Auf dieser Seite wird erläutert, wie Sie prüfen, ob die Berechtigungen, die zum Migrieren einer vorhandenen Active Directory-Domain von einer lokalen Umgebung zu Managed Service for Microsoft Active Directory mit SID-Verlauf erforderlich sind, aktiviert sind. Auf dieser Seite wird auch erläutert, wie Sie diese Berechtigungen nach der Migration deaktivieren.
Hinweise
Prüfen Sie, ob Sie eine der folgenden IAM-Nutzerrollen (Identity and Access Management) haben:
- Google Cloud Managed Identities-Domainadministrator (
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities-Administrator (
roles/managedidentities.admin)
Weitere Informationen finden Sie unter Cloud Managed Identities-Rollen.
Berechtigungen prüfen
Sie können prüfen, ob die zum Migrieren von Domains mit SID-Verlauf erforderlichen Berechtigungen in einer verwalteten Microsoft AD-Domain verfügbar sind.
Prüfen Sie die Berechtigungen mit dem folgenden gcloud CLI-Befehl:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Ersetzen Sie DOMAIN_NAME durch den Namen Ihrer verwalteten Microsoft AD-Domain. Beispiel: my-domain.com.
Mit diesem Vorgang wird geprüft, ob im Managed Microsoft AD die Gruppe Cloud Service
Migrate SID Administrators erstellt wurde und der Status der SID-Filterung in allen vertrauenswürdigen Domains vorhanden ist.
Die Antwort listet den SID-Filterstatus aller vertrauenswürdigen Domains und den Status der Berechtigungen auf, die in Ihrer Managed Microsoft AD-Domain erforderlich sind:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Ihre verwaltete Microsoft AD-Domain kann jeden der folgenden Status haben:
| Status | Beschreibung |
|---|---|
DISABLED |
Die verwaltete Microsoft AD-Domain hat nicht die erforderlichen Berechtigungen, um die lokale Domain mit dem SID-Verlauf zu migrieren. Die SID-Filterung ist für alle vertrauenswürdigen Domains aktiviert. |
ENABLED |
Die verwaltete Microsoft AD-Domain hat die erforderlichen Berechtigungen, um die lokale Domain mit dem SID-Verlauf zu migrieren. Den SID-Filterstatus finden Sie im Feld sidFilteringState für alle vertrauenswürdigen Domains in der Antwort. |
NEEDS MAINTENANCE |
Die Berechtigungen für Ihre Managed Microsoft AD-Domain befinden sich anscheinend in unregelmäßigen Abständen. Sie können den Status zurücksetzen, indem Sie je nach Bedarf Berechtigungen aktivieren oder Berechtigungen deaktivieren. |
Berechtigungen in der Managed Microsoft AD-Domain deaktivieren
Nach Abschluss der Migration müssen Sie die Berechtigungen für die Migration Ihrer lokalen Domain mit dem SID-Verlauf deaktivieren.
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Berechtigungen zu deaktivieren:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Ersetzen Sie DOMAIN_NAME durch den Namen Ihrer verwalteten Microsoft AD-Domain. Beispiel: my-domain.com.
Bei diesem Vorgang werden die für Ihre Domain erteilten Berechtigungen deaktiviert. Dazu wird die Gruppe Cloud Service Migrate SID Administrators aus Managed Microsoft AD gelöscht und die SID-Filterung für alle vertrauenswürdigen Domains aktiviert.