Implementa un bosque de recursos de Active Directory

Esta serie lo guía para usar Microsoft AD administrado con el fin de implementar un bosque de recursos de Active Directory en Google Cloud. Obtendrás información sobre cómo hacer las siguientes acciones:

• Configure una VPC compartida que le permita acceder a Microsoft AD administrado desde múltiples proyectos y conecte Microsoft AD administrado a un Active Directory local con una confianza de bosque.
• Configura las reglas de firewall que protegen el acceso a Active Directory desde las fuentes no autorizadas
• Implementa Microsoft AD administrado en una sola región y conéctalo a una VPC compartida existente.
• Crea una VM de administración y únela al dominio
• Usa un administrador delegado para conectarte a Microsoft AD administrado.

Descripción general de la arquitectura

Para permitir que las VM de varios proyectos usen Active Directory, necesitarás una VPC compartida y tres subredes separadas:

• Subred de Microsoft AD administrado: utilizada por Microsoft AD administrado para ejecutar controladores de dominio.
• Subred de administración: contiene máquinas que se usan de forma exclusiva para administrar Active Directory.
• Subredes de recursos: contienen servidores de miembros de Active Directory (como servidores de aplicación o de base de datos). Cada subred de recursos tiene se limita a una sola región. En esta guía, solo crearás una subred de recursos única, pero podrás agregar subredes de recursos adicionales más adelante si planeas implementar servidores en varias regiones.

Para reducir los riesgos de seguridad, implementarás una VM de administración con una dirección IP RFC 1918 interna sin acceso a Internet. Para acceder a las instancias de VM, usarás túneles TCP de IAP.

Siguiendo la práctica recomendada de usar proyectos separados para la administración y los servidores, creará dos proyectos separados:

• Proyecto host de VPC: contiene la configuración de VPC compartida y Microsoft AD administrado.
• Proyecto de administración: dedicado a administrar Active Directory. Crearás una VM de administración dentro de este proyecto y la usarás para configurar Active Directory.

Antes de comenzar

En este instructivo, se usa una VPC compartida, que requiere el uso de una organización de Google Cloud. Si no tienes una organización, crea una primero. Además, algunas actividades de configuración requieren funciones administrativas. Asegúrate de que se te otorguen las siguientes funciones de IAM antes de continuar.

• Administrador de la organización
• Administrador de VPC compartida
• Usuario de red

En este artículo, se supone que usas una máquina Windows con Google Cloud CLI instalado. Si usas un sistema operativo diferente, deberás ajustar algunos de los pasos.

Por último, recopila la siguiente información antes de comenzar:

• Nombres de proyecto para el proyecto host de VPC y el proyecto de administración Estos dos proyectos cumplirán una función central en tu implementación, por lo que debes elegir nombres que sean fáciles de reconocer y seguir las convenciones de nombres corporativos.
• Carpetas en las que crear el proyecto host de VPC y el proyecto proyecto de administración. Si aún no tiene una carpeta adecuada, considere crear una subcarpeta separada para recursos multifuncionales y servicios como Active Directory.
• Un nombre de dominio de DNS para usar en el dominio raíz del bosque del nuevo bosque de Active Directory.
• Una región inicial en la que se implementarán los recursos. Ten en cuenta que solo puedes implementar Microsoft AD administrado en algunas regiones (esto no afecta la disponibilidad general de tu dominio, que está disponible en todas las regiones en las que tu VPC tiene presencia). Consulta las prácticas recomendadas para la selección de región si no estás seguro de qué región se adapta mejor a tus necesidades. Podrás extender la implementación a regiones adicionales más adelante.
• El nombre de la VPC compartida que se creará. Como la VPC se compartirá entre varios proyectos, asegúrate de elegir un nombre que sea fácil de reconocer.

• Rangos de subred para las siguientes subredes:

  • Subred de Microsoft AD administrado: debe tener al menos /24 de tamaño.
  • Subred de administración: necesita adaptarse a todos los servidores de administración. Se recomienda un rango de subred de /28 o más.
  • Subred del recurso: ajusta el tamaño de esta subred para que pueda alojar todos los servidores que planeas implementar en la región inicial.

