Pierwsze kroki z zarządzanym katalogiem Active Directory

1. Omówienie

Zarządzana usługa Active Directory to usługa w domenie Microsoft Active Directory o wysokiej dostępności, hostowana w Google Cloud.

W tym samouczku skonfigurujesz nowy zarządzany katalog Active Directory, utworzysz nową maszynę wirtualną z systemem Windows i dołączysz ją do nowej domeny. Dowiesz się, jak konfigurować sieci i zabezpieczenia oraz zarządzać domeną, korzystając z dobrze znanych narzędzi.

Czego się nauczysz

  • Jak utworzyć zarządzany katalog Active Directory w Google Cloud
  • Jak dodać do domeny maszynę wirtualną z systemem Windows
  • Jak zarządzać użytkownikami i komputerami w zarządzanym katalogu Active Directory

Co będzie Ci potrzebne:

  • przeglądarki, np. Chrome lub Firefox;
  • Maszyna z zainstalowanymi narzędziami gcloud

Jak wykorzystasz ten samouczek?

Tylko do przeczytania Przeczytaj go i wykonaj ćwiczenia

Jak oceniasz swoje doświadczenia z Google Cloud Platform?

Początkujący Poziom średnio zaawansowany Biegły
.

2. Konfiguracja i wymagania

Samodzielne konfigurowanie środowiska

  1. Zaloguj się w konsoli Google Cloud i utwórz nowy projekt lub wykorzystaj już istniejący. Jeśli nie masz jeszcze konta Gmail lub G Suite, musisz je utworzyć.

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Zapamiętaj identyfikator projektu, unikalną nazwę we wszystkich projektach Google Cloud (powyższa nazwa jest już zajęta i nie będzie Ci odpowiadać). W dalszej części tego ćwiczenia w Codelabs będzie ona określana jako PROJECT_ID.

  1. Następnie musisz włączyć płatności w Cloud Console, aby korzystać z zasobów Google Cloud.

Ukończenie tego ćwiczenia z programowania nie powinno kosztować zbyt wiele. Postępuj zgodnie z instrukcjami podanymi w sekcji „Czyszczenie” W tym samouczku znajdziesz wskazówki, jak wyłączyć zasoby, aby uniknąć naliczania opłat. Nowi użytkownicy Google Cloud mogą skorzystać z programu bezpłatnego okresu próbnego o wartości 300 USD.

Uruchamianie Cloud Shell

Google Cloud można zarządzać zdalnie z laptopa, ale w tym ćwiczeniu z programowania wykorzystasz Google Cloud Shell – środowisko wiersza poleceń działające w Google Cloud.

Aktywowanie Cloud Shell

  1. W konsoli Cloud kliknij Aktywuj Cloud Shell H7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuUyfp1RzVad_4nCa0Zz5LtwBlUZFXFCWFrmrWZLqg1MkZz2LdgUDQ.

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

Jeśli dopiero zaczynasz korzystać z Cloud Shell, wyświetli się ekran pośredni (w części strony widocznej po przewinięciu) z opisem tej funkcji. W takim przypadku kliknij Dalej (nie zobaczysz go więcej). Tak wygląda ten jednorazowy ekran:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

Uzyskanie dostępu do Cloud Shell i połączenie się z nim powinno zająć tylko kilka chwil.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

Ta maszyna wirtualna ma wszystkie potrzebne narzędzia dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud, co znacznie zwiększa wydajność sieci i uwierzytelnianie. Większość czynności z tego ćwiczenia z programowania można wykonać w przeglądarce lub na Chromebooku.

Po nawiązaniu połączenia z Cloud Shell powinno pojawić się informacja, że użytkownik jest już uwierzytelniony i że projekt jest już ustawiony na identyfikator Twojego projektu.

  1. Uruchom to polecenie w Cloud Shell, aby potwierdzić, że jesteś uwierzytelniony:
gcloud auth list

Dane wyjściowe polecenia

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`
gcloud config list project

Dane wyjściowe polecenia

[core]
project = <PROJECT_ID>

Jeśli tak nie jest, możesz go ustawić za pomocą tego polecenia:

gcloud config set project <PROJECT_ID>

Dane wyjściowe polecenia

Updated property [core/project].

