Esegui il deployment di una foresta di risorse Active Directory

Questa serie illustra l'utilizzo di Microsoft Active Directory gestito per eseguire il deployment Directory attiva foresta di risorse su Google Cloud. Al termine del corso sarai in grado di:

• Configura un VPC condiviso che ti consenta di accedere a Managed Microsoft AD più progetti e connettere Microsoft Active Directory gestito a un server Active Directory utilizzando un trust della foresta.
• Configura regole firewall che proteggono l'accesso ad Active Directory da fonti non autorizzate.
• Esegui il deployment di Microsoft Active Directory gestito in una singola regione e connettilo a una VPC condiviso.
• Crea una VM di gestione e aggiungila al dominio.
• Utilizza un amministratore con delega per connetterti a Microsoft Active Directory gestito.

Panoramica dell'architettura

Per consentire alle VM di più progetti di usare Active Directory, è necessario un VPC condiviso e tre subnet separate:

• Subnet Microsoft AD gestita: utilizzata da Microsoft Active Directory gestito per l'esecuzione i controller di dominio.
• Subnet di gestione: contiene le macchine utilizzate esclusivamente per gestire Active Directory.
• Subnet di risorse: contiene i server membri Active Directory (ad esempio i server di applicazioni o di database). L'ambito di ogni subnet delle risorse è regione. In questa guida, creerai solo una subnet di risorse singola, puoi aggiungere altre subnet di risorse in un secondo momento se prevedi di eseguire il deployment di server in più regioni.

Per ridurre i rischi per la sicurezza, esegui il deployment di una VM di gestione con un indirizzo IP interno (RFC 1918) e senza accesso a internet. Per accedere alle istanze VM, utilizzerai Tunnel TCP IAP.

Seguendo la best practice di utilizzare progetti separati per la gestione e i server, crea due progetti distinti:

• Progetto host VPC: contiene la configurazione del VPC condiviso nonché Managed Microsoft AD.
• Progetto di gestione: dedicato alla gestione di Active Directory. Creerai una VM di gestione all'interno di questo progetto e utilizzarla per configurare Active Directory.

Prima di iniziare

Questo tutorial utilizza un VPC condiviso, che richiede l'uso di un Organizzazione. Se non hai un'organizzazione, creane prima uno. Inoltre, alcune attività di configurazione richiedono ruoli amministrativi. Assicurati di sono stati concessi i seguenti ruoli IAM prima di procedere.

• Amministratore dell'organizzazione
• Amministratore VPC condiviso
• Utente di rete

Questo articolo presuppone che tu stia utilizzando una macchina Windows con Google Cloud CLI installato. Dovrai regolare alcuni passaggi se utilizzi un sistema operativo diverso.

Infine, raccogli le seguenti informazioni prima di iniziare:

• Nomi dei progetti del progetto host VPC e del progetto di gestione. Questi due progetti avranno un ruolo centrale nel deployment, quindi scegli i nomi facili da riconoscere e seguire. convenzioni di denominazione aziendali.
• Cartelle in cui creare il progetto host VPC e il progetto di gestione. In caso contrario una cartella adatta, considera l'idea di creare sottocartella separata per risorse interfunzionali e servizi come Active Directory.
• Un nome di dominio DNS da utilizzare per il dominio principale della foresta della nuova versione di Active Foresta di directory.
• Una regione iniziale in cui eseguire il deployment delle risorse. Tieni presente che puoi eseguire il deployment di Microsoft Active Directory gestito alcune regioni (questo non influisce sulla disponibilità generale del tuo , disponibile in tutte le regioni in cui è presente il tuo VPC). Consulta il best practice per la scelta delle regioni se non sai quale regione risponde meglio alle tue esigenze. Potrai estendere il deployment ad altre regioni in un secondo momento.
• Il nome del VPC condiviso da creare. Poiché il VPC verrà condiviso progetti, assicurati di scegliere un nome facilmente riconoscibile.

• Intervalli di subnet per le seguenti subnet:

  • Subnet Microsoft AD gestita: deve avere dimensioni di almeno /24.
  • Subnet di gestione: deve contenere tutti i server di gestione. Si consiglia un intervallo di subnet di dimensioni pari o superiori a /28.
  • Subnet di risorse: definisci le dimensioni di questa subnet in modo che possa contenere tutti i server che prevedi di implementare nella regione iniziale.

