Esegui il deployment di una foresta di risorse di Active Directory

Questa serie illustra l'utilizzo di Microsoft AD gestito per il deployment di una foresta di risorse di Active Directory su Google Cloud. Imparerai a:

  • Configura un VPC condiviso che ti consente di accedere a Microsoft AD gestito da più progetti e di connettere Microsoft AD gestito a una Active Directory on-premise utilizzando un attendibilità forestale.
  • Configura le regole del firewall che proteggono l'accesso ad Active Directory da origini non autorizzate.
  • Esegui il deployment di Microsoft AD gestito in un'unica regione e connettilo a un VPC condiviso esistente.
  • Creare una VM di gestione e unirla al dominio.
  • Utilizza un amministratore con delega per connetterti a Microsoft AD gestito.

Panoramica dell'architettura

Per consentire alle VM di più progetti di utilizzare Active Directory, sono necessari un VPC condiviso e tre subnet separate:

  • Subnet Microsoft AD gestita: utilizzata da Microsoft Active Directory gestito per eseguire i controller di dominio.
  • Subnet di gestione: contiene macchine utilizzate esclusivamente per la gestione di Active Directory.
  • Subnet di risorse: contiene i server membri di Active Directory (ad esempio server di applicazioni o database). L'ambito di ogni subnet delle risorse è una singola regione. In questa guida creerai una sola subnet di risorsa, ma puoi aggiungerne altre in un secondo momento se prevedi di eseguire il deployment di server in più regioni.

Panoramica del deployment

Per ridurre i rischi per la sicurezza, eseguirai il deployment di una VM di gestione con un indirizzo IP RFC 1918 interno e senza accesso a internet. Per accedere alle istanze VM, puoi utilizzare il tunneling TCP IAP.

Seguendo la best practice per l'utilizzo di progetti separati per la gestione e i server, creerai due progetti separati:

  • Progetto host VPC: contiene la configurazione del VPC condiviso e Microsoft AD gestito.
  • Progetto di gestione: dedicato alla gestione di Active Directory. Creerai una VM di gestione all'interno di questo progetto e la utilizzerai per configurare Active Directory.

Prima di iniziare

Questo tutorial utilizza un VPC condiviso, che richiede l'utilizzo di un'organizzazione Google Cloud. Se non hai un'organizzazione, creane prima una. Inoltre, alcune attività di configurazione richiedono ruoli amministrativi. Prima di procedere, assicurati di aver ottenuto i seguenti ruoli IAM.

Questo articolo presuppone che tu stia utilizzando una macchina Windows con Google Cloud CLI installato. Se usi un sistema operativo diverso, dovrai modificare alcuni passaggi.

Infine, raccogli le seguenti informazioni prima di iniziare:

  • Nomi di progetto per il progetto host VPC e il progetto di gestione. Questi due progetti avranno un ruolo centrale nel deployment, quindi scegli nomi facili da riconoscere e conformi alle convenzioni di denominazione aziendali.
  • Cartelle in cui creare il progetto host VPC e il progetto di gestione. Se non hai già una cartella adatta, valuta la possibilità di creare una sottocartella separata per risorse e servizi interfunzionali come Active Directory.
  • Un nome di dominio DNS da utilizzare per il dominio principale della foresta della nuova foresta di Active Directory.
  • Una regione iniziale in cui eseguire il deployment delle risorse. Tieni presente che puoi eseguire il deployment di Microsoft AD gestito solo in alcune regioni (questo non influisce sulla disponibilità generale del tuo dominio, disponibile in tutte le regioni in cui è presente il VPC). Se non sai con certezza quale sia la regione più adatta alle tue esigenze, consulta le best practice sulla selezione della regione. Potrai estendere il deployment ad altre regioni in un secondo momento.
  • Il nome del VPC condiviso da creare. Poiché il VPC sarà condiviso tra più progetti, assicurati di scegliere un nome facile da riconoscere.
  • Intervalli di subnet per le seguenti subnet:

    • Subnet Microsoft AD gestita: deve avere dimensioni pari ad almeno /24.
    • Subnet di gestione: deve contenere tutti i server di gestione. È consigliabile utilizzare un intervallo di subnet di dimensioni pari o superiori a /28.
    • Subnet delle risorse: dimensiona questa subnet in modo che possa ospitare tutti i server di cui prevedi di eseguire il deployment nella regione iniziale.

