1. Présentation
Managed Active Directory est un domaine Microsoft Active Directory à haute disponibilité proposé en tant que service et hébergé sur Google Cloud.
Dans ce tutoriel, vous allez configurer un nouveau service Active Directory géré, créer une VM Windows et l'associer au nouveau domaine. Vous verrez comment configurer le réseau et la sécurité, et comment gérer votre domaine à l'aide des outils de gestion que vous connaissez déjà.
Points abordés
- Créer Managed Active Directory sur Google Cloud
- Ajouter une VM Windows à un domaine
- Gérer les utilisateurs et les ordinateurs dans Managed Active Directory
Ce dont vous avez besoin :
Comment allez-vous utiliser ce tutoriel ?
Quel est votre niveau d'expérience avec Google Cloud Platform ?
2. Préparation
Configuration de l'environnement au rythme de chacun
- Connectez-vous à Cloud Console, puis créez un projet ou réutilisez un projet existant. (Si vous n'avez pas encore de compte Gmail ou G Suite, vous devez en créer un.)
Mémorisez l'ID du projet. Il s'agit d'un nom unique permettant de différencier chaque projet Google Cloud (le nom ci-dessus est déjà pris ; vous devez en trouver un autre). Il sera désigné par le nom PROJECT_ID tout au long de cet atelier de programmation.
- Vous devez ensuite activer la facturation dans Cloud Console pour pouvoir utiliser les ressources Google Cloud.
L'exécution de cet atelier de programmation est très peu coûteuse, voire sans frais. Veillez à suivre les instructions de la section "Nettoyer" qui indique comment désactiver les ressources afin d'éviter les frais une fois ce tutoriel terminé. Les nouveaux utilisateurs de Google Cloud peuvent participer au programme d'essai sans frais pour bénéficier d'un crédit de 300 $.
Démarrer Cloud Shell
Bien que Google Cloud puisse être utilisé à distance depuis votre ordinateur portable, nous allons nous servir de Google Cloud Shell pour cet atelier de programmation, un environnement de ligne de commande exécuté dans Google Cloud.
Activer Cloud Shell
- Dans Cloud Console, cliquez sur Activer Cloud Shell
.
Si vous n'avez encore jamais démarré Cloud Shell, un écran intermédiaire s'affiche en dessous de la ligne de séparation pour décrire de quoi il s'agit. Si tel est le cas, cliquez sur Continuer (cet écran ne s'affiche qu'une seule fois). Voici à quoi il ressemble :
Le provisionnement et la connexion à Cloud Shell ne devraient pas prendre plus de quelques minutes.
Cette machine virtuelle contient tous les outils de développement nécessaires. Elle intègre un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud, ce qui améliore nettement les performances réseau et l'authentification. Vous pouvez réaliser une grande partie, voire la totalité, des activités de cet atelier dans un simple navigateur ou sur votre Chromebook.
Une fois connecté à Cloud Shell, vous êtes en principe authentifié et le projet est défini avec votre ID de projet.
- Exécutez la commande suivante dans Cloud Shell pour vérifier que vous êtes authentifié :
gcloud auth list
Résultat de la commande
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
gcloud config list project
Résultat de la commande
[core] project = <PROJECT_ID>
Si vous obtenez un résultat différent, exécutez cette commande :
gcloud config set project <PROJECT_ID>
Résultat de la commande
Updated property [core/project].
3. Initialiser
Le projet GCP initialisé sera utilisé pour héberger le réseau VPC entre toutes vos VM Windows jointes au domaine et Managed Active Directory.
Nous allons définir quelques variables pour faciliter l'écriture de scripts par la suite.
- Choisissez un nom de domaine (par exemple, ad.yourcompany.com).
- Choisissez la région dans laquelle vous souhaitez créer un contrôleur de domaine pour un domaine géré.
- Choisissez le nom de la VM, de la règle de pare-feu et du réseau.
