Jomo Jomo

ワークグループ環境からActive Directoryへの移行

50名規模のワークグループ環境からActive Directory Domain Servicesを構築し、段階的に移行するまでの計画と実施手順をひとり情シスの視点で解説します。

状況:ワークグループ管理の限界に直面

社員50名、PC30台の中小企業。これまでワークグループ環境で運用してきましたが、以下の問題が深刻化していました。

  • アカウント管理の煩雑さ:各PCにローカルアカウントを個別作成しており、パスワード変更が社員任せ。退職者のアカウント削除漏れも発生
  • セキュリティポリシーの統一不可:USBメモリの使用制限やスクリーンロック設定をPCごとに手作業で設定。設定漏れや解除が頻発
  • ファイルサーバーのアクセス権管理:共有フォルダのアクセス権をローカルアカウントベースで設定しており、人事異動のたびに全サーバーの設定変更が必要
  • PC初期設定の手間:新しいPCのセットアップに半日かかり、年間の入退社・PC入替を考えると膨大な工数

セキュリティ監査でも「アカウント管理の一元化」を指摘され、Active Directory(AD)の導入を決断しました。

💡 ポイント

ひとり情シスにとってAD導入は「大きなプロジェクト」に感じるかもしれませんが、50名規模であればサーバー1台で十分構築できます。AD導入により日常の運用負荷が大幅に下がるため、「投資対効果が高い」施策です。パスワードリセット対応だけでも月に何時間も節約できます。

事前準備:設計フェーズ

ステップ1:Active Directory設計の基本事項

AD構築前に、以下の設計事項を決定します。

ドメイン名の決定

社内で使用するActive Directoryのドメイン名を決めます。インターネット上で使用するドメイン名とは別の内部ドメイン名を使用することが推奨されます。

📋 具体例

会社のWebドメインが「example.co.jp」の場合、ADドメイン名は「ad.example.co.jp」や「corp.example.co.jp」とするのが一般的です。「example.local」のような.localドメインは、macOSのmDNS(Bonjour)と競合するため、現在は非推奨です。将来的にMicrosoft 365(Azure AD)との連携を見据えるなら、パブリックドメインのサブドメインを使用しましょう。

OU(組織単位)構造の設計

OU(Organizational Unit)は、AD内でオブジェクト(ユーザー、コンピューター、グループ)を整理するためのフォルダのような構造です。

  • corp.example.co.jp(ドメインルート)
    • 本社(拠点OU)
      • 営業部
      • 経理部
      • 開発部
      • 総務部
      • 役員
    • コンピューター
      • デスクトップ
      • ノートPC
    • サーバー
    • 共有グループ

⚠️ 注意

OU構造は後から変更可能ですが、変更するとGPO(グループポリシー)のリンクも修正が必要になります。最初から完璧を目指す必要はありませんが、「部署ベース」か「機能ベース」かの基本方針は最初に決めておきましょう。50名規模であれば、シンプルな部署ベースで十分です。

ステップ2:グループポリシー(GPO)の策定

AD導入の最大のメリットの一つが、GPOによる一括設定管理です。導入時に設定すべき主要なポリシーを事前に策定します。

セキュリティ関連のGPO

  • パスワードポリシー:最小文字数8文字以上、複雑さの要件有効、有効期間90日、履歴5回分
  • アカウントロックアウト:5回連続失敗でロック、30分後に自動解除
  • スクリーンロック:10分間操作なしで自動ロック
  • USBストレージ制限:USBメモリの読み書きを禁止(必要な部門のみ例外)
  • Windows Update:WSUSまたはWindows Update for Businessで一元管理

利便性向上のGPO

  • ネットワークドライブの自動マッピング:ログオン時に部門共有フォルダを自動接続
  • プリンターの自動追加:部門ごとに使用する複合機を自動設定
  • デスクトップの壁紙・ロック画面:会社ロゴ入りの壁紙を一括設定
  • ブラウザのホームページ:社内ポータルを自動設定