    Assicurati che le subnet non si sovrappongano a quelle on-premise e lascino spazio sufficiente per la crescita.

Costi

Il tutorial utilizza i componenti fatturabili di Google Cloud, tra cui Compute Engine, Cloud DNS e Osservabilità di Google Cloud. Utilizza il Calcolatore prezzi per calcolare i costi per il completamento di questo tutorial. Assicurati di includere qualsiasi altra risorsa specifica per il tuo deployment.

Configurazione del networking VPC

Creazione del progetto host VPC in corso...

Un progetto host VPC viene utilizzato per creare un VPC condiviso e gestire la configurazione relativa alla rete, ad esempio subnet, regole firewall e route.

  1. Nella console Google Cloud, apri la pagina Gestisci risorse.

    Apri la pagina Gestisci risorse

  2. Nell'elenco a discesa Organizzazione in alto a sinistra, seleziona la tua organizzazione.

  3. Fai clic su Crea progetto e inserisci le seguenti impostazioni:

    1. Nome progetto: l'ID scelto come nome del progetto.
    2. Account di fatturazione: il tuo account di fatturazione.
    3. Posizione: la cartella in cui creare il progetto.
  4. Fai clic su Crea.

Protezione del progetto dall'eliminazione accidentale

L'eliminazione di un progetto comporta anche l'eliminazione di tutti i domini Microsoft AD gestiti di cui è stato eseguito il deployment al suo interno. Oltre a utilizzare i criteri IAM per limitare l'accesso al progetto, devi proteggere il progetto dall'eliminazione accidentale.

  1. Nella console Google Cloud, apri Cloud Shell. Cloud Shell ti dà accesso alla riga di comando nella console Google Cloud e include Google Cloud CLI e altri strumenti necessari per l'amministrazione di Google Cloud. Il provisioning di Cloud Shell può richiedere diversi minuti.
    Attiva Cloud Shell

  2. Inizializza le variabili in modo che contengano il nome dell'organizzazione e l'ID progetto del progetto host VPC:

    ORG_NAME=[ORG-NAME] \
    VPCHOST_PROJECT_ID=[PROJECT-ID]
    

    Sostituisci [ORG-NAME] con il nome della tua organizzazione e [PROJECT-ID] con l'ID del progetto host VPC. Ad esempio:

    ORG_NAME=example.com
    VPCHOST_PROJECT_ID=ad-host-123
    
  3. Esegui questo comando per cercare l'ID della tua organizzazione, sostituendo ORG-NAME con il nome della tua organizzazione (ad esempio example.com):

    ORG_ID=$(gcloud organizations list \
      --filter="DISPLAY_NAME=$ORG_NAME" \
      --format=value\(ID\)) && \
    echo "ID of $ORG_NAME is $ORG_ID"
    
  4. Applica il criterio compute.restrictXpnProjectLienRemoval per la tua organizzazione:

    gcloud resource-manager org-policies enable-enforce \
      --organization $ORG_ID compute.restrictXpnProjectLienRemoval
    

Eliminazione del VPC predefinito

Compute Engine crea un VPC default in ogni progetto che crei. Questo VPC è configurato in modalità automatica, il che significa che una subnet viene preallocata per ogni regione e gli viene assegnato automaticamente un intervallo di subnet.

Se prevedi di connettere il VPC a una rete on-premise, è improbabile che gli intervalli IP predefiniti utilizzati da Compute Engine in modalità automatica siano adatti alle tue esigenze; potrebbero sovrapporsi a intervalli IP esistenti o non adeguate. Devi eliminare il VPC predefinito e sostituirlo con un VPC in modalità personalizzata.

  1. Torna alla sessione di Cloud Shell esistente.

  2. Abilita l'API Compute Engine nel progetto host VPC:

    gcloud services enable compute.googleapis.com --project=$VPCHOST_PROJECT_ID
    
  3. Elimina tutte le regole firewall associate al VPC default:

    gcloud compute firewall-rules list \
      --filter="network=default" \
      --project=$VPCHOST_PROJECT_ID \
      --format=value\(name\) | \
    xargs gcloud compute firewall-rules delete \
      --project=$VPCHOST_PROJECT_ID
    
  4. Elimina il VPC predefinito:

    gcloud compute networks delete default --project=$VPCHOST_PROJECT_ID
    

Creazione del VPC condiviso e delle subnet

Con l'eliminazione del VPC default, puoi creare il VPC personalizzato (lo trasformerai in un secondo momento in un VPC condiviso).

