Active Directory (AD) ist Microsofts Verzeichnisdienst zur zentralen Verwaltung von Benutzerkonten, Gruppen, Computern und Zugriffsrichtlinien in Windows-Netzwerken. Die Cloud-Variante heißt Microsoft Entra ID (ehemals Azure AD).
Im ISMS bildet Active Directory das Rückgrat der Zugriffssteuerung. ISO 27001 Annex A Controls A.5.15 (Zugriffskontrolle), A.5.16 (Identitätsmanagement) und A.8.2 (Privilegierte Zugriffsrechte) setzen voraus, dass Berechtigungen nachvollziehbar vergeben und regelmäßig überprüft werden — AD ist in den meisten Organisationen das System, in dem diese Vorgaben operativ umgesetzt werden. Gruppenrichtlinien (GPOs) erzwingen Passwortregeln, Bildschirmsperren und Softwareeinschränkungen. Die regelmäßige Überprüfung von AD-Gruppenmitgliedschaften gehört zu den typischen Audit-Nachweisen.