Comienza a usar Active Directory administrado

1. Descripción general

Active Directory administrado es un dominio de Microsoft Active Directory como servicio con alta disponibilidad y alojado en Google Cloud.

En este instructivo, configurarás un nuevo Active Directory administrado, crearás una nueva VM de Windows y la unirás al nuevo dominio. Verás cómo configurar las herramientas de redes y la seguridad, y administrar tu dominio con las mismas herramientas de administración que ya conoces.

Qué aprenderás

  • Cómo crear Active Directory administrado en Google Cloud
  • Cómo agregar una VM de Windows a un dominio
  • Cómo administrar usuarios y computadoras en el Active Directory administrado

Requisitos:

  • Un navegador, como Chrome o Firefox
  • Una máquina con las herramientas de gcloud instaladas

¿Cómo usarás este instructivo?

Leer Leer y completar los ejercicios

¿Cómo calificarías tu experiencia con Google Cloud Platform?

Principiante Intermedio Avanzado .
.

2. Configuración y requisitos

Configuración del entorno de autoaprendizaje

  1. Accede a la consola de Cloud y crea un proyecto nuevo o reutiliza uno existente. (Si todavía no tienes una cuenta de Gmail o de G Suite, debes crear una).

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Recuerde el ID de proyecto, un nombre único en todos los proyectos de Google Cloud (el nombre anterior ya se encuentra en uso y no lo podrá usar). Se mencionará más adelante en este codelab como PROJECT_ID.

  1. A continuación, deberás habilitar la facturación en la consola de Cloud para usar los recursos de Google Cloud recursos.

Ejecutar este codelab no debería costar mucho, tal vez nada. Asegúrate de seguir las instrucciones de la sección “Realiza una limpieza” en la que se aconseja cómo cerrar recursos para no incurrir en facturación más allá de este instructivo. Los usuarios nuevos de Google Cloud son aptos para participar en el programa Prueba gratuita de $300.

Inicia Cloud Shell

Si bien Google Cloud se puede operar de manera remota desde tu laptop, en este codelab usarás Google Cloud Shell, un entorno de línea de comandos que se ejecuta en Google Cloud.

Activar Cloud Shell

  1. En la consola de Cloud, haz clic en Activar Cloud ShellH7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuUyfp1RzVad_4nCa0Zz5LtwBlUZFXFCWFrmrWZLqg1MkZz2LdgUDQ.

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

Si nunca ha iniciado Cloud Shell, aparecerá una pantalla intermedia (debajo de la mitad inferior de la página) que describe qué es. Si ese es el caso, haz clic en Continuar (y no volverás a verlo). Así es como se ve la pantalla única:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

El aprovisionamiento y la conexión a Cloud Shell solo tomará unos minutos.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

Esta máquina virtual está cargada con todas las herramientas de desarrollo que necesitarás. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud, lo que permite mejorar considerablemente el rendimiento de la red y la autenticación. Gran parte de tu trabajo en este codelab, si no todo, se puede hacer simplemente con un navegador o tu Chromebook.

Una vez conectado a Cloud Shell, debería ver que ya se autenticó y que el proyecto ya se configuró con tu ID del proyecto.

  1. En Cloud Shell, ejecuta el siguiente comando para confirmar que está autenticado:
gcloud auth list

Resultado del comando

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`
gcloud config list project

Resultado del comando

[core]
project = <PROJECT_ID>

De lo contrario, puedes configurarlo con el siguiente comando:

gcloud config set project <PROJECT_ID>

Resultado del comando

Updated property [core/project].

3. Inicialización

El proyecto de GCP inicializado se usará para alojar la red de VPC entre todas tus VMs de Windows unidas al dominio y Active Directory administrado.

Estableceremos algunas variables para facilitar la escritura de secuencias de comandos más adelante.

  • Elige un nombre de dominio (p. ej., ad.yourcompany.com).
  • Decide en qué región deseas crear un controlador de dominio para un dominio administrado.
  • Decide el nombre de la VM, la regla de firewall y el nombre de la red.

Actualmente, se admiten las siguientes regiones:

  1. “us-west1”
  2. “us-west2”
  3. “us-central1”
  4. “us-east1”
  5. “us-east4”
  6. “europe-north1”
  7. “europe-west1”
  8. “europe-west4”
  9. “asia-east1”
  10. “asia-southeast1”

Configura las variables

Si ejecutas Linux, escribe lo siguiente:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Si ejecutas Windows, escribe en la terminal PowerShell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Establece el ID del proyecto actual, de modo que todas las operaciones posteriores se realicen en el contexto del proyecto de Cloud correcto:

$ gcloud config set project $PROJECT_ID

Habilita las API de Cloud

Para habilitar Managed Directory, debemos habilitar dos APIs: DNS y Identidades administradas.

Habilita la API de DNS:

$ gcloud services enable dns.googleapis.com

Habilita la API de identidades administradas:

$ gcloud services enable managedidentities.googleapis.com

4. Crear red de nube privada virtual

Para establecer la conectividad entre el controlador de dominio de Active Directory administrado y las VMs de Windows, debemos crear una red de nube privada virtual.

