Öğretici: Temel Active Directory ortamı
Bu öğretici, temel bir Active Directory ortamı oluşturma işleminde size yol gösterir.
Karma kimlik senaryolarının çeşitli yönlerini test etmek için öğreticide oluşturduğunuz ortamı kullanabilirsiniz ve bazı öğreticiler için önkoşul olacaktır. Zaten bir Active Directory ortamınız varsa, bunun yerine bunu kullanabilirsiniz. Bu bilgiler, hiçbir şeyden başlayamayan kişiler için sağlanır.
Bu öğretici şunlardan oluşur:
Önkoşullar
Bu öğreticiyi tamamlamak için gereken önkoşullar şunlardır:
- Hyper-V yüklü bir bilgisayar. Bunun bir Windows 10 veya Windows Server 2016 bilgisayarında yapılması önerilir.
- Sanal makinenin İnternet ile iletişim kurmasına izin veren bir dış ağ bağdaştırıcısı.
- Azure aboneliği
- Windows Server 2016'nın bir kopyası
- Microsoft .NET framework 4.7.1
Dekont
Bu öğreticide, öğretici ortamını en kısa sürede oluşturabilmeniz için PowerShell betikleri kullanılır. Betiklerin her biri, betiklerin başında bildirilen değişkenleri kullanır. Değişkenleri ortamınızı yansıtacak şekilde değiştirebilir ve değiştirmeniz gerekir.
Kullanılan betikler, Microsoft Entra Bağlan bulut sağlama aracısını yüklemeden önce genel bir Active Directory ortamı oluşturur. Tüm öğreticiler için geçerlidir.
Bu öğreticide kullanılan PowerShell betiklerinin kopyalarına buradan GitHub'dan ulaşabilirsiniz.
Sanal makine oluşturun
Karma kimlik ortamımızı çalışır duruma getirmek için yapmanız gereken ilk şey, şirket içi Active Directory sunucumuz olarak kullanılacak bir sanal makine oluşturmaktır. Aşağıdakileri yapın:
PowerShell ISE'yi Yönetici istrator olarak açın.
Aşağıdaki betiği çalıştırın.
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create New Virtual Machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add DVD Drive to Virtual Machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount Installation Media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure Virtual Machine to Boot from DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
İşletim sistemi dağıtımını tamamlama
Sanal makineyi derlemeyi tamamlamak için işletim sistemi yüklemesini tamamlamanız gerekir.
- Hyper-V Yöneticisi, sanal makineye çift tıklayın
- Başlangıç düğmesine tıklayın.
- 'CD veya DVD'den önyüklemek için herhangi bir tuşa basın' istenir. Devam edin ve yapın.
- Windows Server başlangıç ekranında dilinizi seçin ve İleri'ye tıklayın.
- Şimdi Yükle'ye tıklayın.
- Lisans anahtarınızı girin ve İleri'ye tıklayın.
- **Lisans koşullarını kabul ediyorum'a tıklayın ve İleri'ye tıklayın.
- Özel: Yalnızca Windows'u Yükleme (Gelişmiş) seçeneğini belirleyin
- İleri’ye tıklayın.
- Yükleme tamamlandıktan sonra sanal makineyi yeniden başlatın, oturum açın ve VM'nin en güncel olduğundan emin olmak için Windows güncelleştirmelerini çalıştırın. En son güncelleştirmeleri yükleyin.
Active Directory önkoşullarını yükleme
Artık bir sanal makineniz olduğuna göre, Active Directory'yi yüklemeden önce birkaç şey yapmanız gerekir. Başka bir ifadeyle sanal makineyi yeniden adlandırmanız, statik IP adresi ve DNS bilgileri ayarlamanız ve Uzak Sunucu Yönetici istrasyon araçlarını yüklemeniz gerekir. Aşağıdakileri yapın:
PowerShell ISE'yi Yönetici istrator olarak açın.
Aşağıdaki betiği çalıştırın.
