1. 總覽
Managed Active Directory 是託管於 Google Cloud 的高可用性 Microsoft Active Directory 網域式服務,
在這個教學課程中,您將設定新的代管 Active Directory、建立新的 Windows VM 並加入新網域。我們會說明如何使用您熟悉的管理工具來設定網路、安全性及管理網域。
課程內容
- 如何在 Google Cloud 中建立 Managed Active Directory
- 如何將 Windows VM 新增至網域
- 如何在 Managed Active Directory 中管理使用者和電腦
需求條件:
您會如何使用這個教學課程?
您對 Google Cloud Platform 的使用感想為何?
2. 設定和需求
自修環境設定
提醒您,專案 ID 是所有 Google Cloud 專案的專屬名稱 (已經有人使用上述名稱,很抱歉對您不符!)。稍後在本程式碼研究室中會稱為 PROJECT_ID。
- 接下來,您需要在 Cloud 控制台中啟用計費功能,才能使用 Google Cloud 資源。
執行這個程式碼研究室並不會產生任何費用,如果有的話。請務必依照「清除所用資源」一節指示本節將說明如何關閉資源,這樣您就不會產生本教學課程結束後產生的費用。Google Cloud 的新使用者符合 $300 美元免費試用計畫的資格。
啟動 Cloud Shell
雖然 Google Cloud 可以從筆記型電腦遠端操作,但在本程式碼研究室中,您將使用 Google Cloud Shell,這是一種在 Google Cloud 中執行的指令列環境。
啟用 Cloud Shell
- 在 Cloud 控制台中,按一下「啟用 Cloud Shell」圖示
。
如果您從未啟動 Cloud Shell,您會看見中繼畫面 (需捲動位置),說明螢幕內容。如果出現這種情況,請按一下「繼續」 (之後不會再顯示)。以下是單次畫面的外觀:
佈建並連線至 Cloud Shell 只需幾分鐘的時間。
這部虛擬機器都裝載了您需要的所有開發工具。提供永久的 5 GB 主目錄,而且在 Google Cloud 中運作,大幅提高網路效能和驗證能力。在本程式碼研究室中,您的大部分作業都可以透過瀏覽器或 Chromebook 完成。
連線至 Cloud Shell 後,您應會發現自己通過驗證,且專案已設為您的專案 ID。
- 在 Cloud Shell 中執行下列指令,確認您已通過驗證:
gcloud auth list
指令輸出
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
指令輸出
[core] project = <PROJECT_ID>
如果尚未設定,請使用下列指令進行設定:
gcloud config set project <PROJECT_ID>
指令輸出
Updated property [core/project].
3. 初始化
初始化 GCP 專案將用來託管所有加入網域的 Windows VM 和 Managed Active Directory 之間的虛擬私有雲網路,
我們將設定幾個變數,以便稍後執行指令碼。
- 決定網域名稱 (例如:ad.yourcompany.com)
- 決定要在哪個區域為受管理的網域建立網域控制站
- 決定 VM 名稱、防火牆規則和網路名稱。
目前支援的區域如下:
- 「us-west1」
- 「us-west2」
- 「us-central1」
- 「us-east1」
- 「us-east4」
- 「europe-north1」
- 「europe-west1」
- 「europe-west4」
- 「asia-east1」
- 「asia-southeast1」
設定變數
如果是在 Linux 上執行,請輸入:
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
如果是在 Windows 上執行,請輸入 Powershell 終端機:
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
設定目前的專案 ID,以便所有後續作業在正確的 Cloud 專案環境中執行:
$ gcloud config set project $PROJECT_ID
啟用 Cloud API
如要啟用 Managed Active Directory,我們必須啟用兩個 API:DNS 和 Managed Identities。
啟用 DNS API:
$ gcloud services enable dns.googleapis.com
啟用 Managed Identities API:
$ gcloud services enable managedidentities.googleapis.com
4. 建立虛擬私有雲網路
為了在代管 Active Directory 網域控制站與 Windows VM 之間建立連線,我們必須建立虛擬私有雲網路。
建立虛擬私有雲網路
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
建立防火牆規則,以允許 Windows VM 和網域控制站連線
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. 建立網域控制站
