Managed Active Directory'yi kullanmaya başlama

1. Genel Bakış

Yönetilen Active Directory, Google Cloud'da barındırılan ve hizmet olarak yüksek düzeyde kullanılabilir bir Microsoft Active Directory alanıdır.

Bu eğiticide yeni bir yönetilen Active Directory kuracak, yeni bir Windows sanal makinesi oluşturacak ve bu sanal makineyi yeni alana ekleyeceksiniz. Aşina olduğunuz yönetim araçlarını kullanarak ağ iletişimi ve güvenlik ayarlarını nasıl yapacağınızı ve alanınızı nasıl yöneteceğinizi öğreneceksiniz.

Neler öğreneceksiniz?

  • Google Cloud'da Managed Active Directory oluşturma
  • Alana Windows sanal makinesi ekleme
  • Managed Active Directory'de kullanıcıları ve bilgisayarları yönetme

Gerekenler:

  • Chrome veya Firefox gibi bir tarayıcı
  • gcloud araçlarının yüklü olduğu bir makine

Bu eğiticiden nasıl yararlanacaksınız?

Yalnızca okuma Okuyun ve alıştırmaları tamamlayın

Google Cloud Platform deneyiminizi nasıl değerlendirirsiniz?

Acemi Orta Yeterli

2. Kurulum ve şartlar

Kendi hızınızda ortam kurulumu

  1. Cloud Console'da oturum açıp yeni bir proje oluşturun veya mevcut bir projeyi yeniden kullanın. (Gmail veya G Suite hesabınız yoksa hesap oluşturmanız gerekir.)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Tüm Google Cloud projelerinde benzersiz bir ad olan proje kimliğini unutmayın (yukarıdaki ad zaten alınmış ve size uygun olmayacaktır!). Bu kod laboratuvarın ilerleyen bölümlerinde PROJECT_ID olarak adlandırılacaktır.

  1. Sonraki adımda, Google Cloud kaynaklarını kullanmak için Cloud Console'da faturalandırmayı etkinleştirmeniz gerekir.

Bu codelab'i çalıştırmanın maliyeti, yüksek değildir. "Temizleme" bölümündeki talimatları izlediğinizden emin olun. bölümünde, bu eğiticinin dışında faturalandırmayla karşılaşmamanız için kaynakları nasıl kapatacağınız konusunda tavsiyelerde bulunuyoruz. Yeni Google Cloud kullanıcıları 300 ABD doları ücretsiz deneme programından yararlanabilir.

Cloud Shell'i başlatma

Google Cloud dizüstü bilgisayarınızdan uzaktan çalıştırılabilse de bu codelab'de Google Cloud'da çalışan bir komut satırı ortamı olan Google Cloud Shell'i kullanacaksınız.

Cloud Shell'i etkinleştirme

  1. Cloud Console'da, Cloud Shell'i etkinleştir H7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuUyfp1RzVad_UZQZZGzGzGzqzQzGLzGzGzqqLqSqLG simgesini tıklayın.

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

Cloud Shell'i daha önce hiç çalıştırmadıysanız ne olduğunu açıklayan bir ara ekran (ekranın alt kısmında) gösterilir. Bu durumda Devam'ı tıklayın (bunu bir daha görmezsiniz). Tek seferlik ekran şöyle görünür:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

Temel hazırlık ve Cloud Shell'e bağlanmak yalnızca birkaç dakika sürer.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

İhtiyacınız olan tüm geliştirme araçlarını bu sanal makinede bulabilirsiniz. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud'da çalışarak ağ performansını ve kimlik doğrulamasını büyük ölçüde iyileştirir. Bu codelab'deki çalışmalarınızın tamamı olmasa bile büyük bir kısmı yalnızca bir tarayıcı veya Chromebook'unuzla yapılabilir.

Cloud Shell'e bağlandıktan sonra kimliğinizin doğrulandığını ve projenin proje kimliğinize ayarlandığını görürsünüz.

  1. Kimlik doğrulamanızın tamamlandığını onaylamak için Cloud Shell'de aşağıdaki komutu çalıştırın:
gcloud auth list

Komut çıkışı

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

Komut çıkışı

[core]
project = <PROJECT_ID>

Doğru değilse aşağıdaki komutla ayarlayabilirsiniz:

gcloud config set project <PROJECT_ID>

Komut çıkışı

Updated property [core/project].