💡 ポイント

GPOは一度に全部設定しようとせず、まずはセキュリティ関連の必須ポリシーから導入し、利便性向上のポリシーは後から段階的に追加するのがおすすめです。特にUSB制限やWindows Updateポリシーは業務に影響する可能性があるため、一部の部署でテスト適用してから全社展開しましょう。

構築手順:ADサーバーの構築

ステップ3:サーバーの準備

ADドメインコントローラー(DC)用のサーバーを準備します。

ハードウェア要件(50名規模の場合)

  • CPU:4コア以上(Xeon E-2300シリーズなど)
  • メモリ:16GB以上(将来の拡張を考慮)
  • ストレージ:SSD 500GB以上(RAID 1推奨)
  • OS:Windows Server 2022 Standard

サーバーの基本設定

  1. サーバーに固定IPアドレスを設定(例:192.168.10.10)
  2. サーバー名を分かりやすい名前に変更(例:SV-DC01)
  3. Windows Updateを最新まで適用
  4. Windows Serverのライセンス認証を完了

ステップ4:AD DSの役割をインストール

サーバーマネージャーから「役割と機能の追加」で以下をインストールします。

  1. Active Directory Domain Services(AD DS)
  2. DNSサーバー(AD統合DNS。AD DSと同時にインストール推奨)
  3. DHCPサーバー(既存のDHCPサーバーがない場合)

AD DSのインストール後、「このサーバーをドメインコントローラーに昇格する」ウィザードを実行します。

📋 具体例

ドメインコントローラー昇格ウィザードの設定例:
・デプロイの構成:「新しいフォレストを追加する」を選択
・ルートドメイン名:corp.example.co.jp
・フォレスト/ドメインの機能レベル:Windows Server 2016(互換性を考慮)
・DNS委任の作成:はい
・ディレクトリサービス復元モードパスワード:複雑なパスワードを設定し、金庫等に保管
・NetBIOSドメイン名:CORP(自動設定される)
ウィザード完了後、サーバーが自動再起動されます。

ステップ5:DNSとDHCPの設定

ADはDNSに強く依存するため、DNS設定は特に重要です。

  • ADサーバーのDNS設定:プライマリDNSを自身のIPアドレス(127.0.0.1または192.168.10.10)に設定
  • フォワーダー:社外のDNS解決のため、ISPのDNSサーバーまたはパブリックDNS(8.8.8.8等)をフォワーダーに設定
  • 逆引きDNSゾーン:社内のIPアドレスに対する逆引きゾーンを作成

⚠️ 注意

既存環境でルーターがDHCPサーバーの役割を担っている場合、ADサーバーにDHCPを移行する際は注意が必要です。同一ネットワーク上にDHCPサーバーが2台存在すると、IPアドレスの競合が発生します。ルーターのDHCP機能を先に無効にしてから、ADサーバーのDHCPを有効にしてください。この切り替えは業務時間外に行いましょう。

移行手順:ワークグループからドメインへ

ステップ6:ユーザーアカウントとグループの作成

ADにドメインユーザーアカウントとセキュリティグループを作成します。

  1. 各部門のセキュリティグループを作成(営業部グループ、経理部グループ等)
  2. 全社員のドメインユーザーアカウントを作成
  3. 各ユーザーを適切なグループに追加
  4. 初期パスワードを設定し、「次回ログオン時にパスワードの変更が必要」にチェック

📋 具体例

50名分のアカウントを手動で作成するのは大変です。Excelで社員リスト(氏名、部署、メールアドレス)を作成し、PowerShellスクリプトで一括作成すると効率的です。

PowerShellコマンド例(1ユーザー作成):
New-ADUser -Name "田中太郎" -SamAccountName "t.tanaka" -UserPrincipalName "t.tanaka@corp.example.co.jp" -Path "OU=営業部,OU=本社,DC=corp,DC=example,DC=co,DC=jp" -AccountPassword (ConvertTo-SecureString "InitialPass123!" -AsPlainText -Force) -ChangePasswordAtLogon $true -Enabled $true

