はじめてのActive Directory (AD)：中小〜中堅企業が押さえるべき5つの決めごと

はじめに：AD導入で「困りごと」が減る理由

PCやサーバーを個別に管理していると、退職者アカウントが残る、共有フォルダの権限が誰も分からない、設定が人によって違う――といった“管理の手間”と“事故の芽”が増えがちです。
Active Directory Domain Services (AD DS) は、ユーザーとPCをまとめて管理し、会社としての運用ルール (ポリシー) を配る仕組みです。まずは「難しい技術」より、【失敗しない“決めごと”】から押さえるのが近道です。

まず結論：AD導入で決めるべき「5つ」

以下に占めす5つの項目は、AD (Active Directory) の中でも「後から変えにくい／間違えると手戻りが大きい」ポイントに絞っています。
具体的には、ドメイン名 (Domain Name System (DNS) name：.local回避)、OU (Organizational Unit) 設計の深さ (管理性の観点で10階層以内の目安)、機能レベル (Functional level：環境がサポートできる範囲で最も高い設定) 、そして復旧の前提となるバックアップ (System State backup) です。
最初にここを押さえることで、導入手順そのものが理解しやすくなり、運用面の失敗も減らせます。

1. 1. ドメイン名 (DNS name) をどうするか (.localは避ける)

   2. OU (Organizational Unit) をどう分けるか (深くしすぎない)

   3. GPO (Group Policy Object) で何を標準化するか (最低限の柱を決める)

   4. 機能レベル (Functional level) をどう選ぶか (OSに合わせて“最も高い”)

   5. バックアップをどう取るか (System State backupは計画に入れる)

ドメイン名： “.local” は避け、所有ドメインのサブドメインにする

ADで使用する「ドメイン名」は後から変更しにくいので、最初に慎重に決めます。Microsoft の命名ガイダンスでは、インターネット標準の特殊用途で使われる名前 (例：.local) を避けるよう示されています。
おすすめは、自社が保有するドメインのサブドメインです。
例：外部が “example.com” なら、社内ADは “corp.example.com” や “ad.example.com” といった具合です。

OU設計：組織図をそのまま作らない ( “管理の単位” で分ける)

OU (Organizational Unit) は “部署フォルダ” ではなく、【誰が何を管理するか (委任) 】と、どの設定を当てるか (GPO) の単位です。
Microsoft Learn では、管理性の観点からOUの深さを10レベル以内に抑えることを推奨しています。
非専任の担当者が運用しやすい【よくある型】は次の通りです。

1. 1. Users (ユーザー) 系と Computers (PC) 系を分ける (GPOが整理しやすい)

   2. 例外 (特別な設定が必要) だけサブOUを作る (最初から細分化しない)

GPO：まずは“最低限の標準”だけ決める

GPO (Group Policy Object) でいきなり完璧を目指すと破綻します。最初は、次の柱だけで十分です。

• • 画面ロック (離席対策)

  • 更新管理 (Windows Update の運用方針)

  • 端末の基本防御 (Windows Defender Firewall)

  • 監査ログ (ログオン失敗/成功の記録方針)

 数値 (例：ロックまで10分、ログ保存90日など) は会社の規程・監査要件で変わるため、 “例” として扱い、断定しない方が安全です。

パスワード：期限 (Password expiration) は“要件があるときだけ”

昔は「90日ごとにパスワード変更」が定番でしたが、Microsoft は Windows セキュリティベースラインで定期的な期限切れを推奨から外した旨が報じられています (価値が低い/古い対策という趣旨) 。
また Microsoft 365 では、組織の既定が「パスワードは期限切れにしない (recommended) 」として明記されています。そのため本記事としては、以下の設定を推奨としています。

• • 【定期変更は “社内規程・監査要件がある場合のみ” 】採用し、根拠 (準拠基準) を本文に書く

  •  それ以外は、長いパスフレーズ運用や多要素認証 (Multi-Factor Authentication : MFA) など“別の対策” も併記する 

ざっくり構築手順：AD DSを入れてDCへ昇格する

基本は「役割を追加→DCへ昇格」です。Microsoft Learn に手順がまとまっています。

• •  Server Manager で AD DS (Active Directory Domain Services) を追加

  •  「Promote this server to a domain controller」で新規フォレスト／既存ドメインを選択 

機能レベル (Functional level) で迷ったら

Microsoft Learn は「環境でサポート可能な範囲で最も高い機能レベル」を推奨しています。
補足として、Windows Server 2019／2022の最新機能レベルは Windows Server 2016、Windows Server 2025 では2025機能レベルが利用可能です。

 「止まったら困る」を防ぐ：バックアップ (System State backup) を必ず計画に入れる 

ADは複数のドメインコントローラー (Domain Controller : DC) で冗長化できますが、ランサムウエアや論理破壊のように “全体が影響” を受けるケースではバックアップが重要です。
Microsoft Learn のフォレストリカバリガイドでも、DCの【System State backup (システム状態バックアップ) 】が手順として示されています。 

非専任でも成功するAD導入は「設計が9割」

手順よりも、ドメイン名 (.local回避)、OUの作りすぎ防止、GPOの最低限標準化、機能レベルの選び方、バックアップ設計 が成否を分けます。
まずは小さく始め、運用しながら段階的に整えるのが現実的です。

FAQ

Q. “.local” はなぜ避ける？
A. Microsoft の命名ガイダンスで、インターネット標準の特殊用途で使われる名前 (例：.local) を避けるよう示されています。

Q. OUは何階層が正解？
A. 一律の正解はありません。Microsoft Learn では管理性の観点から深さ10レベル以内が推奨です。

Q. 機能レベル (Functional level) はどう選ぶ？
A. Microsoft Learn は「環境がサポートできる最も高い機能レベル」を推奨しています。2019/2022の最新は2016、2025は2025機能レベルが利用可能です。

Q. DCのバックアップは必要？
A. はい。Microsoft Learnの フォレストリカバリではDCのSystem State backupが手順として示されています。

まとめ

本記事では、Active Directory (AD) 構築の要点：ドメイン名・OU設計・GPO・バックアップを、 “非専任” 向けに整理しました。
Active Directory (AD) の導入は、手順そのものよりも、ドメイン名 (DNS name)、OU設計、GPO設計、復旧 (Backup／Recovery) 設計が成否を分けます。まずは “変えにくい設計” から固め、段階的に運用成熟度を上げるのが最短ルートです。

横河レンタ・リース株式会社は日本ヒューレットパッカード社の Platinum パートナーとして、25年以上にわたり販売・提案・構築を支援してきました。HPEの最新技術と当社独自のノウハウを組み合わせ、Active Directory (AD) の設計から構築まで一貫して対応しています。保守管理の見直しや外注をご検討の際は、お気軽にご相談ください。

お問い合わせ (総合) | 法人向けパソコン (PC) ・計測器レンタルなら横河レンタ・リース