  Asegúrese de que sus subredes no se superpongan con ninguna subred local y permitan suficiente espacio para el crecimiento.

Costos

En el instructivo, se usan componentes facturables de Google Cloud, incluidos Compute Engine, Cloud DNS y la observabilidad de Google Cloud. Consulta la Calculadora de precios para calcular los costos de completar este instructivo. Asegúrate de incluir cualquier otro recurso específico para tu implementación.

Configurar herramientas de redes de VPC

Crear el proyecto host de VPC

Un proyecto host de VPC se usa para crear una VPC compartida y administrar la configuración relacionada con la red, como subredes, reglas de firewall y rutas.

1. En la consola de Google Cloud, abre la página Administrar recursos.

   Abrir la página Administrar recursos

2. En la lista desplegable Organización ubicada en la esquina superior izquierda, selecciona tu organización.

3. Haz clic en Crear proyecto y, luego, ingresa la siguiente configuración:

   1. Nombre del proyecto: el ID que eligió como nombre del proyecto.
   2. Cuenta de facturación: Tu cuenta de facturación.
   3. Ubicación: La carpeta en la que se creará el proyecto.

4. Haz clic en Crear.

Protege el proyecto contra borrado accidental

Al eliminar un proyecto, también se eliminan los dominios de Microsoft AD administrado implementados en él. Además de usar políticas de IAM para limitar el acceso al proyecto, debes proteger el proyecto contra la eliminación accidental.

1. En la consola de Google Cloud, abre Cloud Shell. Cloud Shell te brinda acceso a la línea de comandos en la consola de Google Cloud y, además, incluye Google Cloud CLI y otras herramientas que necesitas para la administración de Google Cloud. Cloud Shell puede tardar varios minutos en aprovisionarse.
   Activar Cloud Shell

2. Inicialice las variables para que contengan el nombre de su organización y el ID del proyecto del proyecto host de VPC:

   ORG_NAME=[ORG-NAME] \
   VPCHOST_PROJECT_ID=[PROJECT-ID]
   

   Reemplace [ORG-NAME] por el nombre de su organización y [PROJECT-ID] por el ID del proyecto host de VPC. Por ejemplo:

   ORG_NAME=example.com
   VPCHOST_PROJECT_ID=ad-host-123
   

3. Ejecuta el siguiente comando para buscar el ID de tu organización y reemplaza ORG-NAME por el nombre de tu organización (como example.com):

   ORG_ID=$(gcloud organizations list \
     --filter="DISPLAY_NAME=$ORG_NAME" \
     --format=value\(ID\)) && \
   echo "ID of $ORG_NAME is $ORG_ID"
   

4. Aplica la política compute.restrictXpnProjectLienRemoval para la organización:

   gcloud resource-manager org-policies enable-enforce \
     --organization $ORG_ID compute.restrictXpnProjectLienRemoval
   

Borra la VPC predeterminada

Compute Engine crea una VPC default en cada proyecto que crees. Esta VPC se configura en modo automático, lo que significa que una subred está preasignada para cada región y tiene asignada automáticamente un rango de subred.

Si planeas conectar la VPC a una red local, es poco probable que los rangos de IP predefinidos que Compute Engine usa en el modo automático se adapten a tus necesidades. Podrían superponerse con los rangos de IP existentes o tener un tamaño incorrecto. Debes borrar la VPC predeterminada y reemplazarla por una VPC de modo personalizado.

1. Regresa a tu sesión actual de Cloud Shell.

2. Habilite la API de Compute Engine en el proyecto host de VPC:

   gcloud services enable compute.googleapis.com --project=$VPCHOST_PROJECT_ID
   

3. Elimine todas las reglas de firewall asociadas con la VPC default:

   gcloud compute firewall-rules list \
     --filter="network=default" \
     --project=$VPCHOST_PROJECT_ID \
     --format=value\(name\) | \
   xargs gcloud compute firewall-rules delete \
     --project=$VPCHOST_PROJECT_ID
   

4. Borra la VPC predeterminada:

   gcloud compute networks delete default --project=$VPCHOST_PROJECT_ID
   

Crear la VPC compartida y las subredes

Con la VPC default eliminada, ahora puede crear la VPC personalizada (más adelante la convertirá en una VPC compartida).

