Начало работы с управляемым Active Directory

1. Обзор

Управляемый Active Directory — это высокодоступный домен Microsoft Active Directory как услуга, размещенный в Google Cloud.

В этом руководстве вы настроите новую управляемую Active Directory, создадите новую виртуальную машину Windows и присоедините ее к новому домену. Вы увидите, как настроить сеть, безопасность и управлять своим доменом, используя те же инструменты управления, с которыми вы знакомы.

Что вы узнаете

• Как создать управляемый Active Directory в Google Cloud
• Как добавить виртуальную машину Windows в домен
• Как управлять пользователями и компьютерами в управляемом Active Directory

Что вам понадобится:

• Браузер, например Chrome или Firefox.
• Машина с установленными инструментами gcloud

2. Настройка и требования

Самостоятельная настройка среды

1. Войдите в Cloud Console и создайте новый проект или повторно используйте существующий. (Если у вас еще нет учетной записи Gmail или G Suite, вам необходимо ее создать .)

Запомните идентификатор проекта — уникальное имя для всех проектов Google Cloud (имя, указанное выше, уже занято и не подойдет вам, извините!). Позже в этой лаборатории он будет называться PROJECT_ID .

2. Далее вам необходимо включить биллинг в Cloud Console, чтобы использовать ресурсы Google Cloud.

Прохождение этой лаборатории кода не должно стоить много, если вообще стоит. Обязательно следуйте всем инструкциям в разделе «Очистка», в которых рассказывается, как отключить ресурсы, чтобы вам не приходилось нести расходы, выходящие за рамки этого руководства. Новые пользователи Google Cloud имеют право на участие в программе бесплатной пробной версии стоимостью 300 долларов США .

Запустить Cloud Shell

Хотя Google Cloud можно управлять удаленно с вашего ноутбука, в этой лаборатории вы используете Google Cloud Shell , среду командной строки, работающую в Google Cloud.

Активировать Cloud Shell

1. В Cloud Console нажмите «Активировать Cloud Shell». .

Если вы никогда раньше не запускали Cloud Shell, вам будет представлен промежуточный экран (ниже сгиба) с описанием того, что это такое. В этом случае нажмите «Продолжить» (и вы больше никогда этого не увидите). Вот как выглядит этот одноразовый экран:

Подготовка и подключение к Cloud Shell займет всего несколько минут.

Эта виртуальная машина оснащена всеми необходимыми инструментами разработки. Он предлагает постоянный домашний каталог объемом 5 ГБ и работает в Google Cloud, что значительно повышает производительность сети и аутентификацию. Большую часть, если не всю, работу в этой лаборатории кода можно выполнить с помощью просто браузера или Chromebook.

После подключения к Cloud Shell вы увидите, что вы уже прошли аутентификацию и что для проекта уже установлен идентификатор вашего проекта.

2. Выполните следующую команду в Cloud Shell, чтобы подтвердить, что вы прошли аутентификацию:

gcloud auth list

Вывод команды

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

Вывод команды

[core]
project = <PROJECT_ID>

Если это не так, вы можете установить это с помощью этой команды:

gcloud config set project <PROJECT_ID>

Вывод команды

Updated property [core/project].

3. Инициализируйте

Инициализированный проект GCP будет использоваться для размещения сети VPC между всеми вашими виртуальными машинами Windows, присоединенными к домену, и управляемым Active Directory.

Позже мы установим несколько переменных для упрощения написания сценариев.

• Определитесь с доменным именем (например: ad.yourcompany.com ).
• Решите, в каком регионе вы хотите создать контроллер домена для управляемого домена.
• Определите имя виртуальной машины, правило брандмауэра и имя сети.

На данный момент поддерживаются следующие регионы:

1. "США-Запад1"
2. "США-Запад2"
3. "нас-централ1"
4. "нас-восток1"
5. "нас-восток4"
6. "Европа-север1"
7. "Европа-Запад1"
8. "Европа-Запад4"
9. "Азия-Восток1"
10. "Азия-Юго-Восток1"

Установить переменные

Если вы работаете в Linux, введите:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Если вы работаете в Windows, введите терминал Powershell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Установите идентификатор текущего проекта, чтобы все последующие операции выполнялись в контексте правильного облачного проекта:

$ gcloud config set project $PROJECT_ID

Включить облачные API

Чтобы включить управляемый Active Directory, нам необходимо включить два API: DNS и управляемые удостоверения.

Включите DNS API:

$ gcloud services enable dns.googleapis.com

Включите API управляемых удостоверений:

$ gcloud services enable managedidentities.googleapis.com

4. Создайте виртуальную частную облачную сеть.

Чтобы установить соединение между управляемым контроллером домена Active Directory и виртуальными машинами Windows, нам необходимо создать виртуальную частную облачную сеть.

Создать сеть VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Создайте правило брандмауэра, чтобы разрешить подключение между виртуальными машинами Windows и контроллерами домена.

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Создайте контроллеры домена

Мы настраиваем VPC, который соединяет управляемый AD с ресурсами нашего проекта (виртуальными машинами). Теперь пришло время настроить управляемый контроллер домена.