3. Zainicjuj

Zainicjowany projekt GCP będzie używany do hostowania sieci VPC między wszystkimi maszynami wirtualnymi z systemem Windows dołączonymi do domeny oraz zarządzanymi katalogiem Active Directory.

Ustalimy kilka zmiennych, aby ułatwić później tworzenie skryptów.

  • Wybierz nazwę domeny (np. ad.yourcompany.com).
  • Określ, w którym regionie chcesz utworzyć kontroler dla domeny zarządzanej
  • Określ nazwę maszyny wirtualnej, regułę zapory sieciowej i nazwę sieci.

Obecnie obsługiwane są te regiony:

  1. „us-west1”
  2. „us-west2”
  3. „us-central1”
  4. „us-east1”
  5. „us-east4”
  6. „europe-north1”
  7. „europe-west1”
  8. „europe-west4”
  9. „asia-east1”
  10. „asia-southeast1”

Ustaw zmienne

Jeśli korzystasz z systemu Linux, wpisz:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Jeśli działasz w systemie Windows, wpisz terminal Powershell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Ustaw identyfikator bieżącego projektu, aby wszystkie kolejne operacje były wykonywane w kontekście odpowiedniego projektu w chmurze:

$ gcloud config set project $PROJECT_ID

Włącz Cloud APIs

Aby włączyć zarządzany katalog Active Directory, musisz włączyć 2 interfejsy API: DNS i tożsamości zarządzane.

Włącz interfejs DNS API:

$ gcloud services enable dns.googleapis.com

Włącz interfejs Managed Identities API:

$ gcloud services enable managedidentities.googleapis.com

4. Utwórz sieć prywatnego środowiska wirtualnego w chmurze

Aby nawiązać połączenie między kontrolerem domeny zarządzanego katalogu Active Directory a maszynami wirtualnymi z systemem Windows, musimy utworzyć sieć prywatnego środowiska wirtualnego w chmurze.

Tworzenie sieci VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Tworzenie reguły zapory sieciowej umożliwiającej połączenie między maszynami wirtualnymi z systemem Windows a kontrolerami domeny

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Tworzenie kontrolerów domeny

Konfigurujemy środowisko VPC, które łączy zarządzaną usługę AD z zasobami w naszym projekcie (maszynach wirtualnych). Pora skonfigurować kontroler zarządzanej domeny.

Tworzenie zarządzanego katalogu Active Directory

(Ta operacja zajmie około godziny).

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

W trakcie wdrażania lub w dowolnym momencie możesz sprawdzić stan obsługi administracyjnej domeny.

Dostępne są 3 obsługiwane stany:

TWORZĘ

Rozpoczęto tworzenie domeny usługi AD.

TAK

Ukończono tworzenie domeny usługi AD. Domena jest gotowa do użycia.

PODCZAS KONSERWACJI

Domena usługi AD jest nadal dostępna, ale w trakcie aktualizacji (uaktualniania kontrolerów domeny, dodawania regionów itp.)

Sprawdzanie stanu wdrożenia:

$ gcloud active-directory domains describe $DOMAIN_NAME

To polecenie powinno informować o stanie gotowości, gdy tworzenie domeny zostanie ukończone.

6. Dodawanie maszyn wirtualnych z systemem Windows do domeny zarządzanej

Tworzenie nowej maszyny wirtualnej z systemem Windows w Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Utwórz regułę zapory sieciowej, która umożliwia połączenie pulpitu zdalnego z maszynami wirtualnymi z systemem Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Zanim połączysz się z maszyną wirtualną i dodamy ją do domeny, musimy określić 2 użytkowników i ich dane logowania:

  • Lokalny administrator maszyny wirtualnej – wymagany, aby móc zdalnie łączyć się z maszyną wirtualną przed dołączeniem do domeny.
  • Administrator zarządzanej domeny – wymagany, aby dołączyć maszynę wirtualną do domeny oraz wykonywać wszystkie operacje zarządzania domeną

7. Uzyskaj dane logowania administratora zarządzanej domeny

Określ nazwę użytkownika administratora domeny zarządzanej:

$ gcloud active-directory domains describe $DOMAIN_NAME

Ta operacja zwróci nazwę użytkownika administratora. Domyślna nazwa to miadmin.

