Se usó la API de Cloud Translation para traducir esta página.

Administra los permisos necesarios para migrar un dominio local.

En esta página, se explica cómo verificar si están habilitados los permisos necesarios para migrar un dominio de Active Directory existente de las instalaciones locales al servicio administrado para Microsoft Active Directory con el historial de SID. En esta página, también se explica cómo inhabilitar estos permisos después de completar la migración.

Antes de comenzar

Asegúrate de tener uno de los siguientes roles de usuario de Identity and Access Management (IAM):

Administrador de dominios de identidades administradas de Google Cloud (roles/managedidentities.domainAdmin)
Administrador de identidades administradas de Google Cloud (roles/managedidentities.admin)

Para obtener más información, consulta Identidades administradas en la nube roles.

Verificar los permisos

Puedes verificar si los permisos necesarios para migrar dominios con historial de SID están disponibles en un dominio de Microsoft AD administrado.

Para validar los permisos, ejecuta el siguiente comando de gcloud CLI:

gcloud beta active-directory domains migration check-permissions DOMAIN_NAME

Reemplaza DOMAIN_NAME por el nombre de tu dominio de Microsoft AD administrado. Por ejemplo, my-domain.com

Esta operación valida si Microsoft AD administrado tiene creado el grupo Cloud Service Migrate SID Administrators y el estado del filtrado SID en todos los dominios de confianza.

La respuesta enumera el estado de filtrado SID de todos los dominios de confianza y el estado de los permisos requeridos en tu dominio de Microsoft AD administrado:

onpremDomains:
- name: domain-one.com
  sidFilteringState: ENABLED
- name: domain-two.com
  sidFilteringState: DISABLED
state: ENABLED

Tu dominio de Microsoft AD administrado puede tener cualquiera de los siguientes estados:

Estado	Descripción
`DISABLED`	El dominio de Microsoft AD administrado no tiene los permisos necesarios para migrar el dominio local con el historial de SID. El filtro SID está habilitado en todos los dominios de confianza.
`ENABLED`	El dominio administrado de Microsoft AD tiene los permisos necesarios para migrar el dominio local con historial SID. Para verificar el estado del filtrado SID, consulta el campo `sidFilteringState` para todos los dominios de confianza en la respuesta.
`NEEDS MAINTENANCE`	Parece que los permisos están en estado intermitente para tu dominio de Microsoft AD administrado. Para restablecer el estado, habilita los permisos o inhabilita los permisos según sea necesario.

Inhabilita permisos en el dominio administrado de Microsoft AD

Después de completar la migración, debes inhabilitar los permisos proporcionados para migrar tu dominio local con el historial de SID.

Para inhabilitar los permisos, ejecuta el siguiente comando de la CLI de gcloud:

gcloud beta active-directory domains migration disable DOMAIN_NAME

Reemplaza DOMAIN_NAME por el nombre de tu cuenta de Microsoft AD administrado. dominio. Por ejemplo, my-domain.com

Esta operación inhabilita los permisos proporcionados a tu dominio, ya que borra el grupo Cloud Service Migrate SID Administrators de Microsoft AD administrado y habilita el filtrado de SID en todos los dominios de confianza.