1. Regresa a tu sesión actual de Cloud Shell.

2. Cree variables para la región inicial, los rangos de subred y el nombre de VPC:

   SHAREDVPC_NAME=[NAME] \
   SUBNET_REGION=[REGION] \
   SUBNET_RANGE_MANAGEMENT=[MANAGEMENT-RANGE] \
   SUBNET_RANGE_RESOURCES=[RESOURCES-RANGE] \
   SUBNET_RANGE_MANAGEDAD=[MANAGED-AD-RANGE] \
   SUBNET_RANGE_ONPREMAD=[ONPREM-AD-RANGE]
   

   Reemplaza las variables de marcador de posición por lo siguiente:

   • [NAME] por un nombre, como ad-network-env-test.
   • [REGION] por la región en la que se implementan los controladores de dominio de Active Directory Puedes extender la VPC y tu dominio para cubrir regiones adicionales en cualquier momento.
   • [MANAGEMENT-RANGE] por el rango de subred a utilizar para la subred de administración.
   • [RESOURCES-RANGE] con el rango de subred a utilizar para la subred de recursos.
   • [MANAGED-AD-RANGE] con el rango de subred que se utilizará para la subred de Microsoft AD administrado.
   • [ONPREM-AD-RANGE] con el rango de subred que se utilizará para la subred de AD local.

   Por ejemplo:

   SHAREDVPC_NAME=ad-network \
   SUBNET_REGION=us-central1 \
   SUBNET_RANGE_MANAGEMENT=10.0.0.0/24 \
   SUBNET_RANGE_RESOURCES=10.0.1.0/24 \
   SUBNET_RANGE_MANAGEDAD=10.0.2.0/24 \
   SUBNET_RANGE_ONPREMAD=192.168.0.0/24
   

3. Habilite el proyecto host de VPC para alojar una VPC compartida:

   gcloud compute shared-vpc enable $VPCHOST_PROJECT_ID
   

4. Cree una nueva red de VPC en modo personalizado:

   gcloud compute networks create $SHAREDVPC_NAME \
       --subnet-mode=custom \
       --project=$VPCHOST_PROJECT_ID
   

5. Crea la subred de administración y recursos, y habilita el Acceso privado a Google para que Windows se active sin otorgar a las VM el acceso directo a Internet.

   gcloud compute networks subnets create $SUBNET_REGION-management \
     --network=$SHAREDVPC_NAME \
     --range=$SUBNET_RANGE_MANAGEMENT \
     --region=$SUBNET_REGION \
     --enable-private-ip-google-access \
     --project=$VPCHOST_PROJECT_ID && \
   gcloud compute networks subnets create $SUBNET_REGION-resources \
     --network=$SHAREDVPC_NAME \
     --range=$SUBNET_RANGE_RESOURCES \
     --region=$SUBNET_REGION \
     --enable-private-ip-google-access \
     --project=$VPCHOST_PROJECT_ID
   

Protege la VPC compartida

Tu proyecto host de VPC ahora contiene una VPC compartida con dos subredes. Si adjuntas proyectos de servicio a esta VPC compartida, puedes hacer que la VPC compartida esté disponible para su uso en varios proyectos.

En lugar de otorgar a los miembros de proyectos de servicio permiso para usar todas las subredes de la VPC compartida, debe otorgar acceso por subred.

Por motivos de seguridad, otorga solo a un grupo pequeño de personal administrativo el derecho de acceder a la subred de administración. Esto garantiza que la subred solo se use para administrar Active Directory. Puedes aplicar un control de acceso más estricto a la subred de recursos.

Crea reglas de firewall

Antes de implementar Active Directory, deberás crear reglas de firewall que te permitan administrarlo y usarlo.

