Auf dieser Seite wird beschrieben, wie Sie prüfen, ob die Berechtigungen aktiviert sind, die für die Migration einer vorhandenen Active Directory-Domain von lokal zu Managed Service for Microsoft Active Directory mit SID-Verlauf erforderlich sind. Auf dieser Seite wird auch beschrieben, wie Sie diese Berechtigungen nach Abschluss der Migration deaktivieren.
Hinweise
Sie benötigen eine der folgenden IAM-Nutzerrollen (Identity and Access Management):
- Google Cloud Managed Identities-Domainadministrator
(
roles/managedidentities.domainAdmin
) - Google Cloud Managed Identities-Administrator (
roles/managedidentities.admin
)
Weitere Informationen finden Sie unter Rollen für Cloud Managed Identities.
Berechtigungen prüfen
Sie können prüfen, ob die Berechtigungen, die für die Migration von Domains mit SID-Verlauf erforderlich sind, in einer Managed Microsoft AD-Domain verfügbar sind.
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Berechtigungen zu prüfen:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Ersetzen Sie DOMAIN_NAME durch den Namen Ihrer verwalteten Microsoft AD-Domain. Beispiel: my-domain.com
.
Bei diesem Vorgang wird geprüft, ob die Gruppe Cloud Service
Migrate SID Administrators
in Managed Microsoft AD erstellt wurde und wie der Status der SID-Filterung in allen vertrauenswürdigen Domains ist.
In der Antwort wird der SID-Filterstatus aller vertrauenswürdigen Domains und der Status der in Ihrer Managed Microsoft AD-Domain erforderlichen Berechtigungen aufgeführt:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Ihre Managed Microsoft AD-Domain kann einen der folgenden Status haben:
Bundesland | Beschreibung |
---|---|
DISABLED |
Die Managed Microsoft AD-Domain hat nicht die erforderlichen Berechtigungen, um die lokale Domain mit SID-Verlauf zu migrieren. Die SID-Filterung ist für alle vertrauenswürdigen Domains aktiviert. |
ENABLED |
Die Managed Microsoft AD-Domain hat die erforderlichen Berechtigungen, um die lokale Domain mit SID-Verlauf zu migrieren. Sehen Sie sich das Feld sidFilteringState für alle vertrauenswürdigen Domains in der Antwort an, um den Status der SID-Filterung zu prüfen. |
NEEDS MAINTENANCE |
Die Berechtigungen für Ihre Managed Microsoft AD-Domain scheinen sich in einem vorübergehenden Zustand zu befinden. Um den Status zurückzusetzen, aktivieren oder deaktivieren Sie die Berechtigungen nach Bedarf. |
Berechtigungen in der Managed Microsoft AD-Domain deaktivieren
Nach Abschluss der Migration müssen Sie die Berechtigungen deaktivieren, die für die Migration Ihrer lokalen Domain mit SID-Verlauf bereitgestellt wurden.
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Berechtigungen zu deaktivieren:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Ersetzen Sie DOMAIN_NAME durch den Namen Ihrer verwalteten Microsoft AD-Domain. Beispiel: my-domain.com
.
Bei diesem Vorgang werden die Berechtigungen deaktiviert, die Ihrer Domain gewährt wurden. Dazu wird die Gruppe Cloud Service Migrate SID Administrators
aus Managed Microsoft AD gelöscht und die SID-Filterung für alle vertrauenswürdigen Domains aktiviert.