Windows Server & Active Directory 構築・運用ガイド
Windows Serverの導入計画からActive Directoryの設計・構築、ユーザー管理、グループポリシー運用、日常運用まで、ひとり情シスが押さえるべきAD管理の全てを体系的に解説します。
1. Windows Server導入計画
Windows Serverは中小企業のITインフラの中核となるOSです。導入前に適切な計画を立てることで、後のトラブルを大幅に減らせます。
エディション選定
Windows Serverには複数のエディションがあり、企業規模と用途に応じて選定します。
| エディション | 特徴 | 仮想化権限 | 推奨規模 | 参考価格 |
|---|---|---|---|---|
| Essentials | ユーザー25名/デバイス50台まで。CAL不要 | なし | 小規模(~25名) | 約7万円 |
| Standard | フル機能。仮想OSE 2台分 | 2 VM | 中小企業(25~500名) | 約13万円+CAL |
| Datacenter | フル機能。仮想化無制限 | 無制限 | 仮想化基盤を多用する場合 | 約90万円+CAL |
ポイント:社員25名以下でサーバー1台のシンプルな構成であればEssentialsが最もコスパが良いです。ただし、Essentialsはドメインコントローラーとしてのみ動作し、他のサーバーのドメインメンバーにはなれないなどの制限があります。社員数が増加する見込みがある場合は、最初からStandardを選択したほうが後のライセンス変更の手間を省けます。
ライセンス体系
Windows Serverのライセンスは複雑ですが、以下の基本を押さえておきましょう。
- サーバーライセンス:物理サーバーのコア数に基づいて必要(最小16コア)。Standard/Datacenterが対象
- CAL(Client Access License):サーバーに接続するユーザーまたはデバイスごとに必要
- ユーザーCAL vs デバイスCAL:ユーザーCALは1人が複数デバイスから接続する場合に有利。デバイスCALは共有PCが多い場合に有利
| CAL種別 | 適用単位 | お得なケース | 参考単価 |
|---|---|---|---|
| ユーザーCAL | 1ユーザー | 社員がPC+スマホなど複数デバイスを使う場合 | 約5,000円/ユーザー |
| デバイスCAL | 1デバイス | 交替勤務で1台のPCを複数人が共有する場合 | 約5,000円/デバイス |
⚠️ 注意
CALの購入忘れは意外に多いです。Windows Serverは技術的にはCALなしでも接続できてしまいますが、ライセンス違反になります。マイクロソフトの監査が入った場合、追加費用やペナルティが発生する可能性があります。新入社員が入るたびにCALを追加購入する運用を確立しましょう。
ハードウェア要件
Windows Server 2022の最小要件と、中小企業での推奨スペックを示します。
| 項目 | 最小要件 | 推奨スペック(AD/ファイルサーバー兼用) | 推奨スペック(仮想化ホスト) |
|---|---|---|---|
| CPU | 1.4GHz 64bit | 4コア以上(Xeon E-2300等) | 8コア以上(Xeon Silver等) |
| メモリ | 512MB | 16~32GB | 64GB以上 |
| ディスク | 32GB | SSD 500GB(RAID1) | SSD 1TB+(RAID5/10) |
| ネットワーク | 1GbE | 1GbE × 2(チーミング) | 10GbE推奨 |
📋 具体例
社員50名の企業でのサーバー構成例:タワー型サーバー(Dell PowerEdge T350またはHPE ProLiant ML350 Gen10)を1台導入。CPU: Intel Xeon E-2334(4コア)、メモリ: 32GB、ストレージ: SSD 480GB×2(RAID1)。用途はActive Directory+ファイルサーバー+プリントサーバー。導入費用は約40~60万円。保守契約(5年)を含めると約60~80万円。
2. Active Directory設計