1. Regresa a tu sesión actual de Cloud Shell.

2. Habilite el registro de firewall para el tráfico de entrada para que se registren todos los intentos de acceso fallidos:

   gcloud compute firewall-rules create deny-ingress-from-all \
       --direction=INGRESS \
       --action=deny \
       --rules=tcp:0-65535,udp:0-65535 \
       --enable-logging \
       --source-ranges=0.0.0.0/0 \
       --network=$SHAREDVPC_NAME \
       --project=$VPCHOST_PROJECT_ID \
       --priority 65000
   

3. Administrarás Active Directory con un servidor de administración dedicado implementado en la subred de administración. Dado que este servidor se implementará sin una dirección IP externa, deberás usar el reenvío de TCP de IAP para conectarte al servidor.

   Crea la siguiente regla de firewall para permitir la entrada de RDP desde IAP:

   gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
     --direction=INGRESS \
     --action=allow \
     --rules=tcp:3389 \
     --enable-logging \
     --source-ranges=35.235.240.0/20 \
     --network=$SHAREDVPC_NAME \
     --project=$VPCHOST_PROJECT_ID \
     --priority 10000
   

Tu VPC compartida ahora está lista para usarse a fin de implementar Microsoft AD administrado.

Implementa Active Directory

Microsoft AD administrado se encarga del aprovisionamiento y el mantenimiento de los controladores de dominio de Active Directory. Las siguientes funciones se implementan en los controladores de dominio:

• Servicios de dominio de Active Directory
• DNS

Los controladores de dominio se implementan fuera de tu proyecto y no aparecerán como instancias de VM en tu proyecto. A fin de que los controladores de dominio estén disponibles para que los uses, se aplican los siguientes cambios en tu proyecto cuando implementes Microsoft AD administrado:

• Intercambio de tráfico de VPC se agrega a su VPC. Esto conecta su VPC al servicio de VPC que contiene los controladores de dominio.
• En el proyecto se crea una zona con intercambio de tráfico de DNS privado de Cloud DNS. Reenvía consultas de DNS que coinciden con su dominio de Active Directory al servicio de DNS ejecutado como parte de Microsoft AD administrado.

Debido a que está utilizando una VPC compartida, debe implementar Microsoft AD administrado en el proyecto host de VPC para que Active Directory pueda utilizarse en todos los proyectos de servicio.

Crea el bosque y el dominio de Active Directory

Siga estos pasos para implementar Microsoft AD administrado en el proyecto host de VPC creado en la parte anterior de la guía:

1. En la consola de Google Cloud, regresa a Cloud Shell.

2. Inicializa una variable para que contenga el nombre de dominio raíz de bosque del nuevo bosque de Active Directory que se creará. Consulta las Convenciones de nomenclatura de Microsoft para obtener ayuda sobre cómo elegir un nombre.

   AD_DNS_DOMAIN=[AD-DNS-NAME]
   

   Por ejemplo:

   AD_DNS_DOMAIN=cloud.example.com
   

3. Habilite Cloud DNS en el proyecto host de VPC:

   gcloud services enable dns.googleapis.com --project $VPCHOST_PROJECT_ID
   

4. Habilite la API de Microsoft AD administrado en el proyecto host de VPC:

   gcloud services enable managedidentities.googleapis.com --project $VPCHOST_PROJECT_ID
   

5. Aprovisiona los controladores de dominio y crea un bosque nuevo:

   gcloud active-directory domains create $AD_DNS_DOMAIN \
     --admin-name=SetupAdmin \
     --reserved-ip-range=$SUBNET_RANGE_MANAGEDAD \
     --region=$SUBNET_REGION \
     --authorized-networks=projects/$VPCHOST_PROJECT_ID/global/networks/$SHAREDVPC_NAME \
     --project=$VPCHOST_PROJECT_ID
   

   Espera entre 15 y 20 minutos para que se complete el comando.

6. El comando anterior crea un usuario inicial de Active Directory llamado SetupAdmin@[AD_DNS_DOMAIN]. Este usuario tiene privilegios de administrador delegados y puedes usarlo para terminar de configurar el nuevo bosque de Active Directory.

