شروع به کار با مدیریت اکتیو دایرکتوری

1. بررسی اجمالی

Managed Active Directory یک دامنه بسیار در دسترس Microsoft Active Directory به عنوان یک سرویس است که در Google Cloud میزبانی می شود.

در این آموزش شما یک اکتیو دایرکتوری مدیریت شده جدید راه اندازی می کنید، یک Windows VM جدید ایجاد می کنید و آن را به دامنه جدید ملحق می کنید. نحوه راه اندازی شبکه، امنیت و مدیریت دامنه خود را با استفاده از همان ابزارهای مدیریتی که با آنها آشنا هستید خواهید دید.

چیزی که یاد خواهید گرفت

  • نحوه ایجاد اکتیو دایرکتوری مدیریت شده در Google Cloud
  • نحوه اضافه کردن یک ویندوز مجازی به دامنه
  • نحوه مدیریت کاربران و رایانه ها در Managed Active Directory

آنچه شما نیاز دارید:

  • یک مرورگر، مانند کروم یا فایرفاکس
  • دستگاهی با ابزارهای gcloud نصب شده است

چگونه از این آموزش استفاده خواهید کرد؟

فقط از طریق آن را بخوانید آن را بخوانید و تمرینات را کامل کنید

تجربه خود را با Google Cloud Platform چگونه ارزیابی می کنید؟

تازه کار متوسط مسلط

2. راه اندازی و الزامات

تنظیم محیط خود به خود

  1. به کنسول Cloud وارد شوید و یک پروژه جدید ایجاد کنید یا از یک موجود استفاده مجدد کنید. (اگر قبلاً یک حساب Gmail یا G Suite ندارید، باید یک حساب ایجاد کنید .)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJHHXieCvXw5 Zw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aTQz5GpG0T

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3UUUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3UUUO1A8CXUF

شناسه پروژه را به خاطر بسپارید، یک نام منحصر به فرد در تمام پروژه های Google Cloud (نام بالا قبلاً گرفته شده است و برای شما کار نخواهد کرد، متأسفیم!). بعداً در این آزمایشگاه کد به عنوان PROJECT_ID نامیده خواهد شد.

  1. در مرحله بعد، برای استفاده از منابع Google Cloud، باید صورت‌حساب را در Cloud Console فعال کنید .

اجرا کردن از طریق این کد لبه نباید هزینه زیادی داشته باشد، اگر اصلاً باشد. حتماً دستورالعمل‌های موجود در بخش «تمیز کردن» را دنبال کنید که به شما توصیه می‌کند چگونه منابع را خاموش کنید تا بیش از این آموزش متحمل صورت‌حساب نشوید. کاربران جدید Google Cloud واجد شرایط برنامه آزمایشی رایگان 300 دلاری هستند.

Cloud Shell را راه اندازی کنید

در حالی که Google Cloud را می توان از راه دور از لپ تاپ شما کار کرد، در این کد لبه از Google Cloud Shell استفاده می کنید، یک محیط خط فرمان که در Google Cloud اجرا می شود.

Cloud Shell را فعال کنید

  1. از Cloud Console، روی Activate Cloud Shell کلیک کنید H7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuUyfp1RzVad_4nCa0ZlWzVDLWD2Ca0ZlUZRWLXT دی کیو .

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4ZIRF6HQWQ2 rbzQ

اگر قبلاً Cloud Shell را راه‌اندازی نکرده‌اید، با یک صفحه میانی (زیر تاشو) روبرو می‌شوید که آن را توصیف می‌کند. اگر اینطور است، روی Continue کلیک کنید (و دیگر آن را نخواهید دید). در اینجا به نظر می رسد که آن صفحه یک بار مصرف:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4tw1Uo6VRh1

تهیه و اتصال به Cloud Shell فقط باید چند لحظه طول بکشد.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7PyGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7PyGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7PyRvcD

این ماشین مجازی با تمام ابزارهای توسعه که شما نیاز دارید بارگذاری شده است. این دایرکتوری اصلی 5 گیگابایتی دائمی را ارائه می دهد و در Google Cloud اجرا می شود و عملکرد شبکه و احراز هویت را بسیار افزایش می دهد. بیشتر، اگر نه همه، کار شما در این کد لبه را می توان به سادگی با یک مرورگر یا Chromebook انجام داد.

پس از اتصال به Cloud Shell، باید ببینید که قبلاً احراز هویت شده اید و پروژه قبلاً روی ID پروژه شما تنظیم شده است.

  1. برای تایید احراز هویت، دستور زیر را در Cloud Shell اجرا کنید:
gcloud auth list

خروجی فرمان

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

خروجی فرمان

[core]
project = <PROJECT_ID>

اگر اینطور نیست، می توانید آن را با این دستور تنظیم کنید:

gcloud config set project <PROJECT_ID>

خروجی فرمان 

Updated property [core/project].

