Berechtigungen für die Migration einer lokalen Domain verwalten

Auf dieser Seite wird beschrieben, wie Sie prüfen, ob die Berechtigungen aktiviert sind, die für die Migration einer vorhandenen Active Directory-Domain von lokal zu Managed Service for Microsoft Active Directory mit SID-Verlauf erforderlich sind. Auf dieser Seite wird auch beschrieben, wie Sie diese Berechtigungen nach Abschluss der Migration deaktivieren.

Hinweise

Sie benötigen eine der folgenden IAM-Nutzerrollen (Identity and Access Management):

  • Google Cloud Managed Identities-Domainadministrator (roles/managedidentities.domainAdmin)
  • Google Cloud Managed Identities-Administrator (roles/managedidentities.admin)

Weitere Informationen finden Sie unter Rollen für Cloud Managed Identities.

Berechtigungen prüfen

Sie können prüfen, ob die Berechtigungen, die für die Migration von Domains mit SID-Verlauf erforderlich sind, in einer Managed Microsoft AD-Domain verfügbar sind.

Führen Sie den folgenden gcloud CLI-Befehl aus, um die Berechtigungen zu prüfen:

gcloud beta active-directory domains migration check-permissions DOMAIN_NAME

Ersetzen Sie DOMAIN_NAME durch den Namen Ihrer verwalteten Microsoft AD-Domain. Beispiel: my-domain.com.

Bei diesem Vorgang wird geprüft, ob die Gruppe Cloud Service Migrate SID Administrators in Managed Microsoft AD erstellt wurde und wie der Status der SID-Filterung in allen vertrauenswürdigen Domains ist.

In der Antwort wird der SID-Filterstatus aller vertrauenswürdigen Domains und der Status der in Ihrer Managed Microsoft AD-Domain erforderlichen Berechtigungen aufgeführt:

onpremDomains:
- name: domain-one.com
  sidFilteringState: ENABLED
- name: domain-two.com
  sidFilteringState: DISABLED
state: ENABLED

Ihre Managed Microsoft AD-Domain kann einen der folgenden Status haben:

Bundesland Beschreibung
DISABLED Die Managed Microsoft AD-Domain hat nicht die erforderlichen Berechtigungen, um die lokale Domain mit SID-Verlauf zu migrieren. Die SID-Filterung ist für alle vertrauenswürdigen Domains aktiviert.
ENABLED Die Managed Microsoft AD-Domain hat die erforderlichen Berechtigungen, um die lokale Domain mit SID-Verlauf zu migrieren. Sehen Sie sich das Feld sidFilteringState für alle vertrauenswürdigen Domains in der Antwort an, um den Status der SID-Filterung zu prüfen.
NEEDS MAINTENANCE Die Berechtigungen für Ihre Managed Microsoft AD-Domain scheinen sich in einem vorübergehenden Zustand zu befinden. Um den Status zurückzusetzen, aktivieren oder deaktivieren Sie die Berechtigungen nach Bedarf.

Berechtigungen in der Managed Microsoft AD-Domain deaktivieren

Nach Abschluss der Migration müssen Sie die Berechtigungen deaktivieren, die für die Migration Ihrer lokalen Domain mit SID-Verlauf bereitgestellt wurden.

Führen Sie den folgenden gcloud CLI-Befehl aus, um die Berechtigungen zu deaktivieren:

gcloud beta active-directory domains migration disable DOMAIN_NAME

Ersetzen Sie DOMAIN_NAME durch den Namen Ihrer verwalteten Microsoft AD-Domain. Beispiel: my-domain.com.

Bei diesem Vorgang werden die Berechtigungen deaktiviert, die Ihrer Domain gewährt wurden. Dazu wird die Gruppe Cloud Service Migrate SID Administrators aus Managed Microsoft AD gelöscht und die SID-Filterung für alle vertrauenswürdigen Domains aktiviert.