  Assicurati che le subnet non si sovrappongano ad alcuna subnet on-premise lasciare un margine di crescita sufficiente.

Costi

Il tutorial utilizza i componenti fatturabili di Google Cloud, tra cui Compute Engine, Cloud DNS e Google Cloud Observability. Consulta il Calcolatore prezzi per calcolare i costi per completare questo tutorial. Assicurati di includere qualsiasi altro e risorse specifiche per il tuo deployment.

Configurazione del networking VPC

Creazione del progetto host VPC

Un progetto host VPC viene utilizzato per creare un VPC condiviso e gestire le dell'infrastruttura, ad esempio subnet, regole firewall e route.

1. Nella console Google Cloud, apri la pagina Gestisci risorse.

   Apri la pagina Gestisci risorse

2. Nell'elenco a discesa Organizzazione in alto a sinistra, seleziona la tua dell'organizzazione.

3. Fai clic su Crea progetto e inserisci le seguenti impostazioni:

   1. Project Name (Nome progetto): l'ID che hai scelto come nome del progetto.
   2. Account di fatturazione: il tuo account di fatturazione.
   3. Posizione: la cartella in cui creare il progetto.

4. Fai clic su Crea.

Protezione del progetto dall'eliminazione accidentale

L'eliminazione di un progetto elimina anche tutti i domini Microsoft AD gestiti di cui è stato eseguito il deployment al suo interno. Oltre a utilizzare i criteri IAM per limitare l'accesso alle del progetto, devi proteggere contro l'eliminazione accidentale.

1. Nella console Google Cloud, apri Cloud Shell. Cloud Shell ti offre alla riga di comando nella console Google Cloud e include Google Cloud CLI e altri strumenti necessari per l'amministrazione di Google Cloud. Il provisioning di Cloud Shell può richiedere diversi minuti.
   Attiva Cloud Shell

2. Inizializza le variabili in modo che contengano il nome dell'organizzazione e l'ID progetto del progetto host VPC:

   ORG_NAME=[ORG-NAME] \
   VPCHOST_PROJECT_ID=[PROJECT-ID]
   

   Sostituisci [ORG-NAME] con il nome della tua organizzazione e [PROJECT-ID] con l'ID del progetto host VPC. Ad esempio:

   ORG_NAME=example.com
   VPCHOST_PROJECT_ID=ad-host-123
   

3. Esegui questo comando per cercare l'ID della tua organizzazione, sostituendo ORG-NAME con il nome della tua organizzazione (ad esempio example.com):

   ORG_ID=$(gcloud organizations list \
     --filter="DISPLAY_NAME=$ORG_NAME" \
     --format=value\(ID\)) && \
   echo "ID of $ORG_NAME is $ORG_ID"
   

4. Applica il criterio compute.restrictXpnProjectLienRemoval per la tua organizzazione:

   gcloud resource-manager org-policies enable-enforce \
     --organization $ORG_ID compute.restrictXpnProjectLienRemoval
   

Eliminazione del VPC predefinito

Compute Engine crea un VPC default in ogni progetto che crei. Questo Il VPC è configurato in modalità automatica, il che significa che la subnet viene preallocata per ogni regione e gli viene assegnata automaticamente una subnet intervallo.

Se prevedi di connettere il VPC a una rete on-premise, È improbabile che gli intervalli IP utilizzati da Compute Engine in modalità automatica siano adatti le tue esigenze; potrebbero sovrapporsi a intervalli IP esistenti o essere inadeguate dimensioni. Devi eliminare il VPC predefinito e sostituirlo con un VPC in modalità personalizzata.

1. Torna alla sessione di Cloud Shell esistente.

2. Abilita l'API Compute Engine nel progetto host VPC:

   gcloud services enable compute.googleapis.com --project=$VPCHOST_PROJECT_ID
   

3. Elimina tutte le regole firewall associate alla VPC default:

   gcloud compute firewall-rules list \
     --filter="network=default" \
     --project=$VPCHOST_PROJECT_ID \
     --format=value\(name\) | \
   xargs gcloud compute firewall-rules delete \
     --project=$VPCHOST_PROJECT_ID
   

4. Elimina il VPC predefinito:

   gcloud compute networks delete default --project=$VPCHOST_PROJECT_ID
   

Creazione del VPC condiviso e delle subnet

Una volta eliminato il VPC default, puoi creare il VPC personalizzato ( in un secondo momento in una rete VPC condivisa).

