Active Directory المصطلحات والتعاريف الأساسية

Active Directory: الدليل الكامل للبنية وآلية العمل والمشاكل الشائعة في Windows Server

💡 هذا المقال جزء من سلسلة Windows Server التعليمية على مدونة كمبيوترجي، التي تشرح تقنيات السيرفر والإدارة خطوة بخطوة.

يمكنك أيضاً قراءة:
ما هو DNS؟ • شرح DHCP • تقنية RAID • شرح NTDS Partitions • شرح Data Deduplication

في عالم الشبكات الحديثة لم يعد من الممكن إدارة مئات المستخدمين والأجهزة والسياسات يدويًا. قبل ظهور Active Directory كانت الشركات تعتمد على Workgroup بدون إدارة مركزية، وكان مسؤول النظام يضطر لتطبيق الإعدادات يدويًا على كل جهاز. ظهر Active Directory مع Windows 2000 Server ليحوّل الإدارة إلى منظومة مركزية متكاملة.

الصورة الرئيسية: Active Directory في بيئة Windows Server

ما هو Active Directory؟

Active Directory (AD) هو Directory Service من تطوير Microsoft، يُستخدم لتخزين وتنظيم بيانات الشبكة مثل المستخدمين، الأجهزة، المجموعات والطابعات، ويعمل على خوادم تُعرف باسم Domain Controllers. يعتمد AD على ثلاثة مكوّنات أساسية:

Kerberos: للمصادقة وإصدار التذاكر الأمنية.
LDAP (Lightweight Directory Access Protocol): للوصول إلى كائنات الدليل وقراءة/كتابة البيانات.
DNS: لحل أسماء الخوادم والدومينات داخل البنية.

البنية الداخلية لـ Active Directory

يتكوّن AD من طبقات هرمية مترابطة تبدأ من الغابة وتنتهي بالكائنات. فهم هذه البنية يساعدنا على تصميم شبكة قابلة للتوسع وسهلة الإدارة.

1. الغابة (Forest)

هي أعلى مستوى إداري وتمثّل حدود الأمان للمؤسسة. يمكن أن تحتوي الغابة على دومين واحد أو عدة دومينات، وتشترك كلها في Schema و Global Catalog. يتم إنشاء علاقات ثقة Transitive Trust بين الدومينات داخل الغابة تلقائيًا.

2. الشجرة (Tree)

هي مجموعة دومينات تحت فضاء اسمي واحد، مثل:

computargi.local
lab.computargi.local

تُستخدم لتقسيم المؤسسة حسب الأقسام أو الفروع دون فقدان الترابط الإداري.

3. الدومين (Domain)

وحدة الإدارة الأساسية في AD. يحتوي على المستخدمين، الأجهزة، المجموعات والسياسات. لكل دومين قاعدة بيانات خاصة وسلطة تحكم واضحة. مثال: computargi.local.

4. الوحدة التنظيمية (Organizational Unit - OU)

حاويات منطقية لتقسيم الكائنات داخل الدومين حسب القسم أو الوظيفة أو الموقع. تُستخدم لتطبيق Group Policy أو لتفويض صلاحيات الإدارة (Delegation) لمدير قسم دون إعطائه صلاحيات على الدومين كاملًا.

5. الكائنات (Objects)

أي عنصر داخل Active Directory يُعد كائنًا: مستخدم، جهاز كمبيوتر، مجموعة، طابعة... لكل كائن مجموعة من الخصائص (Attributes) تحدد هويته وسلوكه داخل الشبكة.

الهيكل التنظيمي في Active Directory: Forest → Domain → OU → Objects

كيف يعمل Active Directory؟

عند تسجيل دخول المستخدم إلى جهازه، يرسل بياناته إلى Domain Controller. يقوم الـ DC بالتحقق من البيانات داخل قاعدة البيانات NTDS.dit، ويستخدم بروتوكول Kerberos لإصدار تذكرة أمان (Ticket) تسمح للمستخدم بالوصول إلى الموارد دون إعادة إدخال كلمة المرور. يُستخدم LDAP للوصول لبيانات الدليل وقراءتها.

يعمل أكثر من Domain Controller معًا ضمن آلية Multi-Master Replication، أي أن أي خادم يمكنه استقبال التغييرات (إضافة مستخدم – تعديل مجموعة – تغيير سياسة) ثم يقوم بمزامنتها مع بقية الخوادم. هذا يضمن الاستمرارية ويمنع نقطة الفشل الواحدة.

قاعدة البيانات NTDS.dit

تُعد NTDS.dit القلب الحقيقي لـ Active Directory، وتُخزّن في المسار:

C:\\Windows\\NTDS\\NTDS.dit

وتنقسم إلى عدة أقسام (Partitions):

Schema Partition: يحتوي على تعريفات الكائنات والسمات.
Configuration Partition: إعدادات الغابة وعلاقات الثقة.
Domain Partition: بيانات المستخدمين والمجموعات داخل الدومين.
Application Partition: تُستخدم للتطبيقات مثل DNS Zones.

تُنسَخ هذه الأقسام عبر Multi-Master Replication بين جميع الـ Domain Controllers. ولأنها حساسة، يجب أخذ نسخ احتياطية دورية منها:

wbadmin start systemstatebackup -backuptarget:D:

في البيئات الكبيرة يُنصح بتفعيل Global Catalog على خادم أو أكثر لتسريع البحث والوصول للكائنات على مستوى الغابة.

