Halaman ini diterjemahkan oleh Cloud Translation API.

Memulai Managed Active Directory

1. Ringkasan

Managed Active Directory sebagai layanan domain Microsoft Active Directory yang sangat tersedia, yang dihosting di Google Cloud.

Dalam tutorial ini, Anda akan menyiapkan Active Directory terkelola baru, membuat VM Windows baru, dan menggabungkannya ke domain baru. Anda akan melihat cara menyiapkan jaringan, keamanan, dan mengelola domain menggunakan alat pengelolaan yang sama dengan yang biasa Anda gunakan.

Yang akan Anda pelajari

Cara membuat Active Directory Terkelola di Google Cloud
Cara menambahkan VM Windows ke domain
Cara mengelola pengguna dan komputer di Active Directory Terkelola

Yang Anda butuhkan:

Browser, seperti Chrome atau Firefox
Mesin dengan alat gcloud terinstal

Bagaimana Anda akan menggunakan tutorial ini?

Hanya membacanya

Membacanya dan menyelesaikan latihan

Bagaimana penilaian Anda terhadap pengalaman dengan Google Cloud Platform?

Pemula

Menengah

Mahir

2. Penyiapan dan persyaratan

Penyiapan lingkungan mandiri

Login ke Cloud Console dan buat project baru atau gunakan kembali project yang sudah ada. (Jika belum memiliki akun Gmail atau G Suite, Anda harus membuatnya.)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Ingat project ID, nama unik di semua project Google Cloud (maaf, nama di atas telah digunakan dan tidak akan berfungsi untuk Anda!) Project ID tersebut selanjutnya akan dirujuk di codelab ini sebagai PROJECT_ID.

Selanjutnya, Anda harus mengaktifkan penagihan di Cloud Console untuk menggunakan resource Google Cloud.

Menjalankan operasi dalam codelab ini seharusnya tidak memerlukan banyak biaya, bahkan mungkin tidak sama sekali. Pastikan untuk mengikuti petunjuk yang ada di bagian "Membersihkan" yang memberi tahu Anda cara menonaktifkan resource sehingga tidak menimbulkan penagihan di luar tutorial ini. Pengguna baru Google Cloud memenuhi syarat untuk mengikuti program Uji Coba Gratis senilai $300 USD.

Mulai Cloud Shell

Meskipun Google Cloud dapat dioperasikan secara jarak jauh dari laptop Anda, dalam codelab ini Anda akan menggunakan Google Cloud Shell, yakni lingkungan command line yang berjalan di Google Cloud.

Mengaktifkan Cloud Shell

Dari Cloud Console, klik Aktifkan Cloud Shell .

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

Jika belum pernah memulai Cloud Shell, Anda akan melihat layar perantara (di paruh bawah) yang menjelaskan apa itu Cloud Shell. Jika demikian, klik Lanjutkan (dan Anda tidak akan pernah melihatnya lagi). Berikut tampilan layar sekali-tampil tersebut:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

Perlu waktu beberapa saat untuk penyediaan dan terhubung ke Cloud Shell.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

Mesin virtual ini berisi semua alat pengembangan yang Anda perlukan. Layanan ini menawarkan direktori beranda tetap sebesar 5 GB dan beroperasi di Google Cloud, sehingga sangat meningkatkan performa dan autentikasi jaringan. Sebagian besar pekerjaan Anda dalam codelab ini dapat dilakukan hanya dengan browser atau Chromebook.

Setelah terhubung ke Cloud Shell, Anda akan melihat bahwa Anda sudah diautentikasi dan project sudah ditetapkan ke project ID Anda.

Jalankan perintah berikut di Cloud Shell untuk mengonfirmasi bahwa Anda telah diautentikasi:

gcloud auth list

Output perintah

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

Output perintah

[core]
project = <PROJECT_ID>

Jika tidak, Anda dapat menyetelnya dengan perintah ini:

gcloud config set project <PROJECT_ID>

Output perintah

Updated property [core/project].

3. Lakukan inisialisasi

Project GCP yang diinisialisasi akan digunakan untuk menghosting Jaringan VPC antara semua VM Windows yang bergabung dengan domain dan Managed Active Directory.

Kita akan menetapkan beberapa variabel untuk memudahkan pembuatan skrip nanti.

Tentukan nama domain (misalnya: ad.yourcompany.com)
Tentukan di wilayah mana Anda ingin membuat Pengontrol Domain untuk domain terkelola
Tentukan nama VM, aturan firewall, dan nama jaringan.

Saat ini wilayah berikut didukung:

"us-west1"
"us-west2"
"us-central1"
"us-east1"
"us-east4"
"europe-north1"
"europe-west1"
"europe-west4"
"asia-east1"
"asia-southeast1"

Menetapkan variabel

Jika berjalan di Linux, ketik:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Jika berjalan di Windows, ketik di terminal Powershell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Tetapkan ID project saat ini, sehingga semua operasi berikutnya akan terjadi dalam konteks project cloud yang tepat:

$ gcloud config set project $PROJECT_ID

Aktifkan Cloud API

Untuk mengaktifkan Managed Active Directory, kami perlu mengaktifkan dua API: DNS dan Managed Identities.

Aktifkan DNS API:

$ gcloud services enable dns.googleapis.com

Aktifkan Managed Identities API:

$ gcloud services enable managedidentities.googleapis.com

4. Membuat Jaringan Virtual Private Cloud

Untuk membuat konektivitas antara pengontrol domain Active Directory terkelola dan VM Windows, kita perlu membuat virtual private cloud network.

Membuat jaringan VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Membuat aturan firewall untuk mengizinkan konektivitas antara VM Windows dan pengontrol domain

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Membuat Pengontrol Domain

Kami menyiapkan VPC yang menghubungkan AD terkelola dengan resource dalam project (VM) kami. Sekarang saatnya untuk menyiapkan {i> managed domain controller<i}.