3. Başlat

Başlatılmış GCP Projesi, alana katılmış tüm Windows sanal makineleriniz ve Yönetilen Active Directory arasında VPC Ağı'nı barındırmak için kullanılır.

Daha sonra komut dosyalarını kolayca yazmanız için birkaç değişken ayarlayacağız.

  • Bir alan adı belirleyin (ör. ad.yourcompany.com)
  • Yönetilen bir alan için hangi bölgede Alan Denetleyicisi oluşturmak istediğinize karar verin
  • Sanal makine adına, güvenlik duvarı kuralına ve ağ adına karar verin.

Şu anda aşağıdaki bölgeler desteklenmektedir:

  1. "us-batı1"
  2. "us-west2"
  3. "us-central1"
  4. "us-east1"
  5. "us-east4"
  6. "europe-north1"
  7. "europe-west1"
  8. "europe-west4"
  9. "asia-east1"
  10. "asia-southeast1"

Değişkenleri ayarlama

Linux kullanıyorsanız şunu yazın:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Windows'da çalıştırıyorsanız Powershell terminaline yazın:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Sonraki tüm işlemlerin doğru bulut projesi bağlamında gerçekleşmesi için geçerli proje kimliğini ayarlayın:

$ gcloud config set project $PROJECT_ID

Cloud APIs'i etkinleştir

Managed Active Directory'yi etkinleştirmek için iki API'yi etkinleştirmemiz gerekiyor: DNS ve Yönetilen Kimlikler.

DNS API'yi etkinleştirin:

$ gcloud services enable dns.googleapis.com

Managed Identities API'yi etkinleştirin:

$ gcloud services enable managedidentities.googleapis.com

4. Sanal Özel Bulut Ağı Oluşturma

Yönetilen etkin dizin alan denetleyicisi ile Windows sanal makineleri arasında bağlantı kurmak için sanal özel bulut ağı oluşturmamız gerekir.

VPC ağı oluşturma

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Windows sanal makineleri ile alan denetleyicileri arasında bağlantıya izin vermek için bir güvenlik duvarı kuralı oluşturma

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Alan Denetleyicileri Oluşturma

Yönetilen AD'yi projemizdeki (VM) kaynaklara bağlayan VPC'yi kuruyoruz. Şimdi sıra bir yönetilen alan denetleyicisi kurmaya geldi.

Yönetilen Active Directory oluşturma

(Bu işlemin yaklaşık bir saat sürmesi beklenmektedir)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

Dağıtım gerçekleşirken veya herhangi bir zamanda, alanın temel hazırlık durumunu doğrulayabilirsiniz.

Desteklenen 3 eyalet vardır:

OLUŞTURULUYOR

AD alanı oluşturma işlemi başlatıldı ve devam ediyor.

HAZIR

AD alanı oluşturuldu, alan kullanıma hazır.

BAKIM ALTINDA

AD Alanı hâlâ kullanılabilir ancak güncellemeleri devam ediyor (Alan Denetleyicilerini yükseltme, bölge ekleme vb.)

Dağıtım durumunu doğrulama:

$ gcloud active-directory domains describe $DOMAIN_NAME

Bu komut, alan oluşturma işlemi tamamlandığında READY durumunu raporlayacaktır.

6. Yönetilen bir alana Windows sanal makineleri ekleme

Google Compute Engine'de yeni bir Windows sanal makinesi oluşturma

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Windows sanal makinelerinize uzaktan masaüstü bağlantısına izin vermek için bir güvenlik duvarı kuralı oluşturun:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Sanal makineye bağlanıp alan adına eklemeden önce iki kullanıcı ile kimlik bilgilerini belirlememiz gerekir:

  • Sanal makinede yerel yönetici: Alana katılmadan önce sanal makineye uzaktan bağlanabilmek için bu gereklidir
  • Yönetilen Alan Yöneticisi kullanıcısı: Bu, sanal makineyi alana eklemek ve tüm alan yönetimi işlemlerini gerçekleştirmek için gereklidir

7. Yönetilen Alan Yöneticisi kimlik bilgilerini alma

Yönetilen alan yöneticisi kullanıcı adını belirleyin:

$ gcloud active-directory domains describe $DOMAIN_NAME

Bu işlem, yönetici kullanıcı adının çıkışını sağlar. Varsayılan olarak buna miadmin adı verilir.