   Para revelar las credenciales del usuario, ejecuta el siguiente comando. Deberás confirmar que es seguro revelar la contraseña en la pantalla.

   gcloud active-directory domains reset-admin-password $AD_DNS_DOMAIN \
     --project=$VPCHOST_PROJECT_ID
   

   Copia la contraseña; La necesitarás más tarde.

   Los propietarios y los editores del proyecto host de VPC pueden restablecer la contraseña en cualquier momento.

Crea el proyecto de administración

El bosque de Active Directory y el dominio raíz del bosque creado por Microsoft AD administrado ahora es completamente operativo, y tienes un primer usuario (SetupAdmin) para realizar una configuración adicional. Sin embargo, debido a que no se puede acceder directamente a los controladores de dominio de Microsoft AD administrado usando RDP, cualquier configuración debe manejarse usando una VM de administración.

Crearás esta instancia de VM en un proyecto dedicado a la administración de Active Directory y, luego, conectarás la instancia de VM a la subred de administración de la VPC compartida.

Una vez unido al dominio, puede usar las Herramientas de administración del servidor remoto, la Consola de administración de políticas de grupo y PowerShell para administrar Active Directory y recursos relacionados con Active Directory.

Para crear el proyecto de administración:

1. En la consola de Google Cloud, abre la página Administrar recursos.
   

   Abrir la página Administrar recursos

2. En la lista desplegable Organización ubicada en la esquina superior izquierda, selecciona tu organización.
3. Haz clic en Crear proyecto y completa los siguientes campos:
   1. Nombre del proyecto: el ID que eligió como nombre del proyecto.
   2. Cuenta de facturación: Tu cuenta de facturación. Si tienes acceso a varias cuentas de facturación, revisa las políticas internas para cada una de ellas y elige la adecuada.
   3. Ubicación: La carpeta en la que se creará el proyecto.
4. Haz clic en Crear.

El proyecto de administración contendrá instancias de VM para administrar Active Directory. En el modelo de administración por niveles, esto significa que los usuarios altamente privilegiados del nivel 0 accederán a estas instancias de VM.

Estas instancias pueden ser objetivos atractivos para los atacantes; potencialmente ofrecen la oportunidad de capturar contraseñas, hashes de contraseñas o tokens de Kerberos. Y dado que estas credenciales tienen acceso de administrador a Active Directory, podrían usarse para comprometer el dominio.

Las instancias de VM del proyecto de administración deben tratarse de forma equivalente a las estaciones de trabajo con acceso privilegiado. Esto implica lo siguiente:

• Solo un grupo pequeño de personal administrativo debe tener privilegios para acceder a estas instancias (ya sea mediante RDP o por otros medios).
• El acceso al proyecto de administración contenedor debe otorgarse con privilegio mínimo. Solo unos pocos usuarios seleccionados deberían poder ver y acceder a los recursos en el proyecto de Google Cloud.

Revisa las prácticas recomendadas para controlar el acceso a los recursos y obtener más información sobre cómo proteger un proyecto de Google Cloud.

Usa la VPC compartida en lugar de la VPC predeterminada

Actualmente, el proyecto de administración tiene su propia VPC default. Como usarás una VPC compartida, puedes borrar esta VPC.

1. En la consola de Google Cloud, regresa a Cloud Shell.

2. Inicializa una variable para que contenga el ID del proyecto de administración (reemplaza [MANAGEMENT_PROJECT_ID] por el ID del proyecto de administración que acabas de crear):

   MANAGEMENT_PROJECT_ID=[MANAGEMENT_PROJECT_ID]
   

3. Habilite la API de Compute Engine en el proyecto host de VPC:

   gcloud services enable compute.googleapis.com \
     --project=$MANAGEMENT_PROJECT_ID
   

4. Elimine todas las reglas de firewall asociadas con la VPC default:

   gcloud compute firewall-rules list \
     --filter="network=default" \
     --project=$MANAGEMENT_PROJECT_ID \
     --format=value\(name\) | \
   xargs gcloud compute firewall-rules delete \
       --project=$MANAGEMENT_PROJECT_ID
   

5. Elimine la VPC default:

   gcloud compute networks delete default --project=$MANAGEMENT_PROJECT_ID
   

6. Asociar el proyecto de administración con la VPC compartida:

   gcloud compute shared-vpc associated-projects add $MANAGEMENT_PROJECT_ID \
     --host-project=$VPCHOST_PROJECT_ID
   

El proyecto de administración ahora es un proyecto de servicio, y puedes usar la VPC compartida desde el proyecto de administración.