Active Directory(AD)は、ユーザー、コンピューター、グループ、ポリシーを一元管理するためのディレクトリサービスです。正しく設計することで、日常的な管理業務が大幅に効率化されます。
ドメイン名の決定
ADのドメイン名は一度決めると変更が非常に困難です。慎重に決定しましょう。
| パターン | 例 | メリット | デメリット |
|---|---|---|---|
| サブドメイン方式(推奨) | ad.example.co.jp | 外部DNSとの競合なし。名前解決が明確 | 少し長い |
| 独自ドメイン方式 | example.local | シンプル。外部と完全に分離 | .localは証明書取得不可。mDNSとの競合可能性 |
| 同名方式 | example.co.jp | ユーザーにわかりやすい | スプリットDNSの設定が複雑 |
ポイント:現在のベストプラクティスは「サブドメイン方式」です。自社が所有する外部ドメインのサブドメイン(例:ad.example.co.jp、corp.example.co.jp)を使用します。.localドメインはマイクロソフトも非推奨としており、将来のクラウド連携(Entra ID Connect)やSSL証明書の取得で問題が発生する可能性があります。
OU(組織単位)構造の設計
OU(Organizational Unit)は、ADオブジェクトを整理するためのコンテナです。グループポリシーの適用単位にもなるため、運用を見据えた設計が重要です。
推奨するOU構造の例:
- 第1階層:会社名(例:Example Corp)
- Users:ユーザーアカウント
- 営業部
- 技術部
- 管理部
- 役員
- Computers:コンピューターアカウント
- デスクトップ
- ノートPC
- サーバー
- Groups:グループアカウント
- ServiceAccounts:サービスアカウント
- Disabled:無効化されたアカウント(退職者等)
- Users:ユーザーアカウント
⚠️ 注意
OU構造を深くしすぎると管理が複雑になります。中小企業では3階層以内に収めるのが理想です。また、デフォルトの「Users」「Computers」コンテナにはグループポリシーを適用できない(OUではないため)ので、必ず独自のOUを作成し、そこにオブジェクトを移動させてください。
命名規則の策定
AD環境での命名規則は統一性が重要です。以下は推奨する命名規則例です。
| 対象 | 命名規則 | 例 |
|---|---|---|
| ユーザーアカウント | 姓のローマ字+名の頭文字 | tanakat(田中太郎) |
| コンピューター名 | 拠点コード-部門-連番 | TKY-SALES-001 |
| サーバー名 | 拠点-役割-連番 | TKY-DC-01、TKY-FILE-01 |
| グループ名 | 種別_部門_権限 | GG_Sales_FileRead |
| サービスアカウント | svc_アプリ名 | svc_backup、svc_sqlserver |
3. AD DS構築手順
Active Directory Domain Services(AD DS)の構築は、Windows Serverの役割追加から始まります。以下に主要な手順を説明します。
ドメインコントローラーの昇格
AD DSの構築は以下の流れで行います。
- 前提条件の確認:
- 固定IPアドレスの設定
- コンピューター名の設定(後から変更は困難)
- Windows Updateの適用完了
- 役割の追加:サーバーマネージャー → 「役割と機能の追加」 → 「Active Directory ドメインサービス」を選択
- ドメインコントローラーへの昇格:役割追加後、「このサーバーをドメインコントローラーに昇格する」をクリック
- 構成ウィザード:
- 新しいフォレストの追加(初回の場合)
- ルートドメイン名の入力(例:ad.example.co.jp)
- フォレスト/ドメインの機能レベル選択(最新を推奨)
- DNS統合の確認(通常はチェックON)
- DSRMパスワードの設定(復旧用。厳重に管理)
⚠️ 注意
DSRM(Directory Services Restore Mode)パスワードは、ADのバックアップからの復元時に必要な極めて重要なパスワードです。通常の管理者パスワードとは別物です。このパスワードを紛失すると、AD障害時に復旧できなくなります。必ず安全な場所(金庫、パスワードマネージャー)に保管してください。