أدوات إدارة Active Directory

يوفر Windows Server عدة أدوات لإدارة AD:

Active Directory Users and Computers (ADUC): لإدارة المستخدمين، المجموعات، والأجهزة.
Group Policy Management Console (GPMC): للتعامل مع السياسات الجماعية.
Active Directory Sites and Services: لضبط التكرار وإدارة الفروع.
Active Directory Administrative Center: واجهة حديثة لإدارة الكائنات.
Windows PowerShell: للأتمتة والإدارة المتقدمة.

أوامر PowerShell مفيدة

# استيراد الوحدة
Import-Module ActiveDirectory

# عرض المستخدمين في OU محددة
Get-ADUser -Filter * -SearchBase "OU=IT,DC=computargi,DC=local" | Select Name,Department

# إنشاء مستخدم جديد
New-ADUser -Name "Ali Hasan" -GivenName "Ali" -Surname "Hasan" -SamAccountName "ahasn" -UserPrincipalName "ahasn@computargi.local" -Path "OU=IT,DC=computargi,DC=local"

# تعطيل حساب
Disable-ADAccount -Identity "ahasn"

# عرض المجموعات
Get-ADGroup -Filter *

الأمان وإدارة الصلاحيات

الأمان في AD ليس رفاهية، بل ضرورة. أي حساب مسؤول مخترق يعني شبكة كاملة مخترقة. أهم الممارسات:

Least Privilege: لا تعطي صلاحيات أكثر من اللازم.
حسابات إدارة منفصلة: حساب للاستخدام اليومي وحساب آخر للمهام الإدارية.
Tier Model: قسم الشبكة إلى Tier0 (DCs) – Tier1 (Servers) – Tier2 (Clients).
Secure Admin Workstations (SAW): استخدم أجهزة إدارة معزولة للوصول للـ DC.
Auditing: فعّل مراقبة الأحداث لتتبع من غيّر ماذا ومتى.
تشفير الأقراص: استخدم BitLocker لحماية أقراص خوادم الدليل.

أفضل الممارسات الإدارية

الجدول التالي يلخّص أهم الممارسات:

الممارسة	الفائدة	التطبيق العملي
فصل الوحدات التنظيمية (OUs)	تنظيم أسهل + سياسات مخصصة	إنشاء OU لكل قسم (IT – Finance – HR)
إضافة Domain Controller احتياطي	استمرارية الخدمة	تثبيت DC ثاني مع Replication
اختبار Group Policies	تجنّب تعطيل المستخدمين	تطبيق GPO على OU تجريبية أولاً
System State Backup	استعادة الدومين عند الطوارئ	تشغيل wbadmin بشكل دوري
Monitoring & SIEM	كشف الأنشطة الضارة مبكرًا	مراجعة Event Viewer أو ربط SIEM

مشاكل شائعة في Active Directory وحلولها

1. فشل التكرار (Replication Failure)

يحدث غالبًا بسبب DNS أو انقطاع الشبكة.

repadmin /showrepl

لإجبار المزامنة:

repadmin /syncall /AdeP

2. بطء تسجيل الدخول

عادة بسبب عدم توفر Global Catalog أو بطء DNS. الحل: تفعيل GC على أكثر من خادم.

3. قفل الحسابات المتكرر (Account Lockout)

يحدث بسبب خدمة قديمة أو جهاز آخر يحاول تسجيل الدخول بكلمة قديمة.

LockoutStatus.exe

4. مشاكل DNS

DNS هو العمود الفقري لـ AD.

dcdiag /test:dns

5. تلف قاعدة NTDS.dit

الحل استعادة System State من النسخة الاحتياطية.

روابط ذات صلة من مدونة كمبيوترجي

الخاتمة

يُعد Active Directory حجر الأساس لأي مؤسسة تعتمد على Windows. فهم بنيته، طريقة عمله، وآلية الأمان فيه يضمن شبكة مستقرة وآمنة. اتباع أفضل الممارسات، ومراقبة السجلات، والنسخ الاحتياطي الدوري، كلها عناصر تعزز موثوقية النظام.

هل واجهت مشكلة مع Active Directory في عملك؟ اترك تعليقك في المدونة لتعم الفائدة.

مدونة كمبيوترجي التقنية

Active Directory المصطلحات والتعاريف الأساسية

Active Directory: الدليل الكامل للبنية وآلية العمل والمشاكل الشائعة في Windows Server

ما هو Active Directory؟

البنية الداخلية لـ Active Directory

1. الغابة (Forest)

2. الشجرة (Tree)

3. الدومين (Domain)

4. الوحدة التنظيمية (Organizational Unit - OU)

5. الكائنات (Objects)

كيف يعمل Active Directory؟

قاعدة البيانات NTDS.dit

أدوات إدارة Active Directory

أوامر PowerShell مفيدة

الأمان وإدارة الصلاحيات

أفضل الممارسات الإدارية

مشاكل شائعة في Active Directory وحلولها

1. فشل التكرار (Replication Failure)

2. بطء تسجيل الدخول

3. قفل الحسابات المتكرر (Account Lockout)

4. مشاكل DNS

5. تلف قاعدة NTDS.dit

روابط ذات صلة من مدونة كمبيوترجي

الخاتمة

Maher