  1. Torna alla sessione di Cloud Shell esistente.

  2. Crea variabili per il nome del VPC, la regione iniziale e gli intervalli di subnet:

    SHAREDVPC_NAME=[NAME] \
    SUBNET_REGION=[REGION] \
    SUBNET_RANGE_MANAGEMENT=[MANAGEMENT-RANGE] \
    SUBNET_RANGE_RESOURCES=[RESOURCES-RANGE] \
    SUBNET_RANGE_MANAGEDAD=[MANAGED-AD-RANGE] \
    SUBNET_RANGE_ONPREMAD=[ONPREM-AD-RANGE]
    

    Sostituisci le variabili segnaposto con quanto segue:

    • [NAME] con un nome, ad esempio ad-network-env-test.
    • [REGION] con la regione in cui eseguire il deployment dei controller di dominio Active Directory. Puoi estendere il VPC e il tuo dominio per coprire altre regioni in qualsiasi momento.
    • [MANAGEMENT-RANGE] con l'intervallo di subnet da utilizzare per la subnet di gestione.
    • [RESOURCES-RANGE]con l'intervallo di subnet da utilizzare per la subnet risorsa.
    • [MANAGED-AD-RANGE] con l'intervallo di subnet da utilizzare per la subnet Microsoft AD gestita.
    • [ONPREM-AD-RANGE] con l'intervallo di subnet da utilizzare per la subnet AD on-prem.

    Ad esempio:

    SHAREDVPC_NAME=ad-network \
    SUBNET_REGION=us-central1 \
    SUBNET_RANGE_MANAGEMENT=10.0.0.0/24 \
    SUBNET_RANGE_RESOURCES=10.0.1.0/24 \
    SUBNET_RANGE_MANAGEDAD=10.0.2.0/24 \
    SUBNET_RANGE_ONPREMAD=192.168.0.0/24
    
  3. Abilita il progetto host VPC per ospitare un VPC condiviso:

    gcloud compute shared-vpc enable $VPCHOST_PROJECT_ID
    
  4. Crea una nuova rete VPC in modalità personalizzata:

    gcloud compute networks create $SHAREDVPC_NAME \
        --subnet-mode=custom \
        --project=$VPCHOST_PROJECT_ID
    
  5. Crea la subnet di gestione e risorsa e abilita l'accesso privato Google in modo da attivare Windows senza concedere alla VM l'accesso diretto a internet.

    gcloud compute networks subnets create $SUBNET_REGION-management \
      --network=$SHAREDVPC_NAME \
      --range=$SUBNET_RANGE_MANAGEMENT \
      --region=$SUBNET_REGION \
      --enable-private-ip-google-access \
      --project=$VPCHOST_PROJECT_ID && \
    gcloud compute networks subnets create $SUBNET_REGION-resources \
      --network=$SHAREDVPC_NAME \
      --range=$SUBNET_RANGE_RESOURCES \
      --region=$SUBNET_REGION \
      --enable-private-ip-google-access \
      --project=$VPCHOST_PROJECT_ID
    

Protezione del VPC condiviso

Il progetto host del VPC contiene un VPC condiviso con due subnet. Se collega i progetti di servizio a questo VPC condiviso, puoi rendere il VPC condiviso disponibile per l'utilizzo in più progetti.

Anziché concedere ai membri dei progetti di servizio l'autorizzazione per utilizzare tutte le subnet del VPC condiviso, devi concedere l'accesso in base alla subnet.

Per motivi di sicurezza, concedi solo a un piccolo gruppo di membri del personale amministrativo il diritto di accedere alla subnet di gestione. Ciò garantisce che la subnet venga utilizzata solo per gestire Active Directory. Puoi applicare controllo dell'accesso più permissivo alla subnet delle risorse.

