Active Directoryは、社内のユーザー、パソコン、権限、共有フォルダ、プリンター、ポリシー設定などを一元管理するための基盤です。
社内IT管理者にとっては、単なる「Windowsログインの仕組み」ではなく、アカウント管理、PC管理、セキュリティ統制、運用効率化の中心になります。
この記事では、Active Directoryの基本から、実務での使い方、導入手順、Windows 11との関係、ライセンスの考え方、セキュリティリスク、対策、運用の注意点までを、現場ですぐ使える形でまとめます。

Contents

Active Directoryとは何か

Active Directoryとは、Microsoftのディレクトリサービスで、社内ネットワーク内の「人・端末・グループ・共有資源・権限」をまとめて管理する仕組みです。

もう少し実務的にいうと、社員がWindowsパソコンにログインするときの認証、部署ごとの共有フォルダアクセス制御、パソコンの設定配布、パスワードポリシーの統一、退職者アカウントの停止などを、ばらばらではなく一括で扱えるようにする仕組みです。

Active Directoryをひとことで言うと

「社内のID管理・端末管理・権限管理・ポリシー管理をまとめて行うための中核システム」です。

Active Directoryの中心になるのが「ドメイン」です。
ドメインとは、会社の中で統一ルールのもとにユーザーやパソコンを管理する単位です。
そして、その管理情報を保持するサーバーが「ドメインコントローラー(DC)」です。

用語 意味
Active Directory ユーザー・端末・権限・設定を管理する仕組み全体
AD DS Active Directory Domain Services。一般的に「Active Directory」と言うと多くはこれを指す
ドメイン 統一ルールで管理される範囲
ドメインコントローラー 認証や管理情報を持つサーバー
OU 組織単位。部署や拠点などで管理を分けるための箱
GPO グループポリシー。PCやユーザー設定を一括適用する仕組み
DNS Active Directoryが正しく動くために重要な名前解決の仕組み

Active Directoryはソフト?サービス?Windows 11に備わっている?契約は必要?利用料は?

ここは社内IT管理者が最初に混乱しやすいポイントです。
結論から言うと、Active Directoryは単体の買い切りソフトというより、Windows Server上で動くディレクトリサービス/サーバー機能として考えるのが実務的です。

Active Directoryは何として提供されるのか

Active Directory Domain Services(AD DS)は、Windows Serverに追加して使う「役割(Role)」です。
つまり、一般的にはWindows Serverをドメインコントローラー化して初めて本格利用します。

公式サイトURLはあるのか

はい、Microsoft公式の解説ページがあります。
社内マニュアルや提案資料に載せるなら、次のURLを控えておくと便利です。

Microsoft公式ページ例

Windows 11に最初からActive Directoryが入っているのか

Windows 11自体がドメインコントローラーになるわけではありません。
Active Directoryの本体は通常Windows Server側です。
Windows 11側は、そのActive Directoryドメインに参加したり、管理ツールで操作したりするクライアントとして使います。

たとえばWindows 11 Proでは、Windows Serverと組み合わせることで、ドメイン参加やグループポリシーによる統制を受ける運用ができます。
また、管理者PCにRSAT(Remote Server Administration Tools)を追加すれば、Active Directoryユーザーとコンピューターなどの管理ツールをWindows 11から使えます。

契約は必要か

実務上は、Windows Serverのライセンスが必要です。
さらに、通常はそのサーバーサービスへアクセスするためのCAL(Client Access License)も必要になります。

重要な考え方

CALはソフトそのものではなく、サーバーのサービスにアクセスする権利です。
そのため「Windows Serverを買ったからActive Directoryは完全に追加費用なし」という理解は、ライセンス面では不十分になりやすいです。

利用料は?月額なのか?

