يُعد Active Directory أحد أهم مكوّنات البنية التحتية في المؤسسات الكبيرة، فهو النظام الذي يدير الهويات، الصلاحيات، الأجهزة، والمصادقة عبر الشبكة. ورغم أنه موجود منذ سنوات طويلة، إلا أن تعقيد بنيته وتكامله مع الخدمات السحابية الحديثة مثل Azure AD وMicrosoft 365 يجعل من الضروري فهمه بطريقة واضحة ومنظمة.
في هذا المقال نقدم لك أكثر من 100 سؤال وجواب تم إعدادها بعناية لتغطي جميع الجوانب الأساسية والمتقدمة في Active Directory — من البنية الأساسية، وإدارة Domain Controllers، وعمليات Replication، وحتى Hybrid Identity، Azure AD Connect، والتفويض الإداري Delegation.
يعتمد هذا الدليل على أسلوب الأسئلة والأجوبة (Q&A) لأنه الأسلوب الأكثر فعالية في تبسيط المفاهيم المعقدة، ويساعد مسؤولي الأنظمة والمهندسين على اكتساب فهم عملي وسريع للمهام اليومية والمشكلات الشائعة داخل بيئة AD.
إذا كنت تبحث عن مرجع شامل، واضح، ومباشر يغطي جميع مفاهيم Active Directory — فهذا المقال هو دليلك المثالي.
🧭 Active Directory – Architecture & Core Concepts
يعتبر Active Directory العمود الفقري لإدارة الهويات والصلاحيات داخل المؤسسات الكبيرة. فهو يحدد طريقة تنظيم المستخدمين، الأجهزة، المجموعات، السياسات، والمواقع الجغرافية. في هذا المقال نشرح أهم المفاهيم الأساسية بأسلوب مبسط لكن غني بالتفاصيل، بحيث تكون الصورة واضحة لمسؤول الأنظمة أو الشخص الذي يستعد لمقابلة تقنية.
🧩 السؤال 1: ما الفرق بين Forest وDomain وTree داخل Active Directory؟
قبل فهم AD بالكامل يجب معرفة هذه الثلاثة مستويات:
- Domain:
هو الوحدة الأساسية داخل Active Directory.
يحتوي على المستخدمين، الأجهزة، المجموعات، الـ OU، والسياسات.
كل Domain له اسم DNS مثل
corp.local. وهو يمثل "حدود التحكم والصلاحيات". - Tree:
مجموعة Domains مرتبطة ببعض في شكل هرمي داخل نفس مساحة DNS.
مثال:
corp.local,hr.corp.local,it.corp.localكل هذه تشكل Tree واحد. - Forest: أعلى مستوى في AD. يحتوي على شجرة واحدة أو أكثر (Trees متعددة). جميع الـ Domains داخل نفس Forest تشترك في: - Schema واحد - Global Catalog - Trusts تلقائية بينها الـ Forest يمثل "حدود الثقة" و"الهيكل الأمني الأعلى".
✔ باختصار شديد:
• Domain = وحدة الإدارة والصلاحيات
• Tree = عدة Domains ضمن نفس DNS
• Forest = البيئة الكاملة التي تجمع كل الـ Domains
🧩 السؤال 2: ما هو Schema في AD؟ وما معنى Schema Extension؟
عند تثبيت خدمات مثل Exchange أو System Center أو تطبيقات أخرى، قد تحتاج هذه الخدمات إضافة خصائص جديدة إلى AD. هذا يسمى Schema Extension.
⚠️ التعديل على Schema حساس جداً لأنه:
• يؤثر على كل الـ Forest
• بعض التعديلات لا يمكن الرجوع عنها
• يجب أن يحدث من خلال الـ Schema Master فقط
• يجب أخذ System State Backup قبل التنفيذ
🧩 السؤال 3: ما هو Global Catalog Server؟ ولماذا هو مهم؟
- نسخة كاملة من كل كائنات الـ Domain الخاص به.
- نسخة مختصرة (Partial Attributes) من كائنات Domains الأخرى في الـ Forest.
وظيفته:
- البحث السريع عبر كل الـ Forest (مثل البحث عن مستخدم أو مجموعة).
- ضروري لحساب عضوية Universal Groups أثناء تسجيل الدخول.
- تعتمد عليه تطبيقات مثل Exchange في عمليات Address Book.
✔ يفضل وجود GC في كل موقع رئيسي للمؤسسة لضمان سرعة البحث وتسجيل الدخول.
🧩 السؤال 4: ما هي FSMO Roles ولماذا نحتاجها؟
الأدوار هي:
- Schema Master: مسؤول عن تعديلات Schema.
- Domain Naming Master: مسؤول عن إضافة أو حذف Domains داخل الـ Forest.
- PDC Emulator: أهم دور، مسؤول عن:
- مزامنة الوقت Time Sync
- تغييرات كلمة المرور
- Account Lockout
- RID Master: إصدار أرقام RID لإنشاء SIDs جديدة بطريقة منظمة.
- Infrastructure Master: تحديث المراجع للكائنات بين Domains.
✔ أهم دور عمليًا هو PDC Emulator لأنه يؤثر على تسجيل الدخول والوقت والصلاحيات.
🧩 السؤال 5: ما الفرق بين Logical Structure وPhysical Structure؟
- Logical Structure: ويشمل: Forest – Domains – OUs – Groups – GPOs هذا الجزء يمثل "التنظيم الإداري" داخل المؤسسة.
- Physical Structure: ويشمل: Sites – Subnets – Site Links – Domain Controllers هذا الجزء يمثل الشبكة الفعلية والفروع وطريقة انتقال البيانات بين DCs.
✔ ببساطة:
• Logical = كيف ننظم المستخدمين والأجهزة
• Physical = كيف تبدو الشبكة وكيف تتم حركة الـ Replication
🧩 السؤال 6: كيف تساعد Sites & Subnets في تحسين Replication وتسجيل الدخول؟
استخدامها يوفر 3 فوائد رئيسية:
- توجيه الأجهزة للاتصال بأقرب Domain Controller بناءً على عنوان IP.
- التحكم في Replication بين المواقع لتقليل الضغط على شبكة WAN.
- تسريع عمليات تسجيل الدخول عبر تحديد أقرب DC للجهاز.
✔ بدون Sites جيدة، قد يتصل جهاز في فرع بعيد بـ DC موجود في مركز بيانات آخر ببطء شديد.
🧩 السؤال 7: ما هو Domain Functional Level وForest Functional Level؟
- Domain Functional Level (DFL): يحدد ميزات الـ Domain نفسه.
- Forest Functional Level (FFL): يحدد ميزات متقدمة تشمل كل الـ Domains في الـ Forest.
✔ لرفع المستوى يجب ترقية جميع الـ DCs إلى إصدار Windows يدعم المستوى الجديد.
🧩 السؤال 8: ما هو Multi-Forest Architecture ومتى نحتاجه؟
قد نحتاج ذلك عند وجود:
- متطلبات أمنية صارمة تفصل بيئات معينة عن الأخرى.
- دمج شركات مختلفة لها بنى AD مستقلة.
- بنية IT قديمة لا يمكن دمجها بسهولة مع البنية الحديثة.
✔ يمكن إنشاء Forest Trust للسماح بالتعاون بين الـ Forests عند الحاجة.
🧩 السؤال 9: ما الفرق بين AD DS وAD LDS؟
AD LDS (Lightweight Directory Services) نسخة خفيفة من AD بدون Domains وبدون Kerberos. تُستخدم للتطبيقات التي تحتاج قاعدة Directory مماثلة لـ AD لكن بدون بنية Domain كاملة.
✔ AD DS = البيئة الكاملة للصلاحيات
✔ AD LDS = Directory بسيط للتطبيقات فقط
🧩 السؤال 10: ما هي Trust Relationships وأنواعها؟
الأنواع الأساسية:
- Two-way Trust: كل طرف يثق بالآخر، وهو النوع الافتراضي داخل نفس الـ Forest.
- One-way Trust: طرف واحد يثق بالآخر.
- Forest Trust: ربط Forest بآخر.
- External Trust: ربط Domain بآخر خارج الـ Forest.
- Realm Trust: لربط AD مع Kerberos realms خارج Windows.
