Implantar uma floresta de recursos do Active Directory

Esta série mostra o uso do Managed Microsoft AD para implantar uma floresta de recursos do Active Directory no Google Cloud. Você aprenderá como realizar as seguintes tarefas:

• Configure uma VPC compartilhada que permita acessar o Managed Microsoft AD de vários projetos e conecte o Managed Microsoft AD a um Active Directory local usando uma confiança de floresta.
• Configure regras de firewall que protegem o acesso ao Active Directory de fontes não autorizadas.
• Implante o Managed Microsoft AD em uma única região e conecte-o a uma VPC compartilhada existente.
• Crie uma VM de gerenciamento e associe-a ao domínio.
• Use um administrador delegado para se conectar ao Managed Microsoft AD.

Visão geral da arquitetura

Para permitir que VMs de vários projetos usem o Active Directory, você precisará de uma VPC compartilhada e três sub-redes separadas:

• Sub-rede do Managed Microsoft AD: usada pelo Managed Microsoft AD para executar controladores de domínio.
• Sub-rede de gerenciamento: contém máquinas usadas exclusivamente para o propósito de gerenciamento do Active Directory.
• Sub-redes de recursos: contém servidores membros do Active Directory (como servidores de aplicativos ou de banco de dados). Cada sub-rede de recursos tem escopo definido para uma única região. Neste guia, você criará apenas uma sub-rede de recursos, mas poderá adicionar sub-redes de recursos adicionais posteriormente se planejar implantar servidores em várias regiões.

Para reduzir os riscos de segurança, você implantará uma VM de gerenciamento com um endereço IP RFC 1918 interno e sem acesso à Internet. Para fazerr login nas instâncias de VM, você usará o encapsulamento de TCP do IAP.

Seguindo a prática recomendada de usar projetos separados para gerenciamento e servidores, você criará dois projetos separados:

• Projeto host da VPC: contém a configuração da VPC compartilhada e o Managed Microsoft AD.
• Projeto de gerenciamento: dedicado ao gerenciamento do Active Directory. Você criará uma VM de gerenciamento dentro desse projeto e a utilizará para configurar o Active Directory.

Antes de começar

Este tutorial usa uma VPC compartilhada, que requer o uso de uma organização do Google Cloud. Se você não possui uma organização, crie uma primeiro. Além disso, algumas atividades de configuração requerem funções administrativas. Verifique se você recebeu as seguintes funções do IAM antes de continuar.

• Administrador da organização
• Administrador de VPC compartilhada
• Usuário de rede

Este artigo pressupõe que você esteja usando uma máquina Windows com a Google Cloud CLI instalada. Você precisará ajustar algumas das etapas se estiver usando um sistema operacional diferente.

Por fim, colete as seguintes informações antes de começar:

• Nomes de projeto para o projeto host da VPC e o projeto de gerenciamento. Esses dois projetos terão um papel central em sua implantação, portanto, escolha nomes fáceis de reconhecer e siga as convenções de nomenclatura da sua empresa.
• Pastas nas quais criar o projeto host da VPC e o projeto de gerenciamento. Se você ainda não tem uma pasta adequada, considere criar uma subpasta separada para recursos multifuncionais e serviços como o Active Directory.
• Um nome de domínio DNS a ser usado para o domínio raiz da nova floresta do Active Directory.
• Uma região inicial onde implantar os recursos. Observe que você só pode implantar o Managed Microsoft AD em algumas regiões (isso não afeta a disponibilidade geral do seu domínio, que está disponível em todas as regiões onde sua VPC está presente). Consulte as práticas recomendadas para seleção de região se não tiver certeza de qual região melhor atende às suas necessidades. Você poderá estender a implantação para outras regiões posteriormente.
• O nome da VPC compartilhada a ser criada. Como a VPC será compartilhada entre vários projetos, escolha um nome fácil de reconhecer.

• Intervalos de sub-redes para as seguintes sub-redes:

  • Sub-rede do Managed Microsoft AD: o tamanho deve ser pelo menos /24.
  • Sub-rede de gerenciamento: precisa acomodar todos os servidores de gerenciamento. É recomendado um intervalo de sub-rede de pelo menos /28.
  • Sub-rede de recursos: dimensione essa sub-rede para acomodar todos os servidores que você planeja implantar na região inicial.

