1. Présentation
Active Directory géré est un domaine en tant que service Microsoft Active Directory à disponibilité élevée, hébergé sur Google Cloud.
Dans ce tutoriel, vous allez configurer un nouvel annuaire Active Directory géré, créer une VM Windows et l'associer au nouveau domaine. Vous apprendrez à configurer la mise en réseau, la sécurité et la gestion de votre domaine à l'aide des outils de gestion que vous connaissez déjà.
Points abordés
- Créer un annuaire Active Directory géré sur Google Cloud
- Ajouter une VM Windows à un domaine
- Comment gérer les utilisateurs et les ordinateurs dans le service Active Directory géré
Ce dont vous avez besoin:
Comment allez-vous utiliser ce tutoriel ?
Quel est votre niveau d'expérience avec Google Cloud Platform ?
<ph type="x-smartling-placeholder">2. Préparation
Configuration de l'environnement au rythme de chacun
- Connectez-vous à Cloud Console, puis créez un projet ou réutilisez un projet existant. (Si vous n'avez pas encore de compte Gmail ou G Suite, vous devez en créer un.)
Mémorisez l'ID du projet. Il s'agit d'un nom unique permettant de différencier chaque projet Google Cloud (le nom ci-dessus est déjà pris ; vous devez en trouver un autre). Il sera désigné par le nom PROJECT_ID tout au long de cet atelier de programmation.
- Vous devez ensuite activer la facturation dans Cloud Console pour pouvoir utiliser les ressources Google Cloud.
L'exécution de cet atelier de programmation est très peu coûteuse, voire gratuite. Veillez à suivre les instructions de la section "Nettoyer" qui indique comment désactiver les ressources afin d'éviter les frais une fois ce tutoriel terminé. Les nouveaux utilisateurs de Google Cloud peuvent participer au programme d'essai gratuit pour bénéficier d'un crédit de 300 $.
Démarrer Cloud Shell
Bien que Google Cloud puisse être utilisé à distance depuis votre ordinateur portable, vous allez utiliser Google Cloud Shell dans cet atelier de programmation, un environnement de ligne de commande exécuté dans Google Cloud.
Activer Cloud Shell
- Dans Cloud Console, cliquez sur Activer Cloud Shell
.
Si vous n'avez encore jamais démarré Cloud Shell, un écran intermédiaire s'affiche en dessous de la ligne de séparation pour décrire de quoi il s'agit. Si tel est le cas, cliquez sur Continuer (cet écran ne s'affiche qu'une seule fois). Voici à quoi il ressemble :
Le provisionnement et la connexion à Cloud Shell ne devraient pas prendre plus de quelques minutes.
Cette machine virtuelle contient tous les outils de développement nécessaires. Elle intègre un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud, ce qui améliore nettement les performances réseau et l'authentification. Vous pouvez réaliser une grande partie, voire la totalité, des activités de cet atelier dans un simple navigateur ou sur votre Chromebook.
Une fois connecté à Cloud Shell, vous êtes en principe authentifié et le projet est défini avec votre ID de projet.
- Exécutez la commande suivante dans Cloud Shell pour vérifier que vous êtes authentifié :
gcloud auth list
Résultat de la commande
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
Résultat de la commande
[core] project = <PROJECT_ID>
Si vous obtenez un résultat différent, exécutez cette commande :
gcloud config set project <PROJECT_ID>
Résultat de la commande
Updated property [core/project].
3. Initialiser
Le projet GCP initialisé permettra d'héberger le réseau VPC entre toutes vos VM Windows associées à un domaine et le service Active Directory géré.
Nous définirons plus tard quelques variables pour faciliter la création de scripts.
- Choisissez un nom de domaine (par exemple, ad.yourcompany.com).
- Choisissez la région dans laquelle vous souhaitez créer un contrôleur de domaine pour un domaine géré.
- Choisissez le nom de la VM, la règle de pare-feu et le nom du réseau.
Actuellement, les régions suivantes sont disponibles:
- us-west1
- us-west2
- "us-central1"
- us-east1
- us-east4
- "europe-north1"
- "europe-west1"
- "europe-west4"
- "asia-east1"
- "asia-southeast1"
Définir des variables
Sous Linux, saisissez ce qui suit:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Si vous utilisez Windows, saisissez ce qui suit dans le terminal Powershell:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Définissez l'ID du projet actuel afin que toutes les opérations ultérieures s'effectuent dans le contexte du bon projet Cloud:
$ gcloud config set project $PROJECT_ID
Activer API Cloud
Pour activer le service géré Active Directory, nous devons activer deux API: DNS et Managed Identities.
Activez l'API DNS:
$ gcloud services enable dns.googleapis.com
Activer l'API Managed Identities:
$ gcloud services enable managedidentities.googleapis.com
4. Créer un réseau cloud privé virtuel
Afin d'établir la connectivité entre le contrôleur de domaine Active Directory géré et les VM Windows, nous devons créer un réseau cloud privé virtuel.
Créer un réseau VPC
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Créer une règle de pare-feu pour autoriser la connectivité entre les VM Windows et les contrôleurs de domaine
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Créer des contrôleurs de domaine
Nous configurons le VPC qui connecte AD géré aux ressources de notre projet (VM). Il est maintenant temps de configurer un contrôleur de domaine géré.
Créer un annuaire Active Directory géré
(Cette opération devrait prendre environ une heure.)
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Vous pouvez vérifier l'état de provisionnement du domaine pendant le déploiement ou à tout moment.