Resetowanie hasła administratora domeny zarządzanej:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Musisz potwierdzić operację (T/N), ponieważ hasło pojawi się w postaci zwykłego tekstu. w terminalu.

Zapisz użytkownika i hasło – użyjemy ich później.

8. Dołącz do domeny

Wygeneruj lokalnego użytkownika i hasło do systemu Windows

Lokalny użytkownik i hasło systemu Windows są wymagane do zdalnego łączenia się z utworzoną maszyną wirtualną. Możesz je wygenerować za pomocą gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Spowoduje to utworzenie lokalnego użytkownika o nazwie „usr1”. i wygeneruj jego hasło

Łączenie się z instancją z systemem Windows za pomocą RDP Chrome

Otwórz nowe okno przeglądarki na stronie https://console.cloud.google.com/compute/instancesDetails/zones/twoja-strefa/instances/nazwa-maszyny-vm?project=nazwa-projektu.

Otwórz ChromeRDP, klikając RDP:

d0bd7a5329d27723.png

Wpisz lokalnego użytkownika i hasło. Spowoduje to połączenie z utworzoną przez Ciebie maszyną wirtualną z systemem Windows.

23fbff0f7c180f62.png

W maszynie wirtualnej otwórz wiersz polecenia z podwyższonym poziomem uprawnień w Powershell:

c5c876d4424217e7.png

W narzędziu Powershell z podwyższonym poziomem uprawnień wpisz:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Pojawi się prośba o podanie zarządzanego hasła administratora, a maszyna wirtualna dołączy do zarządzanej domeny i uruchomi ją ponownie. Zanim przejdziesz do następnego kroku, zaczekaj 2 minuty.

W tej chwili Twoja maszyna wirtualna jest połączona z domeną, ale nie masz uprawnień do nawiązania z nią połączenia za pomocą administratora domeny zarządzanej. Musisz dodać administratora domeny zarządzanej jako lokalnego administratora tej maszyny wirtualnej.

Ponownie połącz się z tą maszyną wirtualną za pomocą administratora lokalnego (instrukcje są takie same jak powyżej).

b2c98b9784dd421e.png

W takim przypadku postępuj zgodnie z instrukcjami ostrzegawczymi. Stało się tak, ponieważ dołączyliśmy maszynę wirtualną do domeny.

Spróbuj połączyć się ponownie, korzystając z adresu administratora lokalnego i otwórz podwyższony wiersz polecenia w PowerShell.

Dodawanie administratora domeny zarządzanej jako administratora lokalnego maszyny wirtualnej

$ net localgroup administrators /add your-domain-name\miadmin

Teraz możesz odłączyć się od maszyny wirtualnej.

9. Narzędzia Active Directory

Po dołączeniu maszyny wirtualnej do domeny możesz używać znanych narzędzi Active Directory do zarządzania użytkownikami, grupami, komputerami i zasadami grup.

Połącz się z maszyną wirtualną (taką samą jak powyżej) przy użyciu danych logowania administratora zarządzanej domeny. Otwórz wiersz polecenia PowerShell z podwyższonym poziomem uprawnień:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Pojawi się prośba o potwierdzenie, a następnie zainstalowanie narzędzi do zarządzania Active Directory.

Po zakończeniu instalacji możesz użyć narzędzia dsa.msc (Użytkownicy i komputery usługi Active Directory) oraz innych znanych narzędzi Active Directory, aby zarządzać domeną w sekcji „Jednostka organizacyjna klienta”.

3e548e3c8f88dbc1.png

10. Gratulacje!

Gratulujemy! Udało Ci się utworzyć nowy zarządzany katalog Active Directory w Google Cloud Platform.

Następne kroki

.

11. Czyszczenie

Możesz usunąć maszyny wirtualne z systemem Windows i sieć VPC.

Usuwanie maszyn wirtualnych z systemem Windows

  • W konsoli GCP otwórz stronę instancji maszyn wirtualnych.
  • Kliknij pole wyboru obok instancji, którą chcesz usunąć.
  • Kliknij przycisk „Usuń”. u góry strony, aby usunąć instancję.

Usuwanie sieci VPC

  • W konsoli GCP otwórz stronę Sieci VPC.
  • Wybierz utworzoną sieć VPC
  • Kliknij przycisk „Usuń”. u góry strony.