Les régions actuellement acceptées sont les suivantes :
- "us-west1"
- "us-west2"
- "us-central1"
- "us-east1"
- "us-east4"
- "europe-north1"
- "europe-west1"
- "europe-west4"
- "asia-east1"
- "asia-southeast1"
Définir les variables
Si vous exécutez le code sous Linux, saisissez :
$ PROJECT_ID="YOUR_PROJECT_ID" $ VPC="adtutorialvpc" $ FIREWALL_VPC_RULE="adtutorialvpcrule" $ REGION="us-west1" $ ZONE="us-west1-a" $ DOMAIN_NAME="ad.tutorial" $ VM_NAME="tutorial1"
Si vous exécutez le programme sur Windows, saisissez la commande suivante dans le terminal PowerShell :
PS> $PROJECT_ID=YOUR_PROJECT_ID PS> $VPC=adtutorialvpc PS> $FIREWALL_VPC_RULE=adtutorialvpcrule PS> $REGION=us-west1 PS> $ZONE=us-west1-a PS> $DOMAIN_NAME=ad.tutorial PS> $VM_NAME=tutorial1
Définissez l'ID du projet actuel afin que toutes les opérations ultérieures se déroulent dans le contexte du bon projet cloud :
$ gcloud config set project $PROJECT_ID
Activer API Cloud
Pour activer Managed Active Directory, nous devons activer deux API : DNS et Managed Identities.
Activez l'API DNS :
$ gcloud services enable dns.googleapis.com
Activez l'API Managed Identities :
$ gcloud services enable managedidentities.googleapis.com
4. Créer un réseau cloud privé virtuel
Pour établir une connectivité entre le contrôleur de domaine Active Directory géré et les VM Windows, nous devons créer un réseau de cloud privé virtuel.
Créer un réseau VPC
$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global
Créer une règle de pare-feu pour autoriser la connectivité entre les VM Windows et les contrôleurs de domaine
$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0
5. Créer des contrôleurs de domaine
Nous configurons le VPC qui connecte Managed AD aux ressources de notre projet (VM). Il est maintenant temps de configurer un contrôleur de domaine géré.
Créer un service géré Active Directory
(Cette opération devrait prendre environ une heure.)
$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC
Pendant le déploiement ou à tout moment, vous pouvez vérifier l'état du provisionnement du domaine.
Trois états sont acceptés :
EN COURS DE CRÉATION | La création du domaine AD a commencé et est en cours. |
READY | Le domaine AD a été créé et est prêt à être utilisé. |
EN COURS DE MAINTENANCE | Le domaine AD est toujours disponible, mais il est en cours de mise à jour (mise à niveau des contrôleurs de domaine, ajout de régions, etc.). |
Vérifiez l'état du déploiement :
$ gcloud active-directory domains describe $DOMAIN_NAME
Une fois la création du domaine terminée, cette commande devrait indiquer l'état "READY" (PRÊT).
6. Ajouter des VM Windows à un domaine géré
Créer une VM Windows sur Google Compute Engine
$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard
Créez une règle de pare-feu pour autoriser la connectivité du bureau à distance à vos VM Windows :
$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389
Avant de vous connecter à la VM et de l'ajouter au domaine, vous devez identifier deux utilisateurs et leurs identifiants :
- Administrateur local sur une VM : nécessaire pour pouvoir se connecter à distance à la VM avant qu'elle ne soit associée au domaine
- Utilisateur administrateur du domaine géré : nécessaire pour associer la VM au domaine et effectuer toutes les opérations de gestion du domaine
7. Obtenir les identifiants d'administrateur du domaine géré
Déterminer le nom d'utilisateur de l'administrateur du domaine géré :
$ gcloud active-directory domains describe $DOMAIN_NAME
Cette opération générera le nom d'utilisateur de l'administrateur. Par défaut, il s'appelle miadmin.
Réinitialiser le mot de passe de l'administrateur du domaine géré :
$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME
Vous devez confirmer l'opération (O/N), car elle affichera le mot de passe en texte clair. Dans le terminal.
