Halaman ini diterjemahkan oleh Cloud Translation API.

Men-deploy forest resource Active Directory

Seri ini akan memandu Anda dalam menggunakan Microsoft AD Terkelola untuk men-deploy forest resource Active Directory di Google Cloud. Anda akan mempelajari cara:

Siapkan VPC Bersama yang memungkinkan Anda mengakses Microsoft AD Terkelola dari beberapa project, dan menghubungkan Microsoft AD Terkelola ke Active Directory lokal menggunakan forest trust.
Konfigurasikan aturan firewall yang melindungi akses ke Active Directory dari sumber tidak sah.
Deploy Microsoft AD Terkelola dalam satu region dan hubungkan ke VPC Bersama yang sudah ada.
Buat VM pengelolaan dan gabungkan ke domain.
Menggunakan administrator yang didelegasikan untuk terhubung ke Microsoft AD Terkelola.

Ringkasan arsitektur

Agar VM dari beberapa project dapat menggunakan Active Directory, Anda memerlukan VPC Bersama dan tiga subnet terpisah:

Subnet Microsoft AD Terkelola: Digunakan oleh Microsoft AD Terkelola untuk menjalankan pengontrol domain.
Subnet pengelolaan: Berisi mesin yang digunakan secara eksklusif untuk mengelola Active Directory.
Subnet resource: Berisi server anggota Active Directory (seperti server database atau aplikasi). Setiap subnet resource tercakup dalam satu region. Dalam panduan ini, Anda hanya akan membuat satu subnet resource, tetapi Anda dapat menambahkan subnet resource tambahan nanti jika ingin men-deploy server di beberapa region.

Struktur deployment

Untuk mengurangi risiko keamanan, Anda harus men-deploy VM pengelolaan dengan alamat IP RFC 1918 internal dan tanpa akses internet. Untuk login ke instance VM, Anda harus menggunakan tunneling TCP IAP.

Dengan mengikuti praktik terbaik penggunaan project terpisah untuk pengelolaan dan server, Anda akan membuat dua project terpisah:

Project host VPC: Berisi konfigurasi VPC Bersama serta Microsoft AD Terkelola.
Project pengelolaan: Khusus untuk mengelola Active Directory. Anda akan membuat VM pengelolaan dalam project ini dan menggunakannya untuk mengonfigurasi Active Directory.

Sebelum memulai

Tutorial ini menggunakan VPC Bersama, yang memerlukan penggunaan Organisasi Google Cloud. Jika Anda tidak memiliki organisasi, buat organisasi terlebih dahulu. Selain itu, beberapa aktivitas penyiapan memerlukan peran administratif. Pastikan Anda diberi peran IAM berikut sebelum melanjutkan.

Artikel ini mengasumsikan bahwa Anda menggunakan komputer Windows dengan terinstal Google Cloud CLI. Anda perlu menyesuaikan beberapa langkah jika Anda menggunakan sistem operasi yang berbeda.

Terakhir, kumpulkan informasi berikut sebelum Anda memulai:

Nama project untuk project host VPC dan project pengelolaan. Kedua project ini akan berperan penting dalam deployment Anda, jadi pilih nama yang mudah dikenali dan ikuti konvensi penamaan perusahaan Anda.
Folder untuk membuat project host VPC dan project project pengelolaan. Jika Anda belum memiliki folder yang sesuai, pertimbangkan untuk membuat sub-folder terpisah untuk resource lintas fungsi dan layanan seperti Active Directory.
Nama domain DNS yang akan digunakan untuk domain root forest dari forest Active Directory yang baru.
Region awal untuk men-deploy resource. Perhatikan bahwa Anda hanya dapat men-deploy Microsoft AD Terkelola di beberapa region (hal ini tidak memengaruhi ketersediaan umum domain Anda, yang tersedia di semua region tempat VPC Anda ada). Lihat praktik terbaik terkait pemilihan wilayah jika Anda tidak yakin wilayah mana yang paling sesuai dengan kebutuhan Anda. Anda akan dapat memperluas deployment ke region lain nanti.
Nama VPC bersama yang akan dibuat. Karena VPC akan dibagikan ke beberapa project, pastikan untuk memilih nama yang mudah dikenali.
Rentang subnet untuk subnet berikut:
- Subnet Microsoft AD terkelola: Harus berukuran minimal /24.
- Subnet pengelolaan: Harus mengakomodasi semua server pengelolaan. Sebaiknya gunakan rentang subnet berukuran /28 atau yang lebih besar.
- Subnet resource: Menyesuaikan ukuran subnet ini agar dapat mengakomodasi semua server yang akan Anda deploy di region awal.
Pastikan subnet Anda tidak tumpang tindih dengan subnet lokal mana pun dan beri ruang yang cukup untuk pertumbuhan.

