Auf dieser Seite wird erläutert, wie Sie prüfen können, ob die Berechtigungen, die zum Migrieren eines vorhandene Active Directory-Domain aus lokaler Umgebung in Managed Service for Microsoft Active Directory mit SID-Verlauf ist aktiviert. Auf dieser Seite wird auch erläutert, wie Sie diese Berechtigungen nach Abschluss der Migration deaktivieren.
Hinweis
Sie benötigen eine der folgenden Optionen für Identity and Access Management ( IAM) Nutzerrollen:
- Google Cloud Managed Identities-Domainadministrator
(
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities-Administrator (
roles/managedidentities.admin)
Weitere Informationen finden Sie unter Rollen für verwaltete Identitäten in der Cloud.
Berechtigungen prüfen
Sie können prüfen, ob die Berechtigungen zum Migrieren von Domains mit SID-Verlauf erforderlich sind sind in einer Managed Microsoft AD-Domain verfügbar.
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Berechtigungen zu prüfen:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Ersetzen Sie DOMAIN_NAME durch den Namen Ihrer verwalteten Microsoft AD-Domain. Beispiel: my-domain.com.
Bei diesem Vorgang wird geprüft, ob in Managed Microsoft AD die Gruppe Cloud Service
Migrate SID Administrators erstellt wurde und der Status der SID-Filterung in allen vertrauenswürdigen Domains.
In der Antwort werden der SID-Filterstatus aller vertrauenswürdigen Domains und der Status der Berechtigungen aufgeführt, die in Ihrer Managed Microsoft AD-Domain erforderlich sind:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Ihre Managed Microsoft AD-Domain kann einen der folgenden Status haben:
| Bundesland | Beschreibung |
|---|---|
DISABLED |
Die Managed Microsoft AD-Domain hat nicht die erforderlichen Berechtigungen, um die lokale Domain mit SID-Verlauf zu migrieren. Die SID-Filterung ist für alle vertrauenswürdigen Domains aktiviert. |
ENABLED |
Die verwaltete Microsoft AD-Domain hat die erforderlichen Berechtigungen, um die lokale Domain mit SID-Verlauf zu migrieren. Den Status der SID-Filterung finden Sie im Feld sidFilteringState für alle vertrauenswürdigen Domains in der Antwort. |
NEEDS MAINTENANCE |
Die Berechtigungen für Ihre Managed Microsoft AD-Domain sind anscheinend in einem instabilen Zustand. Sie können den Status zurücksetzen, indem Sie entweder Berechtigungen aktivieren oder Berechtigungen deaktivieren. |
Berechtigungen für die Managed Microsoft AD-Domain deaktivieren
Nachdem Sie die Migration abgeschlossen haben, müssen Sie die Berechtigungen für Migration Ihrer lokalen Domain mit dem SID-Verlauf
Führen Sie folgenden Befehl aus, um die Berechtigungen zu deaktivieren:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Ersetzen Sie DOMAIN_NAME durch den Namen Ihrer verwalteten Microsoft AD-Domain. Beispiel: my-domain.com.
Durch diesen Vorgang werden die Berechtigungen für Ihre Domain deaktiviert, indem die Gruppe Cloud Service Migrate SID Administrators aus Managed Microsoft AD gelöscht und die SID-Filterung für alle vertrauenswürdigen Domains aktiviert wird.