Начало работы с управляемым Active Directory

1. Обзор

Managed Active Directory — это высокодоступный сервис домена Microsoft Active Directory, размещенный в облаке Google.

В этом руководстве вы настроите новую управляемую Active Directory, создадите новую виртуальную машину Windows и подключите ее к новому домену. Вы узнаете, как настроить сеть, безопасность и управлять доменом, используя те же инструменты управления, с которыми вы знакомы.

Что вы узнаете

• Как создать управляемую Active Directory в Google Cloud
• Как добавить виртуальную машину Windows в домен
• Как управлять пользователями и компьютерами в управляемой Active Directory

Что вам понадобится:

• Браузер, например Chrome или Firefox.
• Компьютер с установленными инструментами gcloud.

2. Настройка и требования

Настройка среды для самостоятельного обучения

1. Войдите в Cloud Console и создайте новый проект или используйте существующий. (Если у вас еще нет учетной записи Gmail или G Suite, вам необходимо ее создать .)

Запомните идентификатор проекта (Project ID) — уникальное имя для всех проектов Google Cloud (указанное выше имя уже занято и вам не подойдёт, извините!). В дальнейшем в этом практическом занятии оно будет обозначаться как PROJECT_ID .

2. Далее вам потребуется включить оплату в Cloud Console, чтобы использовать ресурсы Google Cloud.

Выполнение этого практического задания не должно стоить дорого, если вообще что-либо. Обязательно следуйте инструкциям в разделе «Очистка», где указано, как отключить ресурсы, чтобы избежать дополнительных расходов после завершения этого урока. Новые пользователи Google Cloud имеют право на бесплатную пробную версию стоимостью 300 долларов США .

Запустить Cloud Shell

Хотя Google Cloud можно управлять удаленно с ноутбука, в этом практическом занятии вы будете использовать Google Cloud Shell — среду командной строки, работающую в Google Cloud.

Активировать Cloud Shell

1. В консоли Cloud нажмите «Активировать Cloud Shell» . .

Если вы никогда раньше не запускали Cloud Shell, вам будет показан промежуточный экран (внизу), описывающий его назначение. В этом случае нажмите «Продолжить» (и вы больше никогда его не увидите). Вот как выглядит этот одноразовый экран:

Подготовка и подключение к Cloud Shell займут всего несколько минут.

Эта виртуальная машина оснащена всеми необходимыми инструментами разработки. Она предоставляет постоянный домашний каталог размером 5 ГБ и работает в облаке Google, что значительно повышает производительность сети и аутентификацию. Большая часть, если не вся, работа в этом практическом задании может быть выполнена с помощью обычного браузера или вашего Chromebook.

После подключения к Cloud Shell вы увидите, что ваша аутентификация пройдена и что проект уже настроен на ваш идентификатор проекта.

2. Выполните следующую команду в Cloud Shell, чтобы подтвердить свою аутентификацию:

gcloud auth list

вывод команды

 Credentialed Accounts
ACTIVE  ACCOUNT
*       <my_account>@<my_domain.com>

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

gcloud config list project

вывод команды

[core]
project = <PROJECT_ID>

Если это не так, вы можете установить это с помощью следующей команды:

gcloud config set project <PROJECT_ID>

вывод команды

Updated property [core/project].

3. Инициализация

Инициализированный проект GCP будет использоваться для размещения сети VPC между всеми вашими виртуальными машинами Windows, подключенными к домену, и управляемым Active Directory.

В дальнейшем мы зададим несколько переменных для упрощения написания скриптов.

• Выберите доменное имя (например, ad.yourcompany.com ).
• Определите, в каком регионе вы хотите создать контроллер домена для управляемого домена.
• Определите имя виртуальной машины, правило брандмауэра и имя сети.