Active Directory単体に「毎月いくら」という固定のSaaS料金があるわけではありません。
ただし、実際の運用コストとしては次のものを考える必要があります。

  • Windows Serverライセンス費用
  • CAL費用(User CAL / Device CALの考え方)
  • サーバー機器費用または仮想基盤費用
  • バックアップ費用
  • 管理工数
  • 必要に応じてMicrosoft Entra ID / Intuneなどの別契約費用

つまり、Active Directory自体を「単体サービス契約する」というより、Windows Serverベースの社内認証基盤として導入・運用するイメージが正確です。

Windowsパソコンで利用する前提条件はあるの?

はい、あります。
ただWindowsパソコンがあればすぐ使えるわけではなく、ドメイン参加や管理をするには、少なくとも次の前提条件を押さえる必要があります。

1. Active Directory側にドメインコントローラーがあること

当然ですが、先にWindows Server上でActive Directory Domain Servicesが構築されている必要があります。
クライアントだけ先に用意してもドメイン参加はできません。

2. Windowsエディションを確認すること

社内でローカルActive Directoryドメインに参加させる前提なら、実務上はWindows 11 Pro以上を基本に考えるのが安全です。
会社利用の標準PCとしても、ドメイン参加、グループポリシー、業務向け管理機能を考えるとPro系が前提になりやすいです。

3. DNSが正しく設定されていること

Active Directoryで最重要レベルなのがDNSです。
クライアントPCのDNS設定が外部DNSだけを向いていたり、誤ったDNSを見ていたりすると、ドメイン参加やログオンでトラブルになります。

4. ドメインコントローラーへネットワーク接続できること

同一ネットワーク、拠点間VPN、適切なルーティングなど、クライアントがDCへ到達できる必要があります。
ファイアウォールや拠点間通信制限がある環境では、必要ポートも確認してください。

5. ドメイン参加時にローカル管理者権限があること

ドメイン参加処理には、対象PCに対する管理者権限が必要です。
現場でよくあるのが「一般ユーザー権限のまま参加しようとして失敗する」ケースです。

6. 時刻ずれが大きくないこと

ドメイン認証では時刻同期も重要です。
クライアントとサーバーの時刻が大きくずれていると認証トラブルの原因になります。

7. 管理用ツールを使うならRSATを追加すること

Windows 11を管理者端末として使う場合、RSATを追加することで、Active Directoryユーザーとコンピューターなどの管理機能を使えます。
ただし、これは「Active Directory本体をWindows 11に入れる」という意味ではなく、あくまで管理ツールの追加です。

Windowsパソコン側の実務前提条件まとめ

  • Windows 11 Pro以上を基本にする
  • 社内にActive Directoryドメインが構築済みである
  • DNSがドメイン用に正しく設定されている
  • ドメインコントローラーに疎通できる
  • ドメイン参加時にローカル管理者権限がある
  • 時刻同期に問題がない
  • 管理者PCでは必要に応じてRSATを導入する

Active Directoryでできること

Active Directoryを導入すると、社内IT管理で次のようなことができるようになります。

  • 社員アカウントを一元管理できる
  • Windows PCをドメイン参加させて統制できる
  • 部署や役職ごとにアクセス権を管理できる
  • パスワードルールを全社で統一できる
  • ログオンスクリプトやネットワークドライブ割り当てを自動化できる
  • 共有フォルダやプリンターの利用権限を制御できる
  • グループポリシーでPC設定を一括配布できる
  • 退職者や異動者のアカウント管理をすばやく実行できる
  • ローカル管理者の乱立を防ぎやすくなる
現場で特に効くポイント

社員数が増えてくると、ローカルアカウント管理や手作業設定はすぐ破綻します。
Active Directoryは、人数が増えるほど効果が大きくなる「管理の土台」です。

社内IT管理者にとっての実用例

1. 入社時のPC準備を標準化する

新入社員のアカウントをActive Directoryに作成し、所属OUに入れ、必要なセキュリティグループに追加すれば、ログイン、共有フォルダ、プリンター、業務アプリの権限付与をある程度自動化できます。

