En esta página, se explica cómo verificar si los permisos necesarios para migrar un dominio de Active Directory existente de un entorno local al servicio administrado para Microsoft Active Directory con historial de SID están habilitados. También se explica cómo inhabilitar estos permisos después de completar la migración.
Antes de comenzar
Asegúrate de tener alguno de los siguientes roles de usuario de Identity and Access Management (IAM):
- Administrador de dominios de identidades administradas de Google Cloud (
roles/managedidentities.domainAdmin
) - Administrador de identidades administradas de Google Cloud (
roles/managedidentities.admin
)
Para obtener más información, consulta Funciones de identidades administradas de Cloud.
Comprueba los permisos
Puedes verificar si los permisos necesarios para migrar dominios con historial de SID están disponibles en un dominio administrado de Microsoft AD.
Para validar los permisos, ejecuta el siguiente comando de gcloud CLI:
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
Reemplaza DOMAIN_NAME por el nombre de tu dominio de Microsoft AD administrado. Por ejemplo, my-domain.com
Esta operación valida si Microsoft AD administrado tiene el grupo Cloud Service
Migrate SID Administrators
creado y el estado del filtrado de SID en todos los dominios de confianza.
La respuesta enumera el estado del filtrado SID de todos los dominios de confianza y el estado de los permisos necesarios en tu dominio de Microsoft AD administrado:
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Tu dominio de Microsoft AD administrado puede tener cualquiera de los siguientes estados:
Estado | Descripción |
---|---|
DISABLED |
El dominio administrado de Microsoft AD no tiene los permisos necesarios para migrar el dominio local con historial de SID. El filtro SID está habilitado en todos los dominios de confianza. |
ENABLED |
El dominio administrado de Microsoft AD tiene los permisos necesarios para migrar el dominio local con historial de SID. Para verificar el estado del filtro SID, consulta el campo sidFilteringState para todos los dominios de confianza en la respuesta. |
NEEDS MAINTENANCE |
Parece que los permisos de tu dominio de Microsoft AD administrado tienen un estado intermitente. Para restablecer el estado, habilita los permisos o inhabilita los permisos según sea necesario. |
Inhabilita los permisos en el dominio de Microsoft AD administrado
Después de completar la migración, debes inhabilitar los permisos proporcionados para migrar tu dominio local con historial de SID.
Para inhabilitar los permisos, ejecuta el siguiente comando de gcloud CLI:
gcloud beta active-directory domains migration disable DOMAIN_NAME
Reemplaza DOMAIN_NAME por el nombre de tu dominio de Microsoft AD administrado. Por ejemplo, my-domain.com
Esta operación inhabilita los permisos proporcionados a tu dominio mediante la eliminación del grupo Cloud Service Migrate SID Administrators
de Microsoft AD administrado y habilita el filtrado de SID en todos los dominios de confianza.