В настоящее время поддерживаются следующие регионы:

1. "us-west1"
2. "us-west2"
3. "us-central1"
4. "us-east1"
5. "us-east4"
6. "europe-north1"
7. "europe-west1"
8. "europe-west4"
9. "asia-east1"
10. "asia-southeast1"

Задайте переменные

Если вы используете Linux, введите:

$ PROJECT_ID="YOUR_PROJECT_ID"
$ VPC="adtutorialvpc"
$ FIREWALL_VPC_RULE="adtutorialvpcrule"
$ REGION="us-west1"
$ ZONE="us-west1-a"
$ DOMAIN_NAME="ad.tutorial"
$ VM_NAME="tutorial1"

Если вы используете Windows, введите в терминале PowerShell:

PS> $PROJECT_ID=YOUR_PROJECT_ID
PS> $VPC=adtutorialvpc
PS> $FIREWALL_VPC_RULE=adtutorialvpcrule
PS> $REGION=us-west1
PS> $ZONE=us-west1-a
PS> $DOMAIN_NAME=ad.tutorial
PS> $VM_NAME=tutorial1

Укажите текущий идентификатор проекта, чтобы все последующие операции выполнялись в контексте соответствующего облачного проекта:

$ gcloud config set project $PROJECT_ID

Включите облачные API

Для включения управляемого Active Directory необходимо активировать два API: DNS и управляемые удостоверения.

Включить DNS API:

$ gcloud services enable dns.googleapis.com

Включить API управляемых удостоверений:

$ gcloud services enable managedidentities.googleapis.com

4. Создайте виртуальную частную облачную сеть.

Для установления связи между управляемым контроллером домена Active Directory и виртуальными машинами Windows необходимо создать виртуальную частную облачную сеть.

Создание сети VPC

$ gcloud compute networks create $VPC --subnet-mode=auto --bgp-routing-mode=global

Создайте правило брандмауэра, разрешающее подключение виртуальных машин Windows к контроллерам домена.

$ gcloud compute firewall-rules create $FIREWALL_VPC_RULE --network $VPC --allow tcp,udp,icmp --source-ranges=0.0.0.0/0

5. Создание контроллеров домена

Мы настроили VPC, которая соединяет управляемый Active Directory с ресурсами нашего проекта (виртуальными машинами). Теперь пришло время настроить управляемый контроллер домена.

Создайте управляемую Active Directory.

(Ожидается, что эта операция займет около часа)

$ gcloud active-directory domains create $DOMAIN_NAME --reserved-ip-range=10.0.1.0/24 --region=$REGION --authorized-networks=projects/$PROJECT_ID/global/networks/$VPC

В процессе развертывания или в любое время вы можете проверить статус подготовки домена.

Поддерживаются 3 состояния:

Проверьте статус развертывания:

$ gcloud active-directory domains describe $DOMAIN_NAME

Ожидается, что после завершения создания домена эта команда выдаст состояние READY.

6. Добавление виртуальных машин Windows в управляемый домен.

Создайте новую виртуальную машину Windows в Google Compute Engine.

$ gcloud beta compute instances create $VM_NAME --zone=$ZONE --machine-type=n1-standard-2 --subnet=$VPC --network-tier=PREMIUM --scopes=https://www.googleapis.com/auth/cloud-platform --image=windows-server-2016-dc-v20181009 --image-project=windows-cloud --boot-disk-size=50GB --boot-disk-type=pd-standard

Создайте правило брандмауэра, разрешающее удаленное подключение к рабочим столам ваших виртуальных машин Windows:

$ gcloud compute firewall-rules create allow-rdp --allow tcp:3389

Прежде чем подключиться к виртуальной машине и добавить её в домен, необходимо определить двух пользователей и их учетные данные:

• Локальный администратор виртуальной машины — это необходимо для возможности удалённого подключения к виртуальной машине до её включения в домен.
• Администратор управляемого домена — это необходимо для подключения виртуальной машины к домену, а также для выполнения всех операций управления доменом.

7. Получите учетные данные администратора управляемого домена.

Определите имя пользователя администратора управляемого домена:

$ gcloud active-directory domains describe $DOMAIN_NAME

В результате этой операции будет выведено имя пользователя администратора. По умолчанию оно называется miadmin .

