Bắt đầu sử dụng Managed Active Directory

1. Tổng quan

Managed Active Directory là một miền Microsoft Active Directory ở dạng dịch vụ cao, được lưu trữ trên Google Cloud.

Trong hướng dẫn này, bạn sẽ thiết lập Active Directory mới được quản lý, tạo một máy ảo Windows mới và kết hợp máy ảo đó vào miền mới. Bạn sẽ xem cách thiết lập mạng, bảo mật và quản lý miền bằng các công cụ quản lý tương tự mà bạn đã quen thuộc.

Kiến thức bạn sẽ học được

  • Cách tạo Managed Active Directory trên Google Cloud
  • Cách thêm máy ảo Windows vào miền
  • Cách quản lý người dùng và máy tính trong Managed Active Directory

Bạn cần:

  • Một trình duyệt, chẳng hạn như Chrome hoặc Firefox
  • Máy đã cài đặt các công cụ của gcloud

Bạn sẽ sử dụng hướng dẫn này như thế nào?

Chỉ có thể đọc Đọc và hoàn thành bài tập

Bạn đánh giá thế nào về trải nghiệm sử dụng Google Cloud Platform?

Người mới tập Trung cấp Thành thạo

2. Thiết lập và yêu cầu

Thiết lập môi trường theo tiến độ riêng

  1. Đăng nhập vào Cloud Console rồi tạo dự án mới hoặc sử dụng lại dự án hiện có. (Nếu chưa có tài khoản Gmail hoặc G Suite, bạn phải tạo một tài khoản.)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aFxLGQdkuzGp4rsQTan7F01iePL5DtqQ

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

Xin lưu ý rằng mã dự án là một tên riêng biệt trong tất cả dự án Google Cloud (tên ở trên đã được sử dụng nên sẽ không phù hợp với bạn!). Lớp này sẽ được đề cập sau trong lớp học lập trình này là PROJECT_ID.

  1. Tiếp theo, bạn sẽ cần bật tính năng thanh toán trong Cloud Console để sử dụng tài nguyên của Google Cloud.

Việc chạy qua lớp học lập trình này sẽ không tốn nhiều chi phí. Hãy nhớ làm theo mọi hướng dẫn trong phần "Dọn dẹp" sẽ tư vấn cho bạn cách tắt tài nguyên để bạn không phải chịu thanh toán ngoài hướng dẫn này. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí 300 USD.

Khởi động Cloud Shell

Mặc dù bạn có thể vận hành Google Cloud từ xa trên máy tính xách tay, nhưng trong lớp học lập trình này, bạn sẽ sử dụng Google Cloud Shell, một môi trường dòng lệnh chạy trong Google Cloud.

Kích hoạt Cloud Shell

  1. Trong Cloud Console, hãy nhấp vào Kích hoạt Cloud Shell H7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuyFP1RzVad_4nCa0Zszrz5LtwQZZ.

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

Nếu trước đây chưa từng khởi động Cloud Shell, bạn sẽ được trình bày một màn hình trung gian (dưới màn hình đầu tiên) mô tả về ứng dụng này. Nếu trường hợp đó xảy ra, hãy nhấp vào Tiếp tục (và bạn sẽ không thấy thông báo đó nữa). Màn hình một lần đó sẽ có dạng như sau:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

Quá trình cấp phép và kết nối với Cloud Shell chỉ mất vài phút.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

Máy ảo này chứa tất cả các công cụ phát triển mà bạn cần. Dịch vụ này cung cấp thư mục gốc 5 GB ổn định và chạy trong Google Cloud, giúp nâng cao đáng kể hiệu suất và khả năng xác thực của mạng. Trong lớp học lập trình này, đa số mọi người đều có thể thực hiện chỉ bằng một trình duyệt hoặc Chromebook.

Sau khi kết nối với Cloud Shell, bạn sẽ thấy mình đã được xác thực và dự án đã được đặt thành mã dự án.

  1. Chạy lệnh sau trong Cloud Shell để xác nhận rằng bạn đã được xác thực:
gcloud auth list

Kết quả lệnh

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

Kết quả lệnh

[core]
project = <PROJECT_ID>

Nếu chưa, bạn có thể thiết lập chế độ này bằng lệnh sau:

gcloud config set project <PROJECT_ID>

Kết quả lệnh

Updated property [core/project].

