Active Directoryの管理はIT運用の土台
Active Directory(AD)の管理で最低限押さえるべきは、OU設計、グループポリシー、パスワードポリシー、バックアップ、退職者管理の5つです。本記事では、ひとり情シスが中小企業のAD環境を安全かつ効率的に運用するための設定項目とベストプラクティスを解説します。
ADは、Microsoftが提供するWindows Serverのディレクトリサービスであり、社内のユーザーアカウント、PC、サーバー、プリンターといったITリソースを一元管理するための基盤です。社員がPCにログインする際の認証、ファイルサーバーへのアクセス権限の制御、セキュリティポリシーの一括適用など、企業のIT運用の根幹を担っています。ADが正しく設計・運用されていないと、セキュリティリスクの増大や日常業務の非効率化に直結します。
しかし、ADの管理は専門的な知識が求められる領域であり、中小企業のひとり情シスにとっては負担が大きいのが実情です。Microsoft Learnの公式ドキュメントでもADセキュリティのベストプラクティスが詳細に解説されていますが、その内容は大規模環境を想定したものが多く、中小企業の現場にそのまま適用するのは難しい面があります。本記事では、その中から中小企業のひとり情シスが優先的に取り組むべき項目を厳選して解説します。
OU設計で管理の基盤を作る
AD管理の最初のステップは、OU(組織単位、Organizational Unit)の設計です。OUとは、AD内でユーザーやコンピューターを論理的にグループ分けするための「フォルダ」のようなものです。OUを適切に設計しておくことで、部署ごとに異なるグループポリシーを適用したり、管理権限を委任したりすることが容易になります。
中小企業でのOU設計は、シンプルに保つことが鉄則です。部署単位(営業部、総務部、開発部など)でOUを作成し、その配下にユーザーアカウントとコンピューターアカウントを格納するのが基本形になります。よくある失敗は、プロジェクト単位や拠点単位など複数の軸でOUを複雑に階層化してしまうことです。OUの階層が深くなるほど管理が煩雑になり、グループポリシーの適用順序も分かりにくくなるため、ひとり情シスの場合は2〜3階層以内に収めることを推奨します。
OUを作成したら、各OUにどのグループポリシーオブジェクト(GPO)がリンクされているかを一覧表で管理しておくと、後から設定を見直す際に大きな助けになります。OUの構成は一度作ると変更が大変な部分でもあるため、最初の段階で自社の組織構造に合った設計を慎重に行いましょう。
グループポリシーで設定を一括管理する
グループポリシー(GPO)は、AD環境におけるセキュリティ設定やデスクトップ環境の設定を、対象のユーザーやコンピューターに一括で適用する仕組みです。ひとり情シスにとってGPOは、個別のPCを1台ずつ設定して回る手間を省くための最も強力なツールです。
最低限設定すべきGPOとして、まずパスワードポリシーがあります。パスワードの最小文字数(8文字以上を推奨)、複雑さの要件(大文字・小文字・数字・記号のうち3種類以上)、パスワードの有効期間(90日程度)、パスワード履歴の記録(過去5〜10個)を設定しておくことで、弱いパスワードの使用を組織的に防げます。
次に設定すべきは、アカウントロックアウトポリシーです。パスワードの入力を一定回数(5回程度)間違えた場合にアカウントを自動でロックする設定を有効にしておくことで、ブルートフォース攻撃(総当たり攻撃)への基本的な防御となります。ロックアウトの解除は一定時間後に自動解除される設定(30分程度)にしておくと、情シスへの問い合わせ対応負荷を抑えられます。
さらに、ソフトウェアの制限ポリシーやWindows Updateの配信設定、USBデバイスの使用制限なども、GPOで一括管理できる項目です。ただし、GPOの設定項目は膨大であり、すべてを一度に設定しようとすると混乱します。まずはパスワードポリシーとアカウントロックアウトの2つを確実に設定し、そこから段階的にGPOの適用範囲を広げていくのが現実的です。
退職者・異動者のアカウント管理を徹底する
AD管理において最もセキュリティリスクが高いのが、退職者や異動者のアカウントが放置されてしまうケースです。退職した社員のアカウントが有効なまま残っていると、不正アクセスの温床になります。異動した社員が前の部署のファイルサーバーにアクセスできる状態が続いていれば、情報漏洩のリスクが発生します。
退職者のアカウント処理は、「即時無効化→一定期間保持→削除」の3ステップで運用するのがベストプラクティスです。退職日当日にアカウントを無効化し、引き継ぎやメールの確認が必要な場合に備えて30〜90日間はアカウントを削除せずに保持します。保持期間が経過したらアカウントを削除する、という流れです。
この運用を確実に行うためには、人事部門との連携が不可欠です。入退社や人事異動の情報がIT部門に速やかに共有される仕組み(月次の人事異動リストの共有、または人事システムとの連携)を構築しておきましょう。ひとり情シスの場合、人事部門の担当者と「退職日の前営業日までにメールで通知する」というルールを取り決めておくだけでも、対応漏れを大幅に減らせます。
定期的な棚卸しも重要です。四半期に一度、AD上の全ユーザーアカウントの一覧を出力し、在籍者リストと突き合わせて不要なアカウントがないかを確認しましょう。PowerShellの「Get-ADUser」コマンドを使えば、最終ログイン日時が一定期間以上前のアカウントを抽出することも可能です。
バックアップとドメインコントローラーの冗長化
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?