1. Torna alla sessione Cloud Shell esistente.

2. Crea variabili per il nome VPC, la regione iniziale e la subnet intervalli:

   SHAREDVPC_NAME=[NAME] \
   SUBNET_REGION=[REGION] \
   SUBNET_RANGE_MANAGEMENT=[MANAGEMENT-RANGE] \
   SUBNET_RANGE_RESOURCES=[RESOURCES-RANGE] \
   SUBNET_RANGE_MANAGEDAD=[MANAGED-AD-RANGE] \
   SUBNET_RANGE_ONPREMAD=[ONPREM-AD-RANGE]
   

   Sostituisci le variabili segnaposto con quanto segue:

   • [NAME] con un nome, ad esempio ad-network-env-test.
   • [REGION] con la regione per il deployment del dominio Active Directory controller. Puoi estendere il VPC e il tuo dominio per coprire regioni aggiuntive in qualsiasi momento.
   • [MANAGEMENT-RANGE] con l'intervallo di subnet da utilizzare per la subnet di gestione.
   • [RESOURCES-RANGE]con l'intervallo di subnet da utilizzare per subnet delle risorse.
   • [MANAGED-AD-RANGE] con l'intervallo di subnet da utilizzare per Subnet Microsoft AD gestita.
   • [ONPREM-AD-RANGE] con l'intervallo di subnet da utilizzare per la subnet AD on-premise.

   Ad esempio:

   SHAREDVPC_NAME=ad-network \
   SUBNET_REGION=us-central1 \
   SUBNET_RANGE_MANAGEMENT=10.0.0.0/24 \
   SUBNET_RANGE_RESOURCES=10.0.1.0/24 \
   SUBNET_RANGE_MANAGEDAD=10.0.2.0/24 \
   SUBNET_RANGE_ONPREMAD=192.168.0.0/24
   

3. Consenti al progetto host VPC di ospitare una VPC condivisa:

   gcloud compute shared-vpc enable $VPCHOST_PROJECT_ID
   

4. Crea una nuova rete VPC in modalità personalizzata:

   gcloud compute networks create $SHAREDVPC_NAME \
       --subnet-mode=custom \
       --project=$VPCHOST_PROJECT_ID
   

5. Crea la subnet di gestione e risorsa e abilita accesso privato Google per Le finestre possono essere attivate senza concedere alle VM l'accesso diretto a internet.

   gcloud compute networks subnets create $SUBNET_REGION-management \
     --network=$SHAREDVPC_NAME \
     --range=$SUBNET_RANGE_MANAGEMENT \
     --region=$SUBNET_REGION \
     --enable-private-ip-google-access \
     --project=$VPCHOST_PROJECT_ID && \
   gcloud compute networks subnets create $SUBNET_REGION-resources \
     --network=$SHAREDVPC_NAME \
     --range=$SUBNET_RANGE_RESOURCES \
     --region=$SUBNET_REGION \
     --enable-private-ip-google-access \
     --project=$VPCHOST_PROJECT_ID
   

Protezione del VPC condiviso

Il tuo progetto host VPC ora contiene un VPC condiviso con due subnet. Collegando i progetti di servizio a questo VPC condiviso, puoi rendere il VPC condiviso disponibile per l'uso più progetti.

Anziché concedere ai membri dei progetti di servizio autorizzazione per utilizzare tutte le subnet del VPC condiviso, dovresti concedere l'accesso per subnet.

Per motivi di sicurezza, concedere solo a un piccolo gruppo di personale amministrativo il diritto per accedere alla subnet di gestione. In questo modo la subnet viene utilizzata solo gestire Active Directory. Puoi applicare un controllo dell'accesso più permissivo una subnet delle risorse.

Creazione delle regole firewall in corso...

Prima di eseguire il deployment di Active Directory, dovrai creare regole firewall che di amministrare e utilizzare queste risorse.