我們會設定虛擬私有雲,將代管 AD 連結至專案 (VM) 中的資源。現在要設定受管理的網域控制站。
建立代管 Active Directory
(這項作業預計需要一小時才能完成)
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
在部署作業進行期間或隨時,您可以驗證網域的佈建狀態。
支援的狀態有以下 3 種:
建立中 | 已開始建立 AD 網域。 |
準備就緒 | 已建立 AD 網域,網域可供使用。 |
維護 | AD 網域仍可使用,但仍在更新中 (正在升級網域控制器、新增區域等) |
驗證部署狀態:
$ gcloud active-directory domains describe $DOMAIN_NAME
網域建立完成後,這個指令應會回報「就緒」狀態。
6. 將 Windows VM 新增至代管網域
在 Google Compute Engine 中建立新的 Windows VM
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
建立防火牆規則,允許遠端桌面連線至 Windows VM:
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
在連線至 VM 並將其新增至網域之前,我們必須確定兩個使用者及其憑證:
- VM 的本機管理員:如果要在 VM 加入網域前遠端連線至 VM,就必須具備這項權限
- 受管理的網域管理員使用者 - 必須授予這項權限,才能將 VM 加入網域,以及執行所有網域管理作業
7. 取得代管網域管理員憑證
判斷受管理網域管理員的使用者名稱:
$ gcloud active-directory domains describe $DOMAIN_NAME
這項作業會輸出管理員使用者名稱。預設名稱是 miadmin。
重設受管理網域管理員的密碼:
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
「是/否」必須確認,這項作業會以純文字顯示密碼。在終端機中。
儲存使用者和密碼,供稍後使用。
8. 加入網域
產生 Windows 本機使用者和密碼
您必須使用 Windows 本機使用者和密碼,才能遠端連線至您建立的 VM。您可以使用 gcloud 產生憑證。
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
這會建立名為「usr1」的本機使用者。並產生專用密碼
使用 Chrome RDP 連線至 Windows 執行個體
按一下「RDP」圖示,開啟 Chrome RDP:
輸入本機使用者和密碼。這麼做會將您連線至您建立的 Windows VM。
在 VM 中,使用 Powershell 開啟提升權限的命令提示字元:
請在已升級的 Powershell 中輸入:
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
系統會要求您提供受管理的管理員密碼。接著,VM 會加入受管理的網域並重新啟動。等待 2 分鐘再進行下一個步驟。
您的 VM 目前已加入網域,但您無權透過代管網域的管理員使用者連線至 VM。您必須將受管理的網域管理員使用者新增為該 VM 的本機管理員。
使用本機管理員使用者 (同樣的操作說明) 再次連線至 VM。
如果有,請按照警告說明操作。這是因為我們已將 VM 加入網域。
嘗試使用本機管理員使用者重新連線,並開啟已啟用的 Powershell 命令提示字元。
將受管理的網域管理員使用者新增為 VM 的本機管理員
$ net localgroup administrators /add your-domain-name\miadmin
您現在可以中斷與 VM 的連線。
9. Active Directory 工具
將 VM 加入網域後,即可使用熟悉的 Active Directory 工具管理使用者、群組、電腦和群組政策。
使用代管網域管理員的憑證,連線至 VM (與上述方法相同)。開啟已啟用進階權限的 Powershell 命令提示字元:
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
系統會要求您確認,然後安裝 Active Directory 管理工具。
安裝完成後,您可以使用 dsa.msc (Active Directory 使用者和電腦) 和其他熟悉的 Active Directory 工具,在「客戶機構單位」底下管理網域
10. 恭喜!
恭喜!您已成功在 Google Cloud Platform 上建立新的代管 Active Directory。
後續步驟
- Managed Active Directory 說明文件
- 進一步瞭解如何在 GCP 上使用 Windows VM。
- 進一步瞭解如何連線至 Windows VM。
- 進一步瞭解如何在 GCP 上部署容錯 Active Directory
- 進一步瞭解 Google Cloud Platform 上的 .NET。
。
11. 清除
您可以刪除 Windows VM 和虛擬私有雲網路。
刪除 Windows VM
- 前往 GCP Console 的「VM instances」(VM 執行個體) 頁面。
- 找出要刪除的執行個體,然後勾選旁邊的核取方塊
- 按一下「刪除」按鈕,刪除執行個體。