תחילת העבודה עם Active Directory מנוהלת

1. סקירה כללית

Active Directory מנוהלת היא דומיין של Microsoft Active Directory עם זמינות גבוהה כשירות, שמתארח ב-Google Cloud.

במדריך הזה תלמדו איך להגדיר Active Directory מנוהלת חדשה, ליצור מכונה וירטואלית חדשה של Windows ולצרף אותה לדומיין החדש. במאמר זה תלמדו איך להגדיר רישות, אבטחה ולנהל את הדומיין שלכם באמצעות אותם כלי ניהול שאתם מכירים.

מה תלמדו

• איך יוצרים Active Directory מנוהלת ב-Google Cloud
• איך מוסיפים לדומיין VM של Windows
• איך לנהל משתמשים ומחשבים ב-Active Directory מנוהלת

מה צריך:

• דפדפן, למשל Chrome או Firefox
• מכונה עם כלים של gcloud מותקנים

2. הגדרה ודרישות

הגדרת סביבה בקצב עצמאי

1. נכנסים למסוף Cloud ויוצרים פרויקט חדש או עושים שימוש חוזר בפרויקט קיים. (אם עדיין אין לכם חשבון Gmail או G Suite, עליכם ליצור חשבון).

חשוב לזכור את מזהה הפרויקט, שם ייחודי לכל הפרויקטים ב-Google Cloud (השם שלמעלה כבר תפוס ולא מתאים לכם, סליחה). בהמשך ב-Codelab הזה, היא תיקרא PROJECT_ID.

2. בשלב הבא צריך להפעיל את החיוב במסוף Cloud כדי להשתמש במשאבים של Google Cloud.

מעבר ב-Codelab הזה לא אמור לעלות הרבה, אם בכלל. חשוב לבצע את כל ההוראות בקטע 'ניקוי' שמסביר איך להשבית משאבים כדי שלא תצברו חיובים מעבר למדריך הזה. משתמשים חדשים ב-Google Cloud זכאים להשתתף בתוכנית תקופת ניסיון בחינם בשווי 1,200 ש"ח.

הפעלת Cloud Shell

אומנם אפשר להפעיל את Google Cloud מרחוק מהמחשב הנייד, אבל ב-Codelab הזה משתמשים ב-Google Cloud Shell, סביבת שורת הפקודה שפועלת ב-Google Cloud.

הפעלת Cloud Shell

1. במסוף Cloud, לוחצים על Activate Cloud Shell .

אם זו הפעם הראשונה שאתם מפעילים את Cloud Shell, יוצג לכם מסך ביניים (בחלק הנגלל) שמתאר מהו. במקרה כזה, לוחצים על המשך (וזה לא יקרה שוב). כך נראה המסך החד-פעמי:

ההקצאה וההתחברות ל-Cloud Shell נמשכת כמה דקות.

למכונה הווירטואלית הזו נטען כל כלי הפיתוח הדרושים. יש בה ספריית בית בנפח מתמיד של 5GB והיא פועלת ב-Google Cloud, מה שמשפר משמעותית את ביצועי הרשת והאימות. אם לא את כולן, ניתן לבצע חלק גדול מהעבודה ב-Codelab הזה באמצעות דפדפן או Chromebook.

אחרי ההתחברות ל-Cloud Shell, אתם אמורים לראות שכבר בוצע אימות ושהפרויקט כבר מוגדר למזהה הפרויקט שלכם.

2. מריצים את הפקודה הבאה ב-Cloud Shell כדי לוודא שהאימות בוצע:

gcloud auth list

פלט הפקודה

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

פלט הפקודה

[core]
project = <PROJECT_ID>

אם היא לא נמצאת שם, תוכלו להגדיר אותה באמצעות הפקודה הבאה:

gcloud config set project <PROJECT_ID>

פלט הפקודה

Updated property [core/project].

3. הפעלה

פרויקט GCP שהופעל ישמש לאירוח רשת ה-VPC בין כל המכונות הווירטואליות של Windows שמחוברות לדומיין וה-Active Directory המנוהל שלך.