✔ الهدف الأساسي: تمكين الوصول الآمن بين بيئات AD مختلفة بدون دمجها بالكامل.
🧭 Active Directory – Identity Lifecycle & Provisioning
إدارة دورة حياة الهوية في Active Directory واحدة من أهم المهام داخل أي مؤسسة كبيرة. تبدأ العملية من لحظة إنشاء حساب المستخدم، مرورًا بتحديث بياناته أثناء العمل، وحتى تعطيل الحساب أو حذفه عند مغادرته المؤسسة. في هذا المقال نستعرض أهم الأسئلة والإجابات بأسلوب واضح ومختصر دون فقدان التفاصيل المهمة.
🧩 السؤال 1: ما هي دورة حياة الهوية Identity Lifecycle داخل AD؟
دورة حياة الهوية تمر بالمراحل التالية:
- Provisioning (إنشاء الحساب):يتم إنشاء حساب المستخدم عند انضمامه للمؤسسة. يتضمن ذلك تحديد username, UPN, OU, groups وربط الحساب بوظيفته.
- Updating (تعديل البيانات):عند تغيير الوظيفة أو القسم أو المدير، يتم تحديث خصائص الحساب وعضويته في المجموعات. الهدف هو أن يحصل المستخدم دائمًا على الصلاحيات المناسبة لوظيفته.
- Disabling (تعطيل مؤقت):عند إجازة طويلة أو إيقاف مؤقت، يتم تعطيل الحساب بدون حذفه. هذه الخطوة تمنع الوصول لكنها تحافظ على البيانات.
- Deprovisioning (إنهاء الحساب):عند مغادرة الموظف للمؤسسة يتم تعطيل الحساب وإزالته من المجموعات الحساسة ونقله إلى OU خاصة بالحسابات غير النشطة.
- Deleting (الحذف النهائي):بعد انتهاء فترة الاحتفاظ (Retention Period) يتم حذف الحساب بشكل دائم.
✔ المؤسسات الكبيرة تعتمد بشكل كبير على الأتمتة لضمان الدقة وتجنب الأخطاء البشرية.
🧩 السؤال 2: ما هو مبدأ AGDLP / AGUDLP؟ ولماذا نستخدمه؟
معنى الاختصار:
- A = Accounts
- G = Global Groups
- DL = Domain Local Groups
- P = Permissions
✔ الصيغة ببساطة: المستخدمون يوضعون داخل Global Groups ثم توضع هذه Global Groups داخل Domain Local Groups ثم تُعطى الصلاحيات لـ Domain Local Group فقط.
AGUDLP يستخدم في بيئات Multi-Domain، حيث يتم إضافة طبقة Universal Group للتجميع بين عدة Domains.
✔ الفائدة الأساسية: سهولة الإدارة — حتى لو انتقل الموظف من قسم لآخر، يتم تعديل عضويته في Global Group فقط.
🧩 السؤال 3: ما الفرق بين Security Group وDistribution Group؟
الفرق واضح ومهم:
- Security Group: تُستخدم لإدارة الصلاحيات على الملفات والأنظمة والطابعات والتطبيقات. يمكن أن تكون Mail-enabled أيضًا.
- Distribution Group: تُستخدم فقط للبريد الإلكتروني (Mailing List). لا يمكن استخدامها لإعطاء صلاحيات على File Server أو غيره.
✔ قاعدة سريعة: إذا كان الهدف بريد → Distribution إذا كان الهدف صلاحيات → Security
🧩 السؤال 4: كيف تتم إدارة الحسابات المؤقتة مثل المتعاقدين أو المتدربين؟
- تحديد OU خاصة بالحسابات المؤقتة (Contractors, Interns).
- تحديد تاريخ انتهاء صلاحية واضح لكل حساب.
- منح أقل صلاحيات ممكنة وفق مبدأ Least Privilege.
- أتمتة تعطيل الحساب عند انتهاء التاريخ المحدد.
- حذف الحساب نهائيًا بعد فترة الاحتفاظ.
✔ الهدف: عدم بقاء حسابات نشطة لمستخدمين لم يعودوا يعملون في المؤسسة.
🧩 السؤال 5: كيف تتم أتمتة إنشاء المستخدمين User Provisioning باستخدام PowerShell؟
أشهر الخطوات:
- تحميل Module الخاص بـ AD عبر:
Import-Module ActiveDirectory - قراءة بيانات الموظفين من ملف CSV أو نظام HR.
- إنشاء الحساب باستخدام:
New-ADUser - إضافة المستخدم للمجموعات المناسبة:
Add-ADGroupMember - تعيين كلمة مرور أولية وتفعيل شرط تغييرها عند أول تسجيل دخول.
- إرسال إشعار للأقسام المعنية بأن الحساب أصبح جاهزًا.
✔ الأتمتة تقلل الأخطاء وتضمن أن جميع الحسابات تتبع نفس المعايير.
🧩 السؤال 6: كيف تتم إدارة Service Accounts بشكل آمن؟
أفضل الممارسات:
- استخدام Naming Convention واضح مثل:
svc_app1. - منح أقل صلاحيات ممكنة (Least Privilege).
- منع تسجيل الدخول التفاعلي (Interactive Logon).
- استخدام gMSA أو MSA لإدارة كلمات المرور تلقائيًا.
- تفعيل Audit لمعرفة من يستخدم هذا الحساب وأين.
✔ gMSA يعتبر أفضل حل لأنه يلغي الحاجة لإدارة كلمة المرور يدويًا.
🧩 السؤال 7: كيف يتم التعامل مع الحسابات غير النشطة Dormant Accounts؟
- استخدام تقارير تعتمد على lastLogonTimestamp.
- تحديد مدة معينة مثل 60 أو 90 يوم لتصنيف الحساب كـ "غير نشط".
- تعطيل الحساب أولًا (Disable).
- نقله إلى OU مخصصة للحسابات غير النشطة.
- حذفه بعد فترة الاحتفاظ (Retention Period).
✔ الحسابات غير النشطة هدف سهل للهاكرز لأنها قد تكون منسية وغير مراقبة.
🧩 السؤال 8: ما هي أفضل Naming Standards لتسمية الحسابات؟
أمثلة شائعة:
- الموظفون:
firstname.lastnameأوf.lastname. - الحسابات الخدمية:
svc_appname. - المجموعات:
SG_FS_HR_Read= Security Group + File Server + HR + ReadDG_Mail_AllStaff= Distribution Group + Mail + All Staff
✔ الهدف أن يكون اسم الحساب واضحًا ومفهومًا بدون الرجوع للمستندات.
🧩 السؤال 9: كيف تتم إدارة Shared Accounts داخل مؤسسة كبيرة؟
- تجنب استخدامها قدر الإمكان.
- عند الضرورة:
- تقييد استخدامها على أجهزة معينة فقط.
- منح صلاحيات محدودة جدًا.
- تغيير كلمة المرور بشكل دوري.
- عدم استخدامها للوصول إلى أنظمة حساسة.
✔ كلما قلّ استخدام Shared Accounts كانت البيئة أكثر أمانًا.
🧩 السؤال 10: ما سياسات الاحتفاظ والحذف للحسابات بعد مغادرة الموظف؟
- تعطيل الحساب فورًا (Disable).
- إزالة الحساب من المجموعات الحساسة.
- نقله إلى OU خاصة بالحسابات المنتهية.
- الاحتفاظ بالحساب لمدة تتراوح بين 30–180 يوم حسب سياسة المؤسسة.
- الحذف النهائي بعد انتهاء المدة.
✔ تختلف مدة الاحتفاظ حسب سياسات الشركة ومتطلبات الامتثال Compliance.
🧭 Active Directory – OU Design & Group Policy Management
تصميم Organizational Units (OUs) وإدارة Group Policy Objects (GPOs) من أهم العناصر التنظيمية داخل Active Directory. سنشرح المفاهيم الأساسية بطريقة مبسطة لكنها شاملة، مما يساعد على إنشاء بيئة AD منظمة وسهلة الإدارة في مؤسسة كبيرة.
🧩 السؤال 1: ما مبادئ تصميم هيكل OU Structure داخل مؤسسة كبيرة؟
الهدف من تصميم OU هو توفير: تنظيم للمستخدمين والأجهزة + فصل إداري + استهداف دقيق للسياسات.
