「ADの設定を変えるたびにDCにRDPしている」——現場でこういう運用を見かけることがあります。作業するたびにDCに直接ログインする習慣は、セキュリティ上好ましくありません。DCへの直接ログインは最小限にすべきです。
その解決策がRSATです。自分の作業端末からGPMCやADUCを操作できるようになるため、DCに直接RDPする機会を大幅に減らせます。本記事ではWindows 11へのインストール手順から主要ツールの使い方、現場でよくあるトラブルまで解説します。
特権アカウントの管理とDCへのアクセス制限については「AD特権アカウントの設計|Tier0保護と管理者アカウント分離の実務」も参照してください。
RSATとは
RSATとは——DCにログインせずにADを管理するツールセット
RSATとは、Windows ServerのDCにリモートから接続してADを管理するための管理ツール群です。
RSAT(Remote Server Administration Tools:リモートサーバー管理ツール) Windows ServerのGUI管理ツールをクライアントPCで使えるようにしたツールセット。Microsoftが無償で提供しており、Windows 10・11のオプション機能として追加できる。ADの管理だけでなく、DHCPサーバーやDNSサーバーの管理にも使える。
RSATを使うことで、自分の作業用Windows 11端末からDCのADを直接操作できます。DCに毎回RDPしてログインする必要がなくなるため、DC上での作業ログが減り、万が一の際の侵害範囲を限定できます。
RSATで使える主要ツール一覧
RSATにはAD管理に使う主要ツールが含まれています。
| ツール名 | 略称 | 主な用途 |
|---|---|---|
| Active Directoryユーザーとコンピューター | ADUC | ユーザー・グループ・コンピューターの管理 |
| グループポリシー管理コンソール | GPMC | GPOの作成・編集・リンク |
| Active Directoryドメインと信頼関係 | — | ドメイン信頼関係の管理 |
| Active Directoryサイトとサービス | — | サイト・サブネット・レプリケーションの管理 |
| ADSIエディター | adsiedit.msc | ADオブジェクトの直接編集(上級者向け) |
| DNS マネージャー | — | DNSゾーン・レコードの管理 |
日常的なAD管理作業の大半はADUCとGPMCで完結します。ADSIエディターは設定ミスが重大な影響を及ぼすため、使い慣れるまでは慎重に扱ってください。

グループポリシーの設計・運用については「グループポリシー(GPO)設計入門|セキュリティ設定をADで一括管理する方法」を参照してください。
Windows 11へのインストール手順
オプション機能からインストールする(GUI)
Windows 11ではRSATはオプション機能として提供されています。設定アプリから追加できます。
① 設定アプリを開く
Windows + Iで設定を開き、「システム」→「オプション機能」を選択します。
② RSAT関連の機能を追加する
「オプション機能を追加する」をクリックし、検索ボックスに「RSAT」と入力します。表示される一覧から必要なツールにチェックを入れてインストールします。
AD管理に最低限必要なものは以下の3つです。
RSAT: Active Directory Domain Services and Lightweight Directory Services Tools
RSAT: Group Policy Management Tools
RSAT: DNS Server Tools(DNSも管理する場合)
③ インストール完了を確認する
インストール後、スタートメニューの「Windows管理ツール」フォルダ内にADUCやGPMCが追加されていることを確認します。
PowerShellでインストールする
複数端末への展開や自動化が必要な場合はPowerShellでインストールできます。
# AD管理ツール(ADUC・ADSIエディター等)をインストール
Add-WindowsCapability -Online -Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"
# グループポリシー管理コンソールをインストール
Add-WindowsCapability -Online -Name "Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0"
# DNSサーバーツールをインストール
Add-WindowsCapability -Online -Name "Rsat.Dns.Tools~~~~0.0.1.0"
# インストール済みのRSATコンポーネントを確認する
Get-WindowsCapability -Online | Where-Object {$_.Name -like "Rsat*" -and $_.State -eq "Installed"}
インターネット接続がない環境では、WSUSやWindows Updateのオフラインメディアから取得する必要があります。その場合は-Sourceパラメーターでメディアのパスを指定してください。
主要ツールの使い方
ADUC(Active Directoryユーザーとコンピューター)——日常管理の起点
ADUCはユーザーアカウント・グループ・コンピューターオブジェクトを管理するツールです。日常的なAD管理作業の大半はここで行います。
ADUC(Active Directory Users and Computers) ADオブジェクト(ユーザー・グループ・コンピューター・OU)をGUIで管理するツール。
dsa.mscで起動できる。ユーザーの追加・削除・パスワードリセット・グループメンバーシップの変更など、日常的なAD管理作業のほぼすべてをカバーする。
RSATインストール後、dsa.mscまたは「Windows管理ツール」→「Active Directoryユーザーとコンピューター」から起動します。起動後は自動的にドメインに接続されます。
よく使う操作:
ユーザーのパスワードリセット:
対象ユーザーを右クリック→「パスワードのリセット」
ユーザーをグループに追加:
対象グループを右クリック→「プロパティ」→「メンバー」タブ
無効なアカウントを確認:
「表示」メニュー→「高度な機能」を有効にすると詳細属性が見える
OUの設計については「ADのドメインとOU設計|組織構造をActive Directoryに落とし込む実務ガイド」を参照してください。
GPMC(グループポリシー管理コンソール)——GPO管理の中心
GPMCはGPOの作成・編集・リンク・確認を行うツールです。GPO管理はすべてここから行います。
GPMC(Group Policy Management Console:グループポリシー管理コンソール) グループポリシーをGUIで管理するツール。
gpmc.mscで起動できる。GPOの作成・編集・OUへのリンク・継承の確認・バックアップまで一元管理できる。
よく使う操作:
新しいGPOを作成してOUにリンク:
対象OUを右クリック→「このドメインにGPOを作成し、ここにリンクする」
GPOの設定を編集:
対象GPOを右クリック→「編集」→グループポリシーエディターが開く
GPOの適用結果を確認:
対象OU/コンピューターを右クリック→「グループポリシーの結果」
ADSIエディター——上級者向けの直接編集ツール
ADSIエディターはADオブジェクトの属性を直接編集できる上級者向けツールです。ADUCでは表示・編集できない属性もここから操作できます。
ADSIエディター(ADSI Edit) Active Directoryオブジェクトの属性を直接参照・編集できるツール。
adsiedit.mscで起動する。ADUCでは見えない低レベルの属性まで操作できる反面、設定ミスがドメイン全体に影響する危険性がある。作業前には必ずバックアップを取ること。
ADSIエディターは強力なツールですが、誤った操作でADが破損するリスクがあります。以下の点を必ず守ってください。
- 作業前にADのシステム状態バックアップを取る
- テスト環境で手順を確認してから本番環境で実施する
- 変更する属性の意味を十分に理解してから操作する
現場でよくあるトラブル