3. Khởi chạy

Dự án GCP đã khởi tạo sẽ được dùng để lưu trữ mạng VPC giữa tất cả các máy ảo Windows đã tham gia theo miền và Managed Active Directory.

Chúng ta sẽ đặt một vài biến để viết tập lệnh dễ dàng hơn sau này.

  • Quyết định tên miền (ví dụ: ad.yourcompany.com)
  • Quyết định xem bạn muốn tạo Trình điều khiển miền cho một miền được quản lý ở khu vực nào
  • Quyết định tên máy ảo, quy tắc tường lửa và tên mạng.

Hiện tại, các khu vực sau được hỗ trợ:

  1. "us-west1"
  2. "us-west2"
  3. "us-central1"
  4. "us-east1"
  5. "us-east4"
  6. "europe-north1"
  7. "europe-west1"
  8. "europe-west4"
  9. "asia-east1"
  10. "asia-southeast1"

Đặt biến

Nếu chạy trên Linux, hãy nhập:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Nếu chạy trên Windows, hãy nhập dòng lệnh Powershell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Đặt mã nhận dạng dự án hiện tại để tất cả các hoạt động tiếp theo sẽ diễn ra trong bối cảnh của dự án phù hợp trên đám mây:

$ gcloud config set project $PROJECT_ID

Bật Cloud API

Để bật Managed Active Directory, chúng tôi cần bật 2 API: DNS và Managed I Identity.

Bật API DNS:

$ gcloud services enable dns.googleapis.com

Bật API danh tính được quản lý:

$ gcloud services enable managedidentities.googleapis.com

4. Tạo mạng đám mây riêng ảo

Để thiết lập khả năng kết nối giữa bộ điều khiển miền của thư mục đang hoạt động được quản lý và máy ảo Windows, chúng tôi cần tạo một mạng đám mây riêng ảo.

Tạo mạng lưới VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Tạo quy tắc tường lửa để cho phép kết nối giữa máy ảo Windows và bộ điều khiển miền

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Tạo bộ điều khiển miền

Chúng tôi thiết lập VPC kết nối quảng cáo được quản lý với các tài nguyên trong dự án (VM). Bây giờ là lúc thiết lập bộ điều khiển miền được quản lý.

Tạo Managed Active Directory

(Thao tác này dự kiến sẽ mất khoảng một giờ)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

Bạn có thể xác minh trạng thái cấp phép của miền trong khi quá trình triển khai đang diễn ra hoặc bất cứ lúc nào.

Có 3 trạng thái được hỗ trợ:

SÁNG TẠO

Quá trình tạo miền AD đã được bắt đầu.

SẴN SÀNG

Đã tạo xong miền AD, miền đã sẵn sàng để sử dụng.

ĐANG DUY TRÌ

Miền AD vẫn hoạt động nhưng đang trong quá trình cập nhật (nâng cấp Bộ điều khiển miền, thêm các khu vực, v.v.)

Xác minh trạng thái triển khai:

$ gcloud active-directory domains describe $DOMAIN_NAME

Lệnh này sẽ báo cáo trạng thái READY khi hoàn tất quá trình tạo miền.

6. Thêm máy ảo Windows vào miền được quản lý

Tạo máy ảo Windows mới trên Google Compute Engine

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Tạo quy tắc tường lửa để cho phép kết nối máy tính từ xa với máy ảo Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Trước khi kết nối với máy ảo và thêm máy ảo này vào miền, chúng ta cần xác định 2 người dùng và thông tin đăng nhập của họ:

  • Quản trị viên cục bộ trên máy ảo – cần có quyền này để có thể kết nối từ xa với máy ảo trước khi tham gia miền
  • Người dùng quản trị viên miền được quản lý – điều này là cần thiết để kết nối máy ảo với miền cũng như thực hiện tất cả các thao tác quản lý miền

7. Nhận thông tin đăng nhập của Quản trị viên miền được quản lý

Xác định tên người dùng của quản trị viên miền được quản lý:

$ gcloud active-directory domains describe $DOMAIN_NAME

Thao tác này sẽ xuất tên người dùng của quản trị viên. Theo mặc định, tài khoản này được gọi là quản trị viên không hoàn chỉnh.