أفضل الممارسات:
- عدم استخدام Default Containers مثل
UsersوComputers— لأنها لا تدعم GPO مباشرة. - إنشاء OU منفصلة للمستخدمين وأخرى للأجهزة مثل:
OU=UsersOU=WorkstationsOU=Servers
- استخدام OU لكل قسم أو منطقة جغرافية داخل المؤسسة.
- استخدام OU خاصة بالحسابات المعطلة مثل:
OU=Disabled_Accounts - عدم استخدام OU للتجميع حسب التطبيق — بل حسب الإدارة أو الوظيفة.
- التقليل من العمق الزائد (Avoid Deep Nesting) لتحسين الأداء وتسهيل الإدارة.
✔ الهدف هو جعل الإدارة أسهل وليس تعقيد الهيكل.
🧩 السؤال 2: كيف يعمل GPO Inheritance وما معنى Enforced وBlock Inheritance؟
عند ربط GPO على مستوى أعلى (مثل Domain)، تنتقل تأثيراته تلقائيًا إلى الـ OUs الموجودة تحته. هذه العملية تسمى Inheritance.
ولكن يمكن التحكم فيها عبر ميزتين:
- Block Inheritance: يمنع OU من وراثة السياسات القادمة من المستوى الأعلى (مثل Domain). لكنه لا يوقف السياسات التي تم وضعها كـ Enforced.
- Enforced: يجعل تطبيق GPO إجباريًا حتى لو تم استخدام Block Inheritance في الأسفل. يُستخدم للسياسات الحرجة مثل Security Baseline.
✔ قاعدة سريعة: Enforced = يتجاوز الجميع Block Inheritance = يمنع الوراثة، لكن لا يمنع Enforced
🧩 السؤال 3: ما هو Loopback Processing وما أنواع Mode الخاصة به؟
Loopback Processing يُستخدم لتطبيق سياسات المستخدم بناءً على الجهاز الذي يسجل الدخول إليه، وليس بناءً على موقع المستخدم في الـ OU.
يعمل في Modeين:
- Merge: يدمج سياسات المستخدم من OU الخاصة به + سياسات الجهاز. الجهاز يكون له الأولوية إذا تضاربت الإعدادات.
- Replace: يتجاهل كل سياسات المستخدم ويطبّق فقط سياسات الجهاز.
✔ يُستخدم غالبًا في أجهزة الاستقبال وخدمة العملاء وقاعات الاجتماعات حيث نريد سلوك مستخدم موحد.
🧩 السؤال 4: ما الفرق بين Group Policy Objects وGroup Policy Preferences؟
GPO Settings هي سياسات إجبارية، لا يستطيع المستخدم تغييرها، بينما GPP (Preferences) هي إعدادات مرنة يمكن للمستخدم تغييرها بعد تطبيقها.
أمثلة:
- GPO Settings: فرض Password Policy – منع Control Panel – تشغيل Firewall.
- GPP: إنشاء اختصارات، تعيين طابعات، نسخ ملفات، تغيير Registry بشكل غير إجباري.
✔ GPP أكثر مرونة — لكنها ليست بديلًا عن السياسات الأمنية.
🧩 السؤال 5: ما دور WMI Filters في GPO؟ وما تأثيرها على الأداء؟
WMI Filters تسمح بتطبيق GPO على أجهزة معينة بناءً على مواصفات مثل:
- إصدار نظام التشغيل
- RAM
- CPU architecture
- اسم الجهاز
لكنها تبطئ عملية تهيئة النظام خصوصًا في تسجيل الدخول Startup Logon لأن الجهاز ينفذ استعلام WMI قبل تطبيق GPO.
✔ لذلك يجب استخدامها عند الحاجة فقط، وعدم وضع WMI Filters في كل GPO.
🧩 السؤال 6: ما هو Starter GPO ولماذا نستخدمه؟
Starter GPO هو قالب جاهز يحتوي على مجموعة من الإعدادات الأساسية التي نريد تطبيقها في أكثر من GPO. بدلاً من إنشاء كل GPO من الصفر، نستخدم Starter GPO كبداية.
✔ يساعد في توحيد الإعدادات ✔ يوفر الوقت ✔ يقلل الأخطاء في السياسات
🧩 السؤال 7: كيف يتم تشخيص مشاكل GPO باستخدام RSOP وgpresult؟
الأداتان الأكثر استخدامًا لحل مشاكل GPO هما:
- RSOP.msc: يعرض "نتيجة السياسات" الفعلية التي تم تطبيقها على الجهاز/المستخدم.
- gpresult /r: يعرض تقريرًا نصيًا يوضح أي GPO تم تطبيقها وأيها تم تجاهله.
✔ أفضل طريقة لمعرفة سبب عدم تطبيق GPO هي استخدام gpresult لمعرفة حالة كل GPO.
🧩 السؤال 8: ما المخاطر في وضع المستخدمين أو الأجهزة داخل Default Containers؟
Default Containers مثل Users وComputers لا يمكن ربط GPO عليها مباشرة.
هذا يؤدي إلى:
- عدم تطبيق السياسات عليهم
- فوضى تنظيمية وصعوبة الإدارة
- إمكانية وصول سياسات غير مرغوبة عبر الوراثة
✔ لذلك يجب نقل كل الحسابات تلقائيًا إلى OU مناسبة باستخدام:
redirusr وredircmp
🧩 السؤال 9: كيف تعمل GPO Replication بين Domain Controllers؟
محتوى GPO له جزآن يتم تكرارهما بطريقة مختلفة:
- 1. GPO Metadata & Settings: يتم تخزينها في SYSVOL وتُكرر باستخدام DFS-R.
- 2. GPO Links & Objects: يتم تخزينها في AD Database (NTDS.dit) وتُكرر عبر AD Replication.
✔ يجب التأكد من صحة SYSVOL Replication لأنها مرتبطة مباشرة بتطبيق GPO.
🧩 السؤال 10: كيف تتم إدارة Administrative Templates داخل GPO؟
Administrative Templates عبارة عن ملفات .ADMX و.ADML
تحتوي على إعدادات جاهزة يمكن التحكم فيها من GPO.
عند إضافة نسخة Windows جديدة أو إصدار جديد من التطبيقات مثل Office، نحتاج تحديث ملفات ADMX لتظهر الإعدادات الجديدة داخل Group Policy Editor.
✔ أفضل ممارسة: وضع الـ ADMX Files في Central Store داخل SYSVOL حتى يستخدمها جميع المسؤولين بنفس الإعدادات.
🧭 Active Directory – Security, Authentication & Hardening
أمن Active Directory عنصر أساسي داخل أي مؤسسة كبيرة. فهو مركز الهوية والصلاحيات، وأي اختراق فيه يفتح الباب للوصول إلى كل الأنظمة تقريبًا. في هذا المقال سنشرح أهم مفاهيم الحماية، المصادقة، وتحصين AD بطريقة مبسّطة وواضحة.
🧩 السؤال 1: ما الفرق بين Kerberos وNTLM في عملية Authentication؟
هما بروتوكولان للمصادقة داخل Active Directory، لكن Kerberos هو الأسلوب الافتراضي والأقوى.
- Kerberos:
- أكثر أمانًا لأنه يعتمد على تذاكر (Tickets).
- يتطلب وقت متزامن بين الأجهزة (Time Sync).
- أسرع في تسجيل الدخول.
- يدعم Delegation و SSO بشكل ممتاز.
- NTLM:
- أقدم وأقل أمانًا.
- لا يتطلب اتصالًا مباشرًا بـ Domain Controller.
- لا يدعم ميزات حديثة مثل Delegation.
✔ الهدف هو تقليل استخدام NTLM قدر الإمكان داخل المؤسسة.
🧩 السؤال 2: ما هو Tier Model لحماية Privileged Accounts؟
نموذج الطبقات (Tier Model) هو طريقة لفصل الحسابات الإدارية عن الحسابات العادية لتقليل مخاطر الاختراق.
ينقسم إلى 3 طبقات:
- Tier 0: تحكم كامل في الهوية والبنية الأساسية مثل Domain Controllers.
- Tier 1: إدارة الخوادم والتطبيقات.
- Tier 2: إدارة أجهزة المستخدمين (Workstations والـ Laptops).