בהמשך נגדיר כמה משתנים כדי להקל על כתיבת סקריפטים.

• בוחרים שם דומיין (לדוגמה: ad.yourcompany.com)
• צריך להחליט באיזה אזור רוצים ליצור נאמן מידע לדומיין מנוהל
• בוחרים את שם המכונה הווירטואלית, כלל חומת האש ושם הרשת.

נכון לעכשיו, האזורים הבאים נתמכים:

1. 'us-west1'
2. 'us-west2'
3. 'us-central1'
4. "us-east1"
5. 'us-east4'
6. 'europe-north1'
7. 'europe-west1'
8. 'europe-west4'
9. 'asia-east1'
10. 'asia-southeast1'

הגדרת משתנים

אם פועלים ב-Linux, מקלידים:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

אם אתם משתמשים ב-Windows, מקלידים בטרמינל Powershell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

מגדירים את מזהה הפרויקט הנוכחי, כך שכל הפעולות הבאות יתרחשו בהקשר של הפרויקט הנכון בענן:

$ gcloud config set project $PROJECT_ID

הפעלת Cloud APIs

כדי להפעיל את Admin Active Directory, צריך להפעיל שני ממשקי API: DNS ו-Managed Identities.

מפעילים את DNS API:

$ gcloud services enable dns.googleapis.com

מפעילים את Managed Identities API:

$ gcloud services enable managedidentities.googleapis.com

4. יצירת רשת ענן וירטואלית פרטית (VPC)

כדי ליצור קישוריות בין בקר הדומיין של הספרייה הפעילה המנוהלת למכונות וירטואליות של Windows, אנחנו צריכים ליצור רשת וירטואלית פרטית בענן.

יצירת רשת VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

יצירת כלל של חומת אש כדי לאפשר קישוריות בין מכונות וירטואליות של Windows לבקרי דומיין

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. יצירת בקרי דומיין

אנחנו מגדירים את ה-VPC שמקשר בין מודעות מנוהלות לבין משאבים בפרויקט שלנו (מכונות וירטואליות). עכשיו הגיע הזמן להגדיר בקר דומיין מנוהל.

יצירת Active Directory מנוהלת

(הפעולה הזו צפויה להימשך כשעה)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

בזמן הפריסה או בכל זמן אחר, ניתן לאמת את סטטוס הקצאת ההרשאות של הדומיין.

יש 3 מדינות נתמכות:

מאמתים את סטטוס הפריסה:

$ gcloud active-directory domains describe $DOMAIN_NAME

הפקודה אמורה לדווח על מצב READY כשיצירת הדומיין הושלמה.

6. הוספת מכונות וירטואליות של Windows לדומיין מנוהל

יצירת מכונה וירטואלית (VM) חדשה של Windows ב-Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

יוצרים כלל של חומת אש כדי לאפשר קישוריות של שולחן עבודה מרוחק למכונות הווירטואליות של Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

לפני שמתחברים למכונה הווירטואלית ומוסיפים אותה לדומיין, צריך לזהות שני משתמשים ואת פרטי הכניסה שלהם:

• אדמין מקומי במכונה וירטואלית – התפקיד הזה נדרש כדי להתחבר מרחוק למכונה הווירטואלית לפני צירוף הדומיין.
• משתמש אדמין בדומיין מנוהל – המשתמש הזה נדרש כדי לצרף את המכונה הווירטואלית לדומיין וכדי לבצע את כל פעולות ניהול הדומיין.

7. קבלת פרטי כניסה של אדמין של דומיין מנוהל

איך קובעים את שם המשתמש של האדמין בדומיין מנוהל:

$ gcloud active-directory domains describe $DOMAIN_NAME

הפעולה הזו תפיק את שם המשתמש של האדמין. כברירת מחדל, השם הזה נקרא miadmin.

איפוס הסיסמה של האדמין של הדומיין המנוהל:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

עליך לאשר (Y/N) את הפעולה מכיוון שהיא תחשוף את הסיסמה בטקסט הנקי. במסוף.