Creazione delle regole firewall

Prima di eseguire il deployment di Active Directory, dovrai creare regole firewall che ti consentano di amministrarlo e utilizzarlo.

  1. Torna alla sessione di Cloud Shell esistente.

  2. Abilita il logging del firewall per il traffico in entrata in modo che vengano registrati tutti i tentativi di accesso non riusciti:

    gcloud compute firewall-rules create deny-ingress-from-all \
        --direction=INGRESS \
        --action=deny \
        --rules=tcp:0-65535,udp:0-65535 \
        --enable-logging \
        --source-ranges=0.0.0.0/0 \
        --network=$SHAREDVPC_NAME \
        --project=$VPCHOST_PROJECT_ID \
        --priority 65000
    
  3. Potrai amministrare Active Directory utilizzando un server di gestione dedicato di cui è stato eseguito il deployment nella subnet di gestione. Poiché il deployment di questo server verrà eseguito senza un indirizzo IP esterno, dovrai utilizzare l'inoltro TCP IAP per connetterti al server.

    Crea la seguente regola firewall per consentire il traffico RDP in entrata da IAP:

    gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
      --direction=INGRESS \
      --action=allow \
      --rules=tcp:3389 \
      --enable-logging \
      --source-ranges=35.235.240.0/20 \
      --network=$SHAREDVPC_NAME \
      --project=$VPCHOST_PROJECT_ID \
      --priority 10000
    

Il VPC condiviso è ora pronto per essere utilizzato per il deployment di Microsoft Active Directory gestito.

Deployment di Active Directory

Microsoft AD gestito gestisce il provisioning e la manutenzione dei controller di dominio Active Directory. Sui controller di dominio vengono implementati i seguenti ruoli:

  • Servizi di dominio Active Directory
  • DNS

I controller di dominio vengono distribuiti all'esterno del progetto e non verranno visualizzati come istanze VM nel progetto. Per rendere disponibili i controller di dominio, vengono applicate le seguenti modifiche al progetto quando esegui il deployment di Microsoft AD gestito:

  • Il peering VPC viene aggiunto al tuo VPC. In questo modo, il VPC viene collegato al VPC di servizio che contiene i controller di dominio.
  • Nel progetto viene creata una zona in peering DNS privata di Cloud DNS. Inoltra le query DNS corrispondenti al tuo dominio Active Directory al servizio DNS eseguito come parte di Microsoft Active Directory gestito.

Poiché utilizzi un VPC condiviso, devi eseguire il deployment di Microsoft AD gestito nel progetto host del VPC affinché Active Directory sia utilizzabile in tutti i progetti di servizio.

Creazione della foresta e del dominio di Active Directory

Segui questi passaggi per eseguire il deployment di Microsoft AD gestito nel progetto host VPC creato nella parte precedente della guida:

  1. Nella console Google Cloud, torna a Cloud Shell.

  2. Inizializza una variabile che contenga il nome di dominio principale della nuova foresta di Active Directory da creare. Fai riferimento alle convenzioni di denominazione Microsoft per indicazioni sulla scelta di un nome.

    AD_DNS_DOMAIN=[AD-DNS-NAME]
    

    Ad esempio:

    AD_DNS_DOMAIN=cloud.example.com
    
  3. Abilita Cloud DNS nel progetto host VPC:

    gcloud services enable dns.googleapis.com --project $VPCHOST_PROJECT_ID
    
  4. Abilita l'API Microsoft AD gestita nel progetto host VPC:

    gcloud services enable managedidentities.googleapis.com --project $VPCHOST_PROJECT_ID
    
  5. Esegui il provisioning dei controller di dominio e crea una nuova foresta:

    gcloud active-directory domains create $AD_DNS_DOMAIN \
      --admin-name=SetupAdmin \
      --reserved-ip-range=$SUBNET_RANGE_MANAGEDAD \
      --region=$SUBNET_REGION \
      --authorized-networks=projects/$VPCHOST_PROJECT_ID/global/networks/$SHAREDVPC_NAME \
      --project=$VPCHOST_PROJECT_ID
    

    Attendi da 15 a 20 minuti per il completamento del comando.

  6. Il comando precedente crea per te un utente Active Directory iniziale denominato SetupAdmin@[AD_DNS_DOMAIN]. Questo utente ha privilegi di amministratore delegati e puoi utilizzarlo per completare la configurazione della nuova foresta di Active Directory.