営業電話なし オンライン対応可 相談だけでもOK
ADは企業のIT基盤の中核であるため、障害が発生するとすべての認証やアクセス制御が停止し、業務全体に甚大な影響が及びます。ADのバックアップと復旧手順を事前に確保しておくことは、ひとり情シスが見落としてはならない必須事項です。
ADのバックアップは、Windows Server標準の「Windows Server バックアップ」機能でシステム状態のバックアップを取得するのが基本です。バックアップの取得頻度は少なくとも週に1回を推奨しますが、人事異動が多い時期やGPOの変更を行った後は追加でバックアップを取得しておくと安心です。バックアップデータは、ドメインコントローラーとは物理的に別の場所(外付けHDD、NAS、クラウドストレージなど)に保管しましょう。
可能であれば、ドメインコントローラーは2台以上で冗長構成にしておくことを強く推奨します。ADは複数のドメインコントローラー間でデータを自動的に複製(レプリケーション)する仕組みを持っているため、1台が故障しても残りのドメインコントローラーで認証やポリシー適用を継続できます。中小企業であっても、既存のサーバーを仮想化して2台目のドメインコントローラーを追加する方法であれば、追加のハードウェア投資を抑えつつ可用性を高めることが可能です。
御社のAD管理を最適化する5つのアクション
ここまでの内容を踏まえ、明日から着手できるアクションを整理します。
第一に、現在のOU構成とGPOのリンク状況を確認し、一覧表にまとめることです。AD管理コンソール(Active Directoryユーザーとコンピューター)を開き、OUの構造とGPOの適用状況を把握するところから始めましょう。
第二に、パスワードポリシーとアカウントロックアウトポリシーの現在の設定値を確認することです。まだ設定されていない場合は、本記事で紹介した推奨値を参考に即座に設定しましょう。
第三に、退職者・異動者のアカウント管理フローを人事部門と合意することです。「退職日の前営業日までにIT部門へメール通知する」というルールを一つ決めるだけでも、対応漏れのリスクは大きく下がります。
第四に、ADのバックアップ状況を確認することです。定期バックアップが設定されていない場合は、Windows Server バックアップでシステム状態のバックアップを週次で取得するスケジュールを設定しましょう。
第五に、ドメインコントローラーが1台しかない場合は、2台目の追加を計画することです。仮想サーバーを利用すれば比較的低コストで冗長化が実現できます。
AD管理の最適化は、セキュリティ強化と運用効率化を同時に実現できる施策です。GXOでは、180社以上の支援実績と92%の成功率を活かし、AD環境の設計・構築から運用保守、Microsoft Entra ID(旧Azure AD)との連携設計まで一気通貫でサポートしています。AD管理にお悩みの方は、ぜひご相談ください。
よくある質問
Q. Microsoft Entra ID(旧Azure AD)への移行は必要ですか?
Microsoft 365やSaaSアプリケーションの利用が増えている場合は、オンプレミスADとMicrosoft Entra IDを連携させるハイブリッド構成を検討する価値があります。シングルサインオン(SSO)や多要素認証(MFA)といったクラウド時代のセキュリティ機能を活用できるようになります。ただし、完全移行には綿密な計画が必要なため、まずはオンプレミスADの基本管理を固めた上で段階的に進めるのが現実的です。
Q. ひとり情シスでもAD管理は可能ですか?
本記事で紹介した基本的な管理項目であれば、一人でも十分に対応可能です。重要なのは、手順をマニュアル化して属人化を防ぐことと、定期作業(バックアップ確認、アカウント棚卸しなど)をスケジュール化して漏れなく実行することです。複雑な設計変更や障害対応については、外部の専門パートナーに相談できる体制を持っておくと安心です。
Q. ADのバージョンが古い場合、アップグレードすべきですか?
Windows Server 2012 R2以前のバージョンはMicrosoftの延長サポートが終了しており、セキュリティ更新プログラムが提供されない状態です。サポート切れのOSでドメインコントローラーを運用することは重大なセキュリティリスクとなるため、Windows Server 2022以降へのアップグレードを早急に検討してください。
まとめ
Active Directoryの管理は、OU設計、グループポリシー、退職者管理、バックアップ、ドメインコントローラーの冗長化という5つの基本を押さえることで、ひとり情シスでも安全で効率的な運用が実現できます。まずは現状のOU構成とGPO設定の確認から始めましょう。
AD環境の設計・運用支援が必要な場合は、180社以上の実績を持つGXOにお気軽にご相談ください。
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。
営業電話なし オンライン対応可 相談だけでもOK
![kintoneで実現する業務効率化!成功企業の共通点とは](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" width="800" height="400" viewBox="0 0 800 400"%3E%3Crect width="800" height="400" fill="%2314b8a6"/%3E%3Ctext x="50%25" y="50%25" text-anchor="middle" dy=".3em" fill="white" font-family="Inter" font-size="32"%3Ekintone活用術%3C/text%3E%3C/svg%3E)