2. 退職者アカウントを即停止する

退職時にアカウントを無効化し、必要に応じてサインイン禁止、メール連携停止、所属グループ整理を行えば、不正アクセスリスクを大きく下げられます。

3. 全PCの設定を一括変更する

たとえば、USBメモリ制御、壁紙統一、スクリーンロック時間、Windows Defender設定、ログオンバナー、共有プリンター設定などをグループポリシーでまとめて配布できます。

4. 部署単位で権限を分ける

総務部だけ人事フォルダにアクセス可能、工事部だけ工事台帳共有にアクセス可能、といった制御を「ユーザー個別」ではなく「グループ単位」で管理できます。

5. 拠点や部署ごとに管理権限を委任する

本社IT管理者だけが全権を持ち、各拠点担当者には限定OU内のパスワードリセット権限だけ渡す、といった設計も可能です。

Active Directoryのメリット

メリット1:ユーザー管理が圧倒的に楽になる

人数が増えると、PCごとにローカルアカウントを作る運用は現実的ではありません。Active Directoryなら、アカウント管理をサーバー側で集約できます。

メリット2:セキュリティ統制がしやすい

パスワードポリシー、アカウントロックアウト、管理者権限の制御、アクセス権の統制などを、属人的ではなく組織ルールとして適用できます。

メリット3:PC初期設定や運用負荷を減らせる

設定を個別に触るのではなく、ポリシーでまとめて配布できるため、キッティングや設定変更の手間が大幅に減ります。

メリット4:組織変更に強い

異動、組織改編、拠点追加があっても、OUやグループ設計が整理されていれば運用変更しやすくなります。

メリット5:監査対応に向く

誰にどの権限があるか、どの端末がどのルールで動いているかを整理しやすく、社内監査や情報セキュリティ監査にも向いています。

Active Directoryのデメリット

デメリット1:設計が悪いと後で苦しむ

OU設計、グループ設計、命名規則、権限設計を適当に始めると、数か月後にぐちゃぐちゃになります。Active Directoryは便利ですが、最初の設計品質がかなり重要です。

デメリット2:ドメインコントローラー障害の影響が大きい

認証の中心になるため、単一構成だと障害時の影響が大きくなります。冗長化やバックアップが前提です。

デメリット3:セキュリティ事故時の被害が広がりやすい

Active Directory自体が攻撃者に奪われると、社内の認証基盤そのものを支配される危険があります。だからこそ、管理者権限やDC保護が非常に重要です。

デメリット4:小規模環境では過剰な場合もある

PC台数がごく少なく、管理対象も単純で、クラウド中心で完結している会社では、Active Directoryの導入・維持コストが見合わないケースもあります。

導入前に決めるべき設計ポイント

Active Directoryを導入する前に、まず次の項目を決めてください。ここを曖昧にすると、後の運用負荷が一気に増えます。

  1. ドメイン名をどうするか
  2. OUをどう分けるか
  3. ユーザーとPCの命名規則をどうするか
  4. 部署別・役職別のセキュリティグループをどう作るか
  5. 共有フォルダ権限をどう設計するか
  6. 管理者権限を誰にどこまで与えるか
  7. ドメインコントローラーを何台構成にするか
  8. バックアップと障害復旧をどうするか

ドメイン名の決め方

社内で使うドメイン名は、将来のクラウド連携や証明書、名前解決も考慮して慎重に設計する必要があります。
何となく決めるのではなく、社外公開ドメインとの整合も含めて先に方針を決めるのが安全です。

OU設計の考え方

OUは「見た目で分ける箱」ではなく、「管理とポリシー適用の単位」で考えるのが基本です。

例:実務的なOU構成

company.local
├─ Users
│  ├─ HeadOffice
│  ├─ Sales
│  ├─ Construction
│  └─ Admin
├─ Computers
│  ├─ HeadOffice
│  ├─ Sales
│  ├─ Construction
│  └─ SharedPC
├─ Servers
├─ Groups
└─ ServiceAccounts