Enregistrez le nom d'utilisateur et le mot de passe, car vous en aurez besoin plus tard.
8. Rejoindre le domaine
Générer un utilisateur et un mot de passe Windows local
Un nom d'utilisateur et un mot de passe Windows local sont requis pour vous connecter à distance à la VM que vous avez créée. Vous pouvez les générer à l'aide de gcloud.
$ gcloud compute reset-windows-password --user=usr1 $VM_NAME
Cela créera un utilisateur local appelé "usr1" et générera son mot de passe.
Se connecter à l'instance Windows à l'aide de Chrome RDP
Ouvrez une nouvelle fenêtre de navigateur à l'adresse https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name.
Ouvrez ChromeRDP en cliquant sur RDP :
Saisissez le nom d'utilisateur et le mot de passe locaux. Vous serez ainsi connecté à la VM Windows que vous avez créée.
Sur une VM, ouvrez une invite de commande avec élévation de privilèges à l'aide de PowerShell :
Dans Powershell avec élévation de privilèges, saisissez :
$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force
Vous serez invité à fournir le mot de passe de l'administrateur géré. La VM rejoindra ensuite votre domaine géré et redémarrera. Patientez deux minutes avant de passer à l'étape suivante.
À ce stade, votre VM est jointe au domaine, mais vous n'êtes pas autorisé à vous y connecter à l'aide de l'utilisateur administrateur du domaine géré. Vous devez ajouter l'utilisateur administrateur du domaine géré en tant qu'administrateur local de cette VM.
Reconnectez-vous à la VM à l'aide de l'utilisateur administrateur local (en suivant les mêmes instructions que ci-dessus).
Si c'est le cas, suivez les instructions de l'avertissement. Cela s'est produit parce que nous avons associé la VM au domaine.
Réessayez de vous reconnecter à l'aide de l'utilisateur administrateur local et ouvrez l'invite de commande Powershell avec élévation de privilèges.
Ajouter un utilisateur administrateur de domaine géré en tant qu'administrateur local sur une VM
$ net localgroup administrators /add your-domain-name\miadmin
Vous pouvez maintenant vous déconnecter de la VM.
9. Outils Active Directory
Une fois une VM associée à un domaine, vous pouvez utiliser les outils Active Directory que vous connaissez pour gérer les utilisateurs, les groupes, les ordinateurs et les stratégies de groupe.
Connectez-vous à la VM (avec la même méthode que celle décrite ci-dessus) à l'aide des identifiants de l'administrateur du domaine géré. Ouvrez une invite de commande PowerShell avec élévation de privilèges :
$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm
Vous serez invité à confirmer votre choix, puis les outils de gestion Active Directory seront installés.
Une fois l'installation terminée, vous pouvez utiliser dsa.msc (Utilisateurs et ordinateurs Active Directory) et d'autres outils Active Directory que vous connaissez pour gérer le domaine sous "OU client".
10. Félicitations !
Félicitations ! Vous venez de créer un Managed Active Directory sur Google Cloud Platform.
Étapes suivantes
- Documentation Managed Active Directory
- Découvrez comment utiliser une VM Windows sur GCP.
- En savoir plus sur la connexion à une VM Windows
- En savoir plus sur le déploiement d'Active Directory tolérant aux pannes sur GCP
- Obtenez plus d'informations sur .NET sur Google Cloud Platform.
.
11. Nettoyage
Vous pouvez supprimer les VM Windows et le réseau VPC.
Supprimer des VM Windows
- Dans la console GCP, accédez à la page Instances de VM.
- Cochez la case à côté de l'instance que vous souhaitez supprimer.
- Cliquez sur le bouton "Supprimer" en haut de la page pour supprimer l'instance.
Supprimer des réseaux VPC
- Dans la console GCP, accédez à la page Réseaux VPC.
- Sélectionnez le réseau VPC que vous avez créé.
- Cliquez sur le bouton "Supprimer" en haut de la page.