  Verifique se as sub-redes não sobrepõem nenhuma sub-rede local e deixe espaço suficiente para crescimento.

Custos

Neste tutorial, usamos componentes faturáveis do Google Cloud, incluindo Compute Engine, Cloud DNS e Observabilidade do Google Cloud. Consulte a Calculadora de preços para calcular os custos de conclusão deste tutorial. Certifique-se de incluir outros recursos específicos da sua implantação.

Configurando a rede VPC

Criando o projeto host da VPC

Um projeto host da VPC é usado para criar uma VPC compartilhada e gerenciar a configuração relacionada à rede, como sub-redes, regras de firewall e rotas.

1. No console do Google Cloud, abra a página Gerenciar recursos.

   Abrir a página "Gerenciar recursos"

2. Na lista suspensa Organização, na parte superior esquerda, selecione sua organização.

3. Clique em Criar projeto e insira as seguintes configurações:

   1. Nome do Projeto: O ID que você escolheu como o nome do projeto.
   2. Conta de cobrança: sua conta de cobrança.
   3. Local: a pasta na qual o projeto será criado.

4. Clique em Criar.

Protegendo o projeto contra exclusão acidental

A exclusão de um projeto também exclui todos os domínios do Managed Microsoft AD implantados nele. Além de usar as políticas do IAM para limitar o acesso ao projeto, é preciso proteger o projeto contra exclusão acidental.

1. No console do Google Cloud, abra o Cloud Shell. O Cloud Shell oferece acesso à linha de comando no console do Google Cloud e inclui a Google Cloud CLI e outras ferramentas necessárias para a administração do Google Cloud. O Cloud Shell pode levar vários minutos para ser provisionado.
   Ativar o Cloud Shell

2. Inicialize variáveis para conter o nome da sua organização e o ID do projeto host da VPC:

   ORG_NAME=[ORG-NAME] \
   VPCHOST_PROJECT_ID=[PROJECT-ID]
   

   Substitua [ORG-NAME] pelo nome da sua organização e [PROJECT-ID] pelo ID do projeto host da VPC. Exemplo:

   ORG_NAME=example.com
   VPCHOST_PROJECT_ID=ad-host-123
   

3. Execute o seguinte comando para procurar o ID da sua organização, substituindo ORG-NAME pelo nome da sua organização (como example.com):

   ORG_ID=$(gcloud organizations list \
     --filter="DISPLAY_NAME=$ORG_NAME" \
     --format=value\(ID\)) && \
   echo "ID of $ORG_NAME is $ORG_ID"
   

4. Aplique a política compute.restrictXpnProjectLienRemoval à sua organização:

   gcloud resource-manager org-policies enable-enforce \
     --organization $ORG_ID compute.restrictXpnProjectLienRemoval
   

Excluindo a VPC padrão

O Compute Engine cria uma VPC default em cada projeto que você cria. Essa VPC é configurada no modo automático, o que significa que uma sub-rede é pré-alocada para cada região e atribuída automaticamente a um intervalo de sub-redes.

Se você planeja conectar a VPC a uma rede local, é improvável que os intervalos de IPs predefinidos que o Compute Engine usa no modo automático atendam às suas necessidades, eles podem se sobrepor aos intervalos de IPs existentes ou ter um tamanho inadequado. Você deve excluir a VPC padrão e substituí-la por uma VPC de modo personalizado.

1. Volte para a sessão atual do Cloud Shell.

2. Habilite a API Compute Engine no projeto host da VPC:

   gcloud services enable compute.googleapis.com --project=$VPCHOST_PROJECT_ID
   

3. Exclua todas as regras de firewall associadas à VPC default:

   gcloud compute firewall-rules list \
     --filter="network=default" \
     --project=$VPCHOST_PROJECT_ID \
     --format=value\(name\) | \
   xargs gcloud compute firewall-rules delete \
     --project=$VPCHOST_PROJECT_ID
   

4. Exclua a VPC padrão:

   gcloud compute networks delete default --project=$VPCHOST_PROJECT_ID
   

Criando a VPC compartilhada e as sub-redes

Depois de excluir a VPC default, você poderá criar a VPC personalizada (você a transformará em uma VPC compartilhada posteriormente).