Biaya

Tutorial ini menggunakan komponen Google Cloud yang dapat ditagih, termasuk Compute Engine, Cloud DNS, dan Kemampuan observasi Google Cloud. Lihat Kalkulator Harga untuk menghitung biaya penyelesaian tutorial ini. Pastikan untuk menyertakan referensi lain khusus untuk deployment Anda.

Menyiapkan jaringan VPC

Membuat project host VPC

Project host VPC digunakan untuk membuat VPC Bersama dan mengelola konfigurasi terkait jaringan, seperti subnet, aturan firewall, dan rute.

Di konsol Google Cloud, buka halaman Manage resources.
Buka halaman Kelola resource
Pada menu drop-down Organization di kiri atas, pilih organisasi Anda.
Klik Create Project dan masukkan setelan berikut:
1. Project Name: ID yang Anda pilih sebagai nama project.
2. Billing account: Akun penagihan Anda.
3. Lokasi: Folder untuk membuat project.
Klik Create.

Melindungi project dari penghapusan yang tidak disengaja

Menghapus project juga akan menghapus semua domain Microsoft AD Terkelola yang di-deploy di dalamnya. Selain menggunakan kebijakan IAM untuk membatasi akses ke project, Anda harus melindungi project dari penghapusan yang tidak disengaja.

Di Konsol Google Cloud, buka Cloud Shell. Cloud Shell memberi Anda akses ke command line di Konsol Google Cloud, serta mencakup Google Cloud CLI dan alat lain yang Anda perlukan untuk administrasi Google Cloud. Cloud Shell dapat memerlukan waktu beberapa menit untuk melakukan penyediaan.
Mengaktifkan Cloud Shell
Lakukan inisialisasi variabel untuk memuat nama organisasi Anda dan project ID dari project host VPC:
```
ORG_NAME=[ORG-NAME] \
VPCHOST_PROJECT_ID=[PROJECT-ID]
```
Ganti [ORG-NAME] dengan nama organisasi Anda dan [PROJECT-ID] dengan ID project host VPC. Contoh:
```
ORG_NAME=example.com
VPCHOST_PROJECT_ID=ad-host-123
```

Jalankan perintah berikut untuk mencari ID organisasi Anda, dengan mengganti ORG-NAME dengan nama organisasi Anda (seperti example.com):

ORG_ID=$(gcloud organizations list \
  --filter="DISPLAY_NAME=$ORG_NAME" \
  --format=value\(ID\)) && \
echo "ID of $ORG_NAME is $ORG_ID"

Terapkan kebijakan compute.restrictXpnProjectLienRemoval untuk organisasi Anda:

gcloud resource-manager org-policies enable-enforce \
  --organization $ORG_ID compute.restrictXpnProjectLienRemoval

Menghapus VPC default

Compute Engine membuat VPC default di setiap project yang Anda buat. VPC ini dikonfigurasi dalam mode otomatis, yang berarti subnet dialokasikan sebelumnya untuk setiap region dan secara otomatis menetapkan rentang subnet.

Jika Anda berencana menghubungkan VPC ke jaringan lokal, rentang IP yang telah ditentukan dan digunakan Compute Engine dalam mode otomatis kemungkinan tidak sesuai dengan kebutuhan Anda; rentang tersebut mungkin tumpang tindih dengan rentang IP yang ada, atau ukurannya tidak memadai. Anda harus menghapus VPC default dan menggantinya dengan VPC mode kustom.

Kembali ke sesi Cloud Shell yang ada.