Conéctate a Active Directory

Ahora estás listo para crear una primera instancia de VM de administración y unirla a Active Directory. Puedes usar esta VM para configurar tu bosque de Active Directory y tu dominio raíz de bosque.

Crear una VM de administración

Para crear una instancia de VM de administración, sigue estos pasos:

1. En la consola de Google Cloud, regresa a Cloud Shell.

2. Cree una nueva instancia de VM que ejecute Windows Server 2019 con Herramientas de administración del servidor remoto (RSAT), herramientas de administración del servidor DNS y la Consola de administración de políticas de grupo (GPMC) preinstalada.

   Como accederá a la máquina utilizando reenvío TCP de IAP, la instancia no necesita que se le asigne una dirección IP externa.

   gcloud compute instances create admin-01 \
     --image-family=windows-2019 \
     --image-project=windows-cloud \
     --machine-type=n1-standard-2 \
     --no-address \
     --zone=$SUBNET_REGION-a \
     --subnet=projects/$VPCHOST_PROJECT_ID/regions/$SUBNET_REGION/subnetworks/$SUBNET_REGION-management \
     --project=$MANAGEMENT_PROJECT_ID \
     --metadata="sysprep-specialize-script-ps1=Install-WindowsFeature -Name RSAT-AD-Tools;Install-WindowsFeature -Name GPMC;Install-WindowsFeature -Name RSAT-DNS-Server"
   

3. Ejecuta el siguiente comando para observar el proceso de inicio.

   gcloud compute instances tail-serial-port-output admin-01 \
     --zone=$SUBNET_REGION-a \
     --project=$MANAGEMENT_PROJECT_ID
   

4. Espera unos 4 minutos hasta que veas el resultado Instance setup finished y presiona Ctrl+C. Las instancias de VM ya están listas para usarse.

5. Crea un usuario SAM local LocalAdmin en la instancia:

   gcloud compute reset-windows-password admin-01 \
     --user=LocalAdmin \
     --project=$MANAGEMENT_PROJECT_ID \
     --zone=$SUBNET_REGION-a \
     --quiet
   

   Copia la contraseña; La necesitarás más tarde.

Unir la VM de administración al dominio

Ahora puedes acceder a la VM de administración y unirla a Active Directory

1. En tu estación de trabajo local de Windows, abre un símbolo del sistema (cmd).

2. Si es la primera vez que utiliza gcloud en su estación de trabajo local, asegúrese de autenticarse primero.

3. Ejecute el siguiente comando para establecer un túnel TCP de IAP desde su estación de trabajo local a la máquina virtual admin-01, reemplazando [MANAGEMENT_PROJECT_ID] con el ID del proyecto de administración.

   gcloud compute start-iap-tunnel admin-01 3389 ^
     --local-host-port=localhost:13389 ^
     --project=[MANAGEMENT_PROJECT_ID]
   

   Espere a que aparezca el siguiente resultado

   Listening on port [13389]`
   

   El túnel ya está listo para usar.

4. Abra el cliente Conexión de escritorio remoto de Windows (mstsc.exe).

5. Haz clic en Show options.

6. Ingrese los siguientes valores:

   1. Computadora: localhost:13389
   2. Nombre de usuario: localhost\LocalAdmin

7. Haz clic en Conectar.

8. En el cuadro de diálogo Enter your credentials (Ingresar tus credenciales), pega la contraseña que generaste antes para el usuario LocalAdmin local. Luego, haz clic en Aceptar.

9. Debido a que no configuraste los certificados RDP para la VM de administración, aparecerá un mensaje de advertencia que indica que no se puede verificar la identidad de la computadora remota. Para ignorar esta advertencia, haz clic en Sí.