Создайте управляемый Active Directory

(Ожидается, что эта операция займет около часа)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

Во время развертывания или в любое время вы можете проверить статус подготовки домена.

Есть 3 поддерживаемых состояния:

Проверьте статус развертывания:

$ gcloud active-directory domains describe $DOMAIN_NAME

Вы должны ожидать, что эта команда сообщит о состоянии ГОТОВО, когда создание домена будет завершено.

6. Добавьте виртуальные машины Windows в управляемый домен.

Создайте новую виртуальную машину Windows в Google Compute Engine.

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Создайте правило брандмауэра, чтобы разрешить подключение к удаленному рабочему столу ваших виртуальных машин Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Прежде чем подключиться к виртуальной машине и добавить ее в домен, нам необходимо определить двух пользователей и их учетные данные:

• Локальный администратор виртуальной машины — это необходимо для возможности удаленного подключения к виртуальной машине до ее присоединения к домену.
• Пользователь с правами администратора управляемого домена — необходим для присоединения виртуальной машины к домену, а также для выполнения всех операций по управлению доменом.

7. Получите учетные данные администратора управляемого домена.

Определите имя пользователя администратора управляемого домена:

$ gcloud active-directory domains describe $DOMAIN_NAME

Эта операция выведет имя пользователя администратора. По умолчанию он называется miadmin .

Сбросьте пароль администратора управляемого домена:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Вам необходимо подтвердить (Да/Нет) операцию, так как пароль будет показан в виде открытого текста. В терминале.

Сохраните пользователя и пароль — мы будем использовать его позже.

8. Присоединитесь к домену

Создать локального пользователя и пароль Windows

Локальный пользователь и пароль Windows необходимы для удаленного подключения к созданной вами виртуальной машине. Вы можете сгенерировать их с помощью gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Это создаст локального пользователя с именем « usr1 » и сгенерирует его пароль.

Подключитесь к экземпляру Windows с помощью Chrome RDP.

Откройте новое окно браузера по адресу: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone /instances/ your-vm-name ?project= your-project-name .

Откройте ChromeRDP, нажав RDP:

Введите локального пользователя и пароль. Это соединит вас с созданной вами виртуальной машиной Windows.

На виртуальной машине откройте командную строку с повышенными правами с помощью Powershell:

В Powershell с повышенными правами введите:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Вам будет предложено ввести пароль управляемого администратора, после чего виртуальная машина присоединится к вашему управляемому домену и перезагрузится. Подождите 2 минуты, прежде чем перейти к следующему шагу.

На этом этапе ваша виртуальная машина присоединена к домену, но у вас нет разрешений на подключение к ней с использованием пользователя-администратора управляемого домена. Вам необходимо добавить пользователя-администратора управляемого домена в качестве локального администратора этой виртуальной машины.

Снова подключитесь к виртуальной машине, используя локального администратора (те же инструкции, что и выше).

В этом случае следуйте инструкциям по предупреждению. Это произошло потому, что мы присоединили виртуальную машину к домену.

Попробуйте снова подключиться, используя локального администратора , и откройте командную строку Powershell с повышенными правами .

Добавьте пользователя-администратора управляемого домена, чтобы он стал локальным администратором виртуальной машины.

$ net localgroup administrators /add your-domain-name\miadmin

Теперь вы можете отключиться от виртуальной машины.

9. Инструменты Active Directory

После присоединения виртуальной машины к домену вы можете использовать знакомые инструменты Active Directory для управления пользователями, группами, компьютерами и групповой политикой.

Подключитесь к виртуальной машине (тот же метод, что описан выше) , используя учетные данные администратора управляемого домена . Откройте командную строку Powershell с повышенными правами:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Он запросит подтверждение, а затем установит инструменты управления Active Directory.

После завершения установки вы можете использовать dsa.msc (пользователи и компьютеры Active Directory) и другие знакомые инструменты Active Directory для управления доменом в разделе « Подразделение клиента ».

10. Поздравляем!

Поздравляем, вы успешно создали новый управляемый Active Directory на Google Cloud Platform.

Следующие шаги

• Документация по управляемому Active Directory
• Узнайте больше об использовании виртуальной машины Windows в GCP .
• Узнайте больше о подключении к виртуальной машине Windows .
• Узнайте больше о развертывании отказоустойчивой Active Directory в GCP.
• Узнайте больше о .NET на Google Cloud Platform .

.

11. Очистка

Вы можете удалить виртуальные машины Windows и сеть VPC.

Удаление виртуальных машин Windows

• В консоли GCP перейдите на страницу экземпляров ВМ .
• Установите флажок рядом с экземпляром, который вы хотите удалить.
• Нажмите кнопку «Удалить» вверху страницы, чтобы удалить экземпляр.

Удаление сетей VPC

• В консоли GCP перейдите на страницу сетей VPC.
• Выберите созданную вами сеть VPC.
• Нажмите кнопку «Удалить» вверху страницы.