1. Retorne à sua sessão existente do Cloud Shell.

2. Crie variáveis para o nome da VPC, a região inicial e os intervalos de sub-redes:

   SHAREDVPC_NAME=[NAME] \
   SUBNET_REGION=[REGION] \
   SUBNET_RANGE_MANAGEMENT=[MANAGEMENT-RANGE] \
   SUBNET_RANGE_RESOURCES=[RESOURCES-RANGE] \
   SUBNET_RANGE_MANAGEDAD=[MANAGED-AD-RANGE] \
   SUBNET_RANGE_ONPREMAD=[ONPREM-AD-RANGE]
   

   Substitua as variáveis de marcador pelo seguinte:

   • [NAME] por um nome, como ad-network-env-test.
   • [REGION] pela região onde implantar os controladores de domínio do Active Directory. Você pode estender a VPC e seu domínio para cobrir regiões adicionais a qualquer momento.
   • [MANAGEMENT-RANGE] pelo intervalo de sub-redes a ser usado para a sub-rede de gerenciamento.
   • [RESOURCES-RANGE] pelo intervalo de sub-redes a ser usado para a sub-rede de recursos.
   • [MANAGED-AD-RANGE] pelo intervalo de sub-redes a ser usado para a sub-rede do Managed Microsoft AD.
   • [ONPREM-AD-RANGE] pelo intervalo de sub-redes a ser usado para a sub-rede local do AD.

   Exemplo:

   SHAREDVPC_NAME=ad-network \
   SUBNET_REGION=us-central1 \
   SUBNET_RANGE_MANAGEMENT=10.0.0.0/24 \
   SUBNET_RANGE_RESOURCES=10.0.1.0/24 \
   SUBNET_RANGE_MANAGEDAD=10.0.2.0/24 \
   SUBNET_RANGE_ONPREMAD=192.168.0.0/24
   

3. Habilite o projeto host da VPC para hospedar uma VPC compartilhada:

   gcloud compute shared-vpc enable $VPCHOST_PROJECT_ID
   

4. Crie uma nova rede VPC de modo personalizado:

   gcloud compute networks create $SHAREDVPC_NAME \
       --subnet-mode=custom \
       --project=$VPCHOST_PROJECT_ID
   

5. Crie a sub-rede de gerenciamento e recursos e ative o Acesso privado do Google para que o Windows possa ser ativado sem conceder às VMs acesso direto à Internet.

   gcloud compute networks subnets create $SUBNET_REGION-management \
     --network=$SHAREDVPC_NAME \
     --range=$SUBNET_RANGE_MANAGEMENT \
     --region=$SUBNET_REGION \
     --enable-private-ip-google-access \
     --project=$VPCHOST_PROJECT_ID && \
   gcloud compute networks subnets create $SUBNET_REGION-resources \
     --network=$SHAREDVPC_NAME \
     --range=$SUBNET_RANGE_RESOURCES \
     --region=$SUBNET_REGION \
     --enable-private-ip-google-access \
     --project=$VPCHOST_PROJECT_ID
   

Protegendo a VPC compartilhada

Seu projeto host da VPC agora contém uma VPC compartilhada com duas sub-redes. Ao anexar projetos de serviço a essa VPC compartilhada, você pode disponibilizar a VPC compartilhada para uso em vários projetos.

Em vez de conceder aos membros dos projetos de serviço permissão para usar todas as sub-redes da VPC compartilhada, você deve conceder acesso pela sub-rede.

Por motivos de segurança, conceda apenas a um pequeno grupo de funcionários administrativos o direito de acessar a sub-rede de gerenciamento. Isso garante que a sub-rede seja usada apenas para gerenciar o Active Directory. Você pode aplicar um controle de acesso mais brando à sub-rede de recursos.