Aktifkan Compute Engine API di project host VPC:

gcloud services enable compute.googleapis.com --project=$VPCHOST_PROJECT_ID

Hapus semua aturan firewall yang terkait dengan VPC default:

gcloud compute firewall-rules list \
  --filter="network=default" \
  --project=$VPCHOST_PROJECT_ID \
  --format=value\(name\) | \
xargs gcloud compute firewall-rules delete \
  --project=$VPCHOST_PROJECT_ID

Hapus VPC default:

gcloud compute networks delete default --project=$VPCHOST_PROJECT_ID

Membuat VPC Bersama dan subnet

Setelah VPC default dihapus, Anda kini dapat membuat VPC kustom (Anda akan mengubahnya menjadi VPC bersama nanti).

Kembali ke sesi Cloud Shell yang ada.
Buat variabel untuk nama VPC, region awal, dan rentang subnet:
```
SHAREDVPC_NAME=[NAME] \
SUBNET_REGION=[REGION] \
SUBNET_RANGE_MANAGEMENT=[MANAGEMENT-RANGE] \
SUBNET_RANGE_RESOURCES=[RESOURCES-RANGE] \
SUBNET_RANGE_MANAGEDAD=[MANAGED-AD-RANGE] \
SUBNET_RANGE_ONPREMAD=[ONPREM-AD-RANGE]
```
Ganti variabel placeholder dengan kode berikut:
- [NAME] dengan nama, seperti ad-network-env-test.
- [REGION] dengan region untuk men-deploy pengontrol domain Active Directory. Anda dapat memperluas VPC dan domain untuk mencakup region tambahan kapan saja.
- [MANAGEMENT-RANGE] dengan rentang subnet yang akan digunakan untuk subnet pengelolaan.
- [RESOURCES-RANGE] dengan rentang subnet yang akan digunakan untuk subnet resource.
- [MANAGED-AD-RANGE] dengan rentang subnet yang akan digunakan untuk subnet Microsoft AD Terkelola.
- [ONPREM-AD-RANGE] dengan rentang subnet yang akan digunakan untuk subnet AD lokal.
Contoh:
```
SHAREDVPC_NAME=ad-network \
SUBNET_REGION=us-central1 \
SUBNET_RANGE_MANAGEMENT=10.0.0.0/24 \
SUBNET_RANGE_RESOURCES=10.0.1.0/24 \
SUBNET_RANGE_MANAGEDAD=10.0.2.0/24 \
SUBNET_RANGE_ONPREMAD=192.168.0.0/24
```
Aktifkan project host VPC untuk menghosting VPC Bersama:
```
gcloud compute shared-vpc enable $VPCHOST_PROJECT_ID
```

Buat jaringan VPC mode kustom baru:

gcloud compute networks create $SHAREDVPC_NAME \
    --subnet-mode=custom \
    --project=$VPCHOST_PROJECT_ID

Buat pengelolaan dan subnet resource, lalu aktifkan Akses Google Pribadi agar Windows dapat diaktifkan tanpa memberi VM akses internet langsung.

gcloud compute networks subnets create $SUBNET_REGION-management \
  --network=$SHAREDVPC_NAME \
  --range=$SUBNET_RANGE_MANAGEMENT \
  --region=$SUBNET_REGION \
  --enable-private-ip-google-access \
  --project=$VPCHOST_PROJECT_ID && \
gcloud compute networks subnets create $SUBNET_REGION-resources \
  --network=$SHAREDVPC_NAME \
  --range=$SUBNET_RANGE_RESOURCES \
  --region=$SUBNET_REGION \
  --enable-private-ip-google-access \
  --project=$VPCHOST_PROJECT_ID

Mengamankan VPC Bersama

Project host VPC Anda sekarang berisi VPC Bersama dengan dua subnet. Dengan melampirkan project layanan ke VPC Bersama ini, Anda dapat menjadikan VPC Bersama tersedia untuk digunakan di beberapa project.

Daripada memberikan izin kepada anggota project layanan untuk menggunakan semua subnet dari VPC Bersama, sebaiknya Anda memberikan akses berdasarkan subnet.

Untuk alasan keamanan, hanya berikan hak kepada sekelompok kecil staf administratif untuk mengakses subnet pengelolaan. Ini memastikan subnet hanya digunakan untuk mengelola Active Directory. Anda dapat menerapkan kontrol akses yang lebih longgar ke subnet resource.

