はじめに
日々の業務に追われる中で、さらに不定期に発生する新入社員のIT準備。
対応が間に合わず、IT部門がパンクしそうになっていないでしょうか。
例えば、こんな光景はありませんか。
人事部から「入社連絡リスト(Excelやメールなど)」が届く。
そのリストを見ながら、Active Directory ユーザーの作成のため、名前や部署を手で入力している。
どのセキュリティグループに入れたら良いか分からず、とりあえず「去年のAさんと同じ」にしている。
PCを箱から出し、1台ずつWindows UpdateとOfficeのインストールを手動で実行している。
こうした「手作業(特に転記作業)」が多いと、時間がかかるだけでなく、必ず「ミス」が起こります。
「Aさんの部署名を間違えた」「Bさんに必要なフォルダー権限を付け忘れた」……
その結果、入社初日から「PCが使えません」「フォルダーが見られません」という問い合わせ対応に追われてしまうのです。
この悪循環を断ち切るのが、Active Directory(AD)を使った「仕組み化」です。
「自動化」「プロビジョニング」と聞くと難しそうですが、大切なのは「手作業をなくすこと」です。
この記事を読めば、IT部門の作業をラクにして、ミスをゼロにするための「考え方」が分かります。
この記事の対象読者
- オンプレミスのActive Directory (AD) 環境を管理しているIT担当者
- 新入社員のIT準備(アカウント発行、PCキッティング)の工数を削減したい方
- ADの基本的な知識はあるが、自動化やGPO(グループポリシー)の活用に課題を感じている方
前提とする環境・使用するツール
- サーバー: Windows Server 2019 / 2022 / 2025 (Active Directory Domain Services)
- クライアント: Windows 11 ( 24H2)
使用する機能/ツール:
- RSAT(Active Directory モジュール、PowerShell を含む)
- グループポリシー (GPO) ※セントラルストアの利用を推奨
- Sysprep / 応答ファイル (Unattend.xml)
- MDT (Microsoft Deployment Toolkit) ※任意(ADK/WinPEが別途必要)
要約
「Active Directory (AD) は知っているけれど、管理や自動化は難しそう…」と感じている、IT担当初心者の方へ。
この記事は、追加費用ゼロ(※標準機能)で、新入社員のIT準備作業を実質1日で終わらせるための「仕組み」の作り方を、5つのステップで解説します。
1. 【発行】「手作業」のアカウント発行をなくそう
全てのミスは「手作業」から生まれます。ここを自動化するのが第一歩です。
解決策:「名簿ファイル(CSV)」と「スクリプト」の連携
「自動化」というと難しく聞こえますが、要は「人事部からもらう名簿リスト(CSV)を、スクリプトでADに一括で読み込ませる」という作業です。
たとえ人事部からのリスト(Excel)が完璧に統一されていたとしても、それをIT担当者が「手で入力」し直している限り、工数とミスはゼロになりません。
もしくは、受領データをCSV規格に整形して投入してください。
最大の壁:「ルール」を決めること
技術的なことより、これが一番大切です。
「決まったフォーマットのCSVファイル」を人事部から提供してもらう業務ルールを決めましょう。
(例:A列に「社員番号」、B列に「姓」、C列に「名」、D列に「部署名」…)
標準機能の「PowerShell」を利用
CSVのルールさえ決まれば、ADへの登録は「決まった作業」になります。
AD モジュール (PowerShell)
- ◎Windows標準の csvde というコマンドは、実は「新規作成」しかできず、
パスワード設定やグループ所属もできません。
(※csvde はインポート/エクスポート専用で「既存オブジェクトの変更不可」かつ「パスワードを設定できない」) - ◎実務では、AD管理用のPowerShellコマンド ( New-ADUser / Set-ADAccountPassword / Add-ADGroupMember など) を使って、CSVを読み込み、
「初期パスワードの設定」や「部署グループへの所属」までを、一括で行うスクリプトを準備するのが現実的です。
上記を設定することで、スクリプトが面倒な発行作業を肩代わりしてくれます。
※実務では AD PowerShell(New-ADUser / Set-ADAccountPassword / Add-ADGroupMember 等)で
CSV 読み込み→作成・初期PW設定・グループ所属まで一括処理できる。該当コマンドの公式。
2. 【設計】「箱」と「鍵」を整理整頓しよう
アカウントが自動で作れるようになったら、次はそのアカウントに「どの権限を渡すか」です。
ここで「秘伝のタレ」のように、誰が作ったか分からないグループが大量にあると、自動化は不可能です。
解決策:OU(箱)とグループ(鍵)をシンプルに設計する
1. OU (組織単位) = ユーザーを入れる「箱」
ADでは、ユーザーやPCを「OU (組織単位)」という「箱」に入れて管理します。
まず、「営業部」「開発部」「総務部」といったように、部署ごとや拠点ごとに、きちんと「箱」を分けてユーザーを入れましょう。
