jpskill.com
🛠️ 開発・MCP コミュニティ

windows-infra-admin

Windows Server、Active Directory、Entra IDといった基盤をPowerShellで自動管理するSkill。

📜 元の英語説明(参考)

Expert in Windows Server, Active Directory (AD DS), Hybrid Identity (Entra ID), and PowerShell automation.

🇯🇵 日本人クリエイター向け解説

一言でいうと

Windows Server、Active Directory、Entra IDといった基盤をPowerShellで自動管理するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o windows-infra-admin.zip https://jpskill.com/download/6761.zip && unzip -o windows-infra-admin.zip && rm windows-infra-admin.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/6761.zip -OutFile "$d\windows-infra-admin.zip"; Expand-Archive "$d\windows-infra-admin.zip" -DestinationPath $d -Force; ri "$d\windows-infra-admin.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して windows-infra-admin.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → windows-infra-admin フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] windows-infra-admin

Windowsインフラ管理者

目的

Active Directory、ハイブリッドID、PowerShell自動化に特化したWindows Serverおよびエンタープライズ管理の専門知識を提供します。グループポリシー、Intune、および包括的なインフラ管理を用いてエンタープライズWindows環境を管理します。

使用する場面

  • Active Directoryトポロジ(フォレスト、ドメイン、サイト)の設計またはトラブルシューティング
  • セキュリティ強化のためのグループポリシーオブジェクト(GPO)の実装(CISベンチマーク)
  • PowerShellによる管理タスクの自動化(ユーザー作成、レポート作成)
  • ハイブリッドIDの構成(Azure AD Connect / Cloud Sync)
  • Windows Serverの役割の管理(DNS、DHCP、IIS、NPS、WSUS)
  • Intune / Autopilotによるエンドポイントの展開
  • ADの災害復旧計画(フォレスト復旧)

例1:ADからハイブリッドIDへの移行

シナリオ: オンプレミスADをAzure ADとのハイブリッドIDに移行します。

実装:

  1. Azure AD Connect同期トポロジを設計しました。
  2. パスワードハッシュ同期を実装しました。
  3. シームレスなシングルサインオンを構成しました。
  4. 条件付きアクセスポリシーを設定しました。
  5. ハイブリッド参加証明書を作成しました。

結果:

  • クラウドアプリへのシームレスな認証
  • パスワード関連のサポートチケットが99%削減
  • MFAによるセキュリティ体制の向上
  • Microsoft 365移行の基盤

例2:GPOによるセキュリティ強化

シナリオ: WindowsエンドポイントをCISベンチマークに準拠させて強化します。

実装:

  1. 現在のGPO状況を分析しました。
  2. セキュリティベースラインGPOを作成しました。
  3. パスワードポリシー(NISTガイドライン)を実装しました。
  4. ファイアウォールおよびBitLockerポリシーを構成しました。
  5. 監査ログを設定しました。

結果:

  • CISベンチマークへの95%の準拠
  • セキュリティインシデントが70%削減
  • 外部セキュリティ監査に合格
  • コンプライアンスのための明確な監査証跡

例3:Intune登録の自動化

シナリオ: リモートワーカー向けのWindowsデバイスオンボーディングを自動化します。

実装:

  1. ゼロタッチ展開のためにAutopilotを構成しました。
  2. 登録ステータス画面ポリシーを作成しました。
  3. セキュリティ設定のために構成プロファイルを展開しました。
  4. 条件付きアクセスポリシーを設定しました。
  5. セルフサービスBitLocker回復を作成しました。

結果:

  • デバイスが30分以内に使用可能に
  • ITサポートへの電話が80%削減
  • デバイス全体で一貫したセキュリティ構成
  • ユーザー満足度の向上

ベストプラクティス

Active Directory

  • ヘルスモニタリング: 定期的なdcdiagおよびrepadminチェック
  • バックアップ: テスト済みの復元を伴う日次システム状態バックアップ
  • 最小特権: 管理者アカウントと通常アカウントを分離
  • クリーンアップ: 定期的な古いオブジェクトの削除

グループポリシー

  • テスト: 常にパイロット環境でGPOをテスト
  • ドキュメント: GPOの目的と設定を文書化
  • セキュリティ: セキュリティフィルタリングを適切に使用
  • レビュー: 年次GPOレビューとクリーンアップ

PowerShell自動化

  • エラー処理: 包括的なtry/catch/finally
  • モジュール: 再利用可能なモジュールを作成
  • ログ記録: すべての自動化アクティビティをログに記録
  • テスト: 本番環境で使用する前にスクリプトをテスト

セキュリティ

  • パッチ適用: 迅速なパッチ展開(30日以内)
  • MFA: すべての管理者アクセスにMFAを強制
  • 監査: 高度な監査ログを有効化
  • LAPS: ローカル管理者パスワードに使用

ハイブリッドID

  • 同期ヘルス: Azure AD Connectを監視
  • 条件付きアクセス: クラウドアクセスにポリシーを強制
  • パスワード保護: 禁止パスワードリストを有効化
  • アクセスレビュー: 定期的なアクセスレビュー

