بدء استخدام Managed Active Directory

1. نظرة عامة

دليل Active Directory المُدار هو نطاق Microsoft Active Directory متاح بدرجة كبيرة كخدمة، وتتم استضافته على Google Cloud.

في هذا البرنامج التعليمي، عليك إعداد دليل نشط جديد مُدار وإنشاء جهاز افتراضي يعمل بنظام التشغيل Windows ودمجه في النطاق الجديد. ستتعرف على كيفية إعداد الشبكات والأمان وإدارة نطاقك باستخدام أدوات الإدارة نفسها التي تعرفها.

المعلومات التي ستطّلع عليها

  • طريقة إنشاء خدمة Managed Active Directory على Google Cloud
  • كيفية إضافة جهاز افتراضي يعمل بنظام التشغيل Windows إلى نطاق
  • كيفية إدارة المستخدمين وأجهزة الكمبيوتر في Managed Active Directory

المتطلبات:

  • متصفح، مثل Chrome أو Firefox
  • جهاز مثبت عليه أدوات gcloud

كيف ستستخدم هذا البرنامج التعليمي؟

القراءة فقط اقرأها وأكمِل التمارين

ما هو تقييمك لتجربتك مع Google Cloud Platform؟

حديث متوسط بارع

2. الإعداد والمتطلبات

إعداد بيئة ذاتية

  1. سجِّل الدخول إلى Cloud Console وأنشِئ مشروعًا جديدًا أو أعِد استخدام مشروع حالي. (إذا لم يكن لديك حساب على Gmail أو G Suite، عليك إنشاء حساب.)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

يُرجى تذكُّر رقم تعريف المشروع، وهو اسم فريد في جميع مشاريع Google Cloud (سبق أن تم استخدام الاسم أعلاه ولن يكون مناسبًا لك). ستتم الإشارة إليها لاحقًا في هذا الدرس التطبيقي حول الترميز باسم PROJECT_ID.

  1. بعد ذلك، عليك تفعيل الفوترة في Cloud Console لاستخدام موارد Google Cloud.

إنّ تنفيذ هذا الدرس التطبيقي حول الترميز لن يكون مكلفًا أو مكلفًا على الإطلاق. احرص على اتّباع أي تعليمات في قسم "الحذف سريعًا". الذي يقدم لك نصائح حول كيفية إيقاف تشغيل الموارد حتى لا تتكبّد أي فواتير خارج نطاق هذا البرنامج التعليمي. يكون مستخدمو Google Cloud الجدد مؤهَّلون للانضمام إلى برنامج الفترة التجريبية المجانية التي تبلغ قيمتها 300 دولار أمريكي.

بدء Cloud Shell

يمكن إدارة Google Cloud عن بُعد من الكمبيوتر المحمول، إلا أنّك تستخدم في هذا الدرس التطبيقي Google Cloud Shell، وهي بيئة سطر أوامر يتم تشغيلها في Google Cloud.

تفعيل Cloud Shell

  1. من Cloud Console، انقر على تفعيل Cloud Shell H7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuUyfp1RzVad_4nCa0Zz5LtwBlUZFXFCWFrmrWZLqg1MkZz2LdgUDQ.

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

إذا لم يسبق لك بدء تشغيل Cloud Shell، ستظهر لك شاشة وسيطة (الجزء السفلي غير المرئي من الصفحة) تصف ماهيتها. إذا كان الأمر كذلك، فانقر على متابعة (ولن تراه مرة أخرى مطلقًا). إليك ما تبدو عليه هذه الشاشة التي تُستخدم لمرة واحدة:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

من المفترَض أن تستغرق عملية إدارة الحسابات والاتصال بخدمة Cloud Shell بضع دقائق فقط.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

يتم تحميل هذه الآلة الافتراضية مزوّدة بكل أدوات التطوير التي ستحتاج إليها. وتوفّر هذه الشبكة دليلاً رئيسيًا دائمًا بسعة 5 غيغابايت ويتم تشغيله في Google Cloud، ما يحسّن بشكل كبير من أداء الشبكة والمصادقة. يمكنك تنفيذ معظم عملك، إن لم يكن كلّه، في هذا الدرس التطبيقي حول الترميز باستخدام متصفّح أو جهاز Chromebook.

بعد الربط بخدمة Cloud Shell، من المفترض أن ترى أنّه قد تمت مصادقتك وأنّ المشروع معيّن سبق أن تم ضبطه على رقم تعريف مشروعك.

  1. شغِّل الأمر التالي في Cloud Shell لتأكيد مصادقتك:
gcloud auth list

مخرجات الأمر

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

مخرجات الأمر

[core]
project = <PROJECT_ID>

إذا لم يكن كذلك، يمكنك تعيينه من خلال هذا الأمر:

gcloud config set project <PROJECT_ID>

مخرجات الأمر

Updated property [core/project].

