شروع به کار با مدیریت اکتیو دایرکتوری

۱. مرور کلی

دایرکتوری فعال مدیریت‌شده (Managed Active Directory ) یک دامنه‌ی مایکروسافت اکتیو دایرکتوری با دسترسی‌پذیری بالا به عنوان یک سرویس است که بر روی گوگل کلود (Google Cloud) میزبانی می‌شود.

در این آموزش، شما یک Active Directory مدیریت‌شده جدید راه‌اندازی خواهید کرد، یک ماشین مجازی ویندوز جدید ایجاد خواهید کرد و آن را به دامنه جدید متصل خواهید کرد. خواهید دید که چگونه شبکه، امنیت و مدیریت دامنه خود را با استفاده از همان ابزارهای مدیریتی که با آنها آشنا هستید، راه‌اندازی کنید.

آنچه یاد خواهید گرفت

  • نحوه ایجاد دایرکتوری فعال مدیریت شده در Google Cloud
  • نحوه اضافه کردن ماشین مجازی ویندوز به دامنه
  • نحوه مدیریت کاربران و کامپیوترها در Managed Active Directory

آنچه نیاز دارید:

  • یک مرورگر، مانند کروم یا فایرفاکس
  • دستگاهی که ابزارهای gcloud روی آن نصب شده باشد

چگونه از این آموزش استفاده خواهید کرد؟

فقط تا انتها بخوانید آن را بخوانید و تمرین‌ها را انجام دهید

تجربه خود را با پلتفرم ابری گوگل چگونه ارزیابی می‌کنید؟

تازه کار متوسط ماهر

۲. تنظیمات و الزامات

تنظیم محیط خودتنظیم

  1. وارد Cloud Console شوید و یک پروژه جدید ایجاد کنید یا از یک پروژه موجود دوباره استفاده کنید. (اگر از قبل حساب Gmail یا G Suite ندارید، باید یکی ایجاد کنید .)

dMbN6g9RawQj_VXCSYpdYncY-DbaRzr2GbnwoV7jFf1u3avxJtmGPmKpMYgiaMH-qu80a_NJ9p2IIXFppYk8x3wyymZXavjglNLJJhuXieCem56H30hwXtd8PvXGpXJO9gEUDu3cZw

ci9Oe6PgnbNuSYlMyvbXF1JdQyiHoEgnhl4PlV_MFagm2ppzhueRkqX4eLjJllZco_2zCp0V0bpTupUSKji9KkQyWqj11pqit1K1faS1V6aTQz5GpG0T

8-tA_Lheyo8SscAVKrGii2coplQp2_D1Iosb2ViABY0UUO1A8cimXUu6Wf1R9zJIRExL5 OB2j946aIiFtyKTzxDcNnuznmR45vZ2HMoK3o67jxuoUJCAnqvEX6NgPGFjCVNgASc-lg

شناسه پروژه را به خاطر بسپارید، یک نام منحصر به فرد در تمام پروژه‌های Google Cloud (نام بالا قبلاً گرفته شده و برای شما کار نخواهد کرد، متاسفیم!). بعداً در این آزمایشگاه کد به آن PROJECT_ID گفته خواهد شد.

  1. در مرحله بعد، برای استفاده از منابع گوگل کلود، باید پرداخت را در Cloud Console فعال کنید .

اجرای این آزمایشگاه کد، اگر اصلاً هزینه‌ای نداشته باشد، نباید هزینه زیادی داشته باشد. حتماً دستورالعمل‌های بخش «پاکسازی» را که به شما نحوه خاموش کردن منابع را آموزش می‌دهد، دنبال کنید تا پس از این آموزش، متحمل هزینه نشوید. کاربران جدید Google Cloud واجد شرایط برنامه آزمایشی رایگان ۳۰۰ دلاری هستند.

شروع پوسته ابری

اگرچه می‌توان گوگل کلود را از راه دور و از طریق لپ‌تاپ شما مدیریت کرد، اما در این آزمایشگاه کد از گوگل کلود شل ، یک محیط خط فرمان که در گوگل کلود اجرا می‌شود، استفاده می‌کنید.