3. مقداردهی اولیه کنید

پروژه GCP اولیه برای میزبانی شبکه VPC بین تمام ماشین‌های مجازی ویندوز متصل به دامنه و اکتیو دایرکتوری مدیریت شده استفاده می‌شود.

بعداً چند متغیر برای اسکریپت‌نویسی آسان‌تر تنظیم می‌کنیم.

  • در مورد نام دامنه تصمیم بگیرید (مثلاً ad.yourcompany.com )
  • تصمیم بگیرید که در کدام منطقه می خواهید یک Domain Controller برای یک دامنه مدیریت شده ایجاد کنید
  • نام VM، قانون فایروال و نام شبکه را تعیین کنید.

در حال حاضر مناطق زیر پشتیبانی می شوند:

  1. "us-west1"
  2. "us-west2"
  3. "us-central1"
  4. "us-east1"
  5. "us-east4"
  6. "اروپا-شمال 1"
  7. "اروپا-غرب 1"
  8. "اروپا-غرب 4"
  9. "Asia-East1"
  10. "آسیا-جنوب شرقی1"

متغیرها را تنظیم کنید

اگر روی لینوکس اجرا می شود، تایپ کنید:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

اگر روی ویندوز اجرا می شود، در ترمینال Powershell تایپ کنید:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

شناسه پروژه فعلی را تنظیم کنید، بنابراین تمام عملیات های بعدی در زمینه پروژه ابری راست انجام می شود: 

$ gcloud config set project $PROJECT_ID

Cloud API ها را فعال کنید

برای فعال کردن Managed Active Directory، باید دو API را فعال کنیم: DNS و Managed Identities.

فعال کردن DNS API:

$ gcloud services enable dns.googleapis.com

فعال کردن Managed Identities API: 

$ gcloud services enable managedidentities.googleapis.com

4. شبکه ابر خصوصی مجازی ایجاد کنید

برای برقراری ارتباط بین کنترل‌کننده دامنه دایرکتوری فعال مدیریت شده و ماشین‌های مجازی ویندوز، باید یک شبکه ابری خصوصی مجازی ایجاد کنیم.

شبکه VPC ایجاد کنید

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

یک قانون فایروال ایجاد کنید تا امکان اتصال بین ماشین های مجازی ویندوز و کنترل کننده های دامنه فراهم شود 

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. کنترل کننده های دامنه ایجاد کنید

ما VPC را تنظیم می کنیم که AD مدیریت شده را با منابع موجود در پروژه ما (VMs) متصل می کند. اکنون زمان راه اندازی یک کنترل کننده دامنه مدیریت شده است.

یک اکتیو دایرکتوری مدیریت شده ایجاد کنید

(پیش بینی می شود این عملیات حدود یک ساعت طول بکشد)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

هنگامی که استقرار در حال انجام است یا در هر زمانی، می توانید وضعیت ارائه دامنه را تأیید کنید.

3 حالت پشتیبانی شده وجود دارد:

ایجاد

ایجاد دامنه AD آغاز شده است، در حال انجام است.

آماده است

ایجاد دامنه AD تکمیل شد، دامنه آماده استفاده است.

تحت تعمیر و نگهداری

دامنه AD هنوز در دسترس است، اما در حال به روز رسانی است (ارتقای کنترل کننده های دامنه، افزودن مناطق و غیره)

بررسی وضعیت استقرار:

$ gcloud active-directory domains describe $DOMAIN_NAME

باید انتظار داشته باشید که این دستور وضعیت READY را پس از تکمیل ایجاد دامنه گزارش کند.

6. ماشین های مجازی ویندوز را به یک دامنه مدیریت شده اضافه کنید

یک Windows VM جدید در Google Compute Engine ایجاد کنید

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

یک قانون فایروال ایجاد کنید تا امکان اتصال دسکتاپ از راه دور به ماشین های مجازی ویندوز شما فراهم شود:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

قبل از اتصال به VM و افزودن آن به دامنه، باید دو کاربر و اعتبار آنها را مشخص کنیم:

  • یک سرپرست محلی در یک VM - این مورد نیاز است تا بتوان از راه دور به VM قبل از پیوستن به دامنه متصل شد
  • کاربر مدیریت دامنه مدیریت شده - برای پیوستن VM به دامنه و همچنین انجام کلیه عملیات مدیریت دامنه مورد نیاز است.