10. Ahora debería ver el escritorio de Windows Server de la máquina virtual admin-01.

11. Haz clic con el botón derecho en el botón Inicio (o presiona Win + X) y haz clic en Símbolo del sistema (administrador).

12. Para confirmar el símbolo de elevación, haz clic en Sí.

13. En el símbolo del sistema con privilegios elevados, ejecuta powershell para iniciar una sesión de PowerShell.

14. Ejecuta el siguiente comando para iniciar una unión de dominio.

    Add-Computer -DomainName [AD-DNS-NAME]
    

    Reemplace [AD-DNS-NAME] por el nombre de DNS del dominio raíz del bosque.

15. En el cuadro de diálogo Solicitud de credenciales de Windows PowerShell, ingresa los siguientes valores:

    1. Nombre de usuario: SetupAdmin
    2. Contraseña: ingresa la contraseña creada para SetupAdmin cuando implementes Microsoft AD administrado. No uses la contraseña del usuario LocalAdmin local.

16. Ejecuta Restart-Computer para reiniciar la computadora. Espera alrededor de un minuto para que la VM se reinicie.

Inicia usuarios y computadoras de Active Directory

La VM de administración ahora es miembro de tu dominio de Active Directory. Puedes usarla para administrar Active Directory:

1. En su estación de trabajo local de Windows, abra el cliente Conexión a escritorio remoto de Windows (mstsc.exe).
2. Haz clic en Show options.
3. Ingresa los siguientes valores:
   1. Computadora: localhost:13389
   2. Nombre de usuario: SetupAdmin@[AD-DNS-NAME]. Reemplace [AD-DNS-NAME] con el nombre de DNS del dominio raíz del bosque.
4. Haz clic en Conectar.
5. En el cuadro de diálogo Enter your credentials (Ingresar tus credenciales), pega la contraseña que generaste antes para el usuario SetupAdmin. Luego, haz clic en Aceptar.
6. Debido a que no configuraste los certificados RDP para la VM de administración, aparecerá un mensaje de advertencia que indica que no se puede verificar la identidad de la computadora remota. Para ignorar esta advertencia, haz clic en Sí.
7. Ahora debería ver el escritorio de Windows Server de la máquina virtual admin-01.
8. Haz clic con el botón derecho en Inicio (o presiona Win + X) y selecciona Ejecutar.
9. Ingresa dsa.msc y haz clic en Aceptar.

Ahora debería ver los Usuarios y computadoras de Active Directory:

¡Felicitaciones! ¡Está conectado a su dominio de Microsoft AD administrado!

Realice una limpieza

Si no planeas usar los recursos de este instructivo en el futuro, límpialos para que no se te facture por ellos.

Borra el bosque y el dominio de Active Directory

1. En la consola de Google Cloud, abre Cloud Shell.

2. Ejecute el siguiente comando para eliminar el bosque y el dominio de Active Directory, reemplazando [AD_DNS_DOMAIN] con el nombre de dominio de DNS utilizado para el dominio de Microsoft AD administrado y [VPCHOST_PROJECT_ID] con el ID de su proyecto host de VPC:

   gcloud active-directory domains delete [AD_DNS_DOMAIN] \
     --project=[VPCHOST_PROJECT_ID]
   

Eliminar el proyecto de administración

1. En la consola de Google Cloud, ve a la página Proyectos.

   Abre la página Proyectos

2. En la lista de proyectos, selecciona el proyecto de administración y haz clic en Borrar.
3. En el cuadro de diálogo, escriba el ID del proyecto, luego haga clic en Cerrar para eliminar el proyecto.

Eliminar el proyecto host de VPC

1. En la consola de Google Cloud, ve a la página Proyectos.

   Abre la página Proyectos

2. En la lista de proyectos, seleccione el proyecto host de VPC y haga clic en Eliminar.
3. En el cuadro de diálogo, escriba el ID del proyecto, luego haga clic en Cerrar para eliminar el proyecto.

¿Qué sigue?

• Obtén más información sobre cómo usar los niveles de acceso y las conditions para restringir el acceso a los recursos a través de IAP.
• Para proteger el proyecto de administración contra la eliminación accidental, coloca una retención en el proyecto.