ポイントは、ユーザーとPCを分けること、部署別・用途別にポリシーを掛け分けしやすくすること、サービスアカウントやサーバーを一般端末と混在させないことです。

Active Directory導入の流れと初期構築手順

ここでは、これから初めてActive Directoryを導入する社内IT管理者向けに、実務ベースの流れを整理します。

手順1:要件整理をする

  • 管理対象のユーザー数、PC台数、拠点数を整理する
  • 共有フォルダ、プリンター、業務アプリの認証要件を整理する
  • どの部署にどの権限が必要かを洗い出す
  • Microsoft 365やクラウドサービスとの連携有無を確認する

手順2:サーバー構成を決める

小規模でも、可能ならドメインコントローラーは1台ではなく2台構成を検討してください。
1台だけだと、障害やメンテナンス時に認証基盤が止まるリスクがあります。

規模感 おすすめ構成
小規模 ドメインコントローラー2台、DNS冗長、定期バックアップ
中規模 拠点や役割を考慮した複数DC構成、監査ログ整備
拠点あり 回線品質や認証要件に応じてサイト設計も検討

手順3:Windows ServerにAD DSを追加する

Windows ServerにActive Directory Domain Servicesの役割を追加し、サーバーをドメインコントローラーへ昇格させます。

手順4:新しいフォレストまたは既存ドメインに参加させる

初回導入なら新しいフォレストを作成します。
既存Active Directory環境があるなら、既存ドメインに追加DCとして参加させます。

手順5:DNSを確認する

Active DirectoryはDNSが非常に重要です。
「名前解決が何となく動いている」ではダメで、クライアントが正しくドメインコントローラーを参照できる構成にしなければなりません。

手順6:OU・グループ・ユーザー作成ルールを整備する

いきなりユーザーを大量作成する前に、OU構造、セキュリティグループ、命名規則を決めます。

手順7:グループポリシーを最小単位から適用する

最初から大量のGPOを作らず、まずは基本設定から始めるのが安全です。

  • パスワードポリシー
  • 画面ロック
  • Windows Update方針
  • Defender基本設定
  • 共有プリンター配布
  • ネットワークドライブ割り当て

手順8:テスト用OUで検証する

本番ユーザー全体に一気に適用せず、まずはテスト用ユーザーと検証用PCを用意して、ログイン、フォルダ権限、GPO反映、アプリ動作を確認してください。

日常運用でよく使う管理作業

アカウント作成

入社時は、ユーザー作成、初期パスワード設定、所属OU設定、必要グループ追加を行います。
ここを手順化しておくと、担当者が変わっても品質がぶれません。

アカウント無効化

退職や長期休職時は、まず即時無効化。その後に必要に応じてメール、クラウド、業務アプリ、VPNなどの関連権限も整理します。

パスワードリセット

ヘルプデスク業務の定番です。権限委任を使えば、全権管理者でなくても特定OU内のパスワードリセットのみ可能にできます。

グループ管理

権限付与は「ユーザーに直接」ではなく「グループ経由」で行うのが基本です。
共有フォルダ権限も、原則としてグループベース運用にしておくと整理しやすくなります。

ドメイン参加と離脱

新PC導入時はドメイン参加を行い、退役時は資産台帳と合わせてADからも整理します。
使われていないPCアカウントを放置しないことも重要です。

グループポリシーの実践例

Active Directoryを導入したのに、GPOをほとんど使っていない環境は意外と多いです。
しかし、実務で本当に効果が出るのはここです。

すぐ導入しやすいGPO例

  • 一定時間でスクリーンロック
  • USBストレージ利用制御
  • ログオンメッセージ表示
  • 共有プリンター自動配布
  • ネットワークドライブ自動割り当て
  • コントロールパネルの一部制限
  • ローカル管理者権限の抑制
  • Windows Defender関連設定

GPO運用のコツ

  1. 「Default Domain Policy」に何でも詰め込まない
  2. 用途ごとにGPOを分ける
  3. テストOUで事前検証する
  4. GPO名を見て役割がわかる命名にする
  5. 無効化したGPOや不要GPOは整理する
おすすめの考え方

