はじめに
社内のユーザーやパソコンが増えるほど、アカウント管理やアクセス制御、プリンター共有の設定は複雑になります。Active Directoryは、企業ネットワークの中核としてユーザーやコンピューター、共有リソースを一元管理するための仕組みです。
本記事では、初めて触れる方にも分かりやすいように、Active Directoryの基本から運用のコツ、dnsとの関係、導入の設定方法まで分かりやすくに解説します。
Active Directoryの基本概念
ディレクトリサービスとは
ディレクトリサービスは、組織に存在する人や機器、アプリケーションなどの情報を階層構造で保存し、検索しやすくするためのサービスです。
Active Directoryはその代表例で、ユーザーやグループ、コンピューター、プリンターなどのオブジェクトを持ち、それぞれに属性が定義されます。管理者はこの情報を使ってアクセス権を与えたり、設定を一括で配布したりできます。
オブジェクトと属性
Active Directoryに登録される要素はオブジェクトと呼ばれ、ユーザー名やメールアドレス、所属部署といった属性を持ちます。属性は検索の軸にもなり、例えば部署や役職でユーザーを絞り込むといった操作が可能です。標準の属性に加えて、組織固有の情報を格納したい場合は拡張もできます。
ドメイン ツリー フォレスト
管理の単位となるのがドメインです。ドメインは共通の認証境界であり、同じポリシーやセキュリティルールが適用されます。複数のドメインが階層的につながるとツリー、複数のツリーをまとめたものがフォレストです。フォレスト内では信頼関係が自動で張られ、ユーザーは別ドメインのリソースにも適切な権限の範囲でアクセスできます。
組織単位 OU と委任
ドメイン内の管理を細分化するために組織単位 OU を使います。OUは部門や拠点などの単位で作成し、OUごとに管理作業を委任できます。例えば、拠点ごとのヘルプデスクにパスワードリセット権限だけを渡すといった運用が可能になります。
主要な役割と仕組み
認証と認可の基礎
ユーザーがサインインするとき、Active Directoryは本人確認を行います。これが認証です。標準ではKerberosが使われ、ネットワーク上でパスワードを直接送らずに安全にやり取りします。
古いアプリ向けにはNTLMも残りますが、可能な限りKerberosを優先すると安全です。ログオン後に何にアクセスできるかを決めるのが認可で、ユーザー所属のグループや付与された権限が評価されます。シングルサインオンにより一度の認証で複数の社内サービスを利用できる点も大きな利点です。
【Kerbeso(ケルベロス)とは】
ネットワーク認証プロトコルの一つ。パスワードをネットワーク上に送信することなくユーザーとサービス間の相互認証を可能にし、シングルサインオンを実現する。クライアントは認証サーバーからチケットを受け取り、そのチケットを利用して他のサービスに再認証なしでアクセスできる。
グループポリシー
グループポリシー GPO は、設定を大量の端末に自動配布するための仕組みです。パスワードの複雑性、画面ロックの時間、USBストレージの制御、アプリの配布などを一括で適用できます。
OUやサイトに対してリンクでき、継承や優先順位の概念で柔軟に制御します。テスト用OUでの検証をはさみ、本番OUに段階的に適用するのが安全です。
グローバルカタログとスキーマ
フォレスト全体の検索性を高める役割がグローバルカタログです。オブジェクトの重要な属性を部分的に複製して保持するため、ユーザー検索やユニバーサルグループの評価が高速化されます。
オブジェクトの種類や属性の定義はスキーマで規定され、拡張時は慎重な事前検証が求められます。
サイトとレプリケーション
複数拠点にドメインコントローラーを配置する場合、ネットワークトポロジに合わせてサイトを定義します。サイト間は帯域やコストに応じたレプリケーションスケジュールを設計でき、トラフィックを最適化します。
ユーザーは近いドメインコントローラーへ自動で誘導され、ログオンが高速になります。
dnsとの密接な関係
Active Directoryはdnsと密接に連携します。ドメインコントローラーは起動時にSRVレコードをdnsに登録し、クライアントはその情報を頼りに適切なサーバーを見つけます。
AD統合ゾーンを使えばゾーン情報がディレクトリに保存され、セキュアな動的更新が可能になります。逆にdnsが不安定だとログオン遅延やGPOの適用失敗など多くの問題につながります。
よくあるdnsトラブルと対策
クライアントの優先dnsが社内のドメインコントローラーではなく外部の公開dnsになっていると、ドメイン参加やログオンに失敗しがちです。
端末のdns設定は必ず社内のdnsを指すようにし、外部の名前解決は社内dnsからフォワードさせる設計が安全です。レプリケーション後に古いレコードが残る場合はクリーンアップの間隔やスカベンジ設定を見直しましょう。
導入の設定方法の流れ
事前設計
導入の成否は設計で決まります。ドメイン名は社外公開の名前と混同しないように選定し、拠点や部署に沿ったOU階層を考えます。
アクセス権は役割に応じてグループを定義し、AGDLPやAGUDLPといった設計パターンを用いると管理が楽になります。サイトとサブネットの対応関係、dnsの配置、レプリケーション境界も併せて検討します。
検証環境の構築
本番前に最小構成の検証環境を用意し、基本動作とパッチ適用、バックアップからの復元手順を確認します。仮想環境ならスナップショットで容易にロールバックでき、グループポリシーやスキーマ拡張の影響も安全に試せます。
役割のインストール