DNS統合の設定
Active Directoryは DNSに強く依存しています。AD統合DNSを使用すると、DNSレコードが自動的にADデータベースに格納され、レプリケーションの恩恵を受けられます。
- フォワーダー設定:社内DNSで解決できないクエリを外部DNSに転送。8.8.8.8やISPのDNSを設定
- 逆引きゾーンの作成:IPアドレスからホスト名を逆引きするためのゾーン。トラブルシューティングに必須
- エージングとスカベンジング:古いDNSレコードを自動的に削除する機能。有効化推奨(7日/7日が標準)
サイト構成(複数拠点の場合)
拠点が複数ある場合は、ADサイトを構成してレプリケーションを最適化します。
📋 具体例
東京本社と大阪支社の2拠点構成:東京サイト(10.1.0.0/16)と大阪サイト(10.2.0.0/16)をADサイトとサービスで定義します。各拠点にドメインコントローラーを1台ずつ配置し、サイトリンクで接続。レプリケーションスケジュールは15分間隔(デフォルト180分から短縮)に設定。これにより、大阪の社員は大阪のDCに認証を行い、WAN経由の認証遅延を回避できます。
4. ユーザー・グループ管理
ADの日常運用で最も頻繁に行うのが、ユーザーとグループの管理です。効率的な管理体制を整えましょう。
命名規則の徹底
先に決めた命名規則を厳格に運用します。特にユーザーアカウント名は、メールアドレスのローカルパートと統一すると管理が楽です。
| 項目 | 設定値の例 | 備考 |
|---|---|---|
| ユーザーログオン名 | tanakat | メールはtanakat@example.co.jpと統一 |
| 表示名 | 田中 太郎 | 日本語(姓 名の順) |
| 説明 | 営業部 主任 | 部署と役職 |
| 所属OU | Users/営業部 | 部門のOUに配置 |
グループ戦略(AGDLP)
AGDLPは、マイクロソフトが推奨するグループ管理のベストプラクティスです。
- A(Account):ユーザーアカウント
- G(Global Group):部門や役割ごとのグループ(例:GG_Sales)
- DL(Domain Local Group):リソースへのアクセス権限を定義するグループ(例:DL_SharedFolder_Read)
- P(Permission):実際のリソースに対する権限設定
運用の流れ:ユーザーをGlobal Groupに追加 → Global GroupをDomain Local Groupに追加 → Domain Local Groupにリソースのアクセス権を設定
ポイント:中小企業でAGDLPを厳密に運用するのは過剰に感じるかもしれませんが、「グループにユーザーを入れて、グループに権限をつける」という原則だけは必ず守ってください。個人アカウントに直接アクセス権を設定すると、退職時の権限剥奪漏れ、人事異動時の権限変更漏れが頻発します。グループ管理にしておけば、グループから外すだけで完了します。
一括作成スクリプト(PowerShell)
大量のユーザーを一括作成する場合は、PowerShellスクリプトを活用しましょう。CSVファイルからユーザーを一括登録する基本的なスクリプトの構成を紹介します。
CSVファイルの構成(users.csv):
| SamAccountName | DisplayName | GivenName | Surname | Department | Title | Password |
|---|---|---|---|---|---|---|
| tanakat | 田中 太郎 | 太郎 | 田中 | 営業部 | 主任 | P@ssw0rd123! |
| suzukij | 鈴木 次郎 | 次郎 | 鈴木 | 技術部 | リーダー | P@ssw0rd123! |
PowerShellスクリプトの基本構成は、Import-Csvでファイルを読み込み、ForEachループで各行を処理し、New-ADUserコマンドレットでユーザーを作成します。初回ログイン時にパスワード変更を強制するオプション(-ChangePasswordAtLogon $true)を必ず設定してください。
📋 具体例