✔ يمنع مدير الأجهزة من الوصول إلى Domain Controllers ✔ يمنع الحساب الواحد من امتلاك صلاحيات في عدة طبقات ✔ يقلل حركة lateral movement عند حدوث اختراق
🧩 السؤال 3: ما هو Protected Users Group؟ ومتى نستخدمه؟
مجموعة Security خاصة في AD توفر حماية قوية للحسابات الحساسة مثل الحسابات الإدارية.
عند إضافـة المستخدم لهذه المجموعة يتم:
- منع استخدام NTLM بالكامل.
- منع التخزين المؤقت لكلمات المرور (Credential Caching).
- منع Delegation.
- حصر مدة الـ Kerberos Tickets بـ 4 ساعات فقط.
✔ يُفضل استخدامها للحسابات الحساسة فقط مثل المقربين من الإدارة أو مسؤولي الأنظمة.
🧩 السؤال 4: ما هي LSA Protection ولماذا نفعّلها؟
LSA Protection تمنع الوصول غير المصرح به إلى العمليات الحساسة التي تخزن الأسرار مثل كلمات المرور وTokens داخل الذاكرة.
عند تفعيلها تُحمى عملية LSASS.exe من الهجمات مثل:
- Mimikatz
- Credential Dumping
✔ تفعيلها خطوة مهمة جدًا لتأمين Domain Controllers.
🧩 السؤال 5: ما هو Credential Guard؟ وكيف يحمي AD؟
Credential Guard ميزة في Windows تستخدم Virtualization-Based Security لعزل بيانات تسجيل الدخول في بيئة آمنة لا يمكن الوصول إليها بسهولة.
هذا يمنع سرقة البيانات الحساسة مثل:
- NTLM Hashes
- Kerberos Tickets
- LSA Secrets
✔ فعال جدًا ضد هجمات Pass-the-Hash.
🧩 السؤال 6: ما هو Local Administrator Password Solution (LAPS)؟
LAPS يحل مشكلة خطيرة وهي استخدام كلمة مرور واحدة لحساب Administrator المحلي على جميع الأجهزة داخل المؤسسة — وهو هدف سهل للمهاجمين.
LAPS يقوم بـ:
- إنشاء كلمة مرور مختلفة لكل جهاز.
- تخزين كلمة المرور في AD بشكل آمن.
- تغييرها بشكل دوري تلقائيًا.
✔ يعتبر من أهم حلول Hardening لأجهزة المستخدمين.
🧩 السؤال 7: ما أهمية Time Synchronization بين أجهزة المؤسسة؟
Kerberos يعتمد بشكل كبير على الوقت. إذا كان هناك فرق زمني أكبر من 5 دقائق قد يفشل تسجيل الدخول تمامًا.
لذلك:
- جميع الأجهزة يجب أن تتزامن مع Domain Controllers.
- PDC Emulator يجب أن يتزامن مع مصدر وقت موثوق خارجي.
✔ بدون Time Sync جيد ستحدث أخطاء Authentication متكررة.
🧩 السؤال 8: ما معنى SID History؟ وما مخاطره الأمنية؟
SID History خاصية تُستخدم عند نقل المستخدمين بين Domains لإبقاء صلاحياتهم القديمة تعمل بدون الحاجة لإعادة هيكلة كل شيء.
لكن خطرها:
- يمكن للمهاجم إضافة SID غير شرعي ومنح نفسه صلاحيات عالية.
- يصعب تتبعها لأنها لا تظهر مباشرة في عضوية المجموعات.
✔ يجب مراقبة SID History باستمرار ومنع استخدامها بدون ضرورة.
🧩 السؤال 9: كيف نؤمّن Domain Controllers بشكل صحيح؟
- منع تسجيل الدخول المباشر لأي مستخدم غير مسؤول.
- عزل الـ DCs داخل شبكة خاصة (Tier 0).
- استخدام Windows Firewall بشكل صارم.
- تفعيل LSA Protection و Credential Guard.
- تحديثات أمنية منتظمة + Monitoring.
- تفعيل Audit للعمليات الحساسة.
- مراقبة تغييرات GPO و OU و Privileged Groups.
✔ لأن اختراق DC = اختراق المؤسسة بالكامل.
🧩 السؤال 10: كيف نحمي حسابات المسؤولين Privileged Accounts؟
- استخدام حسابين لكل مسؤول: • واحد عادي للعمل اليومي • واحد إداري للمهام الحساسة فقط
- عدم استخدام الحساب الإداري لتصفح الإنترنت أو البريد.
- الالتزام بـ Tier Model.
- تمكين MFA على كل الحسابات الإدارية.
- استخدام PAM / PIM لتقليل مدة الامتيازات (Just-in-Time Access).
- تسجيل ومراجعة كل الأنشطة الإدارية.
✔ أي خطأ صغير في إدارة الحسابات الإدارية قد يؤدي لاختراق شامل.
🧭 Active Directory – Replication & Domain Controller Management
تعتمد بنية Active Directory في المؤسسات الكبيرة على عدة Domain Controllers موزعين جغرافيًا. إدارة الـ Replication بينهم ومعرفة كيفية عملها ضرورية لتفادي مشاكل تسجيل الدخول والبيانات. في هذه المجموعة نشرح أهم المفاهيم المتعلقة بالنسخ (Replication) وإدارة Domain Controllers.
🧩 السؤال 1: ما الفرق بين Intra-Site Replication وInter-Site Replication؟
Intra-Site Replication: النسخ داخل نفس الموقع (Site واحد). • سريع جدًا • بدون ضغط (Compression) • يحدث بشكل تلقائي وفوري تقريبًا
Inter-Site Replication: النسخ بين مواقع مختلفة عبر WAN. • أبطأ • يستخدم Compression لتقليل حجم البيانات • يُجدول حسب Site Link Cost والمدة (Interval)
✔ الهدف هو تقليل استهلاك WAN من خلال جدولة النسخ بين المواقع.
🧩 السؤال 2: ما هو دور Knowledge Consistency Checker (KCC)؟
الـ KCC هو محرك داخلي في Domain Controller يقوم تلقائيًا بتصميم وإنشاء روابط Replication المناسبة.
وظيفته:
- إيجاد أفضل مسار للنسخ بين الـ DCs.
- إعادة بناء روابط النسخ عند حدوث مشكلة.
- ضمان أن كل DC لديه مسار موثوق للاتصال ببقية DCs.
✔ لا يحتاج تدخل يدوي إلا في السيناريوهات المعقدة جدًا.
🧩 السؤال 3: ما الفرق بين SYSVOL Replication باستخدام FRS وDFS-R؟
SYSVOL يحتوي ملفات GPO والسكربتات. وكان يتم نسخه قديمًا باستخدام FRS، ولكن الآن يجب استخدام DFS-R.
الفرق:
- FRS: • قديم جدًا • بطيء وغير موثوق • لا يدعم بيئات Large Scale
- DFS-R: • أسرع بكثير • يدعم Compression وDifferential Replication • مناسب للمؤسسات الكبيرة
✔ Windows Server الحديث لا يدعم FRS — يجب الهجرة إلى DFS-R.
🧩 السؤال 4: كيف نتحقق من صحة Replication باستخدام repadmin؟
repadmin /replsummaryملخّص شامل عن حالة النسخ بين جميع الـ DCs.repadmin /showreplيظهر حالة النسخ لكل DC والاتجاهات (Inbound/Outbound).repadmin /syncall /AeDيجبر النسخ بشكل كامل بين كل DCs.
✔ إذا ظهرت أخطاء مثل 1722 أو 8453 فهي غالبًا مشاكل DNS أو ارتباطات Sites.
🧩 السؤال 5: ما أهمية DC Locator في تسجيل الدخول؟
عندما يحاول المستخدم تسجيل الدخول، يقوم الكمبيوتر باستخدام DC Locator لتحديد أقرب Domain Controller.
يعتمد على:
- Subnets في Active Directory Sites
- DNS SRV records
- إمكانية الوصول إلى الشبكة المحلية
✔ إذا لم يكن Subnet مضافًا بشكل صحيح، قد يتصل الجهاز بـ DC في موقع بعيد (بطيء جدًا).