Criar regras de firewall

Antes de implantar o Active Directory, você precisará criar regras de firewall que permitam administrá-lo e usá-lo.

1. Retorne à sua sessão existente do Cloud Shell.

2. Habilite o log de firewall para tráfego de entrada para que todas as tentativas de acesso com falha sejam registradas:

   gcloud compute firewall-rules create deny-ingress-from-all \
       --direction=INGRESS \
       --action=deny \
       --rules=tcp:0-65535,udp:0-65535 \
       --enable-logging \
       --source-ranges=0.0.0.0/0 \
       --network=$SHAREDVPC_NAME \
       --project=$VPCHOST_PROJECT_ID \
       --priority 65000
   

3. Você administrará o Active Directory usando um servidor de gerenciamento dedicado implantado na sub-rede de gerenciamento. Como esse servidor será implantado sem um endereço IP externo, você precisará usar o encaminhamento de TCP do IAP para se conectar ao servidor.

   Crie a seguinte regra de firewall para permitir a entrada de RDP do IAP:

   gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
     --direction=INGRESS \
     --action=allow \
     --rules=tcp:3389 \
     --enable-logging \
     --source-ranges=35.235.240.0/20 \
     --network=$SHAREDVPC_NAME \
     --project=$VPCHOST_PROJECT_ID \
     --priority 10000
   

Sua VPC compartilhada agora está pronta para ser usada para implantar o Managed Microsoft AD.

Como implantar o Active Directory

O Managed Microsoft AD processa o provisionamento e a manutenção de controladores de domínio do Active Directory. As seguintes funções são implantadas nos controladores de domínio:

• Active Directory Domain Services
• DNS

Os controladores de domínio são implantados fora do seu projeto e não aparecerão como instâncias de VM no seu projeto. Para disponibilizar os controladores de domínio para você usar, as seguintes alterações são aplicadas ao seu projeto quando você implanta o Managed Microsoft AD:

• Peering de VPC foi adicionado à sua VPC. Isso conecta sua VPC ao serviço VPC que contém os controladores de domínio.
• Uma zona com peering de DNS particular do Cloud DNS é criada no projeto. Ela encaminha consultas DNS que correspondem ao seu domínio do Active Directory para o serviço DNS executado como parte do Managed Microsoft AD.

Como você está usando uma VPC compartilhada, é necessário implantar o Managed Microsoft AD no projeto host da VPC para que o Active Directory seja utilizável em todos os projetos de serviço.

Criando a floresta e o domínio do Active Directory

Siga estas etapas para implantar o Managed Microsoft AD no projeto host da VPC criado na parte anterior do guia:

1. No console do Google Cloud, volte ao Cloud Shell.

2. Inicialize uma variável para conter o nome de domínio raiz da nova floresta do Active Directory a ser criada. Consulte as Convenções de nomenclatura da Microsoft para obter orientação sobre como escolher um nome.

   AD_DNS_DOMAIN=[AD-DNS-NAME]
   

   Exemplo:

   AD_DNS_DOMAIN=cloud.example.com
   

3. Ative o Cloud DNS no projeto host da VPC:

   gcloud services enable dns.googleapis.com --project $VPCHOST_PROJECT_ID
   

4. Habilite a API Managed Microsoft AD no projeto host da VPC:

   gcloud services enable managedidentities.googleapis.com --project $VPCHOST_PROJECT_ID
   

5. Provisione os controladores de domínio e crie uma nova floresta:

   gcloud active-directory domains create $AD_DNS_DOMAIN \
     --admin-name=SetupAdmin \
     --reserved-ip-range=$SUBNET_RANGE_MANAGEDAD \
     --region=$SUBNET_REGION \
     --authorized-networks=projects/$VPCHOST_PROJECT_ID/global/networks/$SHAREDVPC_NAME \
     --project=$VPCHOST_PROJECT_ID
   

   Reserve de 15 a 20 minutos para a conclusão do comando.

6. O comando anterior cria um usuário inicial do Active Directory chamado SetupAdmin@[AD_DNS_DOMAIN] para você. Esse usuário delegou privilégios de administrador, e você pode usá-lo para concluir a configuração da nova floresta do Active Directory.