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Windows Server AD ortamı oluşturma
Artık VM'yi oluşturduğunuza ve yeniden adlandırdığınıza ve statik bir IP adresine sahip olduğuna göre, devam edip Active Directory Etki Alanı Hizmetleri yükleyip yapılandırabilirsiniz. Aşağıdakileri yapın:
PowerShell ISE'yi Yönetici istrator olarak açın.
Aşağıdaki betiği çalıştırın.
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomaninNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install AD DS, DNS and GPMC start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create New AD Forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Windows Server AD kullanıcısı oluşturma
Artık Active Directory ortamımıza sahip olduğunuz için bir test hesabı oluşturmanız gerekir. Bu hesap şirket içi AD ortamımızda oluşturulacak ve ardından Microsoft Entra Id ile eşitlenecektir. Aşağıdakileri yapın:
PowerShell ISE'yi Yönetici istrator olarak açın.
Aşağıdaki betiği çalıştırın.
# Filename: 4_CreateUser.ps1 # Description: Creates a user in Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Microsoft Entra kiracısı oluşturma
Bahşiş
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Şimdi kullanıcılarımızı buluta eşitleyebilmek için bir Microsoft Entra kiracısı oluşturmanız gerekir. Yeni bir Microsoft Entra kiracısı oluşturmak için aşağıdakileri yapın.
- Microsoft Entra yönetim merkezinde oturum açın ve Microsoft Entra aboneliğinizin olduğu bir hesapla oturum açın.
- Genel Bakış'a tıklayın.
- Kiracıları yönet'e tıklayın.
- Oluştur'u seçin.
- İlk etki alanı adıyla birlikte kuruluş için bir ad sağlayın. Daha sonra, Oluştur'u seçin. Bu işlem dizininizi oluşturur.
- Bu işlem tamamlandıktan sonra, dizini yönetmek için buradaki bağlantıya tıklayın.
Microsoft Entra Id'de genel yönetici oluşturma
Artık bir Microsoft Entra kiracınız olduğuna göre bir genel yönetici hesabı oluşturacaksınız. Genel yönetici hesabını oluşturmak için aşağıdakileri yapın.
- Yönet'in altında Kullanıcılar'ı seçin.
- Tüm kullanıcılar'ı ve ardından + Yeni kullanıcı'ya tıklayın.
- Bu kullanıcı için bir ad ve kullanıcı adı belirtin. Bu, kiracı için Genel Yönetici istrator'ınız olacaktır. Ayrıca Dizin rolünü Genel yönetici olarak da değiştirmek isteyeceksiniz. Geçici parolayı da gösterebilirsiniz. İşiniz bittiğinde Oluştur'u seçin.
- Bu işlem tamamlandıktan sonra yeni bir web tarayıcısı açın ve yeni genel yönetici hesabını ve geçici parolayı kullanarak myapps.microsoft.com oturum açın.
- Genel yöneticinin parolasını hatırlayacağınız bir parolayla değiştirin.
İsteğe bağlı: Ek sunucu ve orman
Aşağıda, ek sunucu ve veya orman oluşturma adımlarını sağlayan isteğe bağlı bir bölüm yer almaktadır. Bu, Microsoft Entra için Pilot Bağlan bulut eşitlemesi gibi daha gelişmiş öğreticilerden bazılarında kullanılabilir.
Yalnızca ek bir sunucuya ihtiyacınız varsa , - Sanal makine oluşturma adımından sonra durdurabilir ve sunucuyu yukarıda oluşturulan mevcut etki alanına katılabilirsiniz.
Sanal makine oluşturun
PowerShell ISE'yi Yönetici istrator olarak açın.
Aşağıdaki betiği çalıştırın.
# Filename: 1_CreateVM_CP.ps1 # Description: Creates a VM to be used in the tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. #This script is made available to you without any express, implied or statutory warranty, not even the implied warranty of merchantability or fitness for a particular purpose, or the warranty of title or non-infringement. The entire risk of the use or the results from the use of this script remains with you. # # # # #Declare variables $VMName = 'CP1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\CP1\CP1.vhdx' $VHDSize = '64424509440' #Create New Virtual Machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add DVD Drive to Virtual Machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount Installation Media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure Virtual Machine to Boot from DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
İşletim sistemi dağıtımını tamamlama
Sanal makineyi derlemeyi tamamlamak için işletim sistemi yüklemesini tamamlamanız gerekir.
