En esta página, se explica cómo verificar si están habilitados los permisos necesarios para migrar un dominio de Active Directory existente desde las instalaciones locales al servicio administrado para Microsoft Active Directory con historial de SID. En esta página, también se explica cómo inhabilitar estos permisos después de completar la migración.
Antes de comenzar
Asegúrate de tener uno de los siguientes roles de usuario de Identity and Access Management (IAM):
- Administrador de dominios de identidades administradas de Google Cloud
(
roles/managedidentities.domainAdmin) - Administrador de identidades administradas de Google Cloud (
roles/managedidentities.admin)
Para obtener más información, consulta los roles de identidades administradas por Cloud.
Verifica los permisos
Puedes verificar si los permisos necesarios para migrar dominios con historial de SID están disponibles en un dominio de Microsoft AD administrado.
Para validar los permisos, ejecuta el siguiente comando de gcloud CLI:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Reemplaza DOMAIN_NAME por el nombre de tu dominio de Microsoft AD administrado. Por ejemplo, my-domain.com
Esta operación valida si se creó el grupo Cloud Service
Migrate SID Administrators en Microsoft AD administrado y el estado del filtrado de SID en todos los dominios de confianza.
La respuesta enumera el estado de filtrado del SID de todos los dominios de confianza y el estado de los permisos requeridos en tu dominio de Microsoft AD administrado:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Tu dominio de Microsoft AD administrado puede tener cualquiera de los siguientes estados:
| Estado | Descripción |
|---|---|
DISABLED |
El dominio de Microsoft AD administrado no tiene los permisos necesarios para migrar el dominio local con el historial de SID. El filtrado de SID está habilitado en todos los dominios de confianza. |
ENABLED |
El dominio de Microsoft AD administrado tiene los permisos necesarios para migrar el dominio local con el historial de SID. Para verificar el estado del filtrado de SID, consulta el campo sidFilteringState para todos los dominios de confianza en la respuesta. |
NEEDS MAINTENANCE |
Los permisos parecen estar en un estado intermitente para tu dominio de Microsoft AD administrado. Para restablecer el estado, habilita los permisos o inhabilita los permisos según sea necesario. |
Inhabilita los permisos en el dominio de Microsoft AD administrado
Después de completar la migración, debes inhabilitar los permisos proporcionados para migrar tu dominio local con el historial del SID.
Para inhabilitar los permisos, ejecuta el siguiente comando de gcloud CLI:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Reemplaza DOMAIN_NAME por el nombre de tu dominio de Microsoft AD administrado. Por ejemplo, my-domain.com
Esta operación inhabilita los permisos que se proporcionan a tu dominio borrando el grupo Cloud Service Migrate SID Administrators de Microsoft AD administrado y habilita el filtrado de SID en todos los dominios de confianza.