🧩 السؤال 6: ما الفرق بين Authoritative Restore وNon-Authoritative Restore؟
- Non-Authoritative Restore: يتم استرجاع البيانات من النسخة الاحتياطية، ثم يتم تحديثها بالنسخ الحالية من DCs الآخرين. تُستخدم في حالات Failure العادية.
- Authoritative Restore: يخبر الـ DC بأن البيانات المستعادة هي الصحيحة، فينسخها لبقية الـ DCs. تُستخدم عند حذف OU أو كائن كبير بالخطأ.
✔ دائمًا استخدم Authoritative Restore بحذر شديد.
🧩 السؤال 7: ما الفرق بين USN وHigh-Watermark Vector؟
USN (Update Sequence Number):
رقم يزداد عند كل تعديل على كائن داخل DC.
High-Watermark Vector:
سجل يحتفظ بأعلى USN تم نسخه من كل DC لآخر.
✔ هذه الآلية تمنع النسخ المتكرر لنفس التغييرات وتوفّر كفاءة عالية.
🧩 السؤال 8: ما دور Bridgehead Server في Inter-Site Replication؟
Bridgehead Server هو الـ DC المسؤول عن نقل البيانات بين Sites مختلفة.
✔ يقوم بتجميع التغييرات من Site ثم يرسلها إلى Site آخر عبر Site Links. ✔ KCC يختار هذا السيرفر تلقائيًا — ولا يُفضل تحديده يدويًا إلا للضرورة.
🧩 السؤال 9: ما أهمية Read-Only Domain Controller (RODC)؟
RODC هو Domain Controller يحتوي على نسخة للقراءة فقط من Active Directory.
يُستخدم في:
- البيئات ذات الأمان المنخفض مثل الفروع البعيدة.
- المواقع التي لا يوجد بها موظفو IT.
- تقليل خطر سرقة بيانات AD في حال اختراق الجهاز.
✔ RODC لا يخزن جميع كلمات المرور، مما يقلل التأثير عند اختراقه.
🧩 السؤال 10: ما الخطوات الأساسية عند إضافة Domain Controller جديد لمؤسسة كبيرة؟
- تثبيت Windows Server وتحديثه بالكامل.
- تعيين Static IP وDNS يشير إلى DC موجود.
- الانضمام إلى Domain.
- تشغيل
dcpromo(أو Add Roles → AD DS). - اختيار Join an existing domain.
- انتظار النسخ الأولي (Initial Replication).
- التحقق باستخدام:
dcdiagrepadmin /replsummary
- نقل FSMO Roles إذا لزم الأمر.
- تفعيل Monitoring وAudit على الـ DC الجديد.
✔ يجب دائمًا إضافة أكثر من DC لتحقيق High Availability.
🧭 Active Directory – DNS, Name Resolution & AD Integration
يعتمد Active Directory بشكل كامل على خدمة DNS، فهي المسؤولة عن تحديد موقع Domain Controllers ومعرفة الخدمات المتاحة داخل الشبكة. بدون DNS صحيح وثابت، ستظهر مشاكل في تسجيل الدخول وReplication والكثير من وظائف AD. في هذه المجموعة نشرح أهم المفاهيم بطريقة بسيطة لكنها شاملة.
🧩 السؤال 1: لماذا يعتبر DNS عنصرًا أساسيًا لعمل Active Directory؟
Active Directory يعتمد على DNS في:
- تحديد موقع Domain Controllers باستخدام SRV Records.
- تنفيذ Kerberos Authentication.
- تشغيل عمليات Replication بين DCs.
- تشغيل Group Policy بشكل صحيح.
- تسجيل الدخول Logon Process.
✔ أي مشكلة DNS = مشاكل في AD بالكامل تقريبًا.
🧩 السؤال 2: ما هي سجلات SRV Records ولماذا هي مهمة لـ DC Locator؟
SRV Records هي سجلات DNS خاصة تُعرّف الخدمات داخل الشبكة.
بالنسبة لـ Active Directory، هذه السجلات تُستخدم لمعرفة:
- أين يوجد Domain Controller؟
- أي DC يقدم Kerberos؟
- أي DC يستجيب لطلبات LDAP؟
مثال على سجل SRV:
_ldap._tcp.dc._msdcs.domain.com
✔ عند فشل SRV Records لن يتمكن الجهاز من تحديد DC المناسب.
🧩 السؤال 3: ما الفرق بين Primary وSecondary DNS Zones؟
- Primary Zone: النسخة الرئيسية التي يُسمح فيها بالكتابة والتعديل.
- Secondary Zone: نسخة للقراءة فقط يتم تحديثها عبر Zone Transfer من الـ Primary.
✔ في Active Directory غالبًا نستخدم AD-Integrated Zone، وهي أفضل من النوعين التقليديين.
🧩 السؤال 4: ما هي AD-Integrated Zones وما مزاياها؟
🧠 أهم الميزات:
- يتم تخزينها داخل AD Replication وليس عبر Zone Transfer.
- تدعم Multi-Master Replication (كل DC يمكنه التعديل).
- أسرع وأمن ضد الهجمات.
- لا تحتاج إعدادات Zone Transfer.
- أقل عرضة للتلف أو الفشل مقارنة بالـ Primary Zone التقليدية.
✔ هي الأفضل دائمًا للمؤسسات الكبيرة لأنها متوافقة تمامًا مع AD.
🧩 السؤال 5: ما الفرق بين Forward Lookup Zone وReverse Lookup Zone؟
Forward Lookup Zone:
تحويل اسم الجهاز إلى IP.
Reverse Lookup Zone:
تحويل IP إلى اسم الجهاز.
reverse lookup ليست ضرورية لعمل AD، لكنها مفيدة لـ Monitoring وSecurity والأنظمة التي تعتمد على التحقق العكسي.
🧩 السؤال 6: ماذا يحدث عند وجود DNS Misconfiguration داخل المؤسسة؟
🧠 أهم المشاكل:
- فشل تسجيل الدخول للمستخدمين.
- التوقف عن تطبيق GPO.
- توقف Replication بين Domain Controllers.
- مشاكل Kerberos وظهور كود الخطأ KRB_AP_ERR_MODIFIED.
- تأخير كبير عند Logon.
✔ 90% من مشاكل AD ناتجة عن مشاكل DNS.
🧩 السؤال 7: ما دور DNS Scavenging؟ ومتى نفعّله؟
DNS Scavenging يحذف السجلات القديمة (Stale Records) التي لم تعد مستخدمة.
مفيد في الحالات التالية:
- الأجهزة التي تغيّر IP كثيرًا.
- إعادة صياغة الأجهزة أو إعادة تسميتها.
- بيئات DHCP الواسعة.
✔ يمنع حدوث تضارب بين السجلات ويضمن دقة Name Resolution.
🧩 السؤال 8: ما الفرق بين Stub Zone وConditional Forwarder؟
Conditional Forwarder: يوجه استعلامات DNS الخاصة بـ Domain معين إلى DNS Server محدد.
Stub Zone: تحتوي فقط على سجلات أساسية (NS, SOA, A) لبيئة أخرى وتُحدّث تلقائيًا عبر DNS.
✔ Conditional Forwarder أفضل للبيئات المشتركة بين مؤسسات مختلفة. ✔ Stub Zone أفضل لبيئات داخلية تحتاج تحديث تلقائي.
🧩 السؤال 9: ما هي أفضل ممارسات DNS داخل بيئة Active Directory كبيرة؟
🧠 أفضل الممارسات:
- استخدام AD-Integrated Zones فقط.
- جعل كل Domain Controller يعمل كـ DNS Server أيضًا.
- توزيع DNS Servers على جميع Sites.
- تكوين Forwarders نحو DNS خارجي موثوق.
- تجنب إعداد Root Hints في المؤسسات الكبيرة.
- استخدام DNS Scavenging لمنع السجلات القديمة.
- الحرص على صحة سجلات SRV.
✔ ضبط DNS بدقة = استقرار Active Directory بالكامل.
🧩 السؤال 10: كيف نتحقق من صحة DNS باستخدام أدوات التشخيص؟
🧠 أهم أدوات الفحص:
dcdiag /test:dnsيشخّص حالة DNS المربوط بـ Domain Controller.nslookupللتحقق من Name Resolution.ipconfig /displaydnsلعرض Cache DNS المحلي.ipconfig /flushdnsلمسح الـ Cache عند وجود تضارب.nltest /dsgetdc:domainnameلمعرفة الـ DCs المتاحة.