1. Torna alla sessione di Cloud Shell esistente.

2. Abilita il logging dei firewall per il traffico in entrata in modo che l'accesso non sia riuscito vengono registrati i seguenti tentativi:

   gcloud compute firewall-rules create deny-ingress-from-all \
       --direction=INGRESS \
       --action=deny \
       --rules=tcp:0-65535,udp:0-65535 \
       --enable-logging \
       --source-ranges=0.0.0.0/0 \
       --network=$SHAREDVPC_NAME \
       --project=$VPCHOST_PROJECT_ID \
       --priority 65000
   

3. Gestirai Active Directory utilizzando un server di gestione dedicato il deployment nella subnet di gestione. Poiché verrà eseguito il deployment di questo server senza un indirizzo IP esterno, dovrai utilizzare Inoltro TCP IAP a connettersi al server.

   Crea la seguente regola firewall per consentire il traffico RDP in entrata da IAP:

   gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
     --direction=INGRESS \
     --action=allow \
     --rules=tcp:3389 \
     --enable-logging \
     --source-ranges=35.235.240.0/20 \
     --network=$SHAREDVPC_NAME \
     --project=$VPCHOST_PROJECT_ID \
     --priority 10000
   

Il tuo VPC condiviso è ora pronto per essere utilizzato per il deployment di Microsoft Active Directory gestito.

Deployment di Active Directory

Microsoft Active Directory gestito gestisce il provisioning e la manutenzione dei controller di dominio Active Directory. I seguenti ruoli vengono di cui vengono eseguiti il deployment sui controller di dominio:

• Servizi di dominio Active Directory
• DNS

Il deployment dei controller di dominio è stato eseguito all'esterno del progetto e non verranno visualizzati come istanze VM del tuo progetto. Per rendere disponibili i controller di dominio le modifiche seguenti vengono applicate al progetto quando esegui il deployment Microsoft Active Directory gestito:

• Il peering VPC viene aggiunto al VPC. Questo collega dal tuo VPC al VPC di servizio che contiene i controller di dominio.
• Una zona in peering DNS privato di Cloud DNS è creato nel progetto. Inoltra le query DNS corrispondenti ai valori Il dominio della directory del servizio DNS viene eseguito come parte di Microsoft Active Directory gestito.

Poiché utilizzi un VPC condiviso, devi eseguire il deployment di Microsoft Active Directory gestito in al progetto host VPC affinché Active Directory sia utilizzabile su tutte dei progetti di servizio.

Creazione della foresta e del dominio di Active Directory

Segui questi passaggi per eseguire il deployment di AD Microsoft gestito nel progetto host VPC creato nella parte precedente della guida:

1. Nella console Google Cloud, torna a Cloud Shell.

2. Inizializza una variabile che contenga il nome di dominio principale della foresta del nuovo Foresta di Active Directory da creare. Consulta le convenzioni di denominazione di Microsoft per indicazioni sulla scelta di un nome.

   AD_DNS_DOMAIN=[AD-DNS-NAME]
   

   Ad esempio:

   AD_DNS_DOMAIN=cloud.example.com
   

3. Abilita Cloud DNS nel progetto host VPC:

   gcloud services enable dns.googleapis.com --project $VPCHOST_PROJECT_ID
   

4. Abilita l'API Microsoft AD gestita nel progetto host VPC:

   gcloud services enable managedidentities.googleapis.com --project $VPCHOST_PROJECT_ID
   

5. Esegui il provisioning dei controller di dominio e crea una nuova foresta:

   gcloud active-directory domains create $AD_DNS_DOMAIN \
     --admin-name=SetupAdmin \
     --reserved-ip-range=$SUBNET_RANGE_MANAGEDAD \
     --region=$SUBNET_REGION \
     --authorized-networks=projects/$VPCHOST_PROJECT_ID/global/networks/$SHAREDVPC_NAME \
     --project=$VPCHOST_PROJECT_ID
   

   Il completamento del comando richiede da 15 a 20 minuti.

6. Il comando precedente crea un utente Active Directory iniziale denominato SetupAdmin@[AD_DNS_DOMAIN] per te. Questo utente ha delegato l'amministratore e potrai utilizzarlo per completare la configurazione del nuovo Foresta di directory.