Windows Serverではサーバーマネージャーから役割と機能の追加を実行し、Active Directoryドメインサービス AD DS とdnsサーバーを選択します。インストール後にドメインコントローラーへ昇格を実施し、新しいフォレストを作成するか既存ドメインに追加するかを指定します。このときフォレストとドメインの機能レベル、ディレクトリサービス復元モードのパスワード、SYSVOLのレプリケーション方式などを設定します。
新規ドメイン構成のポイント
最初のドメインコントローラーはグローバルカタログを有効にし、dnsはAD統合ゾーンで構成します。時間同期は正確さが重要です。PDCエミュレーターが信頼できる外部の時刻配信元と同期し、クライアントはドメイン階層を通じて時間を受け取るようにします。名前解決のフォワーダは信頼できる上流を選び、不要なルートヒントや外部公開ゾーンの重複を避けます。
クライアント参加と動作確認
クライアントの優先dnsをドメインコントローラーに設定し、端末をドメインに参加させます。ログオン後にwhoamiやgpresultでグループとポリシーの適用状況を確認します。
nslookupでSRVレコードの登録状況を点検し、dcdiagやrepadminでドメインコントローラーの健全性とレプリケーションをチェックします。共有フォルダーのアクセス権やプリンタ配布など、想定業務のシナリオで実地検証も行いましょう。
運用のポイントとベストプラクティス
セキュリティ基盤の整備
管理者権限は侵害時の影響が大きいため最小権限を徹底します。特権IDは通常の利用と分離し、管理用端末を限定するPAWの考え方を採用します。ローカル管理者のパスワードはLAPSで自動ローテーションし、管理者グループへの追加は申請と記録を義務付けます。
認証の強化
Kerberosを標準とし、弱い古いプロトコルは段階的に無効化します。スマートカードやFIDOなどの多要素を組み合わせればなりすまし耐性が高まります。クラウドサービスを利用する場合は社内ADと連携し、シングルサインオンを実現するとユーザー体験が向上します。
バックアップと復旧
ドメインコントローラーはシステム状態バックアップが必須です。誤削除対策としてオブジェクトのごみ箱を有効化し、リサイクルからの復元手順を定期的に演習します。障害時の権限昇格やFSMOロールの移譲、メタデータのクリーンアップなど、想定シナリオごとに手順書を整備しておきます。
監査と可視化
ログオンや権限変更、GPO変更などは監査ポリシーで記録します。セキュリティ情報イベント管理製品と連携してアラートを可視化すると早期検知につながります。日常点検ではdcdiagやrepadminの定期実行、dnsのエラー監視、証明書の有効期限チェックを自動化すると効果的です。
グループ設計とアクセス制御
共有フォルダーやアプリ権限はグループを介して付与し、ユーザーを直接リソースに紐づけない運用を徹底します。AGDLPやAGUDLPのパターンを採用すれば、部門異動や組織変更にも強い構成になります。命名規則を決め、用途や範囲が分かるグループ名に統一しましょう。
GPO設計のコツ
GPOは少数精鋭で管理し、設定はできる限り一か所で定義します。リンクの順序や継承のブロック、強制の使い方を整理し、必要に応じてループバックを活用します。ログオン時間の短縮にはスクリプトの見直しや不要な拡張の削減が効きます。
クラウドとの連携と進化
クラウドサービスの普及により、オンプレミスのActive Directoryとクラウドディレクトリの連携が一般的になりました。Microsoft Entra IDは旧称Azure ADで、クラウドアプリの認証とアクセス制御を担います。オンプレミスのADアカウントをクラウドに同期し、条件付きアクセスや多要素を組み合わせることで、社外からも安全にサービスを利用できます。ハイブリッド構成ではパスワードハッシュ同期やフェデレーションなど複数の方式が選べます。要件に応じて選定し、認証の可用性とユーザー体験を両立させることが重要です。
よくある質問
Active Directoryは小規模でも必要でしょうか
パソコンが数台で共有資源も少ない場合は必須ではありませんが、ユーザーや端末が増えると個別設定の負担が急激に増します。将来の拡張を見据え、早めに導入すると管理工数とセキュリティリスクの両方を下げられます。
dnsは別サーバでも良いでしょうか
小規模であればドメインコントローラーと同居でも問題ありません。拠点が分かれたり可用性要件が高い場合は、複数のドメインコントローラーにdnsを分散配置します。外部公開用のdnsは分離し、内部のゾーンをインターネットに漏らさないよう注意します。
認証方式は何を選べば良いでしょうか
社内向けシステムはKerberosを優先し、古いアプリのみNTLMを許可する方針が現実的です。クラウドアプリはOpenID ConnectやSAMLと連携させ、社内ADとクラウドを横断したシングルサインオンを設計します。多要素を組み合わせることで、パスワード単独の脆弱性を補えます。
まとめ
Active Directoryは組織のアイデンティティ基盤であり、認証と認可、ポリシー配布、名前解決との連携を通じてIT運用の土台を提供します。成功の鍵は設計と検証にあります。
ドメインとOU、グループ、GPO、サイト、dnsの配置を丁寧に計画し、テストで裏付けを取ったうえで段階的に展開しましょう。運用では最小権限、バックアップ、監査、可視化を徹底し、クラウドとの連携でユーザー体験とセキュリティを同時に高めることができます。本
記事が導入の第一歩としての理解を深め、現場での具体的な設定方法や運用設計の出発点になれば幸いです。本稿を出発点に、自社の要件へ合わせて設計と運用を磨いてください。少しずつ、ぜひ