فعال کردن پوسته ابری

  1. از کنسول ابری، روی فعال کردن پوسته ابری کلیک کنید H7JlbhKGHITmsxhQIcLwoe5HXZMhDlYue4K-SPszMxUxDjIeWfOHBfxDHYpmLQTzUmQ7Xx8o6OJUlANnQF0iBuUyfp1RzVad_4nCa0Zz5LtwBlUZFXFCWFrmrWZLqg1MkZz2LdgUDQ .

zlNW0HehB_AFW1qZ4AyebSQUdWm95n7TbnOr7UVm3j9dFcg6oWApJRlC0jnU1Mvb-IQp-trP1Px8xKNwt6o3pP6fyih947sEhOFI4IRF0W7WZk6hFqZDUGXQQXrw21GuMm2ecHrbzQ

اگر قبلاً Cloud Shell را شروع نکرده‌اید، یک صفحه میانی (در زیر صفحه) به شما نمایش داده می‌شود که توضیح می‌دهد چیست. در این صورت، روی ادامه کلیک کنید (و دیگر هرگز آن را نخواهید دید). آن صفحه یکبار مصرف به این شکل است:

kEPbNAo_w5C_pi9QvhFwWwky1cX8hr_xEMGWySNIoMCdi-Djx9AQRqWn-__DmEpC7vKgUtl-feTcv-wBxJ8NwzzAp7mY65-fi2LJo4twUoewT1SUjd6Y3h81RG3rKIkqhoVlFR-G7w

آماده‌سازی و اتصال به Cloud Shell فقط چند لحظه طول می‌کشد.

pTv5mEKzWMWp5VBrg2eGcuRPv9dLInPToS-mohlrqDASyYGWnZ_SwE-MzOWHe76ZdCSmw0kgWogSJv27lrQE8pvA5OD6P1I47nz8vrAdK7yR1NseZKJvcxAZrPb8wRxoqyTpD-gbhA

این ماشین مجازی با تمام ابزارهای توسعه‌ای که نیاز دارید، مجهز شده است. این ماشین یک دایرکتوری خانگی ۵ گیگابایتی پایدار ارائه می‌دهد و در فضای ابری گوگل اجرا می‌شود که عملکرد شبکه و احراز هویت را تا حد زیادی بهبود می‌بخشد. بخش عمده‌ای از کار شما در این آزمایشگاه کد، اگر نگوییم همه، را می‌توان به سادگی با یک مرورگر یا کروم‌بوک انجام داد.

پس از اتصال به Cloud Shell، باید ببینید که از قبل احراز هویت شده‌اید و پروژه از قبل روی شناسه پروژه شما تنظیم شده است.

  1. برای تأیید احراز هویت، دستور زیر را در Cloud Shell اجرا کنید: 
gcloud auth list

خروجی دستور

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

خروجی دستور

[core]
project = <PROJECT_ID>

اگر اینطور نیست، می‌توانید با این دستور آن را تنظیم کنید:

gcloud config set project <PROJECT_ID>

خروجی دستور

Updated property [core/project].

۳. مقداردهی اولیه

پروژه GCP اولیه برای میزبانی شبکه VPC بین تمام ماشین‌های مجازی ویندوز متصل به دامنه و Managed Active Directory شما استفاده خواهد شد.

بعداً چند متغیر برای اسکریپت‌نویسی آسان‌تر تنظیم خواهیم کرد.

  • نام دامنه را انتخاب کنید (مثلاً: ad.yourcompany.com )
  • تصمیم بگیرید که در کدام منطقه می‌خواهید یک کنترل‌کننده دامنه برای یک دامنه مدیریت‌شده ایجاد کنید.
  • نام ماشین مجازی، قانون فایروال و نام شبکه را تعیین کنید.

در حال حاضر مناطق زیر پشتیبانی می‌شوند:

  1. «آمریکا-غرب ۱»
  2. «آمریکا-غرب ۲»
  3. "آمریکا-مرکزی1"
  4. "آمریکا-شرق ۱"
  5. «آمریکا-شرق۴»
  6. "اروپا-شمال ۱"
  7. «اروپا-غرب ۱»
  8. «اروپا-غرب ۴»
  9. «آسیا-شرق ۱»
  10. «آسیا-جنوب شرقی ۱»

متغیرها را تنظیم کنید

اگر روی لینوکس اجرا می‌شود، تایپ کنید:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

اگر روی ویندوز اجرا می‌شود، در ترمینال Powershell تایپ کنید:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

شناسه پروژه فعلی را تنظیم کنید، تا تمام عملیات بعدی در چارچوب پروژه ابری سمت راست اتفاق بیفتد:

$ gcloud config set project $PROJECT_ID

فعال کردن API های ابری

برای فعال کردن Managed Active Directory، باید دو API را فعال کنیم: DNS و Managed Identities.