Membuat Active Directory Terkelola

(Operasi ini diperkirakan akan memakan waktu sekitar satu jam)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

Saat deployment berlangsung atau kapan saja, Anda dapat memverifikasi status penyediaan domain.

Ada 3 status yang didukung:

MEMBUAT	Pembuatan Domain AD telah dimulai, sedang dalam proses.
SIAP	Pembuatan Domain AD selesai, domain siap digunakan.
DALAM PERAWATAN	Domain AD masih tersedia, tetapi sedang melakukan update, (mengupgrade Pengontrol Domain, menambahkan region, dll.)

Memverifikasi status deployment:

$ gcloud active-directory domains describe $DOMAIN_NAME

Anda akan melihat perintah ini melaporkan status READY saat pembuatan domain selesai.

6. Menambahkan VM Windows ke domain terkelola

Membuat VM Windows baru di Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Buat aturan firewall untuk mengizinkan konektivitas desktop jarak jauh ke VM Windows Anda:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Sebelum terhubung ke VM dan menambahkannya ke domain, kita perlu menentukan dua pengguna dan kredensialnya:

Admin lokal di VM - admin ini diperlukan agar dapat terhubung dari jarak jauh ke VM sebelum bergabung dengan domain
Pengguna Admin Domain Terkelola - ini diperlukan untuk menggabungkan VM ke domain serta melakukan semua operasi pengelolaan domain

7. Mendapatkan kredensial Admin Domain Terkelola

Tentukan nama pengguna admin domain terkelola:

$ gcloud active-directory domains describe $DOMAIN_NAME

Operasi ini akan menampilkan nama pengguna administrator. Secara default, fitur ini disebut miadmin.

Reset sandi admin domain terkelola:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Anda harus mengonfirmasi (Y/T) operasi tersebut karena akan mengungkapkan {i>password<i} dalam teks yang jelas. Di terminal.

Simpan pengguna dan sandi - kita akan menggunakannya nanti.

8. Bergabung dengan domain

Membuat sandi dan pengguna lokal Windows

Pengguna dan sandi lokal Windows diperlukan untuk terhubung dari jarak jauh ke VM yang Anda buat. Anda dapat membuatnya menggunakan gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Tindakan ini akan membuat pengguna lokal bernama "usr1" dan membuat sandinya

Menghubungkan ke instance Windows menggunakan Chrome RDP

Buka jendela browser baru di: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

Buka ChromeRDP dengan mengklik RDP:

Masukkan sandi dan pengguna lokal. Langkah ini akan menghubungkan Anda ke Windows VM yang Anda buat.

23fbff0f7c180f62.pngS

Di VM, buka command prompt yang ditingkatkan dengan Powershell:

Di Powershell yang ditingkatkan, ketik:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Anda akan diminta untuk memberikan sandi administrator terkelola, lalu VM akan bergabung ke domain terkelola Anda, lalu memulai ulang. Tunggu 2 menit sebelum melanjutkan ke langkah berikutnya.

Pada tahap ini, VM Anda bergabung dengan domain, tetapi Anda tidak memiliki izin untuk menghubungkannya menggunakan pengguna admin domain terkelola. Anda perlu menambahkan pengguna admin domain terkelola sebagai administrator lokal VM tersebut.

Hubungkan kembali ke VM menggunakan pengguna admin lokal (petunjuk yang sama seperti di atas).

Jika ya, ikuti petunjuk peringatan. Hal ini terjadi karena kita menggabungkan VM ke domain.

Coba hubungkan kembali menggunakan pengguna admin lokal dan buka Command Prompt Powershell yang ditingkatkan.

Menambahkan pengguna Admin Domain Terkelola untuk menjadi admin lokal di VM

$ net localgroup administrators /add your-domain-name\miadmin

Sekarang Anda dapat memutuskan koneksi dari VM.

9. Alat {i>Active Directory<i}

Setelah VM bergabung dengan domain, Anda dapat menggunakan alat Active Directory yang sudah dikenal untuk mengelola kebijakan pengguna, grup, komputer, dan grup.

Hubungkan ke VM (metode yang sama seperti yang dijelaskan di atas) menggunakan kredensial admin domain terkelola. Buka Command Prompt Powershell yang ditingkatkan:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Admin akan meminta konfirmasi, lalu menginstal Active Directory Management Tools.

Setelah penginstalan selesai, Anda dapat menggunakan dsa.msc (Pengguna dan Komputer Active Directory) serta alat Active Directory lainnya yang sudah dikenal untuk mengelola domain di bagian "OU Pelanggan"

3e548e3c8f88dbc1.pngS

10. Selamat!

Selamat, Anda telah berhasil membuat Active Directory Terkelola baru di Google Cloud Platform.

Langkah Berikutnya

Dokumentasi Managed Active Directory
Pelajari lebih lanjut cara menggunakan VM Windows di GCP.
Pelajari lebih lanjut cara Menghubungkan ke VM Windows.
Pelajari lebih lanjut cara Men-deploy Fault Tolerant Active Directory di GCP
Pelajari .NET di Google Cloud Platform lebih lanjut.

11. Pembersihan

Anda dapat menghapus VM Windows dan jaringan VPC.

Menghapus VM Windows

Di GCP Console, buka halaman instance VM.
Klik kotak centang di samping instance yang ingin dihapus
Klik "Hapus" di bagian atas halaman untuk menghapus instance.

Menghapus jaringan VPC

Di GCP Console, buka Halaman Jaringan VPC
Pilih jaringan VPC yang Anda buat
Klik "Hapus" di bagian atas halaman.