   Per visualizzare le credenziali dell'utente, esegui questo comando. Dovrai confermare che la password viene rivelata in modo sicuro su schermo.

   gcloud active-directory domains reset-admin-password $AD_DNS_DOMAIN \
     --project=$VPCHOST_PROJECT_ID
   

   Copiare la password. ne avrai bisogno in seguito.

   La password può essere reimpostata dai proprietari del progetto e dagli editor del progetto del VPC Ospita il progetto in qualsiasi momento.

Creazione del progetto di gestione

La foresta e il dominio principale della foresta di Active Directory creati Microsoft Active Directory gestito è ora completamente operativo e hai un primo utente (SetupAdmin) per eseguire un'ulteriore configurazione. Tuttavia, poiché Non è possibile accedere direttamente ai controller di dominio Microsoft AD gestiti utilizzando RDP, qualsiasi configurazione deve essere gestita utilizzando una VM di gestione.

Creerai questa istanza VM in un progetto dedicato ad Active Directory e poi connettere l'istanza VM alla subnet di gestione VPC condiviso.

Dopo aver eseguito l'aggiunta al dominio, puoi utilizzare Strumenti di amministrazione del server remoto, la Console Gestione Criteri di gruppo, e PowerShell per amministrare Active Directory e Active Directory Google Cloud.

Per creare il progetto di gestione:

1. Nella console Google Cloud, apri la pagina Gestisci risorse.
   

   Apri la pagina Gestisci risorse

2. Nell'elenco a discesa Organizzazione in alto a sinistra, seleziona la tua organizzazione.
3. Fai clic su Crea progetto e compila i seguenti campi:
   1. Project Name (Nome progetto): l'ID che hai scelto come nome del progetto.
   2. Account di fatturazione: il tuo account di fatturazione. Se hai accesso a più di fatturazione, rivedi le norme interne per ciascuno di essi scegli quello appropriato.
   3. Posizione: una cartella in cui creare il progetto.
4. Fai clic su Crea.

Il progetto di gestione conterrà istanze VM per l'amministrazione Active Directory. Nel modello di amministrazione a più livelli, ciò significa che gli utenti con privilegi del livello 0 accederanno a queste istanze VM.

Queste istanze possono essere target interessanti per gli attaccanti, in quanto offrono potenzialmente l'opportunità di acquisire password, hash delle password o token Kerberos. Inoltre, poiché queste credenziali hanno accesso amministrativo ad Active Directory, essere utilizzati per compromettere il dominio.

Le istanze VM nel progetto di gestione devono essere trattate in modo equivalente alle workstation con accesso privilegiato. Ciò implica che:

• Solo a un piccolo gruppo di personale amministrativo devono essere concessi i privilegi per accedere a queste istanze (tramite RDP o altri mezzi).
• L'accesso al progetto di gestione contenitore deve essere concesso su un del privilegio minimo. Solo alcuni utenti selezionati devono poter visualizzare e accedere alle risorse nel progetto Google Cloud.

Consulta le best practice per controllare l'accesso alle risorse, per scoprire di più su come proteggere progetto Google Cloud.

Utilizzo del VPC condiviso anziché del VPC predefinito

Il progetto di gestione attualmente ha il proprio VPC default. Poiché sarai utilizzando un VPC condiviso, puoi eliminare questo VPC.

1. Nella console Google Cloud, torna a Cloud Shell.

2. Inizializzare una variabile che contenga l'ID del progetto di gestione (sostituisci [MANAGEMENT_PROJECT_ID] con l'ID progetto della gestione progetto appena creato):

   MANAGEMENT_PROJECT_ID=[MANAGEMENT_PROJECT_ID]
   

3. Abilita l'API Compute Engine nel progetto host VPC:

   gcloud services enable compute.googleapis.com \
     --project=$MANAGEMENT_PROJECT_ID
   

4. Elimina tutte le regole firewall associate al VPC default:

   gcloud compute firewall-rules list \
     --filter="network=default" \
     --project=$MANAGEMENT_PROJECT_ID \
     --format=value\(name\) | \
   xargs gcloud compute firewall-rules delete \
       --project=$MANAGEMENT_PROJECT_ID
   

5. Elimina il VPC default:

   gcloud compute networks delete default --project=$MANAGEMENT_PROJECT_ID
   

6. Associa il progetto di gestione al VPC condiviso:

   gcloud compute shared-vpc associated-projects add $MANAGEMENT_PROJECT_ID \
     --host-project=$VPCHOST_PROJECT_ID
   

Il progetto di gestione è ora progetto di servizio, e puoi utilizzare il VPC condiviso dall'interno del progetto di gestione.