3- إعداد

سيتم استخدام مشروع Google Cloud Platform الذي تم إعداده لاستضافة شبكة VPC بين جميع الأجهزة الافتراضية التي تعمل بنظام التشغيل Windows والمتصلة بالنطاق و Managed Active Directory.

سنقوم بتعيين بعض المتغيرات لسهولة البرمجة النصية لاحقًا.

  • اختَر اسم نطاق (على سبيل المثال: ad.yourcompany.com)
  • تحديد المنطقة التي تريد إنشاء وحدة تحكم في النطاق فيها لنطاق مُدار
  • حدِّد اسم الجهاز الافتراضي وقاعدة جدار الحماية واسم الشبكة.

تتوفّر حاليًا المناطق التالية:

  1. "us-west1"
  2. "us-west2"
  3. "us-central1"
  4. "us-east1"
  5. "us-east4"
  6. "europe-north1"
  7. "europe-west1"
  8. "europe-west4"
  9. "asia-east1"
  10. "asia-southeast1"

ضبط المتغيرات

إذا كان نظام التشغيل Linux قيد التشغيل، اكتب:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

في حال استخدام نظام التشغيل Windows، اكتب الوحدة الطرفية Powershell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

اضبط رقم تعريف المشروع الحالي، لكي تحدث جميع العمليات اللاحقة في سياق المشروع الصحيح على السحابة الإلكترونية:

$ gcloud config set project $PROJECT_ID

تفعيل Cloud APIs

لتفعيل Managed Active Directory، يجب تفعيل واجهتَي برمجة تطبيقات، وهما: نظام أسماء النطاقات والهويات المُدارة.

تفعيل DNS API:

$ gcloud services enable dns.googleapis.com

تفعيل واجهة برمجة تطبيقات الهويات المُدارة:

$ gcloud services enable managedidentities.googleapis.com

4. إنشاء شبكة سحابة إلكترونية خاصة افتراضية

لإنشاء اتصال بين وحدة التحكم في نطاق الدليل النشط المُدار والأجهزة الافتراضية التي تعمل بنظام التشغيل Windows، نحتاج إلى إنشاء شبكة سحابة إلكترونية خاصة افتراضية.

إنشاء شبكة VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

إنشاء قاعدة جدار حماية للسماح بالاتصال بين الأجهزة الافتراضية التي تعمل بنظام التشغيل Windows ووحدات التحكّم في النطاق

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5- إنشاء وحدات التحكم بالمجال

نُعِدّ شبكة VPC التي تربط AD المُدار بالموارد في مشروعنا (VMs). حان الوقت الآن لإعداد وحدة تحكم نطاق مُدار.

إنشاء دليل Active Directory مُدار

(يتوقع أن تستغرق هذه العملية ساعة تقريبًا)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

أثناء حدوث النشر أو في أي وقت، يمكنك التحقُّق من حالة إدارة الحسابات للنطاق.

هناك 3 حالات متاحة:

صناعة المحتوى

تم بدء إنشاء نطاق AD، وهو قيد التقدّم.

هيّا بنا

اكتمل إنشاء نطاق AD، وأصبح النطاق جاهزًا للاستخدام.

قيد الصيانة

لا يزال نطاق AD متاحًا، ولكنه يخضع لإجراء تعديلات، (ترقية وحدات التحكم في النطاق، إضافة مناطق، إلخ.)

التحقُّق من حالة النشر:

$ gcloud active-directory domains describe $DOMAIN_NAME

ينبغي أن تتوقع أن يبلغ هذا الأمر عن حالة READY عند اكتمال إنشاء النطاق.

6- إضافة الأجهزة الافتراضية التي تعمل بنظام التشغيل Windows إلى نطاق مُدار

إنشاء جهاز افتراضي جديد يعمل بنظام التشغيل Windows على Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

يمكنك إنشاء قاعدة جدار حماية للسماح بالاتصال عبر سطح المكتب البعيد بالأجهزة الافتراضية التي تعمل بنظام التشغيل Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

قبل الاتصال بالجهاز الافتراضي وإضافتها إلى النطاق، نحتاج إلى تحديد مستخدمَين وبيانات اعتمادهما:

  • مشرف محلي على جهاز افتراضي: يجب منح هذا الإذن للتمكّن من الاتصال بالجهاز الافتراضي عن بُعد قبل الانضمام إليه عبر النطاق
  • مستخدم مشرف النطاق المُدار: هذا الإجراء مطلوب لضم الجهاز الافتراضي إلى النطاق وإجراء جميع عمليات إدارة النطاق.

7. الحصول على بيانات اعتماد مشرف النطاق المُدار

تحديد اسم المستخدم لمشرف النطاق المُدار:

$ gcloud active-directory domains describe $DOMAIN_NAME

تؤدي هذه العملية إلى ظهور اسم مستخدم المشرف. يُطلق عليها تلقائيًا اسم miadmin.