Trois états sont disponibles:
EN COURS DE CRÉATION | La création du domaine AD a été lancée et est en cours. |
PRÊT | Création du domaine AD terminée, domaine prêt à l'emploi. |
EN ENTRETIEN | Le domaine AD est toujours disponible, mais est en cours de mises à jour (mise à niveau des contrôleurs de domaine, ajout de régions, etc.) |
Vérifiez l'état du déploiement :
$ gcloud active-directory domains describe $DOMAIN_NAME
Attendez-vous à ce que cette commande indique l'état READY (PRÊT) une fois la création du domaine terminée.
6. Ajouter des VM Windows à un domaine géré
Créer une VM Windows sur Google Compute Engine
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Créez une règle de pare-feu pour autoriser la connectivité Bureau à distance à vos VM Windows:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Avant de nous connecter à la VM et de l'ajouter au domaine, nous devons identifier deux utilisateurs et leurs identifiants:
- Un administrateur local sur une VM : cette autorisation est nécessaire pour pouvoir se connecter à distance à la VM avant qu'elle ne soit jointe au domaine.
- Administrateur de domaine géré : nécessaire pour associer la VM au domaine et effectuer toutes les opérations de gestion du domaine.
7. Obtenir les identifiants de l'administrateur de domaine géré
Déterminez le nom d'utilisateur de l'administrateur du domaine géré:
$ gcloud active-directory domains describe $DOMAIN_NAME
Cette opération permet d'obtenir le nom d'utilisateur de l'administrateur. Par défaut, il s'appelle miadmin.
Réinitialiser le mot de passe de l'administrateur du domaine géré:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Vous devez confirmer (O/N) l'opération, car le mot de passe s'affichera en clair. Dans le terminal
Enregistrez l'utilisateur et le mot de passe. Nous les utiliserons plus tard.
8. Rejoindre le domaine
Générer un utilisateur local et un mot de passe Windows
Un utilisateur local Windows et un mot de passe sont requis pour se connecter à distance à la VM que vous avez créée. Vous pouvez les générer à l'aide de gcloud.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Un utilisateur local appelé usr1 est créé. et générer son mot de passe
Se connecter à l'instance Windows à l'aide de Chrome RDP
Ouvrez une nouvelle fenêtre de navigateur à l'adresse suivante: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name.
Ouvrez ChromeRDP en cliquant sur RDP:
Saisissez l'utilisateur local et le mot de passe. Vous serez alors connecté à la VM Windows que vous avez créée.
Sur une VM, ouvrez l'invite de commande avec élévation de privilèges avec Powershell:
Dans Powershell élevé, saisissez:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Vous devrez fournir un mot de passe d'administrateur géré. La VM rejoindra votre domaine géré et redémarrera. Patientez deux minutes avant de passer à l'étape suivante.
À ce stade, votre VM est associée à un domaine, mais vous ne disposez pas des autorisations nécessaires pour vous y connecter en utilisant l'administrateur du domaine géré. Vous devez ajouter l'administrateur du domaine géré en tant qu'administrateur local de cette VM.
Connectez-vous à nouveau à la VM en utilisant l'administrateur local (en suivant les mêmes instructions que ci-dessus).
Si c'est le cas, suivez les instructions d'avertissement. Cela est dû au fait que nous avons joint la VM au domaine.
Essayez de vous reconnecter à l'aide de l'administrateur local et ouvrez l'invite de commande Powershell élevée.
Ajouter un administrateur de domaine géré au rôle d'administrateur local sur une VM
$ net localgroup administrators /add your-domain-name\miadmin
Vous pouvez maintenant vous déconnecter de la VM.
9. Outils Active Directory
Une fois qu'une VM est jointe à un domaine, vous pouvez utiliser les outils Active Directory que vous connaissez bien pour gérer les utilisateurs, les groupes, les ordinateurs et les stratégies de groupe.
Connectez-vous à la VM (même méthode que celle décrite ci-dessus) à l'aide des identifiants de l'administrateur du domaine géré. Ouvrez l'invite de commande Powershell avec élévation de privilèges:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Vous devrez confirmer votre choix et installer les outils de gestion Active Directory.
Une fois l'installation terminée, vous pouvez utiliser dsa.msc (utilisateurs et ordinateurs Active Directory) et d'autres outils Active Directory familiers pour gérer le domaine dans l'UO du client.
10. Félicitations !
Félicitations ! Vous venez de créer un annuaire Active Directory géré sur Google Cloud Platform.
Étapes suivantes
- Documentation Active Directory géré
- Apprenez-en davantage sur l'utilisation d'une VM Windows sur GCP.
- Apprenez-en davantage sur la connexion à la VM Windows.
- Découvrez comment déployer Active Directory tolérant aux pannes sur GCP.
- Obtenez plus d'informations sur .NET sur Google Cloud Platform.
.
11. Nettoyage
Vous pouvez supprimer des VM Windows et un réseau VPC.
Supprimer des VM Windows
- Dans la console GCP, accédez à la page Instances de VM.
- Cochez la case à côté de l'instance que vous souhaitez supprimer.
- Cliquez sur le bouton "Supprimer" en haut de la page pour supprimer l'instance.
Supprimer des réseaux VPC
- Dans la console GCP, accédez à la page Réseaux VPC.
- Sélectionnez le réseau VPC que vous avez créé
- Cliquez sur le bouton "Supprimer" en haut de la page.