新卒一括登録の運用例:毎年4月の新入社員登録を効率化するため、人事部にCSVテンプレートを提供し、入社者情報を記入してもらいます。情シスはそのCSVをスクリプトに読み込ませるだけで、ADユーザー作成、グループ追加、メールボックス作成、共有フォルダ権限設定まで自動化できます。手作業で1人30分かかる作業が、スクリプト化で1人あたり数秒になります。20人の新入社員なら約10時間の工数削減です。
5. グループポリシー運用
グループポリシー(GPO: Group Policy Object)は、ADの最も強力な機能の一つです。社内PCの設定を一元管理し、セキュリティレベルを統一できます。
GPO設計原則
- Default Domain Policyは最小限の変更に留める:パスワードポリシーとアカウントロックアウトポリシーのみ
- 用途別にGPOを分ける:1つのGPOにすべてを詰め込まない。「セキュリティ設定」「デスクトップ設定」「ドライブマッピング」など用途別に作成
- 命名規則を統一:GPO名に適用対象と用途を明記(例:「PC_Security_BitLocker」「User_Desktop_DriveMapping」)
- GPOのリンク先を明確に:どのOUにリンクされているかをドキュメント化
パスワードポリシー
パスワードポリシーはセキュリティの基本です。以下は中小企業での推奨設定です。
| ポリシー項目 | 推奨値 | 備考 |
|---|---|---|
| パスワードの最小長 | 12文字以上 | NIST SP800-63Bに準拠 |
| パスワードの有効期間 | 0(無期限)または365日 | 頻繁な変更より長く複雑なパスワードを推奨 |
| パスワードの履歴 | 24回 | 過去のパスワード再利用を防止 |
| 複雑さの要件 | 有効 | 大文字・小文字・数字・記号の組み合わせ |
| アカウントロックアウト閾値 | 10回 | ブルートフォース攻撃対策 |
| ロックアウト期間 | 30分 | 自動解除。0にすると管理者が手動解除 |
ポイント:最新のセキュリティガイドライン(NIST SP800-63B)では、パスワードの定期変更を必須とすることは推奨されていません。代わりに、長くて覚えやすいパスフレーズ(例:「今日の天気は晴れです2024!」)を推奨し、漏洩が確認された場合にのみ変更を求めるアプローチが主流になっています。ただし、取引先や業界規制で定期変更が求められる場合は、それに従ってください。
よく使うGPO設定
| GPO設定 | パス | 効果 |
|---|---|---|
| ドライブマッピング | ユーザーの構成 → 基本設定 → Windowsの設定 → ドライブマップ | 共有フォルダを自動マウント |
| デスクトップ壁紙 | ユーザーの構成 → 管理用テンプレート → デスクトップ → デスクトップ | 全社統一の壁紙設定 |
| USB制御 | コンピューターの構成 → 管理用テンプレート → システム → デバイスのインストール | USBメモリの使用制限 |
| Windows Update設定 | コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → Windows Update | 更新タイミングの制御 |
| ソフトウェア制限 | コンピューターの構成 → Windowsの設定 → セキュリティの設定 → ソフトウェア制限のポリシー | 許可されていないソフトの実行防止 |
| 電源設定 | コンピューターの構成 → 管理用テンプレート → システム → 電源の管理 | スリープ時間の統一 |
⚠️ 注意
GPOの変更は全社に影響するため、必ずテスト用OUで動作確認してから本番適用してください。「テスト用PC」OUを作成し、自分の検証PCをそのOUに配置して、新しいGPOの影響を確認する運用を確立しましょう。GPOの適用確認には「gpresult /r」コマンドが便利です。
ドライブマッピングの設定例
📋 具体例
部門別の共有フォルダマッピング設定例:営業部のユーザーがログインすると自動的にS:ドライブに営業部共有フォルダ(\\SV-FILE01\Sales)がマウントされ、Z:ドライブに全社共有(\\SV-FILE01\Common)がマウントされるように設定します。GPOの「ドライブマップ」を使い、アクション「更新」を選択。項目レベルのターゲット設定で「セキュリティグループ:GG_Sales」を指定すれば、営業部のメンバーにのみ適用されます。