שומרים את המשתמש ואת הסיסמה – נשתמש בהם בהמשך.

8. הצטרפות לדומיין

יצירת משתמש וסיסמה מקומיים ל-Windows

נדרש משתמש וסיסמה מקומיים של Windows כדי להתחבר מרחוק ל-VM שיצרתם. אפשר ליצור אותן באמצעות gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

הפעולה הזו תיצור משתמש מקומי בשם 'usr1' וליצור את הסיסמה שלו

התחברות למכונה של Windows באמצעות Chrome RDP

פותחים חלון דפדפן חדש בכתובת: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

פותחים את ChromeRDP באמצעות לחיצה על RDP:

מזינים משתמש מקומי וסיסמה. הפעולה הזו תחבר אתכם ל-VM שיצרתם של Windows.

ב-VM, פותחים את שורת הפקודה ברמה העליונה באמצעות Powershell:

ב-Powershell מוגבה, מקלידים:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

תתבקשו לספק סיסמת אדמין מנוהלת, ואז המכונה הווירטואלית תצטרף לדומיין המנוהל ותפעיל מחדש. צריך להמתין 2 דקות לפני שעוברים לשלב הבא.

בשלב הזה, המכונה הווירטואלית מחוברת לדומיין, אבל אין לך הרשאות להתחבר אליה באמצעות מנהל מערכת של דומיין מנוהל. צריך להוסיף משתמש עם הרשאת אדמין לדומיין מנוהל בתור האדמין המקומי של אותה מכונה וירטואלית.

מתחברים שוב למכונה הווירטואלית באמצעות משתמש אדמין מקומי (אותן הוראות מפורטות למעלה).

אם כן, פועלים לפי הוראות האזהרה. הסיבה לכך היא שהצטרפנו ל-VM לדומיין.

מנסים להתחבר שוב באמצעות משתמש אדמין מקומי ופותחים את שורת הפקודה Powershell.

הוספת משתמש של מנהל דומיין מנוהל לניהול מקומי ב-VM

$ net localgroup administrators /add your-domain-name\miadmin

עכשיו אפשר להתנתק מה-VM.

9. כלים של Active Directory

אחרי שמצרפים מכונה וירטואלית לדומיין, אפשר להשתמש בכלים המוכרים של Active Directory כדי לנהל משתמשים, קבוצות, מחשבים ומדיניות קבוצתית.

מתחברים למכונה הווירטואלית (באותה שיטה שמתוארת למעלה) באמצעות פרטי הכניסה של האדמין של הדומיין המנוהל. פותחים את שורת הפקודה Powershell ברמה גבוהה:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

תתבקשו לאשר ואז להתקין את כלי הניהול של Active Directory.

לאחר השלמת ההתקנה, אפשר להשתמש ב-dsa.msc (משתמשים ומחשבים של Active Directory) ובכלים מוכרים אחרים של Active Directory כדי לנהל את הדומיין ב'יחידה ארגונית של הלקוח'.

10. מעולה!

יצרת בהצלחה ספרייה מנוהלת חדשה ב-Google Cloud Platform.

השלבים הבאים

• מסמכי תיעוד של Active Directory
• מידע נוסף על השימוש ב-VM של Windows ב-GCP
• מידע נוסף על התחברות ל-VM של Windows
• מידע נוסף על פריסת Fault Tolerant Active Directory ב-GCP
• מידע נוסף על .NET ב-Google Cloud Platform

.

11. הסרת המשאבים

אפשר למחוק מכונות וירטואליות של Windows ורשת VPC.

מחיקת מכונות וירטואליות של Windows

• נכנסים לדף VM instances במסוף GCP.
• לוחצים על תיבת הסימון ליד המכונה שרוצים למחוק.
• לוחצים על 'מחיקה'. שבראש הדף, כדי למחוק את המכונה.

מחיקת רשתות VPC

• במסוף GCP, עוברים אל הדף של VPC Networks.
• בוחרים את רשת ה-VPC שיצרתם
• לוחצים על 'מחיקה'. שבראש הדף.