✔ تُظهر هذه الأدوات بسرعة إذا كانت المشكلة من DNS أو من AD نفسه.
🧭 Active Directory – Disaster Recovery, Backup & High Availability
أي مؤسسة كبيرة تعتمد على Active Directory تحتاج خطة واضحة للتعافي من الكوارث، وضمان جاهزية البنية التحتية حتى لو تعطل Domain Controller أو حدث تلف في قاعدة البيانات. في هذا المقال نشرح أهم المفاهيم الخاصة بالنسخ الاحتياطي، الاسترجاع، والجاهزية العالية.
🧩 السؤال 1: ما أنواع النسخ الاحتياطي الأساسية لـ Active Directory؟
🧠 أهم أنواع النسخ الاحتياطي:
- System State Backup: النسخة الأهم لأنها تحتوي على: • NTDS.dit • SYSVOL • Registry • Boot files • Certificate Services (إن وجدت)
- Bare Metal Backup: نسخة كاملة لاستعادة السيرفر بالكامل من الصفر.
- Full VM Backup: للمؤسسات التي تستخدم Hyper-V أو VMware لنسخ الـ DC بالكامل.
✔ System State هو النسخة الأساسية المطلوبة لاستعادة AD.
🧩 السؤال 2: ما الفرق بين Authoritative وNon-Authoritative Restore؟
Non-Authoritative Restore: يتم استرجاع النسخة الاحتياطية ثم تحديث البيانات تلقائيًا من الـ DCs الآخرين. → مناسب لمعظم حالات الفشل.
Authoritative Restore: نجبر الـ DC على اعتبار البيانات المستعادة هي النسخة الصحيحة، فيقوم بنشرها على جميع الـ DCs الآخرين. → مناسب عند حذف OU أو كائن مهم بالخطأ.
✔ يجب استخدامه بحذر لأنه قد يستبدل بيانات حديثة بقديمة.
🧩 السؤال 3: ما دور Recycle Bin في AD؟ وهل يغني عن النسخ الاحتياطي؟
Recycle Bin يسمح باسترجاع الكائنات المحذوفة مثل Users و OUs بدون فقدان الخصائص.
لكنه لا يغني عن النسخ الاحتياطي لأن:
- لا يمكنه إصلاح تلف NTDS.dit.
- لا يحمي من حذف جماعي كبير.
- لا يمكنه استرجاع SYSVOL.
✔ يُستخدم كطبقة إضافية، وليس بديلاً عن backups.
🧩 السؤال 4: كيف تؤثر Global Catalog Servers على High Availability؟
Global Catalog (GC) يسرّع عمليات البحث (Queries) وهو ضروري لتسجيل الدخول في بيئات Multi-Domain.
أفضل ممارسات GC:
- وجود GC واحد على الأقل في كل موقع (Site).
- عدم الاعتماد على GC واحد فقط في المؤسسة.
- استخدام GC Load Balancing بين السيرفرات.
✔ غياب GC قد يسبب بطء شديد أو فشل في Logon لبعض المستخدمين.
🧩 السؤال 5: ماذا يحدث عند توقف PDC Emulator؟ وما تأثيره على المؤسسة؟
🧠 PDC Emulator من أهم أدوار FSMO:
- المصدر الرئيسي للوقت (Time Source).
- مسؤول عن Password Reset replication.
- مسؤول عن GPO editing.
توقفه يؤدي إلى:
- تأخير في تسجيل الدخول.
- مشاكل Kerberos.
- فشل تعديل GPO.
- أخطاء وقتية Time Sync Errors.
✔ يجب مراقبته باستمرار ونقله بسرعة عند حدوث Failure.
🧩 السؤال 6: كيف تتم حماية Domain Controllers من الفشل المفاجئ؟
🧠 أفضل إجراءات الحماية:
- وجود أكثر من DC في كل Domain لتحقيق redundancy.
- استخدام Hyper-V Replica للمؤسسات الافتراضية.
- تمكين Monitoring عبر SIEM أو أدوات مثل SCOM.
- فصل الـ DCs في شبكة آمنة (Tier 0 Network).
- تطبيق Hardening قوي على النظام.
✔ لا يجب الاعتماد على DC واحد مهما كان قويًا.
🧩 السؤال 7: ما دور Snapshots واللماذا استخدامها خطير في Domain Controllers؟
🧠 تحذير مهم:
Snapshots في DCs قد تؤدي إلى مشاكل خطيرة في Replication.
عند إرجاع Snapshot يحدث:
- USN Rollback: يؤدي إلى توقف النسخ بين الـ DCs.
- تضارب في البيانات بين الـ DCs.
- خطر فقدان بيانات AD.
✔ Snapshots ليست بديلاً للنسخ الاحتياطي — وتستخدم فقط مع RODC أو في بيئات معزولة.
🧩 السؤال 8: كيف نحدد أفضل Site Link Cost لتسريع Replication بين الفروع؟
Site Link Cost يحدد "تكلفة" الاتصال بين المواقع. كلما كان الرقم أقل، كان الاتصال أسرع وأقل تكلفة.
أمثلة:
- روابط WAN السريعة → Cost منخفض
- روابط WAN الضعيفة → Cost أعلى
✔ KCC يستخدم Cost لتحديد أفضل مسار Replication.
🧩 السؤال 9: ما هو التخطيط الصحيح لتوزيع Domain Controllers على Sites مختلفة؟
🧠 أفضل الممارسات:
- نشر DC واحد على الأقل في كل موقع بحجم كبير.
- استخدام Global Catalog في معظم المواقع.
- ضمان وجود DNS Server في كل موقع.
- ربط المواقع عبر Site Links محسّنة.
- ضمان تواجد DC احتياطي في الموقع الرئيسي.
✔ الهدف هو أن يستطيع كل مستخدم تسجيل الدخول بسرعة بغض النظر عن موقعه.
🧩 السؤال 10: ما مكونات خطة Disaster Recovery الخاصة بـ Active Directory؟
🧠 عناصر أساسية في أي خطة DR ناجحة:
- System State Backup لجميع الـ DCs.
- اختبار النسخ الاحتياطي بشكل دوري.
- Documented Runbook لخطوات الاستعادة.
- خطة لاستعادة موقع كامل (Site Recovery).
- تحديد المسؤوليات Roles & Contacts أثناء الأزمة.
- مراقبة Replication وصحة الـ DCs باستمرار.
- التأكد من Time Synchronization الصحيح.
✔ نجاح خطة DR يتوقف على التوثيق الجيد والتجربة المتكررة قبل وقوع الكارثة.
🧭 Active Directory – Azure AD Connect, Hybrid Identity & Synchronization
تعتمد المؤسسات الكبيرة على نموذج Hybrid Identity لربط Active Directory المحلي بـ Azure Active Directory. الأداة الأساسية لتحقيق هذا الدمج هي Azure AD Connect والتي تقوم بمزامنة الحسابات وكلمات المرور والخصائص بين البيئتين. في هذه المجموعة نشرح أهم الأسئلة والمفاهيم بطريقة مبسّطة ولكن دقيقة.
🧩 السؤال 1: ما هو Azure AD Connect؟ وما دوره في بيئة Hybrid Identity؟
Azure AD Connect هو أداة تربط بين Active Directory المحلي و Azure Active Directory.
وظيفته الأساسية:
- مزامنة المستخدمين والمجموعات.
- مزامنة كلمات المرور (Password Hash Sync).
- مزامنة خصائص الـ Users Attributes.
- توفير تسجيل دخول موحد Single Sign-On.
- اختياريًا: Federation باستخدام ADFS.
✔ هو حجر الأساس في بناء هوية هجينة Hybrid Identity ناجحة.