   Para revelar as credenciais do usuário, execute o seguinte comando. Você precisará confirmar que é seguro que a senha seja revelada na tela.

   gcloud active-directory domains reset-admin-password $AD_DNS_DOMAIN \
     --project=$VPCHOST_PROJECT_ID
   

   Copie a senha, você precisará dela mais tarde.

   A senha pode ser redefinida pelos proprietários e editores do projeto host da VPC a qualquer momento.

Criando o projeto de gerenciamento

A floresta do Active Directory e o domínio raiz da floresta criados pelo Managed Microsoft AD agora estão totalmente operantes, e você tem um primeiro usuário (SetupAdmin) para executar configurações adicionais. No entanto, como os controladores de domínio do Managed Microsoft AD não podem ser acessados diretamente usando o RDP, qualquer configuração deve ser feita usando uma VM de gerenciamento.

Você criará essa instância de VM em um projeto dedicado ao gerenciamento do Active Directory e a conectará à sub-rede de gerenciamento da VPC compartilhada.

Depois de ingressar no domínio, você poderá usar as Ferramentas de Administração de Servidor Remoto, o Console de Gerenciamento de Política de Grupo e o PowerShell para administrar o Active Directory e os recursos relacionados a ele.

Para criar o projeto de gerenciamento:

1. No console do Google Cloud, abra a página Gerenciar recursos.
   

   Abrir a página "Gerenciar recursos"

2. Na lista suspensa Organização, na parte superior esquerda, selecione sua organização.
3. Clique em Criar projeto e preencha os seguintes campos:
   1. Nome do Projeto: O ID que você escolheu como o nome do projeto.
   2. Conta de cobrança: sua conta de cobrança. Se você tiver acesso a várias contas de faturamento, consulte as políticas internas de cada uma delas e escolha a adequada.
   3. Local: uma pasta na qual criar o projeto.
4. Clique em Criar.

O projeto de gerenciamento conterá instâncias de VM para administrar o Active Directory. No modelo de administração em camadas, isso significa que usuários altamente privilegiados da Camada 0 entrarão nessas instâncias de VM.

Essas instâncias podem ser alvos atraentes para invasores porque elas potencialmente oferecem a oportunidade de capturar senhas, hashes de senha ou tokens do Kerberos. E como essas credenciais têm acesso administrativo ao Active Directory, elas podem ser usadas para comprometer o domínio.

As instâncias de VM no projeto de gerenciamento devem ser tratadas de maneira equivalente a estações de trabalho com acesso privilegiado. Isso implica:

• Apenas um pequeno grupo de funcionários administrativos deve receber privilégios para fazer login nessas instâncias (seja por RDP ou por outros meios).
• O acesso ao projeto de gerenciamento que as contém deve ser concedido com base na abordagem de privilégio mínimo. Apenas alguns usuários selecionados devem ter permissão para visualizar e acessar recursos no projeto do Google Cloud.

Consulte as práticas recomendadas para controlar o acesso a recursos e saiba mais sobre como proteger um projeto do Google Cloud.

Usando a VPC compartilhada em vez da VPC padrão

O projeto de gerenciamento atualmente tem sua própria VPC default. Como você usará uma VPC compartilhada, é possível excluir essa outra.

1. No console do Google Cloud, volte ao Cloud Shell.

2. Inicialize uma variável para conter o ID do projeto de gerenciamento (substitua [MANAGEMENT_PROJECT_ID] pelo ID do projeto de gerenciamento que você acabou de criar):

   MANAGEMENT_PROJECT_ID=[MANAGEMENT_PROJECT_ID]
   

3. Habilite a API Compute Engine no projeto host da VPC:

   gcloud services enable compute.googleapis.com \
     --project=$MANAGEMENT_PROJECT_ID
   

4. Exclua todas as regras de firewall associadas à VPC default:

   gcloud compute firewall-rules list \
     --filter="network=default" \
     --project=$MANAGEMENT_PROJECT_ID \
     --format=value\(name\) | \
   xargs gcloud compute firewall-rules delete \
       --project=$MANAGEMENT_PROJECT_ID
   

5. Exclua a VPC default:

   gcloud compute networks delete default --project=$MANAGEMENT_PROJECT_ID
   

6. Associe o projeto de gerenciamento à VPC compartilhada:

   gcloud compute shared-vpc associated-projects add $MANAGEMENT_PROJECT_ID \
     --host-project=$VPCHOST_PROJECT_ID
   

O projeto de gerenciamento agora é um projeto de serviço, e você pode usar a VPC compartilhada de dentro do projeto de gerenciamento.