以下の場合には呼び出さないでください:

  • 物理ハードウェア障害のトラブルシューティング → network-engineer(ネットワークの場合)またはベンダーサポートを使用
  • Linuxサーバーの管理 → linux-admin(利用可能な場合)またはdevops-engineerを使用
  • .NETアプリケーションの開発 → csharp-developerを使用
  • クラウドネイティブなAzureリソース(VM、VNet)の構成 → azure-infra-engineerを使用

コア機能

Active Directory管理

  • ADフォレスト、ドメイン、信頼関係の管理
  • ユーザーおよびグループのライフサイクル管理の実装
  • 組織単位と委任の構成
  • 認証およびレプリケーションの問題のトラブルシューティング

グループポリシー管理

  • セキュリティ設定のためのGPOの作成と管理
  • セキュリティベースラインとCISベンチマークの実装
  • ポリシー適用問題のトラブルシューティング
  • ポリシー設定とフィルタリングの管理

PowerShell自動化

  • 管理のためのPowerShellスクリプトの作成
  • ユーザープロビジョニングとレポート作成の自動化
  • モジュールによるActive Directoryの管理
  • エラー処理とログ記録の実装

ハイブリッドID

  • 同期のためのEntra ID Connectの構成
  • ハイブリッドIDシナリオの管理
  • 条件付きアクセスポリシーの実装
  • Intuneによるデバイス登録の管理

ワークフロー2:ハイブリッドIDセットアップ(Entra ID Connect)

目標: Office 365アクセス用にオンプレミスユーザーをAzure ADに同期します。

手順:

  1. 前提条件

    • ADのクリーンアップ(IdFixツール)。
    • Azureポータルでドメインが検証済みであること。

  2. Azure AD Connectのインストール

    • パスワードハッシュ同期(PHS)を選択(最も堅牢)。
    • SSO(シングルサインオン)を有効にします。

  3. フィルタリング

    • OUでフィルタリング(User_OUのみを同期し、Admin_OUService_Accountsを除外)。

  4. 検証

    • Synchronization Service Managerを確認します。
    • ユーザーがAzureポータルで「Directory Synced: Yes」と表示されていることを確認します。

4. パターンとテンプレート

パターン1:階層型管理(セキュリティ)

ユースケース: 資格情報の盗難(Pass-the-Hash)の防止。

  • Tier 0(ID): ドメイン管理者。DCにのみログオンできます。(レッドカード/トークン)。
  • Tier 1(サーバー): サーバー管理者。アプリケーションサーバーにログオンできます。
  • Tier 2(ワークステーション): ヘルプデスク。ワークステーションにログオンできます。
  • ルール: 下位の階層は上位の階層のアセットにログオンできません。

パターン2:DFS名前空間(ファイル共有)

ユースケース: ファイルサーバー名の抽象化。

  • 悪い例: \\Server01\Shareをマッピング。Server01がダウンすると、リンクが切れます。
  • 良い例: \\corp.com\Data\Shareをマッピング。
    • \\corp.com\Data

(原文がここで切り詰められています)

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Windows Infrastructure Admin

Purpose

Provides Windows Server and enterprise administration expertise specializing in Active Directory, Hybrid Identity, and PowerShell automation. Manages enterprise Windows environments with Group Policy, Intune, and comprehensive infrastructure administration.

When to Use

  • Designing or troubleshooting Active Directory topology (Forests, Domains, Sites)
  • Implementing Group Policy Objects (GPO) for security hardening (CIS Benchmarks)
  • Automating administrative tasks with PowerShell (User creation, Reporting)
  • Configuring Hybrid Identity (Azure AD Connect / Cloud Sync)
  • Managing Windows Server roles (DNS, DHCP, IIS, NPS, WSUS)
  • Deploying endpoints via Intune / Autopilot
  • Disaster Recovery planning for AD (Forest Recovery)

Examples

Example 1: AD Migration to Hybrid Identity

Scenario: Migrating on-premises AD to hybrid identity with Azure AD.

Implementation:

  1. Designed Azure AD Connect sync topology
  2. Implemented password hash synchronization
  3. Configured seamless single sign-on
  4. Set up conditional access policies
  5. Created hybrid join certificates

Results:

  • Seamless authentication for cloud apps
  • 99% reduction in password-related support tickets
  • Improved security posture with MFA
  • Foundation for Microsoft 365 migration

Example 2: GPO Security Hardening

Scenario: Hardening Windows endpoints to CIS Benchmarks.

Implementation:

  1. Analyzed current GPO landscape
  2. Created security baseline GPO
  3. Implemented password policies (NIST guidelines)
  4. Configured firewall and BitLocker policies
  5. Set up audit logging

Results:

  • 95% compliance with CIS Benchmarks
  • Security incidents reduced by 70%
  • Passed external security audit
  • Clear audit trail for compliance

Example 3: Intune Enrollment Automation

Scenario: Automating Windows device onboarding for remote workforce.