🧩 السؤال 2: ما الفرق بين Password Hash Sync (PHS) وPass-through Authentication (PTA) وADFS؟
- PHS: يتم مزامنة Hash كلمة المرور إلى Azure AD. • الأكثر استخدامًا • سريع • لا يحتاج بنية معقدة
- PTA: كلمة المرور لا تُخزن في Azure، بل يتم التحقق منها عبر Agent داخل المؤسسة. • أكثر أمانًا • يحتاج Agents
- ADFS: المستخدم يسجل الدخول من خلال Federation Server داخلي. • مناسب للمؤسسات التي تحتاج شروط مصادقة خاصة • يحتاج بنية High Availability متقدمة
✔ معظم المؤسسات الكبيرة اليوم تفضل PHS أو PTA لأنها أبسط وأقل تكلفة تشغيلية.
🧩 السؤال 3: ما هو Synchronization Cycle؟ وما مدته الافتراضية؟
دورة المزامنة الافتراضية لـ Azure AD Connect تحدث كل 30 دقيقة.
يمكن تشغيلها يدويًا باستخدام PowerShell:
Start-ADSyncSyncCycle -PolicyType DeltaStart-ADSyncSyncCycle -PolicyType Initial
✔ Delta Sync = مزامنة التغييرات فقط ✔ Initial Sync = مزامنة كاملة
🧩 السؤال 4: ما الفرق بين Filtered Synchronization وOU Filtering؟
توفر Azure AD Connect عدة طرق لتحديد ما الذي تتم مزامنته:
- OU Filtering: اختيار OUs معينة فقط للمزامنة.
- Attribute Filtering:
اختيار المستخدمين حسب خصائص معينة مثل:
extensionAttributeأوdepartment. - Domain Filtering: مزامنة Domains محددة فقط في بيئات Multi-Domain.
✔ يساعد ذلك على تقليل حجم المزامنة وتسريع الأداء.
🧩 السؤال 5: ما وظيفة Azure AD Connect Health؟
أداة Monitoring تراقب:
- Azure AD Connect Server.
- ADFS Servers.
- PTA Agents.
وتوفر:
- Alerts عند حدوث فشل في المزامنة.
- تقارير Performance.
- تحليل المشاكل الشائعة.
✔ تعتبر أداة أساسية في مراقبة بيئة Hybrid Identity.
🧩 السؤال 6: ما الفرق بين Soft Match وHard Match؟
تحدث المطابقة عند ربط حساب On-premises بحسابه في Azure.
- Soft Match: تتم المطابقة باستخدام UPN أو Email (ProxyAddresses).
- Hard Match: تتم المطابقة باستخدام immutableID (GUID).
✔ Soft Match مناسب لحالات الدمج العادية ✔ Hard Match يستخدم عند الدمج اليدوي أو إصلاح مشاكل المزامنة
🧩 السؤال 7: ما دور Staging Mode في Azure AD Connect؟
Staging Mode يسمح بتشغيل Azure AD Connect ثانٍ كنسخة احتياطية.
- لا يقوم بأي مزامنة فعلية.
- يستقبل جميع الإعدادات ويقوم بالفحص فقط.
- يمكن تفعيله بسرعة في حال فشل الخادم الرئيسي.
✔ يحقّق High Availability بدون تعقيد.
🧩 السؤال 8: ما هو Synchronization Rules Editor؟
أداة متقدمة داخل Azure AD Connect تستخدم للتحكم في:
- قواعد المزامنة.
- تعديل خصائص المستخدم أثناء المزامنة.
- تحديد اتجاه المزامنة (Inbound/Outbound).
✔ يستخدمها المسؤولون المتقدمون فقط لأنها قد تسبب مشاكل كبيرة إذا ضُبطت بشكل خاطئ.
🧩 السؤال 9: ما الفرق بين Hybrid Join وAzure AD Join وAzure AD Registered؟
- Hybrid Azure AD Join: الجهاز ينتمي لـ AD المحلي + مسجل في Azure AD. → الخيار الأكثر انتشارًا في المؤسسات الكبيرة.
- Azure AD Join: الجهاز ينتمي فقط إلى Azure AD. → مناسب للعمل السحابي الكامل أو BYOD.
- Azure AD Registered: الجهاز ليس عضوًا في أي Domain — فقط مسجل لتوفير SSO. → مناسب للهواتف والأجهزة الشخصية.
✔ Hybrid Join هو النموذج القياسي لمعظم المؤسسات الكبيرة.
🧩 السؤال 10: ما أسباب شائعة لفشل المزامنة في Azure AD Connect؟
🧠 أكثر أسباب Failure انتشارًا:
- مشاكل DNS في Domain Controllers.
- عدم تطابق UPN Suffix بين AD وAzure.
- Password Writeback غير مفعّل أو مهيأ بشكل خاطئ.
- نقص Permissions لحساب المزامنة.
- Duplicate Attributes مثل ProxyAddresses أو ImmutableID.
- إيقاف خدمة ADSync بالخطأ.
- تثبيت تحديثات Windows كسر التوافق.
✔ الحل يبدأ دائمًا بفحص Event Viewer + Azure AD Connect Health.
🧭 Active Directory – Monitoring, Logging & Troubleshooting
مراقبة Active Directory وحل مشاكله بسرعة أمر أساسي داخل أي مؤسسة كبيرة. لأن AD هو مركز الهوية والصلاحيات، فإن أي خطأ صغير قد يسبب توقفًا كبيرًا في الأنظمة. في هذه المجموعة نشرح أهم الأسئلة المتعلقة بالمراقبة، السجلات، واستكشاف الأخطاء بطريقة مبسطة ودقيقة.
🧩 السؤال 1: ما هي أهم Event Logs التي يجب مراقبتها في Domain Controllers؟
🧠 أهم السجلات داخل DC:
- Directory Service Log – سجلات قاعدة البيانات AD DS.
- DNS Server Log – مشاكل DNS.
- System Log – مشاكل الشبكة والوقت والخدمات.
- Security Log – محاولات تسجيل الدخول، الإذن، الفشل الأمني.
- File Replication Service / DFS-R Logs – حالة SYSVOL Replication.
✔ Monitoring Event Logs هو أول خطوة في حل أي مشكلة AD.
🧩 السؤال 2: ما أهمية Audit Policy داخل Active Directory؟
🧠 Audit Policy تساعد على:
- مراقبة تغييرات الحسابات.
- مراقبة تعديل المجموعات الحساسة.
- تتبع عمليات تسجيل الدخول الناجحة والفاشلة.
- الكشف المبكر عن الهجمات مثل Pass-the-Hash.
✔ المؤسسات الكبيرة لا يمكنها العمل بدون Audit شامل.
🧩 السؤال 3: كيف يساعد dcdiag في استكشاف مشاكل Domain Controllers؟
أداة dcdiag تقوم بفحص شامل لسلامة الـ DC.
أهم الاختبارات:
- DNS Tests
- Replication Tests
- FSMO Roles Status
- Connectivity Tests
✔ إذا ظهرت مشاكل DNS أو Replication، سيظهر الخطأ بوضوح داخل dcdiag.
🧩 السؤال 4: ما دور repadmin في تشخيص Replication؟
🧠 أداة أساسية لفهم وتحليل Replication بين DCs.
repadmin /showrepl— يعرض حالة النسخ.repadmin /replsummary— ملخص شامل للأخطاء.repadmin /syncall— إجبار النسخ على الفور.
✔ تستخدم كثيرًا عند تأخر GPO أو المستخدمين الجدد في الظهور.
🧩 السؤال 5: ما الفرق بين gpresult وRSOP في فحص GPO؟
🧠 أدوات مهمة جدًا لتشخيص مشاكل Group Policy:
- gpresult /r يعرض تقريرًا نصيًا عن السياسات التي تم تطبيقها فعليًا.
- RSOP.msc واجهة رسومية تعرض نتيجة السياسات مع تفاصيل كاملة.
✔ إذا لم تُطبق GPO، تبدأ الفحص بـ gpresult.
🧩 السؤال 6: ما أسباب شائعة لبطء تسجيل الدخول Logon Delay؟
🧠 أكثر الأسباب انتشارًا:
- مشاكل DNS.
- بطء Replication.
- عدادات Loopback Processing في وضع Merge/Replace.
- كثرة GPO المطبقة على الجهاز.
- سيرفرات DHCP بطيئة في إصدار IP.
- تعطل Domain Controller قريب من المستخدم.
✔ أول خطوة في حل البطء: فحص DNS + gpresult.