فعال کردن API DNS: 

$ gcloud services enable dns.googleapis.com

فعال کردن API هویت‌های مدیریت‌شده: 

$ gcloud services enable managedidentities.googleapis.com

۴. ایجاد شبکه ابری خصوصی مجازی

برای برقراری اتصال بین کنترلر دامنه‌ی دایرکتوری فعال مدیریت‌شده و ماشین‌های مجازی ویندوز، باید یک شبکه‌ی ابری خصوصی مجازی ایجاد کنیم.

ایجاد شبکه VPC 

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

ایجاد یک قانون فایروال برای برقراری ارتباط بین ماشین‌های مجازی ویندوز و کنترل‌کننده‌های دامنه 

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

۵. ایجاد کنترل‌کننده‌های دامنه

ما VPC را که AD مدیریت‌شده را به منابع پروژه ما (ماشین‌های مجازی) متصل می‌کند، راه‌اندازی کردیم. اکنون زمان راه‌اندازی یک کنترل‌کننده دامنه مدیریت‌شده است.

ایجاد یک دایرکتوری فعال مدیریت شده

(پیش‌بینی می‌شود این عمل حدود یک ساعت طول بکشد) 

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

در حین استقرار یا در هر زمانی، می‌توانید وضعیت تأمین دامنه را تأیید کنید.

3 حالت پشتیبانی شده وجود دارد:

خلق کردن

ایجاد دامنه AD آغاز شده و در حال انجام است.

آماده

ایجاد دامنه AD تکمیل شد، دامنه آماده استفاده است.

تحت تعمیر و نگهداری

دامنه AD هنوز در دسترس است، اما در حال به‌روزرسانی است (ارتقاء کنترل‌کننده‌های دامنه، اضافه کردن مناطق و غیره)

وضعیت استقرار را تأیید کنید: 

$ gcloud active-directory domains describe $DOMAIN_NAME

شما باید انتظار داشته باشید که این دستور پس از اتمام ایجاد دامنه، وضعیت READY را گزارش دهد.

۶. اضافه کردن ماشین‌های مجازی ویندوز به یک دامنه مدیریت‌شده

یک ماشین مجازی ویندوز جدید در Google Compute Engine ایجاد کنید 

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

یک قانون فایروال ایجاد کنید تا امکان اتصال ریموت دسکتاپ به ماشین‌های مجازی ویندوز شما فراهم شود: 

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

قبل از اتصال به ماشین مجازی و اضافه کردن آن به دامنه، باید دو کاربر و اعتبارنامه‌های آنها را تعیین کنیم:

  • یک مدیر محلی در یک ماشین مجازی - این مورد برای اتصال از راه دور به ماشین مجازی قبل از اتصال به دامنه مورد نیاز است.
  • کاربر مدیریت دامنه - این کاربر برای اتصال ماشین مجازی به دامنه و همچنین انجام تمام عملیات مدیریت دامنه مورد نیاز است.

۷. اعتبارنامه‌های مدیر دامنه مدیریت‌شده را دریافت کنید

نام کاربری ادمین دامنه مدیریت شده را تعیین کنید: 

$ gcloud active-directory domains describe $DOMAIN_NAME

این عملیات نام کاربری مدیر سیستم (administrator) را نمایش می‌دهد. به طور پیش‌فرض، نام آن miadmin است.

تنظیم مجدد رمز عبور مدیر دامنه مدیریت شده: 

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

شما باید عملیات را تأیید کنید (بله/ن) زیرا رمز عبور به صورت متن واضح در ترمینال نمایش داده می‌شود.

نام کاربری و رمز عبور را ذخیره کنید - بعداً از آن استفاده خواهیم کرد.

۸. به دامنه بپیوندید

ایجاد کاربر و رمز عبور محلی ویندوز

برای اتصال از راه دور به ماشین مجازی که ایجاد کرده‌اید، به نام کاربری و رمز عبور محلی ویندوز نیاز است. می‌توانید آنها را با استفاده از gcloud ایجاد کنید. 