Membuat aturan firewall

Sebelum men-deploy Active Directory, Anda harus membuat aturan firewall yang dapat digunakan untuk mengelola dan menggunakannya.

Kembali ke sesi Cloud Shell yang ada.

Aktifkan logging firewall untuk traffic masuk sehingga semua upaya akses yang gagal akan dicatat ke dalam log:

gcloud compute firewall-rules create deny-ingress-from-all \
    --direction=INGRESS \
    --action=deny \
    --rules=tcp:0-65535,udp:0-65535 \
    --enable-logging \
    --source-ranges=0.0.0.0/0 \
    --network=$SHAREDVPC_NAME \
    --project=$VPCHOST_PROJECT_ID \
    --priority 65000

Anda akan mengelola Active Directory menggunakan server pengelolaan khusus yang di-deploy di subnet pengelolaan. Karena server ini akan di-deploy tanpa alamat IP eksternal, Anda harus menggunakan penerusan TCP IAP untuk terhubung ke server.

Buat aturan firewall berikut untuk mengizinkan traffic masuk RDP dari IAP:
```
gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
  --direction=INGRESS \
  --action=allow \
  --rules=tcp:3389 \
  --enable-logging \
  --source-ranges=35.235.240.0/20 \
  --network=$SHAREDVPC_NAME \
  --project=$VPCHOST_PROJECT_ID \
  --priority 10000
```

VPC Bersama Anda kini siap digunakan untuk men-deploy Microsoft AD Terkelola.

Men-deploy {i>Active Directory<i}

Microsoft AD terkelola menangani penyediaan dan pemeliharaan pengontrol domain Active Directory. Peran berikut di-deploy pada pengontrol domain:

Layanan Domain Active Directory
DNS

Pengontrol domain di-deploy di luar project Anda, dan tidak akan muncul sebagai instance VM di project Anda. Agar pengontrol domain tersedia untuk Anda gunakan, perubahan berikut akan diterapkan ke project saat Anda men-deploy Microsoft AD Terkelola:

Peering VPC ditambahkan ke VPC Anda. Tindakan ini akan menghubungkan VPC Anda ke VPC layanan yang berisi pengontrol domain.
Zona yang di-peering DNS pribadi Cloud DNS dibuat dalam project. Tindakan ini akan meneruskan kueri DNS yang cocok dengan domain Active Directory Anda ke layanan DNS yang berjalan sebagai bagian dari Microsoft AD Terkelola.

Karena menggunakan VPC Bersama, Anda perlu men-deploy Microsoft AD Terkelola dalam project host VPC agar Active Directory dapat digunakan di semua project layanan.

Membuat {i>forest<i} dan domain {i>Active Directory<i}

Ikuti langkah-langkah berikut untuk men-deploy Microsoft AD Terkelola dalam project host VPC yang dibuat di bagian panduan sebelumnya:

Di konsol Google Cloud, kembali ke Cloud Shell.
Lakukan inisialisasi variabel untuk memuat nama domain root forest dari forest Active Directory baru yang akan dibuat. Lihat konvensi penamaan Microsoft untuk panduan dalam memilih nama.
```
AD_DNS_DOMAIN=[AD-DNS-NAME]
```
Contoh:
```
AD_DNS_DOMAIN=cloud.example.com
```

Aktifkan Cloud DNS di project host VPC:

gcloud services enable dns.googleapis.com --project $VPCHOST_PROJECT_ID

Aktifkan Microsoft AD API Terkelola di project host VPC:

gcloud services enable managedidentities.googleapis.com --project $VPCHOST_PROJECT_ID

Sediakan pengontrol domain dan buat forest baru:

gcloud active-directory domains create $AD_DNS_DOMAIN \
  --admin-name=SetupAdmin \
  --reserved-ip-range=$SUBNET_RANGE_MANAGEDAD \
  --region=$SUBNET_REGION \
  --authorized-networks=projects/$VPCHOST_PROJECT_ID/global/networks/$SHAREDVPC_NAME \
  --project=$VPCHOST_PROJECT_ID

Tunggu 15 hingga 20 menit untuk menyelesaikan perintah.