🧩 السؤال 7: كيف نراقب التغييرات الحساسة داخل AD مثل تعديل المجموعات الإدارية؟
🧠 يمكن مراقبة التغييرات باستخدام:
- Advanced Audit Policy Configuration.
- Security Logs على الـ DCs.
- Microsoft Defender for Identity.
- SIEM Systems مثل Splunk أو Sentinel.
- Azure AD Connect Health.
✔ أي تعديل على Domain Admins يجب أن يولد Alert فوري.
🧩 السؤال 8: ما دور Microsoft Defender for Identity في مراقبة AD؟
🧠 أداة متقدمة لكشف الهجمات على Active Directory مثل:
- Pass-the-Hash.
- Pass-the-Ticket.
- Reconnaissance Attacks.
- Privilege Escalation.
- Kerberoasting.
✔ توفر Alerts وReports تساعد فرق الأمن على التدخل السريع.
🧩 السؤال 9: ما الخطوات الأولى عند مواجهة مشكلة Authentication؟
🧠 خطوات التشخيص السريعة:
- فحص DNS (هل الجهاز يشير إلى DNS الصحيح؟).
- فحص Time Synchronization.
- فحص حساب المستخدم (Account Lockout أو Password Expired).
- تشغيل
nltest /dsgetdc:domain. - فحص Kerberos Events داخل Event Viewer.
✔ 80% من مشاكل Authentication سببها DNS أو Time Sync.
🧩 السؤال 10: ما دور PowerShell في Monitoring Active Directory؟
🧠 PowerShell أداة قوية لمراقبة AD من خلال أوامر مثل:
Get-ADUser— فحص خصائص المستخدمين.Get-ADReplicationFailure— كشف أخطاء Replication.Get-EventLog— تحليل السجلات.Get-ADComputer— مراقبة الأجهزة.Search-ADAccount -LockedOut— كشف الحسابات المقفلة.
✔ PowerShell يسهّل المراقبة خصوصًا في البيئات الكبيرة.
🧭 Active Directory – Privileged Access, Delegation & Administrative Models
تعتبر إدارة الصلاحيات الإدارية داخل Active Directory من أكثر الجوانب أهمية في بيئة مؤسسة كبيرة. حسابات المسؤولين (Privileged Accounts) تشكل هدفًا رئيسيًا للهجمات، لذلك يجب تطبيق نماذج إدارية واضحة وآمنة لتقليل المخاطر. في هذه المجموعة نشرح أهم الأسئلة المتعلقة بإدارة الصلاحيات، التفويض Delegation، والنماذج الإدارية الحديثة.
🧩 السؤال 1: ما هي Privileged Accounts؟ ولماذا تُعد خطرة؟
Privileged Accounts هي الحسابات التي تمتلك صلاحيات واسعة داخل AD مثل تعديل المستخدمين، تعديل GPO، تغيير إعدادات DNS، أو إدارة Domain Controllers.
خطرها يكمن في أنها:
- تمنح وصولًا كاملًا تقريبًا لأي نظام داخل المؤسسة.
- هدف رئيسي للهجمات الإلكترونية.
- قد تسبب أضرارًا بالغة إذا تم إساءة استخدامها.
✔ لذلك يجب عزلها وتأمينها بقواعد صارمة.
🧩 السؤال 2: ما هو نموذج Tier Model؟ وكيف يساعد في حماية الصلاحيات؟
🧠 يعتبر Tier Model من أقوى نماذج حماية الصلاحيات في المؤسسات الكبيرة.
- Tier 0: يشمل Domain Controllers، ADFS، Azure AD Connect، وكل الأنظمة المتحكمة بالهوية.
- Tier 1: إدارة السيرفرات والتطبيقات الداخلية.
- Tier 2: إدارة أجهزة المستخدمين (Workstations).
✔ يمنع بشكل صارم استخدام الحساب الإداري في طبقة غير طبقتها → هذا يقلل مخاطر الهجمات مثل lateral movement.
🧩 السؤال 3: ما أفضل طريقة لتأمين Domain Admins؟
🧠 أفضل الممارسات:
- عدم استخدام الحساب اليومي للعمل الإداري.
- استخدام حسابين لكل مسؤول (User Account + Admin Account).
- تفعيل MFA.
- تعطيل تسجيل الدخول من أجهزة المستخدمين (Workstations).
- تقييد العمل فقط على Jump Servers.
- تفعيل Protected Users Group للحسابات المهمة.
- تفعيل Audit على كل نشاط للحسابات الإدارية.
✔ الحساب الإداري يجب أن يكون الأكثر حماية داخل المؤسسة.
🧩 السؤال 4: ما هو مفهوم Delegation؟ ومتى نستخدمه؟
🧠 Delegation يعني منح مستخدم أو مجموعة قدرة محدودة لإدارة عناصر معينة داخل AD دون إعطائه صلاحيات واسعة مثل Domain Admin.
يُستخدم في المهام مثل:
- إدارة Reset Password داخل قسم معين.
- إدارة إنشاء المستخدمين الجديد داخل OU محددة.
- السماح لفريق Helpdesk بإدارة حسابات الموظفين الجدد.
✔ Delegation يقلل من الحاجة لاستخدام حسابات ذات صلاحيات خطيرة.
🧩 السؤال 5: ما الفرق بين Delegation و Privileged Access؟
🧠 الفرق باختصار:
- Privileged Access: وصول عالي المستوى مثل Domain Admin أو Enterprise Admin.
- Delegation: وصول محدود ومحدد بمهمة واحدة داخل OU أو مجموعة معينة.
✔ Delegation هو بديل آمن لتجنب منح الصلاحيات الواسعة.
🧩 السؤال 6: ما أهمية استخدام Privileged Access Workstations (PAW)؟
🧠 PAW هي أجهزة خاصة تُستخدم فقط للمهام الإدارية الحساسة.
تصميم PAW يهدف إلى:
- منع استخدام الحساب الإداري على أجهزة معرضة للمخاطر.
- عزل أدوات الإدارة في بيئة آمنة.
- تقليل احتمالية الإصابة بمالوير.
✔ PAW تُعد من أقوى الطرق لحماية الحسابات الإدارية.
🧩 السؤال 7: ما دور Protected Users وAuthentication Policies؟
🧠 Protected Users Group تمنح حماية قوية ضد:
- Kerberoasting.
- NTLM Authentication.
- Credential Caching.
Authentication Policies تسمح بفرض قواعد مثل:
- السماح للمسؤولين بتسجيل الدخول من أجهزة معينة فقط.
- تحديد مدة Session.
- منع استخدام حسابات معينة خارج ساعات العمل.
✔ كلاهما يوفر حماية متقدمة للحسابات الحساسة.
🧩 السؤال 8: ما أهمية Group Nesting في تنظيم صلاحيات المؤسسة؟
🧠 Group Nesting يعني وضع مجموعة داخل مجموعة أخرى.
أفضل نموذج للتجميع هو AGDLP:
- Accounts → Global Groups
- Global Groups → Domain Local Groups
- Domain Local Groups → Permissions
✔ يسهل إدارة الصلاحيات ويقلل التكرار.
🧩 السؤال 9: كيف نمنع الاستخدام الخاطئ لحسابات Service Accounts؟
🧠 أفضل الممارسات لحماية Service Accounts:
- استخدام gMSA لإدارة كلمة المرور تلقائيًا.
- منع تسجيل الدخول التفاعلي.
- تحديد صلاحيات محدودة جدًا.
- تفعيل Audit على استخدام الحساب.
- عدم استخدام الحسابات الإدارية كحسابات خدمة.
✔ سوء إدارة Service Accounts أحد أكبر أسباب الاختراقات.
🧩 السؤال 10: كيف نطبّق نموذج Zero Trust داخل بيئة Active Directory؟
🧠 Zero Trust يعني عدم الثقة بأي جهاز أو مستخدم بدون تحقق مستمر.
- تفعيل MFA لجميع الحسابات.
- استخدام Conditional Access.
- تقليل صلاحيات الحسابات الإدارية إلى الحد الأدنى.
- استخدام Just-in-Time Access مثل PIM.
- مراقبة كل نشاط إداري.
- عزل أجهزة الإدارة عبر PAW.
✔ Zero Trust هو النموذج الأكثر فعالية لحماية المؤسسات الكبيرة اليوم.