Primeiros passos com o Managed Active Directory

1. Visão geral

O Active Directory gerenciado é um domínio como serviço altamente disponível do Microsoft Active Directory, hospedado no Google Cloud.

Neste tutorial, você vai configurar um novo Active Directory gerenciado, criar uma nova VM do Windows e associá-la ao novo domínio. Você verá como configurar a rede e a segurança e gerenciar seu domínio com as mesmas ferramentas de gerenciamento que já conhece.

O que você vai aprender

  • Como criar um Active Directory gerenciado no Google Cloud
  • Como adicionar uma VM do Windows a um domínio
  • Como gerenciar usuários e computadores no Managed Active Directory

O que é necessário:

  • Um navegador, como o Chrome ou o Firefox
  • Uma máquina com as ferramentas gcloud instaladas

Como você usará este tutorial?

Apenas leitura Leitura e exercícios

Como você classificaria sua experiência com o Google Cloud Platform?

Iniciante Intermediário Proficiente

2. Configuração e requisitos

Configuração de ambiente autoguiada

  1. Faça login no Console do Cloud e crie um novo projeto ou reutilize um existente. Crie uma se você ainda não tiver uma conta do Gmail ou do G Suite.

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Lembre-se do código do projeto, um nome exclusivo em todos os projetos do Google Cloud. O nome acima já foi escolhido e não servirá para você. Faremos referência a ele mais adiante neste codelab como PROJECT_ID.

  1. Em seguida, será necessário ativar o faturamento no Console do Cloud para usar os recursos do Google Cloud.

A execução deste codelab não será muito cara, se for o caso. Siga todas as instruções na seção "Limpeza", que orienta você sobre como encerrar recursos para não incorrer em cobranças além deste tutorial. Novos usuários do Google Cloud estão qualificados para o programa de avaliação gratuita de US$ 300.

Inicie o Cloud Shell

Embora o Google Cloud possa ser operado remotamente em um laptop, neste codelab você vai usar o Google Cloud Shell, um ambiente de linha de comando executado no Google Cloud.

Ativar o Cloud Shell

  1. No Console do Cloud, clique em Ativar o Cloud ShellH7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuUyfp1RzVad_4nCa0Zz5LtwBlUZFXFCWFrmrWZLqg1MkZz2LdgUDQ.

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

Se você nunca tiver iniciado o Cloud Shell, verá uma tela intermediária (abaixo da dobra) com a descrição do que ele é. Se esse for o caso, clique em Continuar e você não o verá novamente. Esta é uma tela única:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

Leva apenas alguns instantes para provisionar e se conectar ao Cloud Shell.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

Essa máquina virtual contém todas as ferramentas de desenvolvimento necessárias. Ela oferece um diretório principal persistente de 5 GB, além de ser executada no Google Cloud. Isso aprimora o desempenho e a autenticação da rede. Praticamente todo o seu trabalho neste codelab pode ser feito em um navegador ou no seu Chromebook.

Depois de se conectar ao Cloud Shell, você já estará autenticado e o projeto já estará configurado com seu ID do projeto.

  1. Execute o seguinte comando no Cloud Shell para confirmar que você está autenticado:
gcloud auth list

Resposta ao comando

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`
gcloud config list project

Resposta ao comando

[core]
project = <PROJECT_ID>

Se o projeto não estiver configurado, configure-o usando este comando:

gcloud config set project <PROJECT_ID>

Resposta ao comando

Updated property [core/project].

3. Inicializar

O projeto inicializado do GCP será usado para hospedar a rede VPC entre todas as VMs do Windows associadas ao domínio e o Active Directory gerenciado.

Definiremos algumas variáveis para criar um script mais fácil posteriormente.

  • Escolha um nome de domínio (por exemplo: ad.yourcompany.com)
  • Decida em qual região você quer criar um controlador de domínio para um domínio gerenciado
  • Decida o nome da VM, a regra de firewall e o nome da rede.

Atualmente, as seguintes regiões são aceitas:

  1. “us-west1”
  2. “us-west2”
  3. "us-central1"
  4. “us-east1”
  5. "us-east4"
  6. "europe-north1"
  7. "europe-west1"
  8. "europe-west4"
  9. “asia-east1”
  10. “asia-southeast1”

Definir variáveis

Se estiver executando no Linux, digite:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Se a execução for no Windows, digite no terminal do PowerShell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Defina o ID do projeto atual para que todas as operações subsequentes ocorram no contexto do projeto correto na nuvem:

$ gcloud config set project $PROJECT_ID

Ativar Cloud APIs

Para ativar o Managed Active Directory, precisamos ativar duas APIs: DNS e Managed Identities.

Ativar API DNS:

$ gcloud services enable dns.googleapis.com

Ative a API Managed Identities:

$ gcloud services enable managedidentities.googleapis.com

4. Criar uma rede de nuvem privada virtual

Para estabelecer a conectividade entre o controlador de domínio do Active Directory gerenciado e as VMs do Windows, precisamos criar uma rede de nuvem privada virtual.

