический лимит групп: теоретически пользователь может состоять в 1024 группах безопасности, однако размер маркера доступа (access token) ограничен. На практике стабильная работа наблюдается до 300–400 групп. Превышение приводит к ошибкам аутентификации и отказам в доступе к ресурсам.

Приоритет разрешений: явный запрет (Deny) действительно преобладает над разрешением (Allow) в большинстве сценариев доступа к файлам и реестру. Однако существуют исключения, связанные с правами владельца (Owner Rights), наследованием и явными разрешениями на уровне файловой системы, которые могут переопределять групповые политики.

Инструменты управления:

  • Оснастка lusrmgr.msc (Локальные пользователи и группы) доступна только в редакциях Pro и Enterprise.

  • В современных средах основным инструментом становится PowerShell. Он позволяет автоматизировать создание, аудит и модификацию учёток:

  Get-LocalUser
  Get-LocalGroup
  New-LocalUser -Name "WorkUser" -Password (Read-Host -AsSecureString)
  Add-LocalGroupMember -Group "Administrators" -Member "WorkUser"
  • Для доменной среды используются Get-ADUser, Get-ADGroup, dsacls (для тонкой настройки ACL), а для анализа политик — gpresult /h report.html, rsop.msc и gpmc.msc.


Домен Active Directory: переход к централизованному управлению

Локальные учётки работают только на той машине, где созданы. В корпоративной сети с десятками или сотнями узлов управлять ими по отдельности невозможно. Решение — домен на базе Active Directory Domain Services (AD DS).

Домен — это логическая структура, объединяющая пользователей, компьютеры, принтеры и службы в единую базу данных, реплицируемую между контроллерами домена (DC). Доступ к любому сетевому ресурсу требует аутентификации на контроллере. Главное преимущество — централизация: администратор задаёт политики, настройки и права один раз, и они автоматически применяются ко всем целевым объектам. Локальные параметры рабочих станций при этом переопределяются доменными настройками.

Обработка групповых политик (GPO) происходит по строгому приоритету LSDOU:

  1. Локальная политика (Local)

  2. Сайт (Site)

  3. Домен (Domain)

  4. Подразделение (OU)

Политика, применённая последней, переопределяет предыдущие. Это поведение можно изменить:

  • Принудительно (Enforced / No Override) — политика не будет переопределена нижестоящими.

  • Блокировка наследования (Block Inheritance) — отключает применение политик от родительских контейнеров (кроме принудительных).

Домен также позволяет отразить организационную структуру компании в ИТ-архитектуре, делегировать управление отделам и строить контролируемые модели доступа. Хотя чистый on-prem AD DS считается зрелой, иногда устаревающей моделью в новых проектах, он остаётся ядром для большинства корпоративных сред России.


Современные модели защиты: LAPS, Tiering и Protected Users

Централизация требует усиленной защиты привилегированных учёток. В 2025–2026 гг. безопасность домена строится на трёх столпах:

1. LAPS (Local Administrator Password Solution)

В доменной среде критически важно управлять паролями локальных администраторов на рабочих станциях и серверах. Решение Microsoft — LAPS (в современных версиях — Windows LAPS) автоматически генерирует уникальный сложный пароль для встроенной записи Administrator на каждой машине, хранит его в AD (или Entra ID) и регулярно меняет. Без LAPS организации часто используют одинаковый локальный пароль на всех машинах, что превращает сеть в лёгкую цель для атак типа Pass-the-Hash и бокового перемещения (lateral movement).

2. Модель Tiering (Уровни управления)

Рекомендация Microsoft (модель ESAE) разделяет административные ресурсы на уровни:

  • Tier 0: контроллеры домена, системы PKI, серверы управления идентификацией.

  • Tier 1: серверы приложений, базы данных, файловые хранилища.

  • Tier 2: рабочие станции пользователей, клиентское ПО.Администраторы каждого уровня используют выделенные учётки и рабочие станции. Запрещён вход учётками высшего уровня в среду нижнего уровня. Это физически прерывает цепочки атак на контроллеры домена.

3. Группа Protected Users

Специальная доменная группа, применяющая жёсткие ограничения к своим членам: запрет NTLM-аутентификации, отключение кеширования учётных данных на рабочих станциях, блокировка делегирования Kerberos, принудительное использование современных криптографических алгоритмов. Идеально подходит для Tier 0 и Tier 1 администраторов.

Дополнительные механизмы:

  • Credential Guard / HVCI: изоляция учётных данных в защищённой виртуальной среде на основе виртуализации. Обязательно для узлов Tier 0.