GPOは「設定を増やす道具」ではなく、「社内ルールを安定して再現する道具」です。
目的のない設定追加を続けると、将来のトラブル原因になります。

Active Directoryのセキュリティリスク

Active Directoryは便利ですが、同時に社内認証の中枢です。
つまり、Active Directoryが侵害されると、会社全体が危険になります。

リスク1:ドメイン管理者権限の乱用・乗っ取り

Domain Admins相当の強力な権限を持つアカウントが多いと、1つ漏れただけで被害が全体に広がります。

リスク2:使われていないアカウントの放置

退職者、異動者、休眠アカウント、古いサービスアカウントは、攻撃者にとって格好の入口になります。

リスク3:ローカル管理者パスワードの使い回し

全PCで同じローカル管理者パスワードを使い回していると、1台突破されただけで横展開されやすくなります。

リスク4:GPOの誤設定

強すぎる制限で業務停止を起こしたり、逆に穴だらけの設定でセキュリティ低下を招いたりします。

リスク5:DCのバックアップ不足

障害やランサムウェア被害時に、Active Directoryを正常に復旧できないと業務継続に大きく影響します。

リスク6:古いプロトコルや緩い通信設定

古いSMBや安全性の低いLDAP運用、署名未強制などは、攻撃面を広げる原因になります。

Active Directoryで実践すべき対策

1. 特権アカウントを減らす

まず最重要なのは、強い権限を持つアカウントを必要最小限にすることです。
「念のため管理者」はやめて、「その作業に必要な最小権限」に寄せます。

2. 管理用アカウントを通常業務と分離する

メールやWeb閲覧に使うアカウントと、管理作業に使うアカウントを分けてください。
管理者アカウントで普段のブラウジングやメールをしない、これだけでもリスクは大きく変わります。

3. 管理端末を分ける

ドメイン管理やサーバー管理は、できれば専用管理端末または厳格に管理された端末からのみ実施します。

4. Windows LAPSを使う

ローカル管理者パスワードの使い回し対策として、Windows LAPSの導入は非常に有効です。
各PCごとに異なるローカル管理者パスワードを自動管理できるため、横展開リスクを下げられます。

5. 安全な通信設定を確認する

Active Directory周辺の通信は、古い互換設定を引きずらないことが重要です。
古いアプリとの兼ね合いはありますが、可能な範囲で安全な設定へ寄せていく必要があります。

6. 不要アカウント・不要グループを整理する

四半期または半期ごとに、休眠アカウント、不要な権限、使われていないグループ、古いPCアカウントを棚卸ししてください。

7. バックアップと復旧手順を持つ

バックアップは取っていても、「復旧手順がない」「誰も復元方法を試したことがない」では危険です。
定期的に復旧テストまで実施するのが理想です。

8. 監査ログと変更履歴を意識する

誰がどの権限を変更したのか、どのGPOを修正したのか、重要な変更が追える状態にしておくと、トラブル対応が格段にしやすくなります。

そのまま実践しやすいActive Directory運用ルール例

社内ルールのひな形

  1. 管理者権限は申請制にする
  2. 通常業務アカウントと管理用アカウントを分離する
  3. 退職者アカウントは当日中に無効化する
  4. 共有フォルダ権限は個別ユーザー付与ではなくグループ付与に統一する
  5. GPO変更は本番前に検証OUで確認する
  6. ローカル管理者パスワードはLAPSで管理する
  7. ドメイン管理作業は専用端末または限定端末からのみ行う
  8. 四半期ごとに休眠アカウントと不要グループを棚卸しする
  9. DCのバックアップと復旧テストを定期実施する
  10. 命名規則を文書化し、例外を作らない