6. 日常運用
AD環境を安定運用するためには、定期的な確認作業と適切なバックアップ体制が不可欠です。
AD監視のポイント
| 監視項目 | 確認方法 | 頻度 | 異常時の影響 |
|---|---|---|---|
| DCの稼働状態 | ping / サービス一覧確認 | 常時(監視ツール) | ログイン不可、認証失敗 |
| レプリケーション | repadmin /replsummary | 日次 | DC間のデータ不整合 |
| DNS解決 | nslookup テスト | 常時(監視ツール) | 名前解決失敗、AD機能停止 |
| SYSVOLレプリケーション | DFSRの状態確認 | 週次 | GPO配布失敗 |
| イベントログ | イベントビューアー確認 | 日次 | 各種障害の早期検知 |
| ディスク容量 | ディスク使用率監視 | 常時(監視ツール) | AD DB肥大化によるパフォーマンス低下 |
レプリケーション確認
ドメインコントローラーが複数ある場合、レプリケーションの正常性確認は最重要タスクです。
主な確認コマンド:
- repadmin /replsummary:全DCのレプリケーション状態サマリー
- repadmin /showrepl:詳細なレプリケーション状態
- dcdiag /v:DCの包括的な診断。多数のテストを自動実行
- dcdiag /test:dns:DNS関連の診断に特化
ポイント:dcdiagコマンドの結果で「passed」以外が表示されたら、すぐに調査してください。特に「DsReplicaCheck」「DNS」「FrsEvent」のテストは重要です。問題を放置すると、最終的にAD全体の不整合につながる可能性があります。週次で「dcdiag /v > C:\Logs\dcdiag_yyyymmdd.txt」を実行し、結果をログとして保存する運用をお勧めします。
バックアップとリストア
ADのバックアップは、システム状態(System State)のバックアップが必須です。
- バックアップ対象:System State(AD DB、SYSVOL、レジストリ、ブート構成)
- バックアップ方法:Windows Server Backup機能を使用。wbadminコマンドでスケジュール化
- バックアップ頻度:最低1日1回。ADの墓標有効期間(デフォルト180日)以内のバックアップを保持
- 保管先:別ディスクまたはNAS。DCと同じディスクは不可
⚠️ 注意
ADのバックアップは180日以内のものでなければ復元に使用できません(墓標有効期間の制約)。古いバックアップしかない場合、復元するとレプリケーションの問題が発生します。バックアップが確実に取得されているか、定期的に確認してください。また、年に1回はリストアテスト(別のサーバーへの復元テスト)を実施することを強く推奨します。
トラブルシューティング
AD運用でよくあるトラブルとその対処法を紹介します。
| トラブル | 原因 | 対処法 |
|---|---|---|
| ログインが遅い | DCとの通信遅延、GPO処理の過負荷 | DCの応答時間確認、GPO数の見直し |
| アカウントロックアウト頻発 | 古いパスワードのキャッシュ、サービスアカウント | ロックアウト元を特定(イベントログ4740) |
| GPOが適用されない | リンク切れ、セキュリティフィルタ、WMIフィルタ | gpresult /r で確認、強制更新 gpupdate /force |
| レプリケーションエラー | DNS設定ミス、ネットワーク障害、時刻ずれ | repadmin /showrepl、DNS確認、NTP確認 |
| DCが起動しない | AD DB破損、ディスク障害 | DSRMモードで起動、バックアップからリストア |
📋 具体例
AD運用チェックリスト(日次):1) DCの死活確認(ping) 2) イベントログにエラーがないか確認(Directory Service、DNS Server、System) 3) レプリケーション状態の確認(repadmin /replsummary) 4) バックアップの完了確認 5) ディスク空き容量の確認。このチェックリストを朝一番のルーティンにすれば、問題を早期に発見し、業務影響を最小限に抑えられます。所要時間は慣れれば10分程度です。