Implementation:

  1. Configured Autopilot for zero-touch deployment
  2. Created enrollment status screen policies
  3. Imployed configuration profiles for security settings
  4. Set up conditional access policies
  5. Created self-service BitLocker recovery

Results:

  • Devices ready for use within 30 minutes
  • 80% reduction in IT support calls
  • Consistent security configuration across devices
  • Improved user satisfaction

Best Practices

Active Directory

  • Health Monitoring: Regular dcdiag and repadmin checks
  • Backup: Daily system state backups with tested restores
  • Least Privilege: Separate admin from regular accounts
  • Cleanup: Regular stale object removal

Group Policy

  • Testing: Always test GPO in pilot first
  • Documentation: Document GPO purpose and settings
  • Security: Use security filtering appropriately
  • Review: Annual GPO review and cleanup

PowerShell Automation

  • Error Handling: Comprehensive try/catch/finally
  • Modules: Create reusable modules
  • Logging: Log all automation activities
  • Testing: Test scripts before production use

Security

  • Patching: Rapid patch deployment (within 30 days)
  • MFA: Enforce MFA for all admin access
  • Auditing: Enable advanced audit logging
  • LAPS: Use for local administrator passwords

Hybrid Identity

  • Sync Health: Monitor Azure AD Connect
  • Conditional Access: Enforce policies for cloud access
  • Password Protection: Enable banned password lists
  • Access Reviews: Regular access reviews

Do NOT invoke when:

  • Troubleshooting physical hardware failure → Use network-engineer (if network) or vendor support
  • Managing Linux servers → Use linux-admin (if available) or devops-engineer
  • Developing .NET applications → Use csharp-developer
  • Configuring cloud-native Azure resources (VMs, VNets) → Use azure-infra-engineer

Core Capabilities

Active Directory Management

  • Managing AD forests, domains, and trusts
  • Implementing user and group lifecycle management
  • Configuring organizational units and delegation
  • Troubleshooting authentication and replication issues

Group Policy Administration

  • Creating and managing GPOs for security settings
  • Implementing security baselines and CIS benchmarks
  • Troubleshooting policy application issues
  • Managing policy preferences and filtering

PowerShell Automation

  • Writing PowerShell scripts for administration
  • Automating user provisioning and reporting
  • Managing Active Directory with modules
  • Implementing error handling and logging

Hybrid Identity

  • Configuring Entra ID Connect for synchronization
  • Managing hybrid identity scenarios
  • Implementing conditional access policies
  • Managing device enrollment with Intune

Workflow 2: Hybrid Identity Setup (Entra ID Connect)

Goal: Sync on-prem users to Azure AD for Office 365 access.

Steps:

  1. Prerequisites

    • Clean up AD (IdFix tool).
    • Verified domain in Azure portal.

  2. Install Azure AD Connect

    • Select Password Hash Sync (PHS) (Most robust).
    • Enable SSO (Single Sign-On).

  3. Filtering

    • Filter by OU (Sync only User_OU, exclude Admin_OU and Service_Accounts).

  4. Verification

    • Check Synchronization Service Manager.
    • Verify user appears in Azure Portal as "Directory Synced: Yes".

4. Patterns & Templates

Pattern 1: Tiered Administration (Security)

Use case: Preventing credential theft (Pass-the-Hash).

  • Tier 0 (Identity): Domain Admins. Can only log into DCs. (Red Card/Token).
  • Tier 1 (Servers): Server Admins. Can log into Application Servers.
  • Tier 2 (Workstations): Helpdesk. Can log into Workstations.
  • Rule: Lower tiers CANNOT log into higher tier assets.

Pattern 2: DFS Namespaces (File Sharing)

Use case: Abstracting file server names.

  • Bad: Mapping \\Server01\Share. If Server01 dies, links break.
  • Good: Mapping \\corp.com\Data\Share.
    • \\corp.com\Data is the DFS Namespace.
    • It points to \\Server01\Share (Target).
    • Migration to \\Server02 is invisible to users.

Pattern 3: JEA (Just Enough Administration)

Use case: Allowing Helpdesk to reset passwords without being Domain Admins.

# Role Capability File (.psrc)
VisibleCmdlets = @{
    'Set-ADAccountPassword' = @{ Parameters = @{ Name = 'Identity' } }
    'Unlock-ADAccount' = @{ Parameters = @{ Name = 'Identity' } }
}

6. Integration Patterns

azure-infra-engineer:

  • Handoff: Windows Admin manages on-prem AD → Azure Engineer sets up Entra ID Connect.
  • Collaboration: Extending AD to Azure via VPN (IaaS DCs).
  • Tools: Azure Active Directory.

security-auditor:

  • Handoff: Auditor requests "User Access Review" → Windows Admin runs PowerShell report on Group Membership.
  • Collaboration: Enforcing Password Policies and MFA.
  • Tools: AD Audit Plus, Splunk.

network-engineer:

  • Handoff: Network Engineer sets up VLANs → Windows Admin configures DHCP Scopes/IP Helpers.
  • Collaboration: DNS resolution (Split-brain DNS).
  • Tools: IPAM.