    Per rivelare le credenziali dell'utente, esegui questo comando. Dovrai confermare che la password viene rivelata sullo schermo in sicurezza.

    gcloud active-directory domains reset-admin-password $AD_DNS_DOMAIN \
      --project=$VPCHOST_PROJECT_ID
    

    Copia la password; ti servirà in un secondo momento.

    La password può essere reimpostata in qualsiasi momento dai proprietari e dagli editor del progetto host VPC.

Creazione del progetto di gestione

Il dominio principale della foresta e della foresta di Active Directory creato da Microsoft AD gestito è ora completamente operativo e puoi usare un primo utente (SetupAdmin) per eseguire un'ulteriore configurazione. Tuttavia, poiché non è possibile accedere direttamente ai controller di dominio Microsoft AD gestiti tramite RDP, qualsiasi configurazione deve essere gestita utilizzando una VM di gestione.

Dovrai creare questa istanza VM in un progetto dedicato alla gestione di Active Directory, quindi connettere l'istanza VM alla subnet di gestione del VPC condiviso.

Dopo aver effettuato l'accesso al dominio, puoi utilizzare gli strumenti di amministrazione remota del server, la Console Gestione Criteri di gruppo e PowerShell per amministrare Active Directory e le risorse relative ad Active Directory.

Per creare il progetto di gestione:

  1. Nella console Google Cloud, apri la pagina Gestisci risorse.

    Apri la pagina Gestisci risorse

  2. Nell'elenco a discesa Organizzazione in alto a sinistra, seleziona la tua organizzazione.
  3. Fai clic su Crea progetto e completa i seguenti campi:
    1. Nome progetto: l'ID scelto come nome del progetto.
    2. Account di fatturazione: il tuo account di fatturazione. Se hai accesso a più account di fatturazione, esamina i tuoi criteri interni per ciascuno e scegli quello appropriato.
    3. Posizione: una cartella in cui creare il progetto.
  4. Fai clic su Crea.

Il progetto di gestione conterrà istanze VM per l'amministrazione di Active Directory. Nel modello di amministrazione a livelli, ciò significa che gli utenti con privilegi elevati del livello 0 accederanno a queste istanze VM.

Queste istanze possono essere bersagli allettanti per gli utenti malintenzionati; potenzialmente offrono l'opportunità di acquisire password, hash delle password o token Kerberos. Poiché queste credenziali hanno accesso amministrativo ad Active Directory, potrebbero essere utilizzate per compromettere il dominio.

Le istanze VM nel progetto di gestione devono essere trattate in modo equivalente alle workstation con accesso privilegiato. Ciò implica che:

  • Solo a un piccolo gruppo di membri del personale amministrativo dovrebbero essere concessi i privilegi per accedere a queste istanze (tramite RDP o altri mezzi).
  • L'accesso al progetto di gestione contenitore deve essere concesso sulla base di meno privilegi. Solo alcuni utenti selezionati devono essere autorizzati a visualizzare e accedere alle risorse nel progetto Google Cloud.

Consulta le best practice per il controllo dell'accesso alle risorse per scoprire di più sulla protezione di un progetto Google Cloud.

Utilizzo del VPC condiviso anziché del VPC predefinito

Il progetto di gestione attualmente ha il proprio VPC default. Poiché utilizzerai un VPC condiviso, puoi eliminare questo VPC.

  1. Nella console Google Cloud, torna a Cloud Shell.

  2. Inizializza una variabile in modo che contenga l'ID del progetto di gestione (sostituisci [MANAGEMENT_PROJECT_ID] con l'ID del progetto di gestione appena creato):

    MANAGEMENT_PROJECT_ID=[MANAGEMENT_PROJECT_ID]
    
  3. Abilita l'API Compute Engine nel progetto host VPC:

    gcloud services enable compute.googleapis.com \
      --project=$MANAGEMENT_PROJECT_ID
    
  4. Elimina tutte le regole firewall associate al VPC default:

    gcloud compute firewall-rules list \
      --filter="network=default" \
      --project=$MANAGEMENT_PROJECT_ID \
      --format=value\(name\) | \
    xargs gcloud compute firewall-rules delete \
        --project=$MANAGEMENT_PROJECT_ID
    
  5. Elimina il VPC default:

    gcloud compute networks delete default --project=$MANAGEMENT_PROJECT_ID
    
  6. Associa il progetto di gestione al VPC condiviso:

    gcloud compute shared-vpc associated-projects add $MANAGEMENT_PROJECT_ID \
      --host-project=$VPCHOST_PROJECT_ID
    

Il progetto di gestione ora è un progetto di servizio e puoi utilizzare il VPC condiviso dall'interno del progetto di gestione.