Connessione ad Active Directory

Ora è tutto pronto per creare una prima istanza VM di gestione e unirla a Active Directory. Puoi utilizzare questa VM per configurare la foresta di Active Directory e il dominio principale della foresta.

Creazione di una VM di gestione

Per creare un'istanza VM di gestione, segui questi passaggi:

1. Nella console Google Cloud, torna a Cloud Shell.

2. Crea una nuova istanza VM che esegue Windows Server 2019 con Strumenti di amministrazione del server remoto (RSAT) Strumenti di amministrazione del server DNS e console di gestione dei criteri di gruppo (GPMC) sono preinstallate.

   Poiché accederai al computer utilizzando Inoltro TCP IAP, non è necessario assegnare all'istanza indirizzo IP esterno.

   gcloud compute instances create admin-01 \
     --image-family=windows-2019 \
     --image-project=windows-cloud \
     --machine-type=n1-standard-2 \
     --no-address \
     --zone=$SUBNET_REGION-a \
     --subnet=projects/$VPCHOST_PROJECT_ID/regions/$SUBNET_REGION/subnetworks/$SUBNET_REGION-management \
     --project=$MANAGEMENT_PROJECT_ID \
     --metadata="sysprep-specialize-script-ps1=Install-WindowsFeature -Name RSAT-AD-Tools;Install-WindowsFeature -Name GPMC;Install-WindowsFeature -Name RSAT-DNS-Server"
   

3. Esegui questo comando per osservare il processo di avvio.

   gcloud compute instances tail-serial-port-output admin-01 \
     --zone=$SUBNET_REGION-a \
     --project=$MANAGEMENT_PROJECT_ID
   

4. Attendi circa 4 minuti finché non viene visualizzato l'output Instance setup finished, quindi premi Ctrl+C. Le istanze VM sono ora pronte per l'uso.

5. Crea un utente SAM locale LocalAdminnell'istanza:

   gcloud compute reset-windows-password admin-01 \
     --user=LocalAdmin \
     --project=$MANAGEMENT_PROJECT_ID \
     --zone=$SUBNET_REGION-a \
     --quiet
   

   Copiare la password. ne avrai bisogno in seguito.

Aggiunta della VM di gestione al dominio

Ora puoi accedere alla VM di gestione e unirla ad Active Directory

1. Sulla workstation Windows locale, apri un prompt dei comandi (cmd).

2. Se è la prima volta che utilizzi gcloud sulla workstation locale, assicurati assicurati di authenticate prima.

3. Esegui questo comando per stabilire un tunnel TCP IAP dalla workstation locale alla VM admin-01, sostituendo [MANAGEMENT_PROJECT_ID] con l'ID del progetto di gestione.

   gcloud compute start-iap-tunnel admin-01 3389 ^
     --local-host-port=localhost:13389 ^
     --project=[MANAGEMENT_PROJECT_ID]
   

   Attendi che venga visualizzato il seguente output

   Listening on port [13389]`
   

   Il tunnel è pronto per l'uso.

4. Apri il client Connessione desktop remoto di Windows (mstsc.exe).

5. Fai clic su Mostra opzioni.

6. Inserisci i seguenti valori:

   1. Computer: localhost:13389
   2. Nome utente: localhost\LocalAdmin

7. Fai clic su Connetti.

8. Nella finestra di dialogo Inserisci le tue credenziali, incolla la password generati in precedenza per l'utente LocalAdmin locale. Quindi, fai clic su Ok.

9. Poiché non hai configurato i certificati RDP per la VM di gestione, verrà visualizzato un avviso viene visualizzato un messaggio che indica che l'identità del computer remoto non possono essere verificati. Ignora questo avviso facendo clic su Sì.