- Hyper-V Yöneticisi, sanal makineye çift tıklayın
- Başlangıç düğmesine tıklayın.
- 'CD veya DVD'den önyüklemek için herhangi bir tuşa basın' istenir. Devam edin ve yapın.
- Windows Server başlangıç ekranında dilinizi seçin ve İleri'ye tıklayın.
- Şimdi Yükle'ye tıklayın.
- Lisans anahtarınızı girin ve İleri'ye tıklayın.
- **Lisans koşullarını kabul ediyorum'a tıklayın ve İleri'ye tıklayın.
- Özel: Yalnızca Windows'u Yükleme (Gelişmiş) seçeneğini belirleyin
- İleri’ye tıklayın.
- Yükleme tamamlandıktan sonra sanal makineyi yeniden başlatın, oturum açın ve VM'nin en güncel olduğundan emin olmak için Windows güncelleştirmelerini çalıştırın. En son güncelleştirmeleri yükleyin.
Active Directory önkoşullarını yükleme
Artık bir sanal makineniz olduğuna göre, Active Directory'yi yüklemeden önce birkaç şey yapmanız gerekir. Başka bir ifadeyle sanal makineyi yeniden adlandırmanız, statik IP adresi ve DNS bilgileri ayarlamanız ve Uzak Sunucu Yönetici istrasyon araçlarını yüklemeniz gerekir. Aşağıdakileri yapın:
PowerShell ISE'yi Yönetici istrator olarak açın.
Aşağıdaki betiği çalıştırın.
# Filename: 2_ADPrep_CP.ps1 # Description: Prepares your environment for Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $ipaddress = "10.0.1.118" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.118" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "CP1" $addsTools = "RSAT-AD-Tools" #Set static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw #Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Windows Server AD ortamı oluşturma
Artık VM'yi oluşturduğunuza ve yeniden adlandırdığınıza ve statik bir IP adresine sahip olduğuna göre, devam edip Active Directory Etki Alanı Hizmetleri yükleyip yapılandırabilirsiniz. Aşağıdakileri yapın:
PowerShell ISE'yi Yönetici istrator olarak açın.
Aşağıdaki betiği çalıştırın.
# Filename: 3_InstallAD_CP.ps1 # Description: Creates an on-premises AD environment. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "fabrikam.com" $DomaninNetBIOSName = "FABRIKAM" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install AD DS, DNS and GPMC start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create New AD Forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Windows Server AD kullanıcısı oluşturma
Artık Active Directory ortamımıza sahip olduğunuz için bir test hesabı oluşturmanız gerekir. Bu hesap şirket içi AD ortamımızda oluşturulacak ve ardından Microsoft Entra Id ile eşitlenecektir. Aşağıdakileri yapın:
PowerShell ISE'yi Yönetici istrator olarak açın.
Aşağıdaki betiği çalıştırın.
# Filename: 4_CreateUser_CP.ps1 # Description: Creates a user in Active Directory. This is part of # the Azure AD Connect password hash sync tutorial. # # DISCLAIMER: # Copyright (c) Microsoft Corporation. All rights reserved. This # script is made available to you without any express, implied or # statutory warranty, not even the implied warranty of # merchantability or fitness for a particular purpose, or the # warranty of title or non-infringement. The entire risk of the # use or the results from the use of this script remains with you. # # # # #Declare variables $Givenname = "Anna" $Surname = "Ringdal" $Displayname = "Anna Ringdal" $Name = "aringdal" $Password = "Pass1w0rd" $Identity = "CN=aringdal,CN=Users,DC=fabrikam,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Sonuç
Artık mevcut öğreticiler ve bulut eşitlemenin sağladığı ek özellikleri test etmek için kullanılabilecek bir ortamınız var.