Yönetilen alan yöneticisinin şifresini sıfırlama:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Şifreyi açık metin olarak göreceğinden işlemi onaylamanız (E/H) gerekir. Terminalde.

Kullanıcıyı ve şifreyi kaydedin, daha sonra biz kullanacağız.

8. Alan adına katıl

Windows yerel kullanıcısı ve şifresi oluşturun

Oluşturduğunuz sanal makineye uzaktan bağlanmak için Windows yerel kullanıcısı ve şifresi gereklidir. Bunları gcloud kullanarak oluşturabilirsiniz.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Bu işlem, "usr1" adında bir yerel kullanıcı oluşturur şifresini oluşturun.

Chrome RDP kullanarak Windows örneğine bağlanma

Şu adreste yeni bir tarayıcı penceresi açın: https://console.cloud.google.com/compute/instancesDetail/zones/alt bölgeniz/instances/vm-adınız?project=projenizin-adı

RDP'yi tıklayarak ChromeRDP'yi açın:

d0bd7a5329d27723.png

Yerel kullanıcı ve şifreyi girin. Bu işlem, sizi oluşturduğunuz Windows sanal makinesine bağlar.

23fbff0f7c180f62.png

Bir sanal makinede, Powershell ile yükseltilmiş komut istemini açın:

c5c876d4424217e7.png

Yükseltilmiş Powershell'de şunu yazın:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Yönetilen yönetici şifresi girmeniz istenir. Ardından sanal makine, yönetilen alanınıza katılıp yeniden başlatılır. Sonraki adıma geçmeden önce 2 dakika bekleyin.

Bu noktada sanal makineniz alana katıldı, ancak yönetilen alan yöneticisi kullanıcısını kullanarak bağlanma izniniz yok. Yönetilen alan yöneticisi kullanıcısını söz konusu sanal makinenin yerel yöneticisi olarak eklemeniz gerekir.

Yerel yönetici kullanıcıyı kullanarak sanal makineye tekrar bağlanın (yukarıdaki talimatların aynısı).

b2c98b9784dd421e.png

Bu durumda uyarı talimatlarını uygulayın. Bunun nedeni, sanal makineyi alan adına dahil etmemizdir.

Yerel yönetici kullanıcıyı kullanarak tekrar yeniden bağlanmayı deneyin ve yükseltilmiş Powershell komut istemini açın.

Sanal makinede yerel yönetici olacak şekilde Yönetilen Alan Yöneticisi kullanıcısı ekleme

$ net localgroup administrators /add your-domain-name\miadmin

Artık sanal makine bağlantısını kesebilirsiniz.

9. Active Directory Araçları

Bir sanal makine alana katıldıktan sonra, kullanıcıları, grupları, bilgisayarları ve grup politikasını yönetmek için aşina olduğunuz Active Directory araçlarını kullanabilirsiniz.

Yönetilen alan yöneticisinin kimlik bilgilerini kullanarak sanal makineye bağlanın (yukarıda açıklanan yöntemle). Yükseltilmiş Powershell komut istemini açın:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Onay istenir ve ardından Active Directory Management Tools'u yükler.

Yükleme tamamlandıktan sonra, alanı "Müşteri Kuruluş Birimi" altında yönetmek için dsa.msc (Active Directory Kullanıcıları ve Bilgisayarları) ve diğer aşina olduğunuz Active Directory araçlarını kullanabilirsiniz.

3e548e3c8f88dbc1.png

10. Tebrikler!

Tebrikler, Google Cloud Platform'da başarıyla yeni bir Managed Active Directory oluşturdunuz.

Sonraki Adımlar

.

11. Temizleme

Windows sanal makinelerini ve VPC ağını silebilirsiniz.

Windows sanal makinelerini silme

VPC ağlarını silme

  • GCP Console'da VPC Ağları Sayfası'na gidin
  • Oluşturduğunuz VPC ağını seçin
  • "Sil"i tıklayın düğmesini tıklayın.