Active Directory運用でよくある失敗

失敗1:OUとグループの設計なしで始める

後から整理不能になりやすいです。
最低限でも、部署、拠点、端末種別、サーバー種別の整理は最初にしてください。

失敗2:管理者権限を配りすぎる

「現場対応が面倒だから」「その方が早いから」で広く権限を配ると、事故率が一気に上がります。

失敗3:Default Domain Policyに全部入れる

これは非常にありがちな失敗です。
何のための設定か追えなくなり、影響調査も難しくなります。

失敗4:検証なしでGPOを本番適用する

業務アプリ停止、プリンター不具合、ログイントラブルなどの原因になります。

失敗5:ADがあるだけで安心してしまう

Active Directoryを入れただけでは安全にはなりません。
設計、権限統制、運用ルール、監査、バックアップまで含めて初めて「使える基盤」になります。

Active Directoryが向いている会社・向いていない会社

向いている会社

  • Windows PCが複数台以上ある
  • 部署別に権限管理が必要
  • 社員の入退社や異動がある
  • 共有フォルダや社内サーバーがある
  • 監査やセキュリティ統制を強めたい
  • PC設定を統一したい

向いていない、または別解もある会社

  • 台数が極端に少ない
  • Windows中心ではない
  • 社内サーバーをほぼ使わずクラウド中心で完結している
  • 運用担当者がいないのにオンプレ管理基盤を増やしたくない

ただし、小規模でも今後人数やPCが増えるなら、早めに設計しておいた方が後で楽になることも多いです。

よくある質問

Q. Active DirectoryとMicrosoft Entra IDは同じですか?

同じではありません。
Active Directoryは主に社内Windowsネットワークやオンプレミス環境で使う基盤、Microsoft Entra IDはクラウド側のID基盤です。
実務ではハイブリッド運用になることもあります。

Q. Windows 11だけでActive Directoryは構築できますか?

基本的にはできません。
Active Directory Domain Servicesは通常Windows Server側で構築します。
Windows 11は主にドメイン参加端末、またはRSATを入れた管理端末として使います。

Q. 小規模会社でも必要ですか?

必須ではありませんが、PCが増え、担当者が複数になり、アカウント管理やセキュリティ統制が必要になるほど効果が出ます。

まとめ

Active Directoryは、社内IT管理者にとって「ユーザー認証の仕組み」以上の存在です。
ユーザー管理、PC管理、権限管理、ポリシー配布、セキュリティ統制を一体で扱うための重要な基盤です。

ただし、便利だからこそ、設計と運用を雑にすると逆に危険です。
OU設計、グループ設計、権限の最小化、GPOの整理、LAPS導入、バックアップ、監査という基本を押さえることで、Active Directoryは非常に強力な社内基盤になります。

これから導入する場合は、まずは次の順で進めるのがおすすめです。

  1. 要件整理
  2. ドメイン・OU・グループ設計
  3. DC冗長化方針の決定
  4. AD DS導入
  5. Windows 11 Pro端末などで検証
  6. GPO最小構成から本番適用
  7. 特権管理とLAPS導入
  8. 定期棚卸しとバックアップ運用

最後に

Active Directoryは、作って終わりではなく、運用して育てる仕組みです。
誰をどう管理するか」「何を統制したいか」が明確になるほど、Active Directoryは社内IT管理をかなり楽にしてくれます。

 
※実環境への適用前に、必ず検証用OU・検証用端末でテストしてから本番へ反映してください。
※参考にされる場合は自己責任でお願いします。

ActiveDirectory
この記事の運営者(IT部長)からのお知らせ

PCトラブルは解決しましたか?

もし「会社のPCが全部遅い」「Office 365のエラーが多発する」「ネットワークが不安定」といった、調べても解決しない「会社全体」のお悩みがありましたら、ぜひご相談ください。

「Windows11 高速化」といったお悩み検索で毎月1,200人以上が訪れる、
このサイトの運営者(建設会社IT部長)が、川崎・横浜・東京城南エリアの法人様限定で「無料ITお困りごと診断」を行っています。

「無料IT診断」の詳細を見る