10. A questo punto dovresti vedere il desktop di Windows Server della VM admin-01.

11. Fai clic con il tasto destro del mouse sul pulsante Start (o premi Win+X) e fai clic Prompt dei comandi (amministratore).

12. Conferma la richiesta di elevazione facendo clic su Sì.

13. Nel prompt dei comandi con privilegi elevati, avvia una sessione di PowerShell eseguendo powershell.

14. Esegui il comando seguente per avviare l'unione a un dominio.

    Add-Computer -DomainName [AD-DNS-NAME]
    

    Sostituisci [AD-DNS-NAME] con il nome DNS del nome DNS per la radice della foresta dominio.

15. Nella finestra di dialogo Richiesta di credenziali di Windows PowerShell, inserisci quanto segue. valori:

    1. Nome utente: SetupAdmin
    2. Password: inserisci la password creata per SetupAdmin durante il deployment di AD di Microsoft gestito. Non utilizzare la password dell'utente LocalAdmin locale.

16. Riavvia il computer eseguendo Restart-Computer. Attendi circa un minuto il riavvio della VM.

Avvio di utenti e computer di Active Directory

La VM di gestione è ora membro del tuo dominio Active Directory. Puoi utilizzare per amministrare Active Directory:

1. Sulla workstation Windows locale, apri Client Connessione desktop remoto di Windows (mstsc.exe).
2. Fai clic su Mostra opzioni.
3. Inserisci i seguenti valori:
   1. Computer: localhost:13389
   2. Nome utente: SetupAdmin@[AD-DNS-NAME]. Sostituisci [AD-DNS-NAME] con il nome DNS del nome DNS per il dominio principale della foresta.
4. Fai clic su Connetti.
5. Nella finestra di dialogo Inserisci le tue credenziali, incolla la password generata. in precedenza per l'utente SetupAdmin. Quindi, fai clic su Ok.
6. Poiché non hai configurato i certificati RDP per la VM di gestione, verrà visualizzato un avviso viene visualizzato un messaggio che indica che l'identità del computer remoto non possono essere verificati. Ignora questo avviso facendo clic su Sì.
7. Ora dovresti vedere il desktop Windows Server della VM admin-01.
8. Fai clic con il tasto destro del mouse sul pulsante Start (o premi Win+X) e seleziona Esegui.
9. Inserisci dsa.msc e fai clic su OK.

Dovresti visualizzare Utenti e computer di Active Directory:

Complimenti! Hai eseguito la connessione al tuo dominio Microsoft AD gestito.

esegui la pulizia

Se non prevedi di utilizzare le risorse di questo tutorial in futuro, eliminale in modo che non ti vengano addebitate.

Eliminazione della foresta e del dominio di Active Directory

1. Nella console Google Cloud, apri Cloud Shell.

2. Esegui questo comando per eliminare la foresta e il dominio di Active Directory sostituendo [AD_DNS_DOMAIN] con il nome di dominio DNS utilizzato per Dominio Microsoft AD gestito e [VPCHOST_PROJECT_ID] con ID il tuo progetto host VPC:

   gcloud active-directory domains delete [AD_DNS_DOMAIN] \
     --project=[VPCHOST_PROJECT_ID]
   

Eliminazione del progetto di gestione

1. Nella console Google Cloud, vai alla pagina Progetti.

   Apri la pagina Progetti

2. Nell'elenco dei progetti, seleziona il progetto di gestione e fai clic su Elimina.
3. Nella finestra di dialogo, digita l'ID progetto, quindi fai clic su Chiudi per eliminare progetto.

Eliminazione del progetto host VPC

1. Nella console Google Cloud, vai alla pagina Progetti.

   Apri la pagina Progetti

2. Nell'elenco dei progetti, seleziona il progetto host VPC e fai clic su Elimina.
3. Nella finestra di dialogo, digita l'ID progetto, quindi fai clic su Chiudi per eliminare progetto.

Passaggi successivi

• Scopri come utilizzare i livelli di accesso e le condizioni per limitare l'accesso alle risorse tramite IAP.
• Proteggi il progetto di gestione dall'eliminazione accidentale posizionando un blocco sul progetto.