Connessione ad Active Directory

Ora tutto è pronto per creare una prima istanza VM di gestione e unirla ad Active Directory. Puoi utilizzare questa VM per configurare il dominio principale e la foresta di Active Directory.

Creazione di una VM di gestione

Per creare un'istanza VM di gestione:

  1. Nella console Google Cloud, torna a Cloud Shell.
  2. Crea una nuova istanza VM con Windows Server 2019 con Remote Server Admin Tools (RSAT), strumenti di amministrazione del server DNS e Console di gestione dei criteri di gruppo (GPMC) preinstallati.

    Poiché si accede alla macchina utilizzando l'inoltro TCP IAP, non è necessario assegnare all'istanza un indirizzo IP esterno.

    gcloud compute instances create admin-01 \
      --image-family=windows-2019 \
      --image-project=windows-cloud \
      --machine-type=n1-standard-2 \
      --no-address \
      --zone=$SUBNET_REGION-a \
      --subnet=projects/$VPCHOST_PROJECT_ID/regions/$SUBNET_REGION/subnetworks/$SUBNET_REGION-management \
      --project=$MANAGEMENT_PROJECT_ID \
      --metadata="sysprep-specialize-script-ps1=Install-WindowsFeature -Name RSAT-AD-Tools;Install-WindowsFeature -Name GPMC;Install-WindowsFeature -Name RSAT-DNS-Server"
    
  3. Esegui questo comando per osservare il processo di avvio.

    gcloud compute instances tail-serial-port-output admin-01 \
      --zone=$SUBNET_REGION-a \
      --project=$MANAGEMENT_PROJECT_ID
    
  4. Attendi circa 4 minuti finché non visualizzi l'output Instance setup finished, quindi premi Ctrl+C. Le istanze VM sono ora pronte per l'uso.

  5. Crea un utente SAM locale LocalAdminnell'istanza:

    gcloud compute reset-windows-password admin-01 \
      --user=LocalAdmin \
      --project=$MANAGEMENT_PROJECT_ID \
      --zone=$SUBNET_REGION-a \
      --quiet
    

    Copia la password; ti servirà in seguito.

Aggiunta della VM di gestione al dominio

Ora puoi accedere alla VM di gestione e unirla ad Active Directory

  1. Sulla workstation Windows locale, apri un prompt dei comandi (cmd).

  2. Se è la prima volta che utilizzi gcloud sulla workstation locale, assicurati prima di eseguire l'autenticazione.

  3. Esegui questo comando per stabilire un tunnel TCP IAP dalla workstation locale alla VM admin-01, sostituendo [MANAGEMENT_PROJECT_ID] con l'ID del progetto di gestione.

    gcloud compute start-iap-tunnel admin-01 3389 ^
      --local-host-port=localhost:13389 ^
      --project=[MANAGEMENT_PROJECT_ID]
    

    Attendi che venga visualizzato il seguente output

    Listening on port [13389]`
    

    Il tunnel è ora pronto per l'uso.

  4. Apri il client Connessione di Windows Remote Desktop (mstsc.exe).

  5. Fai clic su Mostra opzioni.

  6. Inserisci i seguenti valori:

    1. Computer: localhost:13389
    2. Nome utente: localhost\LocalAdmin
  7. Fai clic su Connetti.

  8. Nella finestra di dialogo Inserisci le tue credenziali, incolla la password generata in precedenza per l'utente LocalAdmin locale. Quindi, fai clic su OK.

  9. Poiché non hai configurato i certificati RDP per la VM di gestione, verrà visualizzato un messaggio di avviso che indica che non è possibile verificare l'identità del computer remoto. Puoi ignorare questo avviso facendo clic su .