① 接続できない——ファイアウォールとDNSを確認する
RSATをインストールしても「ドメインコントローラーが見つからない」「接続できない」というエラーが出る場合は、以下を順番に確認します。
# DNSでDCが解決できるか確認する
Resolve-DnsName -Name "nlab.local" -Type SRV
# DCへの基本的な疎通確認
Test-NetConnection -ComputerName "DC01" -Port 389
# ドメインへの参加状態を確認する
Get-ComputerInfo | Select-Object CsDomain, CsPartOfDomain
最もよくある原因はDNSの設定ミスです。作業端末のDNSサーバーがDCのIPアドレスを指していない場合、ドメイン名が解決できず接続に失敗します。ネットワークアダプターのDNS設定でDCのIPアドレスが優先DNSに設定されているか確認してください。
次に多いのがファイアウォールによるブロックです。DC側のWindowsファイアウォールで「Active Directoryドメインサービス」の受信規則が有効になっているか確認してください。
② 権限がなくて操作できない——委任の設定を確認する
RSATで接続はできても、特定の操作でアクセス拒否が出る場合は権限の問題です。
# 現在のユーザーがどのADグループに所属しているか確認する
Get-ADPrincipalGroupMembership -Identity $env:USERNAME | Select-Object Name
日常的なAD管理作業(ユーザー追加・パスワードリセット等)であれば、Domain AdminsではなくOUへの委任で対応できます。最小権限の原則に従い、必要な操作だけを委任する設計を検討してください。
最小権限の原則については「最小権限の原則とは?実務での考え方と設計例」を参照してください。
③ ツールが表示されない——インストール状態を確認する
RSATをインストールしたはずなのにスタートメニューにツールが見当たらない場合は、インストールが完了しているか確認します。
# RSATのインストール状態を確認する
Get-WindowsCapability -Online | Where-Object {
$_.Name -like "Rsat*"
} | Select-Object Name, State | Format-Table -AutoSize
StateがInstalledになっていない場合は再インストールが必要です。また、インストール直後はサインアウト→サインインで反映されることがあります。
チェックリスト
インストールの確認
- RSATのActive Directoryツールがインストールされている
- GPMCがインストールされている
- インストール後にADUCとGPMCがスタートメニューに表示されている
接続・権限の確認
- 作業端末のDNSがDCのIPアドレスを向いている
- DC01への389番ポート(LDAP)が疎通できている
- 使用するアカウントに必要な権限が付与されている
セキュリティの確認
- RSATをインストールする端末は業務用の管理端末に限定している
- DCへの直接RDPログインを最小限にしている
- RSAT操作用のアカウントはTierモデルに沿って管理されている
まとめ
今日確認すべきことは1つです。DCに直接RDPして作業している業務フローがあれば、RSATに切り替えることを検討してください。
RSATはインストールして設定するだけで、自分の作業端末からGPMCやADUCが使えるようになります。DCへの直接ログイン機会が減ることでセキュリティリスクの低減につながります。
RSATで管理できる設定の幅を広げたい方は、次のステップとしてGPOの設計・OU構造の見直しが有効です。「グループポリシー(GPO)設計入門」や「ADのドメインとOU設計」も参考にしてください。
あわせてご覧ください
- AD特権アカウントの設計|Tier0保護と管理者アカウント分離の実務
- グループポリシー(GPO)設計入門|セキュリティ設定をADで一括管理する方法
- ADのドメインとOU設計|組織構造をActive Directoryに落とし込む実務ガイド
- 最小権限の原則とは?実務での考え方と設計例


コメント