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

این دستور یک کاربر محلی به نام " usr1 " ایجاد کرده و رمز عبور آن را تولید می‌کند.

با استفاده از Chrome RDP به نمونه ویندوز متصل شوید

یک پنجره مرورگر جدید به آدرس زیر باز کنید: https://console.cloud.google.com/compute/instancesDetail/zones/ your-zone /instances/ your-vm-name ?project= your-project-name

با کلیک روی RDP، ChromeRDP را باز کنید:

d0bd7a5329d27723.png

کاربر محلی و رمز عبور را وارد کنید. این شما را به ماشین مجازی ویندوزی که ایجاد کرده‌اید متصل می‌کند.

۲۳fbff0f7c180f62.png

در یک ماشین مجازی، خط فرمان (command prompt) را با استفاده از Powershell باز کنید:

c5c876d4424217e7.png

در پاورشل سطح بالا، تایپ کنید: 

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

از شما خواسته می‌شود رمز عبور مدیر مدیریت‌شده را وارد کنید و سپس ماشین مجازی به دامنه مدیریت‌شده شما متصل شده و مجدداً راه‌اندازی می‌شود. قبل از رفتن به مرحله بعدی، ۲ دقیقه صبر کنید.

در این مرحله، ماشین مجازی شما به دامنه متصل شده است، اما شما مجوز اتصال به آن را با استفاده از کاربر ادمین دامنه مدیریت‌شده ندارید. باید کاربر ادمین دامنه مدیریت‌شده را به عنوان مدیر محلی آن ماشین مجازی اضافه کنید.

دوباره با استفاده از کاربر ادمین محلی به ماشین مجازی متصل شوید (همان دستورالعمل‌های بالا).

b2c98b9784dd421e.png

اگر چنین است، دستورالعمل‌های هشدار را دنبال کنید. این اتفاق به این دلیل رخ داده است که ما ماشین مجازی را به دامنه متصل کرده‌ایم.

دوباره با استفاده از کاربر ادمین محلی سعی کنید دوباره وصل شوید و Powershell Command Prompt را با دسترسی ادمین باز کنید.

کاربر Managed Domain Admin را به عنوان مدیر محلی در ماشین مجازی اضافه کنید 

$ net localgroup administrators /add your-domain-name\miadmin

حالا می‌توانید از ماشین مجازی جدا شوید.

۹. ابزارهای اکتیو دایرکتوری

پس از اتصال یک ماشین مجازی به دامنه، می‌توانید از ابزارهای آشنای اکتیو دایرکتوری برای مدیریت کاربران، گروه‌ها، رایانه‌ها و خط‌مشی گروه استفاده کنید.

با استفاده از اعتبارنامه‌های ادمین دامنه مدیریت‌شده به ماشین مجازی متصل شوید (همان روشی که در بالا توضیح داده شد). خط فرمان پاورشل را با دسترسی بالا باز کنید: 

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

از شما تأیید می‌خواهد و سپس ابزارهای مدیریت اکتیو دایرکتوری را نصب می‌کند.

پس از اتمام نصب، می‌توانید از dsa.msc (Active Directory Users and Computers) و سایر ابزارهای آشنای Active Directory برای مدیریت دامنه در زیر « Customer OU » استفاده کنید.

3e548e3c8f88dbc1.png

۱۰. تبریک می‌گویم!

تبریک می‌گوییم، شما با موفقیت یک دایرکتوری فعال مدیریت‌شده جدید در پلتفرم ابری گوگل ایجاد کردید.

مراحل بعدی

.

۱۱. پاکسازی

شما می‌توانید ماشین‌های مجازی ویندوز و شبکه VPC را حذف کنید.

حذف ماشین‌های مجازی ویندوز

  • در کنسول GCP، به صفحه نمونه‌های ماشین مجازی بروید.
  • روی کادر کنار نمونه‌ای که می‌خواهید حذف کنید کلیک کنید
  • برای حذف نمونه، روی دکمه «حذف» در بالای صفحه کلیک کنید.

حذف شبکه‌های VPC

  • در کنسول GCP، به صفحه شبکه‌های VPC بروید
  • شبکه VPC که ایجاد کرده‌اید را انتخاب کنید
  • روی دکمه «حذف» در بالای صفحه کلیک کنید.