Como conectar-se ao Active Directory

Agora você está pronto para criar uma primeira instância da VM de gerenciamento e adicioná-la ao Active Directory. Você pode usar essa VM para configurar a floresta do Active Directory e o domínio raiz da floresta.

Criando uma VM de gerenciamento

Para criar uma instância de VM de gerenciamento, siga estas etapas:

1. No console do Google Cloud, volte ao Cloud Shell.

2. Crie uma nova instância de VM executando o Windows Server 2019 com as Ferramentas de Administração de Servidor Remoto (RSAT), as ferramentas de administração de servidor DNS e o Console de Gerenciamento de Política de Grupo (GPMC) pré-instalados.

   Como você acessará a máquina usando o encaminhamento de TCP do IAP, a instância não precisará receber um endereço IP externo.

   gcloud compute instances create admin-01 \
     --image-family=windows-2019 \
     --image-project=windows-cloud \
     --machine-type=n1-standard-2 \
     --no-address \
     --zone=$SUBNET_REGION-a \
     --subnet=projects/$VPCHOST_PROJECT_ID/regions/$SUBNET_REGION/subnetworks/$SUBNET_REGION-management \
     --project=$MANAGEMENT_PROJECT_ID \
     --metadata="sysprep-specialize-script-ps1=Install-WindowsFeature -Name RSAT-AD-Tools;Install-WindowsFeature -Name GPMC;Install-WindowsFeature -Name RSAT-DNS-Server"
   

3. Execute o seguinte comando para observar o processo de inicialização.

   gcloud compute instances tail-serial-port-output admin-01 \
     --zone=$SUBNET_REGION-a \
     --project=$MANAGEMENT_PROJECT_ID
   

4. Aguarde cerca de quatro minutos até ver a saída Instance setup finished e pressione Ctrl+C. As instâncias de VM agora estão prontas para uso.

5. Crie um usuário SAM local LocalAdmin na instância:

   gcloud compute reset-windows-password admin-01 \
     --user=LocalAdmin \
     --project=$MANAGEMENT_PROJECT_ID \
     --zone=$SUBNET_REGION-a \
     --quiet
   

   Copie a senha, você precisará dela mais tarde.

Associando a VM de gerenciamento ao domínio

Agora você pode fazer login na VM de gerenciamento e adicioná-la ao Active Directory.

1. Na estação de trabalho local do Windows, abra um prompt de comandos (cmd).

2. Se for a primeira vez que você utiliza gcloud na estação de trabalho local, autentique-se primeiro.

3. Execute o comando a seguir para estabelecer um túnel TCP do IAP da estação de trabalho local para a VM admin-01, substituindo [MANAGEMENT_PROJECT_ID] pelo ID do projeto de gerenciamento.

   gcloud compute start-iap-tunnel admin-01 3389 ^
     --local-host-port=localhost:13389 ^
     --project=[MANAGEMENT_PROJECT_ID]
   

   Aguarde a seguinte saída aparecer

   Listening on port [13389]`
   

   O túnel está pronto para uso.

4. Abra o cliente Conexão da Área de Trabalho Remota do Windows (mstsc.exe).

5. Clique em Mostrar opções.

6. Digite os seguintes valores:

   1. Computador: localhost:13389
   2. Nome de usuário: localhost\LocalAdmin

7. Clique em Connect.

8. Na caixa de diálogo Digite suas credenciais, cole a senha que você gerou anteriormente para o usuário local LocalAdmin. Em seguida, clique em OK.