Perintah sebelumnya akan membuat pengguna Active Directory awal yang bernama SetupAdmin@[AD_DNS_DOMAIN] untuk Anda. Pengguna ini memiliki hak istimewa administrator yang didelegasikan, dan Anda dapat menggunakannya untuk menyelesaikan konfigurasi forest Active Directory yang baru.

Untuk menampilkan kredensial pengguna, jalankan perintah berikut. Anda perlu mengonfirmasi bahwa sandi aman untuk ditampilkan di layar.
```
gcloud active-directory domains reset-admin-password $AD_DNS_DOMAIN \
  --project=$VPCHOST_PROJECT_ID
```
Salin sandi; Anda akan membutuhkannya nanti.

Sandi dapat direset oleh pemilik project dan editor project dari project Host VPC kapan saja.

Membuat project pengelolaan

Forest dan domain root forest Active Directory yang dibuat oleh Microsoft AD Terkelola kini sepenuhnya beroperasi, dan Anda memiliki pengguna pertama (SetupAdmin) untuk melakukan konfigurasi lebih lanjut. Namun, karena pengontrol domain Microsoft AD terkelola tidak dapat diakses secara langsung menggunakan RDP, konfigurasi apa pun harus ditangani menggunakan VM pengelolaan.

Anda akan membuat instance VM ini dalam project yang dikhususkan untuk pengelolaan Active Directory, lalu menghubungkan instance VM tersebut ke subnet pengelolaan VPC Bersama.

Setelah bergabung ke domain, Anda dapat menggunakan Remote Server Administration Tools, Group Policy Management Console, dan PowerShell untuk mengelola resource terkait Active Directory dan Active Directory.

Untuk membuat project pengelolaan:

Di konsol Google Cloud, buka halaman Manage resources.

Buka halaman Kelola resource
Pada menu drop-down Organization di kiri atas, pilih organisasi Anda.
Klik Create Project dan lengkapi kolom berikut:
1. Project Name: ID yang Anda pilih sebagai nama project.
2. Billing account: Akun penagihan Anda. Jika Anda memiliki akses ke beberapa akun penagihan, tinjau kebijakan internal Anda untuk setiap akun dan pilih akun yang sesuai.
3. Lokasi: Folder untuk membuat project.
Klik Create.

Project pengelolaan akan berisi instance VM untuk mengelola Active Directory. Dalam model administrasi bertingkat, ini berarti pengguna dengan hak istimewa tinggi dari Tingkat 0 akan login ke instance VM tersebut.

Instance ini dapat menjadi target yang menarik bagi penyerang. Instance ini berpotensi menawarkan kesempatan untuk mengambil sandi, hash sandi, atau token Kerberos. Selain itu, karena memiliki akses administratif ke Active Directory, kredensial ini dapat digunakan untuk menyusupi domain tersebut.

Instance VM dalam project pengelolaan harus diperlakukan setara dengan workstation akses hak istimewa. Hal ini menyiratkan:

Hanya sekelompok kecil staf administratif yang sebaiknya diberi hak istimewa untuk login ke instance ini (baik dengan RDP maupun dengan cara lainnya).
Akses ke project pengelolaan yang memuatnya harus diberikan berdasarkan hak istimewa terendah. Hanya beberapa pengguna terpilih yang akan diizinkan untuk melihat dan mengakses resource di project Google Cloud.

Tinjau praktik terbaik untuk mengontrol akses ke resource guna mempelajari lebih lanjut cara mengamankan project Google Cloud.

Menggunakan VPC Bersama, bukan VPC default

Project pengelolaan saat ini memiliki VPC default sendiri. Karena Anda akan menggunakan VPC Bersama, Anda dapat menghapus VPC ini.