إعادة ضبط كلمة مرور مشرف النطاق المُدار:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

يجب تأكيد العملية (نعم/لا) لأنّها ستكشف كلمة المرور بنص واضح. في الوحدة الطرفية.

احفظ المستخدم وكلمة المرور، وسنستخدمهما لاحقًا.

8. الانضمام إلى النطاق

إنشاء مستخدم محلي وكلمة مرور على Windows

على جهاز Windows المحلي وكلمة المرور للاتصال عن بُعد بالجهاز الافتراضي الذي أنشأته. يمكنك إنشاؤها باستخدام gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

سيؤدي هذا إلى إنشاء مستخدم محلي باسم "usr1". وإنشاء كلمة المرور

الاتصال بمثيل Windows باستخدام وضع RDP من Chrome

افتح نافذة متصفِّح جديدة على الرابط: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

افتح ChromeRDP من خلال النقر على RDP:

d0bd7a5329d27723.png

أدخِل المستخدم المحلي وكلمة المرور. سيؤدي هذا الإجراء إلى توصيلك بالجهاز الافتراضي الذي يعمل بنظام التشغيل Windows والذي أنشأته.

23fbff0f7c180f62.png

على جهاز افتراضي (VM)، افتح موجِّه أوامر بامتيازات متقدّمة باستخدام Powershell:

c5c876d4424217e7.png

في واجهة Powershell العليا، اكتب:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

سيُطلب منك تقديم كلمة مرور المشرف المُدارة، ثم سينضم الجهاز الافتراضي إلى نطاقك المُدار وإعادة تشغيله. انتظِر دقيقتين قبل الانتقال إلى الخطوة التالية.

في هذه المرحلة، تم ربط جهازك الافتراضي بالنطاق، ولكن لا تتوفّر لديك الأذونات للاتصال به من خلال مستخدم مشرف النطاق المُدار. يجب إضافة مستخدم مشرف النطاق المُدار كمشرف محلي لهذا الجهاز الافتراضي.

عليك إعادة الاتصال بالجهاز الافتراضي باستخدام المستخدم المشرف المحلي (التعليمات نفسها الواردة أعلاه).

b2c98b9784dd421e.png

في هذه الحالة، اتّبِع تعليمات التحذير. حدث ذلك لأنّنا أضفنا الجهاز الافتراضي إلى النطاق.

يُرجى محاولة إعادة الاتصال مرة أخرى باستخدام مستخدم مشرف محلي وفتح موجّه أوامر Powershell مرتفع.

إضافة مستخدم مشرف النطاق المُدار ليكون مشرفًا محليًا على جهاز افتراضي

$ net localgroup administrators /add your-domain-name\miadmin

يمكنك الآن إلغاء الربط بالجهاز الافتراضي.

9. أدوات Active Directory

بعد انضمام جهاز افتراضي إلى النطاق، يمكنك استخدام أدوات Active Directory المألوفة لإدارة المستخدمين والمجموعات وأجهزة الكمبيوتر وسياسات المجموعة.

عليك الاتصال بالجهاز الافتراضي (الطريقة نفسها الموضّحة أعلاه) باستخدام بيانات اعتماد مشرف النطاق المُدار. فتح موجّه أوامر Powershell ذي المستوى العالي:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

سيُطلب منك التأكيد ثم تثبيت "أدوات إدارة الدليل النشط".

بعد اكتمال التثبيت، يمكنك استخدام dsa.msc (مستخدمو وأجهزة الكمبيوتر Active Directory) وغيرها من أدوات Active Directory المألوفة لإدارة النطاق ضمن "الوحدة التنظيمية للعميل".

3e548e3c8f88dbc1.png

10. تهانينا!

تهانينا، لقد أنشأت بنجاح دليلاً نشطًا جديدًا على Google Cloud Platform.

الخطوات التالية

.

11. تنظيف

يمكنك حذف الأجهزة الافتراضية التي تعمل بنظام التشغيل Windows وشبكة VPC.

حذف الأجهزة الافتراضية التي تعمل بنظام التشغيل Windows

  • في وحدة تحكّم Google Cloud Platform، انتقِل إلى صفحة مثيلات الجهاز الافتراضي (VM).
  • انقر على مربّع الاختيار بجانب المثيل الذي تريد حذفه
  • انقر على الزر "حذف". في أعلى الصفحة لحذف المثيل.

حذف شبكات VPC

  • في وحدة تحكُّم Google Cloud Platform، انتقِل إلى صفحة VC Networks.
  • اختَر شبكة VPC التي أنشأتها.
  • انقر على الزر "حذف". الزر أعلى الصفحة.