Đặt lại mật khẩu của quản trị viên miền được quản lý:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Bạn phải xác nhận (Y/N) thao tác vì thao tác này sẽ hiển thị mật khẩu bằng văn bản rõ ràng. Trong cửa sổ dòng lệnh.

Lưu người dùng và mật khẩu - chúng tôi sẽ sử dụng lại sau.

8. Tham gia miền

Tạo mật khẩu và người dùng Windows trên máy

Bạn phải có mật khẩu và người dùng Windows cục bộ để kết nối từ xa với máy ảo mà bạn đã tạo. Bạn có thể tạo các lớp này bằng gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Thao tác này sẽ tạo một người dùng cục bộ có tên "usr1" và tạo mật khẩu cho tài khoản

Kết nối với phiên bản Windows bằng RDP của Chrome

Mở một cửa sổ trình duyệt mới tại: https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

Mở ChromeRDP bằng cách nhấp vào RDP:

d0bd7a5329d27723.png

Nhập người dùng và mật khẩu trên máy. Thao tác này sẽ kết nối bạn với máy ảo Windows mà bạn đã tạo.

23fbff0f7c180f62.pngS

Trên máy ảo, hãy mở dấu nhắc lệnh nâng cao bằng Powershell:

c5c876d4424217e7.png

Trong Powershell nâng cao, hãy nhập:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Bạn sẽ được yêu cầu cung cấp mật khẩu quản trị viên được quản lý, sau đó máy ảo sẽ kết nối với miền được quản lý của bạn và khởi động lại. Chờ 2 phút trước khi chuyển sang bước tiếp theo.

Hiện tại, máy ảo của bạn đã tham gia với miền nhưng bạn không có quyền kết nối với máy ảo đó bằng người dùng quản trị viên miền được quản lý. Bạn cần thêm người dùng quản trị viên của miền được quản lý làm quản trị viên cục bộ của máy ảo đó.

Kết nối lại với máy ảo bằng người dùng quản trị cục bộ (tương tự hướng dẫn ở trên).

b2c98b9784dd421e.png

Nếu có, hãy làm theo hướng dẫn cảnh báo. Việc này là do chúng tôi đã kết nối máy ảo với miền.

Thử kết nối lại bằng cách sử dụng người dùng quản trị cục bộ và mở Dấu nhắc lệnh Powershell nâng cao.

Thêm người dùng Quản trị viên miền được quản lý làm quản trị viên cục bộ trên máy ảo

$ net localgroup administrators /add your-domain-name\miadmin

Giờ đây, bạn có thể ngắt kết nối khỏi máy ảo.

9. Công cụ Active Directory

Sau khi máy ảo tham gia miền, bạn có thể sử dụng các công cụ Active Directory quen thuộc để quản lý người dùng, nhóm, máy tính và chính sách nhóm.

Kết nối với máy ảo (tương tự như mô tả ở trên) bằng thông tin đăng nhập của quản trị viên miền được quản lý. Mở dấu nhắc lệnh Powershell nâng cao:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Hệ thống sẽ yêu cầu bạn xác nhận rồi cài đặt Công cụ quản lý Active Directory.

Sau khi cài đặt xong, bạn có thể sử dụng dsa.msc (Người dùng và máy tính Active Directory) và các công cụ Active Directory quen thuộc khác để quản lý miền trong phần "Đơn vị tổ chức của khách hàng"

3e548e3c8f88dbc1.pngS

10. Xin chúc mừng!

Xin chúc mừng! Bạn đã tạo thành công một Managed Active Directory mới trên Google Cloud Platform.

Bước tiếp theo

.

11. Dọn dẹp

Bạn có thể xoá máy ảo Windows và mạng VPC.

Xoá máy ảo Windows

  • Trong Bảng điều khiển của GCP, hãy chuyển đến trang phiên bản máy ảo.
  • Đánh dấu vào hộp bên cạnh phiên bản mà bạn muốn xoá
  • Nhấp vào nút "Xoá" ở đầu trang để xoá thực thể đó.

Xoá mạng VPC

  • Trong Bảng điều khiển của GCP, hãy chuyển đến trang Mạng VPC
  • Chọn mạng VPC mà bạn đã tạo
  • Nhấp vào nút "Xoá" ở đầu trang.