Сброс пароля администратора управляемого домена:

$ gcloud active-directory domains reset-managed-identities-admin-password $DOMAIN_NAME

Необходимо подтвердить операцию (Y/N), так как пароль будет отображен в открытом виде в терминале.

Сохраните логин и пароль — они нам понадобятся позже.

8. Присоединяйтесь к домену

Сгенерируйте локального пользователя и пароль Windows.

Для удалённого подключения к созданной вами виртуальной машине необходимы локальный пользователь Windows и пароль. Вы можете сгенерировать их с помощью gcloud.

$ gcloud compute reset-windows-password --user=usr1 $VM_NAME

Это создаст локального пользователя с именем " usr1 " и сгенерирует для него пароль.

Подключитесь к экземпляру Windows с помощью Chrome RDP.

Откройте новое окно браузера по адресу : https://console.cloud.google.com/compute/instancesDetail/zones/your-zone/instances/your-vm-name?project=your-project-name

Откройте ChromeRDP, нажав на RDP:

Введите имя локального пользователя и пароль. Это позволит вам подключиться к созданной вами виртуальной машине Windows.

На виртуальной машине откройте командную строку с правами администратора с помощью PowerShell:

В PowerShell с правами администратора введите:

$ add-computer –domainname your-domain -Credential your-domain\miadmin -restart –force

Вам будет предложено ввести пароль администратора управляемой системы, после чего виртуальная машина подключится к вашему управляемому домену и перезапустится. Подождите 2 минуты, прежде чем переходить к следующему шагу.

На данный момент ваша виртуальная машина подключена к домену, но у вас нет прав на подключение к ней с помощью пользователя «Управляемый администратор домена». Вам необходимо добавить пользователя «Управляемый администратор домена» в качестве локального администратора этой виртуальной машины.

Подключитесь к виртуальной машине еще раз, используя локальную учетную запись администратора (те же инструкции, что и выше).

В таком случае следуйте инструкциям, указанным в предупреждении. Это произошло из-за того, что мы подключили виртуальную машину к домену.

Попробуйте повторно подключиться, используя учетную запись локального администратора , и откройте командную строку PowerShell с правами администратора.

Добавить пользователя Managed Domain Admin в качестве локального администратора виртуальной машины.

$ net localgroup administrators /add your-domain-name\miadmin

Теперь вы можете отключиться от виртуальной машины.

9. Инструменты Active Directory

После подключения виртуальной машины к домену вы можете использовать привычные инструменты Active Directory для управления пользователями, группами, компьютерами и групповыми политиками.

Подключитесь к виртуальной машине (тем же способом, что описан выше) , используя учетные данные администратора управляемого домена . Откройте командную строку PowerShell с правами администратора:

$ Install-WindowsFeature -Name "RSAT-AD-Tools" -IncludeAllSubFeature -IncludeManagementTools -Confirm

Программа запросит подтверждение, после чего установит средства управления Active Directory.

После завершения установки вы можете использовать dsa.msc (Пользователи и компьютеры Active Directory) и другие распространенные инструменты Active Directory для управления доменом в подразделении « Клиентское подразделение ».

10. Поздравляем!

Поздравляем, вы успешно создали новую управляемую службу Active Directory на платформе Google Cloud Platform.

Следующие шаги

• Документация по управляемому Active Directory
• Узнайте больше об использовании виртуальной машины Windows в GCP .
• Узнайте больше о подключении к виртуальной машине Windows .
• Узнайте больше о развертывании отказоустойчивой Active Directory в GCP.
• Узнайте больше о .NET на платформе Google Cloud Platform .

.

11. Уборка

Вы можете удалить виртуальные машины Windows и сеть VPC.

Удаление виртуальных машин Windows

• В консоли GCP перейдите на страницу экземпляров виртуальных машин .
• Установите флажок рядом с экземпляром, который хотите удалить.
• Чтобы удалить экземпляр, нажмите кнопку «Удалить» в верхней части страницы.

Удалить сети VPC

• В консоли GCP перейдите на страницу «Сети VPC» .
• Выберите созданную вами сеть VPC.
• Нажмите кнопку «Удалить» в верхней части страницы.