(ステップ1の自動化では、CSVの部署名をもとに、ユーザーを自動で正しい「箱」に入れるように設定します)
この「箱」を分けておくことこそが、次のステップ3(GPO)で設定を自動適用するための鍵になります。
2. グループ = フォルダーの「鍵」
次に「グループ」です。フォルダーへのアクセス権は、Aさん、Bさん…と「個人」に直接設定してはいけません。
必ず「グループ」に対して設定します。
Microsoftが推奨する「AGDLP」というルールがありますが、初心者向けに簡単に言うとこうなります。
鍵(リソースグループ): 「経理データ閲覧OK」という名前のグループを作ります。
(=フォルダーに設定するための鍵)
鍵束(役割グループ): 「経理部員」という名前のグループを作ります。
(=人を所属させるための鍵束)
運用の流れ
- [許可] 「経理データ」フォルダーのアクセス許可設定に、「経理データ閲覧OK(鍵)」グループを追加します。
- [所属] 「経理部員(鍵束)」グループを、「経理データ閲覧OK(鍵)」グループのメンバーにします。(=鍵束に鍵を持たせる)
- [参加] 新入社員Cさんを、「経理部員(鍵束)」グループのメンバーにします。
これだけです。
Cさんは自動的に経理データが見られるようになります。
ステップ1の自動化で、新入社員を「部署」に応じた「鍵束(役割グループ)」に自動で入れてあげれば、権限付与も完了です。
3. 【配布】PCの設定を自動で配る「GPO」を覚えよう
解決策:GPO (グループポリシー)
という「自動設定の仕組み」を使う
アカウントと権限の準備ができても、新入社員のPC設定(プリンタ、共有ドライブなど)を手伝って回るのは大変です。
GPOとは、「特定のPCやユーザー(=ステップ2のOU)」に、会社として決めた設定を強制的に適用する仕組みです。
GPO(指示書)の具体例と実現方法
- 「営業部OU」用の指示書:
\\Server\Share(共有ドライブ)を「Sドライブ」として割り当てる。- 実現方法: グループポリシー基本設定 (GPP) の「ドライブ マップ」機能で設定します。
- 「東京本社OU」用の指示書:
- 「3Fの複合機プリンタ」を自動で使えるように設定する。
- 実現方法: GPOの「プリンタの展開」(印刷の管理)機能で設定します。
- 「全社共通」の指示書:
- スクリーンセーバーは、10分でロックする(セキュリティ対策)。
- 実現方法: 「スクリーンセーバーを有効にする」「タイムアウト(秒数)」「パスワードによる保護」の3点をGPOでセットで設定するか、
- 「対話型ログオン: コンピューターの非アクティブ状態の制限」ポリシーで設定します。
新入社員がログインすると、ADが「この人は営業部OU(箱)にいるな」と判断し、GPO(指示書)が自動で適用されます。
※プリンタ配布は「印刷の管理」からの GPO 展開で可能。
ただし、2021年以降のセキュリティ更新で既定が強化され、標準ユーザーは、リモートドライバーのインストールに管理者昇格が必要。
用上は「Package Point and Print – Approved servers」等のポリシー設計や Type 4 ドライバー前提を明記しないと、記事の「自動で使える」だけでは、現場でつまづきます。
4. 【端末】PCのキッティングから抜け出そう
ステップ1〜3でアカウントや設定の準備ができても、PC本体の準備が大変です。1台ずつWindows UpdateやOfficeのインストールをしていたら、1日では終わりません。
解決策:「ひな形PC(マスターイメージ)」を丸ごとコピーする
この作業は、「たい焼き」を作るのと同じです。1匹ずつ手で焼くのではなく、「金型」を使いましょう。
1. 「金型」=マスターイメージを作る
まず、1台のPCを「ひな形」として準備します。最新のWindows Updateや、全社共通の基本的なソフト(セキュリティソフトなど)をインストールします。
その後、Sysprep /generalize というコマンドを実行し、PC固有の情報(SIDなど)を削除して「一般化」します (※1)。これが「マスターイメージ(金型)」の元になります。
2. 「工場」=MDT (Microsoft Deployment Toolkit)
次に、この「金型」を他のPCに流し込む「工場」を準備します。Microsoftが無料で提供している。【MDTの利用を推奨します (※2)。】
MDTサーバー(工場)に、さっきの「金型(マスターイメージ)」を登録します。
3. 「生産」=WinPEで起動し、タスクシーケンスを実行
新入社員用のPCの電源を入れ、「WinPE」という最小OS(ネットワークブートやUSBメモリ)で起動します。
WinPEからMDT(工場)に接続すると、「タスクシーケンス(作業指示書)」が実行されます。この指示書が、
「金型(マスターイメージ)」をPCにコピーし、
「Office Deployment Tool (ODT)」を使って Microsoft 365 Apps (Office) を自動インストールし (※3)、
必要なドライバを適用する。
といった、一連の作業を自動で実行してくれます。
あとは、PCを新入社員に渡すだけです。
新入社員がログインすれば、ステップ3のGPO(指示書)が自動で実行され、部署ごとの共有ドライブやプリンタの設定も自動で完了します。