Di konsol Google Cloud, kembali ke Cloud Shell.
Lakukan inisialisasi variabel agar berisi project ID dari project pengelolaan (ganti [MANAGEMENT_PROJECT_ID] dengan project ID dari project pengelolaan yang baru saja Anda buat):
```
MANAGEMENT_PROJECT_ID=[MANAGEMENT_PROJECT_ID]
```

Aktifkan Compute Engine API di project host VPC:

gcloud services enable compute.googleapis.com \
  --project=$MANAGEMENT_PROJECT_ID

Hapus semua aturan firewall yang terkait dengan VPC default:

gcloud compute firewall-rules list \
  --filter="network=default" \
  --project=$MANAGEMENT_PROJECT_ID \
  --format=value\(name\) | \
xargs gcloud compute firewall-rules delete \
    --project=$MANAGEMENT_PROJECT_ID

Hapus VPC default:

gcloud compute networks delete default --project=$MANAGEMENT_PROJECT_ID

Kaitkan project pengelolaan dengan VPC Bersama:

gcloud compute shared-vpc associated-projects add $MANAGEMENT_PROJECT_ID \
  --host-project=$VPCHOST_PROJECT_ID

Project pengelolaan sekarang menjadi project layanan, dan Anda dapat menggunakan VPC Bersama dari dalam project pengelolaan.

Menghubungkan ke Active Directory

Sekarang Anda siap untuk membuat instance VM pengelolaan pertama dan menggabungkannya ke Active Directory. Anda dapat menggunakan VM ini untuk mengonfigurasi domain forest dan forest Active Directory Anda.

Membuat VM pengelolaan

Untuk membuat instance VM pengelolaan, ikuti langkah-langkah berikut:

Di konsol Google Cloud, kembali ke Cloud Shell.

Buat instance VM baru yang menjalankan Windows Server 2019 dengan Remote Server Admin Tools (RSAT), alat administrasi server DNS, dan Group Policy Management Console (GPMC) yang sudah diinstal sebelumnya.

Karena Anda akan mengakses mesin menggunakan penerusan TCP TCP, instance tidak perlu diberi alamat IP eksternal.

gcloud compute instances create admin-01 \
  --image-family=windows-2019 \
  --image-project=windows-cloud \
  --machine-type=n1-standard-2 \
  --no-address \
  --zone=$SUBNET_REGION-a \
  --subnet=projects/$VPCHOST_PROJECT_ID/regions/$SUBNET_REGION/subnetworks/$SUBNET_REGION-management \
  --project=$MANAGEMENT_PROJECT_ID \
  --metadata="sysprep-specialize-script-ps1=Install-WindowsFeature -Name RSAT-AD-Tools;Install-WindowsFeature -Name GPMC;Install-WindowsFeature -Name RSAT-DNS-Server"

Jalankan perintah berikut untuk mengamati proses booting.

gcloud compute instances tail-serial-port-output admin-01 \
  --zone=$SUBNET_REGION-a \
  --project=$MANAGEMENT_PROJECT_ID

Tunggu sekitar 4 menit hingga Anda melihat output Instance setup finished, lalu tekan Ctrl+C. Instance VM kini siap digunakan.

Buat pengguna SAM lokal LocalAdmin pada instance:

gcloud compute reset-windows-password admin-01 \
  --user=LocalAdmin \
  --project=$MANAGEMENT_PROJECT_ID \
  --zone=$SUBNET_REGION-a \
  --quiet

Salin sandi; Anda akan membutuhkannya nanti.

Menggabungkan VM pengelolaan ke domain

Sekarang Anda dapat login ke VM pengelolaan dan menggabungkannya ke Active Directory