  10. A questo punto dovresti vedere il desktop di Windows Server della VM admin-01.

  11. Fai clic con il pulsante destro del mouse sul pulsante Start (o premi Win+X) e fai clic su Prompt dei comandi (amministratore).

  12. Conferma la richiesta di elevazione facendo clic su .

  13. Nel prompt dei comandi con privilegi elevati, avvia una sessione di PowerShell eseguendo powershell.

  14. Esegui questo comando per avviare un join di un dominio.

    Add-Computer -DomainName [AD-DNS-NAME]
    

    Sostituisci [AD-DNS-NAME] con il nome DNS del nome DNS del dominio principale della foresta.

  15. Nella finestra di dialogo Richiesta di credenziali di Windows PowerShell, inserisci i seguenti valori:

    1. Nome utente: SetupAdmin
    2. Password: inserisci la password creata per SetupAdmin durante il deployment di Microsoft AD gestito. Non utilizzare la password dell'utente LocalAdmin locale.
  16. Riavvia il computer eseguendo Restart-Computer. Attendi circa un minuto per il riavvio della VM.

Avvio di utenti e computer di Active Directory

Ora la VM di gestione fa parte del tuo dominio Active Directory. Puoi utilizzarlo per amministrare Active Directory:

  1. Sulla workstation Windows locale, apri il client Connessione di Windows Remote Desktop (mstsc.exe).
  2. Fai clic su Mostra opzioni.
  3. Inserisci i seguenti valori:
    1. Computer: localhost:13389
    2. Nome utente: SetupAdmin@[AD-DNS-NAME]. Sostituisci [AD-DNS-NAME] con il nome DNS del nome DNS per il dominio principale della foresta.
  4. Fai clic su Connetti.
  5. Nella finestra di dialogo Inserisci le tue credenziali, incolla la password generata in precedenza per l'utente SetupAdmin. Quindi, fai clic su OK.
  6. Poiché non hai configurato i certificati RDP per la VM di gestione, verrà visualizzato un messaggio di avviso che indica che non è possibile verificare l'identità del computer remoto. Puoi ignorare questo avviso facendo clic su .
  7. A questo punto dovresti vedere il desktop di Windows Server della VM admin-01.
  8. Fai clic con il pulsante destro del mouse sul pulsante Start (o premi Win+X) e seleziona Esegui.
  9. Inserisci dsa.msc e fai clic su OK.

A questo punto dovresti vedere la dicitura Utenti e computer di Active Directory:

Utenti AD

Complimenti! Hai eseguito la connessione al tuo dominio Microsoft AD gestito.

esegui la pulizia

Se non prevedi di utilizzare le risorse di questo tutorial in futuro, esegui la pulizia in modo che non ti vengano addebitati.

Eliminazione della foresta e del dominio di Active Directory

  1. Nella console Google Cloud, apri Cloud Shell.

  2. Esegui il comando seguente per eliminare la foresta e il dominio di Active Directory, sostituendo [AD_DNS_DOMAIN] con il nome di dominio DNS utilizzato per il dominio Microsoft AD gestito e [VPCHOST_PROJECT_ID] con l'ID del progetto host VPC:

    gcloud active-directory domains delete [AD_DNS_DOMAIN] \
      --project=[VPCHOST_PROJECT_ID]
    

Eliminazione del progetto di gestione

  1. Nella console Google Cloud, vai alla pagina Progetti.

    Apri la pagina Progetti

  2. Nell'elenco dei progetti, seleziona il progetto di gestione e fai clic su Elimina.
  3. Nella finestra di dialogo, digita l'ID progetto e fai clic su Arresta per eliminare il progetto.

Eliminazione del progetto host VPC

  1. Nella console Google Cloud, vai alla pagina Progetti.

    Apri la pagina Progetti

  2. Nell'elenco dei progetti, seleziona il progetto host VPC e fai clic su Elimina.
  3. Nella finestra di dialogo, digita l'ID progetto e fai clic su Arresta per eliminare il progetto.

Passaggi successivi

  • Scopri come utilizzare i livelli e le conditions di accesso per limitare l'accesso alle risorse tramite IAP.
  • Proteggi il progetto di gestione dall'eliminazione accidentale aggiungendo un blocco al progetto.