  • Ограничение сетевого входа встроенного администратора: через групповые политики Отклонить вход через службы удалённых рабочих столов и Отказать в доступе к компьютеру из сети.


Сравнительная таблица: Локальные / AD DS / Entra ID

Критерий

Локальные учётные записи

Домен Active Directory (AD DS)

Entra ID (Облачный / Гибридный)

Масштаб

Один компьютер

Корпоративная сеть / филиалы

Глобальная облачная инфраструктура

Хранение

База SAM на локальном диске

Централизованная БД на контроллерах домена

Облачная каталоговая служба Microsoft

Аутентификация

Локальная проверка хэша

Kerberos / NTLM (контроллер домена)

OAuth 2.0, OpenID Connect, MFA, FIDO2

Управление политиками

Локальные GPO (gpedit.msc)

Групповые политики домена (GPO), LSDOU

Conditional Access, Intune, Configuration Profiles

Идеальный сценарий

Домашние ПК, изолированные АРМ, тестовые стенды

Классические корпоративные сети, требования 152-ФЗ/ГОСТ

Удалённые сотрудники, SaaS, гибридные среды, Zero Trust

Статус в 2026

Базовый, резервный доступ

Ядро инфраструктуры, часто в гибридном режиме

Стратегический вектор развития, синхронизация с AD через Entra Connect

Microsoft с 2022 года прекратила продажи новых лицензий и официальную поддержку в России. Многие компании работают на существующих лицензиях или через серые схемы, но для КИИ, банков и госсектора это создаёт серьёзные риски. Entra ID (облако) для многих организаций либо недоступен, либо используется с большими оговорками из-за требований локализации данных (152-ФЗ) и импортозамещения. Российские альтернативы ALD Pro, Astra Directory, MultiDirectory, Samba-based решения и др. активно продвигаются.


Аудит и мониторинг: от журналов событий до SIEM

Без видимости нет безопасности. В современных средах мониторинг учёток строится на нескольких уровнях:

  1. Локальный и доменный аудит: обязательно включить политики Audit Credential Validation, Audit Logon Events, Audit Special Logon. Это фиксирует успешные и неудачные входы, а также использование привилегированных прав.

  2. Ключевые идентификаторы событий (Event ID):

  • 4624 — успешный вход

  • 4625 — отказ во входе

  • 4672 — назначены специальные привилегии (административный вход)

  • 4776 — аутентификация NTLM (полезно для контроля легаси-протоколов)

  1. Корпоративный мониторинг: журналы централизованно собираются в SIEM. В гибридных и доменных средах стандартом становятся Microsoft Defender for Identity (ранее Azure ATP) и Microsoft Sentinel, которые выявляют аномальные перемещения, подозрительные запросы Kerberos, попытки дампа учётных данных и lateral movement в реальном времени.


Практические рекомендации по безопасности

  1. Стандартный пользователь — основа работы. Все повседневные задачи выполняются под учёткой без прав администратора. Повышение прав только через UAC или выделенные админские сессии.

  2. Встроенные записи под контролем. Администратор и Гость отключены. Для администрирования созданы именованные учётки с чёткой принадлежностью к Tier-уровню.

  3. LAPS обязателен. Развёрнут на всех рабочих станциях и серверах. Локальные администраторы удалены из группы Administrators на клиентских машинах через Restricted Groups или Group Policy Preferences.

  4. Гибридная стратегия. При наличии удалённых сотрудников или SaaS-сервисов внедряется синхронизация AD DS с Entra ID. Аутентификация дополняется многофакторной проверкой (MFA) и условным доступом (Conditional Access).

  5. Чистота политик. Групповые политики регулярно аудируются. Убираются конфликтующие правила, применяется Enforced только там, где это критично. Block Inheritance используется осознанно.

  6. Мониторинг привилегий. Включён аудит специальных входов. Настроены оповещения на события 4625 (серийные отказы), 4672 (административные входы в нерабочее время), аномальные запросы к контроллерам домена.

  7. Соответствие регуляторам. Архитектура доступа документируется, ведётся журнал изменений GPO, регулярно проводятся тесты на изоляцию Tier-уровней и устойчивость к Pass-the-Hash/Pass-the-Ticket.


Выбор между локальными учётками и доменом давно перестал быть бинарным. Эффективная ИТ-инфраструктура строится на гибридной модели: локальные учётки остаются аварийным и изолированным контуром, Active Directory обеспечивает строгий контроль и аудит в периметре, а облачные политики закрывают потребности удалённой работы и Zero Trust. Правильная настройка LAPS, разделение уровней управления, жёсткий аудит и современная криптография превращают эту архитектуру в надёжный фундамент, соответствующий как техническим, так и регуляторным требованиям.