Di workstation Windows lokal, buka command prompt (cmd).
Jika ini pertama kalinya Anda menggunakan gcloud di workstation lokal, pastikan untuk melakukan autentikasi terlebih dahulu.
Jalankan perintah berikut untuk membuat tunnel TCP IAP dari workstation lokal Anda ke VM admin-01, dengan mengganti [MANAGEMENT_PROJECT_ID] dengan ID project pengelolaan.
```
gcloud compute start-iap-tunnel admin-01 3389 ^
  --local-host-port=localhost:13389 ^
  --project=[MANAGEMENT_PROJECT_ID]
```
Tunggu hingga output berikut muncul
```
Listening on port [13389]`
```
Tunnel sekarang siap digunakan.
Buka klien Windows Remote Desktop Connection (mstsc.exe).
Klik Show Options.
Masukkan nilai berikut:
1. Komputer: localhost:13389
2. Nama pengguna: localhost\LocalAdmin
Klik Connect.
Pada dialog Enter your credentials, tempel sandi yang Anda buat sebelumnya untuk pengguna LocalAdmin lokal. Lalu klik OK.
Karena Anda belum menyiapkan sertifikat RDP untuk VM pengelolaan, pesan peringatan akan muncul yang menunjukkan bahwa identitas komputer jarak jauh tidak dapat diverifikasi. Tutup peringatan ini dengan mengklik Ya.
Sekarang Anda akan melihat desktop Windows Server dari VM admin-01.
Klik kanan tombol Start (atau tekan Win+X), lalu klik Command Prompt (Admin).
Konfirmasi prompt elevasi dengan mengklik Yes.
Di command prompt yang lebih tinggi, mulai sesi PowerShell dengan menjalankan powershell.
Jalankan perintah berikut untuk memulai penggabungan domain.
```
Add-Computer -DomainName [AD-DNS-NAME]
```
Ganti [AD-DNS-NAME] dengan nama DNS dari nama DNS untuk domain root forest.
Dalam dialog Windows PowerShell credential request, masukkan nilai berikut:
1. Nama pengguna: SetupAdmin
2. Password: Masukkan sandi yang dibuat untuk SetupAdmin saat men-deploy Microsoft AD Terkelola. Jangan gunakan sandi pengguna LocalAdmin lokal.
Mulai ulang komputer dengan menjalankan Restart-Computer. Tunggu sekitar satu menit hingga VM dimulai ulang.

Meluncurkan {i>Active Directory Users and Computers<i}

VM pengelolaan sekarang menjadi anggota domain Active Directory Anda. Anda dapat menggunakannya untuk mengelola Active Directory:

Di workstation Windows lokal, buka klien Windows Remote Desktop Connection (mstsc.exe).
Klik Show Options.
Masukkan nilai berikut:
1. Komputer: localhost:13389
2. Nama pengguna: SetupAdmin@[AD-DNS-NAME]. Ganti [AD-DNS-NAME] dengan nama DNS dari nama DNS untuk domain root forest.
Klik Connect.
Pada dialog Enter your credentials, tempel sandi yang Anda buat sebelumnya untuk pengguna SetupAdmin. Lalu klik OK.
Karena Anda belum menyiapkan sertifikat RDP untuk VM pengelolaan, pesan peringatan akan muncul yang menunjukkan bahwa identitas komputer jarak jauh tidak dapat diverifikasi. Tutup peringatan ini dengan mengklik Ya.
Sekarang Anda akan melihat desktop Windows Server dari VM admin-01.
Klik kanan tombol Start (atau tekan Win+X), lalu pilih Run.
Masukkan dsa.msc, lalu klik Oke.

Sekarang Anda akan melihat Active Directory Users and Computers:

Pengguna AD

Selamat! Anda terhubung ke domain Microsoft AD Terkelola Anda.

Pembersihan

Jika Anda tidak berencana menggunakan resource dari tutorial ini pada masa mendatang, hapus resource tersebut agar tidak dikenai biaya.

Menghapus forest dan domain Active Directory

Di konsol Google Cloud, buka Cloud Shell.
Jalankan perintah berikut untuk menghapus forest dan domain Active Directory, ganti [AD_DNS_DOMAIN] dengan nama domain DNS yang digunakan untuk domain Microsoft AD Terkelola, dan [VPCHOST_PROJECT_ID] dengan ID project host VPC Anda:
```
gcloud active-directory domains delete [AD_DNS_DOMAIN] \
  --project=[VPCHOST_PROJECT_ID]
```

Menghapus project pengelolaan

Di konsol Google Cloud, buka halaman Project.
Buka halaman Project
Dalam daftar project, pilih project pengelolaan lalu klik Delete.
Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.

Menghapus project host VPC

Di konsol Google Cloud, buka halaman Project.
Buka halaman Project
Dalam daftar project, pilih project host VPC, lalu klik Delete.
Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.

Langkah selanjutnya

Pelajari cara menggunakan tingkat akses dan conditions untuk membatasi akses ke resource melalui IAP.
Lindungi project pengelolaan dari penghapusan yang tidak disengaja dengan menempatkan lien di project.