(※1) Sysprepの必須性: マスターイメージを複数のPCに展開(コピー)する場合、PC固有の識別子(SID)が重複しないよう、Sysprep /generalize コマンドでイメージを「一般化」することがMicrosoftの公式な前提条件です。
(※2) MDTの前提条件: MDT(Microsoft Deployment Toolkit)を利用するには、展開用のOSである「WinPE」と、それを含む「Windows ADK (Assessment and Deployment Kit)」が別途必要です。
(※3) Officeの展開方法: Microsoft 365 Apps (Office) は、マスターイメージに含めず、MDTのタスクシーケンス(自動実行手順)の中で「Office Deployment Tool (ODT)」を使って展開時に自動インストールするのが、公式の手順であり確実な方法です。
5. 【退職】「痕跡削除」の処理も忘れずに
入社(入口)の自動化ができたら、退職(出口)の処理もセットで考えます。 退職した人のアカウントが残っていると、情報漏洩の大きな原因(セキュリティリスク)になります。
解決策:デプロビジョニング(無効化)のルール化
退職処理も「手作業」に頼ると、必ず「消し忘れ」が起こります。安全に処理するためのフローを確立しましょう。
退職処理の4ステップ
1. 即時「無効化」する(いきなり「削除」はNG)
人事部から退職連絡が来たら、退職日当日に、まずアカウントを「無効化」します。
【重要】すぐに「削除」しない理由 アカウントをいきなり削除してしまうと、万が一の手違いがあった場合や、後日(監査や裁判などで)データが必要になった場合に対応できません。
そのため、一定期間(例:90日間 (※1) )はデータを残したまま「無効化」するのが鉄則です。
2. 全ての「鍵束(グループ)」から外す
無効化と同時に、その人が所属していた全ての「役割グループ(鍵束)」から外します。(ステップ2参照) これにより、全てのフォルダーやシステムへのアクセス権を即座に停止できます。
3. 「退職者OU(箱)」に移動
GPO(指示書)が適用されないように、専用の「退職者OU(箱)」にアカウントを移動させます。(ステップ3参照) これにより、意図しない設定(共有ドライブの割り当て等)が実行されるのを防ぎます。
4. 資産(モノ)の回収
PC本体やスマートフォンなど、物理的な資産の回収フローも総務部と連携して確立しておきましょう。
(※1) 無効化と保持期間: 退職者アカウントを即時「削除」せず、まず「無効化」し、一定期間保持した後に削除するのは、Microsoftも推奨するベストプラクティスです。
ただし、本文中の「90日間」というのはあくまで一例であり、Microsoftの既定値ではありません。
実際の保持期間は、監査要件や法令遵守など、各組織のポリシーに基づいて決定する必要があります。
まとめ:「仕組み化」こそがIT部門を救う
この記事では、新入社員のIT準備を1日で完了させるための5つのステップを、技術的なポイントと共に解説しました。
- 【発行】: 「CSV」と「PowerShell」でアカウント発行・初期設定(パスワード、グループ所属)を自動化
- 【設計】: 「OU(箱)」と「グループ(鍵)」を整理し、権限付与のルール決め
- 【配布】: 「GPO(指示書)」を「OU」に紐付け、PC設定(GPPのドライブマップ等)を自動配布
- 【端末】: 「マスターイメージ(金型)」を「WinPE/MDT」で展開し、キッティングを高速化
- 【退職】: 「無効化+グループ解除」を徹底し、安全に出口(デプロビジョニング)を管理
重要なのは、これらのステップが全て連動していることです。
- (1)で自動作成したユーザーを、(2)で設計した正しい「OU(箱)」に入れるからこそ、(3)の「GPO」が自動で適用されます。
- (4)でPCを準備し、(1〜3)で準備したアカウントでログインするからこそ、入社初日からPCが使えるのです。
「自動化」とは、高価なツールを導入することだけではありません。
今あるActive Directoryの標準機能(PowerShell, GPO, MDT)を正しく使い、
「手作業」を「決まったルール(仕組み)」に置き換えることこそが、IT部門の工数を削減し、ミスをゼロにするための最短ルートです。
終わりに:小さな「仕組み化」から始めよう
ここまで読んでいただき、ありがとうございます。
「やることは分かったが、弊社のActive Directoryは『秘伝のタレ』化していて、どこから手をつければ…」
「人事部を巻き込んでCSVルールを決めるのが難しい」
PowerShellやMDTは、やはりハードルが高い…」
と感じた方も多いかもしれません。
一度に全てを変える必要はありません。
まずは「ステップ2:OUとグループの設計」を見直し、現状のアクセス権をExcelで棚卸しするだけでも、現状把握の第一歩になります。
もし、「自社の運用に合わせた具体的な設計方法が知りたい」「人事部や総務部を巻き込むための『考え方』を整理したい」という場合は、専門家の知見を活用するのも一つの手です。
当社では、お客様のAD環境と業務フローをヒアリングし、最適な「入退社フロー」を一緒に設計する「入退社フロー設計ワークショップ(有償)」をご提供しております。
ご興味のある方は、ぜひお気軽にお問い合わせください。
この記事が、あなたの会社の「手作業」、「ミス」をなくすキッカケになれば幸いです。