9. Como você não configurou certificados RDP para a VM de gerenciamento, será exibida uma mensagem de aviso indicando que a identidade do computador remoto não pode ser verificada. Ignore esse aviso clicando em Sim.

10. Agora você deve ver a área de trabalho do Windows Server da VM admin-01.

11. Clique com o botão direito do mouse no botão Iniciar (ou pressione Win+X) e clique em Prompt de Comando (Admin).

12. Confirme o prompt de privilégios elevados clicando em Sim.

13. No prompt de comando de privilégios elevados, inicie uma sessão do PowerShell executando powershell.

14. Execute o seguinte comando para iniciar uma associação ao domínio.

    Add-Computer -DomainName [AD-DNS-NAME]
    

    Substitua [AD-DNS-NAME] pelo nome DNS do domínio raiz da floresta.

15. Na caixa de diálogo Solicitação de credencial do Windows PowerShell, digite os seguintes valores:

    1. Nome de usuário: SetupAdmin
    2. Senha: digite a senha criada para SetupAdmin ao implantar o Managed Microsoft AD. Não use a senha do usuário local LocalAdmin.

16. Reinicie o computador executando Restart-Computer. Aguarde cerca de um minuto para a VM ser reiniciada.

Iniciando usuários e computadores do Active Directory

A VM de gerenciamento agora é membro do seu domínio do Active Directory. Você pode usá-la para administrar o Active Directory:

1. Na estação de trabalho local do Windows, abra o cliente Conexão de Área de Trabalho Remota do Windows (mstsc.exe).
2. Clique em Mostrar opções.
3. Insira os seguintes valores:
   1. Computador: localhost:13389
   2. Nome de usuário: SetupAdmin@[AD-DNS-NAME]. Substitua [AD-DNS-NAME] pelo nome DNS do domínio raiz da floresta.
4. Clique em Connect.
5. Na caixa de diálogo Digite suas credenciais, cole a senha que você gerou anteriormente para o usuário SetupAdmin. Em seguida, clique em OK.
6. Como você não configurou certificados RDP para a VM de gerenciamento, será exibida uma mensagem de aviso indicando que a identidade do computador remoto não pode ser verificada. Ignore esse aviso clicando em Sim.
7. Agora você deve ver a área de trabalho do Windows Server da VM admin-01.
8. Clique com o botão direito do mouse no botão Iniciar (ou pressione Win+X) e selecione Executar.
9. Insira dsa.msc e clique em OK.

Agora você deve ver os Usuários e Computadores do Active Directory:

Parabéns! Você está conectado ao seu domínio do Managed Microsoft AD!

Limpar

Se você não planeja usar os recursos deste tutorial no futuro, limpe-os para não ser cobrado por eles.

Excluindo a floresta e o domínio do Active Directory

1. No console do Google Cloud, abra o Cloud Shell.

2. Execute o comando a seguir para excluir a floresta e o domínio do Active Directory, substituindo [AD_DNS_DOMAIN] pelo nome de domínio DNS usado para o domínio do Managed Microsoft AD e [VPCHOST_PROJECT_ID] pelo ID do seu projeto host da VPC:

   gcloud active-directory domains delete [AD_DNS_DOMAIN] \
     --project=[VPCHOST_PROJECT_ID]
   

Excluindo o projeto de gerenciamento

1. No Console do Google Cloud, acesse a página Projetos.

   Abrir a página "Projetos"

2. Na lista de projetos, selecione o projeto de gerenciamento e clique em Excluir.
3. Na caixa de diálogo, digite o ID do projeto e clique em Encerrar para excluir o projeto.

Excluindo o projeto host da VPC

1. No Console do Google Cloud, acesse a página Projetos.

   Abrir a página "Projetos"

2. Na lista de projetos, selecione o projeto host da VPC e clique em Excluir.
3. Na caixa de diálogo, digite o ID do projeto e clique em Encerrar para excluir o projeto.

A seguir

• Saiba como usar níveis de acesso e conditions para restringir o acesso aos recursos por meio do IAP.
• Proteja o projeto de gerenciamento contra exclusão acidental colocando uma garantia no projeto.