Crear red de VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Crea una regla de firewall para permitir la conectividad entre las VMs de Windows y los controladores de dominio

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Crear controladores de dominio

Configuramos la VPC que conecta AD administrado con los recursos de nuestro proyecto (VM). Ahora es el momento de configurar un controlador de dominio administrado.

Crea un Active Directory administrado

(Se espera que esta operación demore alrededor de una hora).

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

Mientras se realiza la implementación o en cualquier momento, puedes verificar el estado de aprovisionamiento del dominio.

Existen 3 estados compatibles:

CREACIÓN EN CURSO

Se inició la creación del dominio de AD, en progreso.

LISTO

AD Se completó la creación del dominio. El dominio está listo para usarse.

EN MANTENIMIENTO

El dominio de AD todavía está disponible, pero se está actualizando (actualizando los controladores de dominio, agregando regiones, etc.)

Verifica el estado de la implementación:

$ gcloud active-directory domains describe $DOMAIN_NAME

Deberías esperar que este comando informe el estado READY cuando se complete la creación del dominio.

6. Agrega VMs de Windows a un dominio administrado

Crea una VM de Windows nueva en Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Crea una regla de firewall para permitir la conectividad del escritorio remoto a tus VMs de Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Antes de conectarnos a la VM y agregarla al dominio, debemos determinar los dos usuarios y sus credenciales:

  • Un administrador local en una VM: Esto es necesario para poder conectarse de forma remota a la VM antes de que se una al dominio.
  • Usuario administrador de dominio administrado: Esto es necesario para unir la VM al dominio, así como para realizar todas las operaciones de administración de dominios.

7. Obtén credenciales de administrador de dominio administrado

Determina el nombre de usuario administrador de dominio administrado:

$ gcloud active-directory domains describe $DOMAIN_NAME

Esta operación generará el nombre de usuario del administrador. De forma predeterminada, se llama miadmin.

Restablecer la contraseña del administrador del dominio administrado:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Debes confirmar (S/N) la operación, ya que esto revelará la contraseña en el texto no encriptado. En la terminal.

Guarda el usuario y la contraseña, ya que los usaremos más adelante.

8. Únete al dominio

Genera un usuario y una contraseña locales de Windows

Se requieren un usuario y una contraseña locales de Windows para conectarte de forma remota a la VM que creaste. Puedes generarlos con gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Esto creará un usuario local llamado "usr1" y generar su contraseña

Conéctate a la instancia de Windows con el RDP de Chrome

Abra una nueva ventana del navegador en https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

Haz clic en RDP para abrir ChromeRDP:

d0bd7a5329d27723.png

Ingresa el usuario y la contraseña locales. Esta acción te conectará a la VM de Windows que creaste.

23fbff0f7c180f62.png

En una VM, abre el símbolo del sistema elevado con PowerShell:

c5c876d4424217e7.png

En PowerShell elevado, escribe lo siguiente:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Se te pedirá que proporciones una contraseña de administrador administrado. Luego, la VM se unirá a tu dominio administrado y se reiniciará. Espera 2 minutos antes de continuar con el siguiente paso.

En este punto, tu VM está unida al dominio, pero no tienes permisos para conectarte a ella con el usuario administrador de dominio administrado. Debes agregar un usuario administrador de dominio administrado como administrador local de esa VM.

Vuelve a conectarte a la VM con el usuario administrador local (las mismas instrucciones que se mencionaron anteriormente).

b2c98b9784dd421e.png

Si es así, sigue las instrucciones de advertencia. Esto ocurrió porque unimos la VM al dominio.

Intenta volver a conectarte con el usuario administrador local y abre el símbolo del sistema de PowerShell elevado.

Agrega un usuario administrador de dominio administrado para que sea administrador local en una VM

$ net localgroup administrators /add your-domain-name\miadmin

Ahora puedes desconectarte de la VM.

9. Herramientas de Active Directory

Una vez que una VM está unida al dominio, puedes usar las herramientas conocidas de Active Directory para administrar usuarios, grupos, computadoras y políticas de grupo.

Conéctate a la VM (el mismo método descrito anteriormente) con las credenciales del administrador del dominio administrado. Abre el símbolo del sistema de PowerShell elevado:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Se le pedirá confirmación y, luego, se instalarán las Herramientas de administración de Active Directory.

Una vez finalizada la instalación, puedes usar dsa.msc (Usuarios y computadoras de Active Directory) y otras herramientas conocidas de Active Directory para administrar el dominio en "UO del cliente".

3e548e3c8f88dbc1.png

10. ¡Felicitaciones!

Felicitaciones, creaste correctamente un nuevo Active Directory administrado en Google Cloud Platform.

Próximos pasos

.

11. Limpieza

Puedes borrar las VMs de Windows y la red de VPC.

Borra las VMs de Windows

  • En GCP Console, ve a la página Instancias de VM.
  • Haz clic en la casilla de verificación junto a la instancia que deseas borrar.
  • Haz clic en el botón "Borrar" en la parte superior de la página para borrar la instancia.

Borra redes de VPC

  • En GCP Console, ve a la página Redes de VPC.
  • Selecciona la red de VPC que creaste
  • Haz clic en el botón "Borrar" en la parte superior de la página.