Criar rede VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Criar uma regra de firewall para permitir a conectividade entre VMs do Windows e controladores de domínio

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Criar controladores de domínio

Configuramos a VPC que conecta o AD gerenciado aos recursos no projeto (VMs). Agora é hora de configurar um controlador de domínio gerenciado.

Criar um Active Directory gerenciado

Essa operação deve levar cerca de uma hora.

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

Durante a implantação ou a qualquer momento, você pode verificar o status de provisionamento do domínio.

Há três estados compatíveis:

CRIANDO

A criação do domínio do AD foi iniciada, em andamento.

PRONTO

A criação do domínio do AD foi concluída, o domínio está pronto para uso.

EM MANUTENÇÃO

O domínio do AD ainda está disponível, mas está passando por atualizações (upgrade dos controladores de domínio, adição de regiões etc.).

Verifique o status da implantação:

$ gcloud active-directory domains describe $DOMAIN_NAME

Esse comando informará o estado READY quando a criação do domínio for concluída.

6. Adicionar VMs do Windows a um domínio gerenciado

Crie uma nova VM do Windows no Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Crie uma regra de firewall para permitir a conectividade da área de trabalho remota às VMs do Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Antes de nos conectarmos à VM e adicioná-la ao domínio, precisamos determinar dois usuários e suas credenciais:

  • Um administrador local em uma VM: necessário para se conectar remotamente à VM antes de ela ser associada ao domínio.
  • Usuário administrador do domínio gerenciado: necessário para unir a VM ao domínio e executar todas as operações de gerenciamento do domínio.

7. Receber credenciais de administrador de domínio gerenciado

Determinar o nome de usuário do administrador do domínio gerenciado:

$ gcloud active-directory domains describe $DOMAIN_NAME

Essa operação vai gerar o nome de usuário do administrador. Por padrão, ele se chama miadmin.

Para redefinir a senha do administrador do domínio gerenciado:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Você precisa confirmar (S/N) a operação, pois ela revelará a senha em texto não criptografado. No terminal.

Salve o usuário e a senha, porque eles serão usados mais tarde.

8. Mesclar o domínio

Gerar usuário e senha locais do Windows

O usuário e a senha locais do Windows são necessários para se conectar remotamente à VM que você criou. É possível gerá-las usando a gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Isso criará um usuário local chamado "usr1". e gerar a senha dele

Conectar-se à instância do Windows usando o RDP do Chrome

Abra uma nova janela do navegador em: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

Para abrir o RDP do Chrome, clique em "RDP":

d0bd7a5329d27723.png

Digite o usuário e a senha locais. Isso vai conectar você à VM do Windows que você criou.

23fbff0f7c180f62.png

Em uma VM, abra o prompt de comando elevado com o PowerShell:

c5c876d4424217e7.png

No PowerShell elevado, digite:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Você precisará informar a senha de administrador gerenciado. Depois, a VM será conectada ao seu domínio gerenciado e será reiniciada. Aguarde dois minutos antes de prosseguir para a próxima etapa.

Neste momento, sua VM é associada ao domínio, mas você não tem permissão para se conectar a ela usando o usuário administrador de domínio gerenciado. Você precisa adicionar o usuário administrador do domínio gerenciado como administrador local da VM.

Conecte-se à VM novamente usando o usuário administrador local (as mesmas instruções acima).

b2c98b9784dd421e.png

Nesse caso, siga as instruções de aviso. Isso aconteceu porque associamos a VM ao domínio.

Tente se reconectar usando o usuário administrador local e abra o prompt de comando elevated do PowerShell.

Adicionar um usuário administrador de domínio gerenciado como administrador local em uma VM

$ net localgroup administrators /add your-domain-name\miadmin

Agora você pode se desconectar da VM.

9. Ferramentas do Active Directory

Depois que uma VM é associada ao domínio, é possível usar ferramentas conhecidas do Active Directory para gerenciar usuários, grupos, computadores e políticas de grupo.

Conecte-se à VM (mesmo método descrito acima) usando as credenciais do administrador do domínio gerenciado. Abra o prompt de comando elevado do PowerShell:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Ele vai pedir uma confirmação e instalar as Ferramentas de Gerenciamento do Active Directory.

Após a conclusão da instalação, você poderá usar dsa.msc (Usuários e Computadores do Active Directory) e outras ferramentas conhecidas do Active Directory para gerenciar o domínio em UO do cliente.

3e548e3c8f88dbc1.png

10. Parabéns!

Parabéns, você criou um novo Active Directory gerenciado no Google Cloud Platform.

Próximas etapas

.

11. Limpeza

É possível excluir VMs do Windows e redes VPC.

Excluir VMs do Windows

  • No console do GCP, acesse a página Instâncias de VM.
  • Clique na caixa de seleção ao lado da instância que você quer excluir.
  • Clique no botão "Excluir" na parte superior da página para excluir a instância.

Excluir redes VPC

  • No console do GCP, acesse a página Redes VPC.
  • Selecione a rede VPC que você criou
  • Clique no botão "Excluir" na parte superior da página.