7. اعتبارنامه مدیریت دامنه مدیریت شده را دریافت کنید

نام کاربری مدیریت دامنه مدیریت شده را تعیین کنید:

$ gcloud active-directory domains describe $DOMAIN_NAME

این عملیات نام کاربری مدیر را خروجی می دهد. به طور پیش فرض به آن miadmin می گویند.

بازنشانی رمز عبور سرپرست دامنه مدیریت شده:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

شما باید عملیات را تایید کنید (Y/N) زیرا رمز عبور را در متن واضح نشان می دهد. در ترمینال.

کاربر و رمز عبور را ذخیره کنید - بعداً از آن استفاده خواهیم کرد.

8. به دامنه بپیوندید

کاربر محلی و رمز عبور ویندوز را تولید کنید

کاربر محلی ویندوز و رمز عبور برای اتصال از راه دور به ماشین مجازی که ایجاد کرده اید مورد نیاز است. می توانید آنها را با استفاده از gcloud تولید کنید.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

این یک کاربر محلی به نام usr1 ایجاد می کند و رمز عبور آن را ایجاد می کند

با استفاده از Chrome RDP به نمونه Windows متصل شوید

یک پنجره مرورگر جدید در: https://console.cloud.google.com/compute/instancesDetail/zones/ your-zone /instances/ your-vm-name ?project= your-project-name باز کنید

ChromeRDP را با کلیک بر روی RDP باز کنید:

d0bd7a5329d27723.png

کاربر محلی و رمز عبور را وارد کنید. این کار شما را به ویندوز VM که ایجاد کرده اید متصل می کند.

23fbff0f7c180f62.png

در یک ماشین مجازی، خط فرمان بالا را با Powershell باز کنید:

c5c876d4424217e7.png

در Powershell بالا، تایپ کنید:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

از شما خواسته می شود رمز عبور مدیریت مدیریت شده را ارائه دهید و سپس VM به دامنه مدیریت شده شما می پیوندد و راه اندازی مجدد می شود. قبل از رفتن به مرحله بعدی 2 دقیقه صبر کنید.

در این مرحله VM شما به دامنه متصل است، اما شما مجوزی برای اتصال به آن با استفاده از کاربر مدیریت دامنه مدیریت شده ندارید. شما باید کاربر مدیریت دامنه مدیریت شده را به عنوان سرپرست محلی آن ماشین مجازی اضافه کنید.

دوباره با استفاده از کاربر ادمین محلی (همان دستورالعمل بالا) به VM متصل شوید.

b2c98b9784dd421e.png

اگر چنین است، دستورالعمل های هشدار دهنده را دنبال کنید. این به این دلیل اتفاق افتاد که ما VM را به دامنه پیوستیم.

سعی کنید دوباره با استفاده از کاربر مدیریت محلی وصل شوید و خط فرمان Powershell بالا را باز کنید.

کاربر مدیریت دامنه مدیریت شده را اضافه کنید تا یک مدیر محلی در VM باشد

$ net localgroup administrators /add your-domain-name\miadmin

اکنون می توانید از VM جدا شوید.

9. Active Directory Tools

هنگامی که یک VM به دامنه متصل شد، می توانید از ابزارهای آشنای Active Directory برای مدیریت کاربران، گروه ها، رایانه ها و خط مشی گروه استفاده کنید.

با استفاده از اعتبارنامه سرپرست دامنه مدیریت شده به VM (همان روشی که در بالا توضیح داده شد) متصل شوید. خط فرمان پاورشل بالا را باز کنید:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

تأیید می خواهد و سپس Active Directory Management Tools را نصب می کند.

پس از اتمام نصب، می‌توانید از dsa.msc (کاربران و رایانه‌های اکتیو دایرکتوری) و سایر ابزارهای آشنای اکتیو دایرکتوری برای مدیریت دامنه تحت « OU مشتری » استفاده کنید.

3e548e3c8f88dbc1.png

10. تبریک می گویم!

تبریک می‌گوییم، شما با موفقیت یک اکتیو دایرکتوری مدیریت شده جدید در Google Cloud Platform ایجاد کردید.

مراحل بعدی

.

11. پاکسازی

می توانید VM های ویندوز و شبکه VPC را حذف کنید.

VM های ویندوز را حذف کنید

  • در کنسول GCP، به صفحه نمونه های VM بروید.
  • روی کادر تأیید کنار نمونه‌ای که می‌خواهید حذف کنید کلیک کنید
  • برای حذف نمونه، روی دکمه "حذف" در بالای صفحه کلیک کنید.

شبکه های VPC را حذف کنید

  • در کنسول GCP، به صفحه شبکه های VPC بروید
  • شبکه VPC که ایجاد کردید را انتخاب کنید
  • روی دکمه "حذف" در بالای صفحه کلیک کنید.