CSVファイルとImport-Csvを組み合わせれば、50名でも数分で完了します。

ステップ7:PCのドメイン参加

各PCをドメインに参加させます。30台を一度に移行するのはリスクが高いため、以下のスケジュールで段階的に実施します。

  1. 第1週:IT担当(自分)のPC + テスト用PC 2台で動作確認
  2. 第2週:総務部(5台)を移行。問題があればすぐ対応
  3. 第3週:営業部(10台)と経理部(5台)を移行
  4. 第4週:開発部(10台)と役員(5台)を移行、残りの対応

ドメイン参加時の注意点

  • ドメイン参加前に、PCのDNS設定をADサーバーのIPアドレスに変更する(DHCP経由なら自動)
  • ドメイン参加後、ローカルアカウントのデスクトップやドキュメントのデータは新しいドメインプロファイルには引き継がれない
  • ユーザープロファイルの移行が必要(後述)

⚠️ 注意

ドメイン参加時に最もトラブルが多いのがユーザープロファイルの移行です。社員のデスクトップやマイドキュメントにあるファイル、Outlookのメールデータ、ブラウザのブックマーク、アプリケーションの設定など、ローカルプロファイルに保存されているデータはドメインアカウントに自動的には引き継がれません。事前にバックアップを取り、移行手順を確立しておくことが重要です。

ステップ8:ユーザープロファイルの移行

ローカルアカウントのプロファイルデータをドメインアカウントに移行します。

方法1:手動コピー(少数台の場合)

  1. ローカルアカウントでログインし、デスクトップ・ドキュメント・お気に入りのファイルをUSBメモリまたはファイルサーバーにコピー
  2. ドメインアカウントでログインし、コピーしたファイルを元の場所に戻す

方法2:プロファイル移行ツールの使用(推奨)

Microsoftの「User State Migration Tool(USMT)」やサードパーティの「Transwiz」「ProfWiz」などのツールを使えば、プロファイルデータを自動的に移行できます。

💡 ポイント

ひとり情シスの視点では、30台のPCを1台ずつ手作業で移行するのは現実的ではありません。ForensiTの「User Profile Wizard」(ProfWiz)の無償版は、ローカルプロファイルをドメインプロファイルにその場で変換できるため、非常に便利です。1台あたり15~30分程度で完了し、デスクトップの配置やアプリケーションの設定がほぼそのまま引き継がれます。

移行後の運用

日常的な運用タスク

  • パスワードリセット:ADユーザーとコンピューターからワンクリックでリセット。社員からの「パスワード忘れた」対応が格段に楽に
  • 新入社員のアカウント作成:OUにアカウントを追加し、グループに参加させるだけ。GPOが自動適用される
  • 退職者のアカウント無効化:アカウントを無効化すれば、全リソースへのアクセスが即座に遮断される
  • GPOの追加・変更:新しいセキュリティポリシーの適用が全PCに一括で反映

ADのバックアップ

ADはWindows Server バックアップでシステム状態のバックアップを毎日取得してください。ADが壊れると全社員がログインできなくなるため、バックアップは最重要です。

📋 具体例

将来的には、2台目のドメインコントローラー(DC02)を追加して冗長構成にすることを強く推奨します。DC01が故障しても、DC02が自動的に認証を引き継ぐため、社員は何事もなく業務を継続できます。2台目のDCは、既存のファイルサーバー上にHyper-Vで仮想マシンとして構築すれば、追加のハードウェア投資を抑えられます。

まとめ

  • AD導入によりアカウント管理・セキュリティポリシーの一元化が実現し、日常の運用負荷が大幅に低減する
  • ドメイン名とOU設計は将来を見据えて計画的に決定する
  • PCのドメイン参加は段階的に実施し、ユーザープロファイルの移行を忘れずに行う
  • GPOはセキュリティ関連から優先的に適用し、段階的に拡充する
  • ADのバックアップと冗長化(2台目DC)は早期に実施する