En esta página se explica cómo comprobar si están habilitados los permisos necesarios para migrar un dominio de Active Directory local a Managed Service for Microsoft Active Directory con historial de SID. En esta página también se explica cómo inhabilitar estos permisos una vez que hayas completado la migración.
Antes de empezar
Asegúrate de tener uno de los siguientes roles de usuario de Gestión de Identidades y Accesos (IAM):
- Administrador de dominios de identidades gestionadas de Google Cloud
(
roles/managedidentities.domainAdmin) - Administrador de identidades gestionadas de Google Cloud (
roles/managedidentities.admin)
Para obtener más información, consulta Roles de identidades gestionadas en Cloud.
Comprobar permisos
Puedes comprobar si los permisos necesarios para migrar dominios con historial de SID están disponibles en un dominio de Microsoft AD gestionado.
Para validar los permisos, ejecuta el siguiente comando de la CLI de gcloud:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Sustituye DOMAIN_NAME por el nombre de tu dominio de Microsoft AD gestionado. Por ejemplo, my-domain.com.
Esta operación valida si se ha creado el grupo Cloud Service
Migrate SID Administrators en Microsoft AD gestionado y el estado del filtrado de SID en todos los dominios de confianza.
La respuesta muestra el estado del filtrado de SID de todos los dominios de confianza y el estado de los permisos necesarios en tu dominio de Microsoft AD gestionado:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Tu dominio de Microsoft AD gestionado puede tener cualquiera de los siguientes estados:
| Estado | Descripción |
|---|---|
DISABLED |
El dominio de Microsoft AD gestionado no tiene los permisos necesarios para migrar el dominio local con el historial de SID. El filtrado de SID está habilitado en todos los dominios de confianza. |
ENABLED |
El dominio de Microsoft AD gestionado tiene los permisos necesarios para migrar el dominio local con el historial de SID. Para comprobar el estado del filtrado por SID, consulta el campo sidFilteringState de todos los dominios de confianza de la respuesta. |
NEEDS MAINTENANCE |
Parece que los permisos están en un estado intermitente en tu dominio de Microsoft AD gestionado. Para restablecer el estado, habilita los permisos o inhabilítalos según sea necesario. |
Inhabilitar permisos en el dominio de Microsoft AD gestionado
Una vez que hayas completado la migración, debes inhabilitar los permisos proporcionados para migrar tu dominio local con el historial de SID.
Para inhabilitar los permisos, ejecuta el siguiente comando de la CLI de gcloud:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Sustituye DOMAIN_NAME por el nombre de tu dominio de Microsoft AD gestionado. Por ejemplo, my-domain.com.
Esta operación inhabilita los permisos proporcionados a tu dominio eliminando el grupo Cloud Service Migrate SID Administrators de Microsoft AD gestionado y habilita el filtrado de SID en todos los dominios de confianza.